Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
A febre do NFT: a criptomoeda mais recente que está varrendo a InternetGonzalo Álvarez Marañón 19 abril, 2021 Em maio de 2007, o artista digital conhecido como Beeple começou a criar e publicar uma nova obra de arte na Internet todos os dias. Fiel à sua palavra, ele produziu uma nova imagem digital diariamente por 5.000 dias consecutivos. Conhecidas individualmente como EVERYDAYS, essas ilustrações formam coletivamente o núcleo de EVERYDAYS: THE FIRST 5,000 DAYS, uma das obras mais exclusivas na história da arte digital. Em 11 de março, sua criação foi leiloada na Christie’s por um total de $ 69.346.250. Sim, você leu certo: quase 70 milhões de dólares! Por que alguém pagaria uma quantia tão fabulosa por uma obra de arte digital que pode ser copiada infinitamente e que você e eu podemos possuir com igual fidelidade? Porque a cópia vendida só foi graças aos tokens não fungíveis (token não fungível ou NFT). O que é um token? Se nunca visitou um casino, não importa, já o terá visto igualmente nos filmes: ao entrar, os jogadores trocam o seu dinheiro por fichas (tokens em inglês). Quando participam nos diferentes jogos de azar, não apostam dinheiro real, mas sim esses tokens. Fora do cassino, as fichas não têm valor por si mesmas, não são nada mais do que pequenos discos de plástico ou cerâmica. Enquanto, dentro do cassino, um token vale tanto quanto a figura em seu verso. Além disso, esses tokens têm uma série de características interessantes: Anônimos: não carregam nenhum crachá que identifique quem os usa. Se um for roubado, eles podem usá-lo por você e ninguém vai notar.Consumíveis: um token de um determinado valor é idêntico a outro token do mesmo valor.Uso único: você não pode usar o mesmo token duas vezes.Privados: são emitidos por uma entidade privada.Sem valor: são criados a partir de materiais de baixo valor, portanto, o token em si não tem valor.Sistema: para serem úteis, devem operar dentro de um sistema de regras que lhes dê valor.Impossível: teoricamente, ninguém poderia fazer um token idêntico em casa. Não acredite que os tokens de casino são os únicos. Existem muitos outros tipos de token: o dinheiro falso que é distribuído em muitos festivais para pagar bebidas, válido apenas no local do festival; as fichas que vendem em feiras e quermesses para passear nas diferentes atrações; as moedas de muitos videogames, que são adquiridas pagando com dinheiro real e só têm valor dentro do universo do jogo; o convite para festas particulares em boates que você pode trocar por um drink; não esquecendo os bilhetes de loteria; e muito mais. O que é um token digital? Se você é um daqueles que costumam usar serviços como Apple Pay, Amazon ou Uber, aposto que cadastrou os dados do seu cartão de crédito para evitar ter que digitá-los toda vez que compra algo ou viaja. Diga-me, como você se sente sabendo que a Apple, Amazon ou Uber têm acesso ao seu cartão de crédito? Um funcionário desonesto ou cibercriminoso pode obter acesso e usá-lo em seu nome. Para limitar os danos, décadas atrás, o setor financeiro introduziu o conceito de token: um cartão de crédito virtual, vinculado ao seu cartão de crédito real. Você pode criar quantos tokens (cartões virtuais) quiser vinculados ao cartão real, para que suas transações sejam cobradas na conta por trás do cartão real, mas com restrições: Um token só pode ser usado no Apple Pay; outro token, apenas na Amazon; e outro, no Uber. Ou seja, cada token está vinculado a um serviço. Se alguém roubar esse token, não poderá usá-lo em seu nome a não ser na plataforma para a qual foi criado.Um token pode ter um gasto limitado. Uma vez aprovado, não seria mais válido.Cada um dos seus dispositivos pode receber seu próprio token: um para seu laptop, outro para seu smartphone, outro para seu tablet, outro para sua geladeira e assim por diante. Se alguém roubar um token e tentar usá-lo em outro dispositivo, não funcionará. Essas restrições limitam a utilidade dos tokens e, portanto, o impacto em caso de uso fraudulento. Esses tokens financeiros imitam algumas das características dos tokens de cassino, uma vez que só podem ser usados em um ambiente muito limitado, fora do qual não têm validade. Outro caso de uso muito difundido para tokens é na autorização do usuário. Quando você se autentica inserindo suas credenciais em uma página da web, ele gera um token (aleatório) associado à sua identidade e o entrega a você por meio de um cookie ou URL. A partir deste momento, basta mostrar o token para que fique autorizado a aceder a qualquer outra página ou serviço do mesmo site. Seu token funciona como um substituto para suas credenciais. Qualquer pessoa que roubar seu token pode se passar por você, mas apenas nesse site, pois fora do domínio dele ele não tem valor e não representa você. Portanto, em seu sentido mais amplo, um token é qualquer substituto para dados confidenciais (contas bancárias, demonstrações financeiras, registros médicos, registros criminais, carteiras de motorista, pedidos de empréstimo, negociação de ações, registros eleitorais e outros tipos de informações pessoais identificável ou PII), sem valor extrínseco ou explorável fora do sistema de referência em que foi criado. O processo de criação de um token a partir dos dados confidenciais originais é conhecido como “tokenização”, enquanto o processo reverso de resgate do token é chamado de “destokenização”. A segurança de um sistema de tokenização depende da (im) possibilidade de falsificação de tokens e da destokenização deles sem acesso ao mapa de associação dos tokens com os dados sensíveis que representam. Especificamente, a tokenização de cartão de pagamento deve estar em conformidade com o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS) . Como você pode ver, essa tokenização não está relacionada à criptografia, mas ainda há mais. O que é um token criptográfico? Tecnicamente, cada criptomoeda é um token: se você olhar a lista de características dos tokens de cassino, verá que as criptomoedas os possuem. Dependendo da taxa de câmbio de um euro dará um certo número de tokens (ou token de frações ). Mas, recentemente, » token » está assumindo um significado mais específico em relação às criptomoedas. Boletim semanal de cibersegurança abril 10-16Eu realmente preciso de um antivírus?
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...