Gigantes da tecnologia pretendem utilizar biometria no lugar de senhas para acessar apps - Bruna Souza Cruz/Tilt
Imagem: Bruna Souza Cruz/Tilt

Apple, Google e Microsoft anunciaram hoje (05) uma aliança para expandir o suporte a logins sem senha em dispositivos móveis, desktops e navegadores. As gigantes da tecnologia estão trabalhando juntas para criar uma tecnologia mais conveniente e segura do que a atual.

A união, incomum no setor, tenta resolver o problema moderno das senhas. Por um lado, muitas pessoas costumam criar credenciais fracas ou até mesmo já manjadas pelos fraudadores, como “123456”. Por outro, é complicado se lembrar de tantas palavras-chave quando são muito difíceis (e tantas).

Segundo informações do TechCrunch, o substituto das senhas permitirá o login em aplicativos ou sites com uma inserção física como em uma verificação de impressão digital, leitura de rosto ou PIN do dispositivo — da mesma forma que se desbloqueiam celulares.

Como deve funcionar

A ideia é justamente que o usuário possa acessar um app ou site utilizando apenas a digital (ou o equivalente a esta “chave”), não tendo de lembrar todas as senhas cadastradas.

A expectativa das empresas é que, a partir do próximo ano, um usuário consiga apenas utilizar a digital para acessar aplicativos no Safari, Chrome, Android, macOS, Windows ou Edge. Na prática, isso significa que será possível, por exemplo, entrar na sua conta Google no navegador Chrome executado no Microsoft Windows, usando uma chave de acesso em um dispositivo Apple.

Os usuários também poderão acessar automaticamente todas suas credenciais de login em vários dispositivos, incluindo os novos aparelhos, sem precisar registrar novamente todas as contas. O processo deverá ser independente do sistema operacional ou navegador que você estiver utilizando.

Proteção contra fraudes em senhas

O recurso, que ainda não tem nome, está sendo desenvolvido em uma parceria entre as big techs e a FiDO Alliance, um consórcio de empresas que tem como objetivo diminuir o uso de senhas e melhorar os padrões de autenticação.

A ação também será importante para combater fraudes já que dificultaria para que golpistas consigam comprometer o login remotamente, pois será necessário ter acesso a um dispositivo físico.

“Trabalhar com a indústria para estabelecer novos métodos de login mais seguros que ofereçam melhor proteção e eliminem as vulnerabilidades das senhas é fundamental para nosso compromisso de criar produtos que ofereçam segurança máxima e uma experiência de usuário transparente”, disse Kurt Knight, diretor sênior de marketing de produtos de plataforma da Apple, em um comunicado à imprensa.

Embora atualmente Google, Apple e Microsoft já possuam um padrão de login criado pela FiDO Alliance, as pessoas ainda precisam colocar suas senhas para acessar aplicativos ou sites quando estão utilizando diferentes sistemas operacionais.

Microsoft fez um alerta nesta quinta-feira aos seus clientes de computação em nuvem, a respeito de vazamento e alteração de dados. De acordo com a empresa, a falha permitia que invasores conseguissem ler, alterar ou até mesmo excluir bancos de dados das companhias que usavam o serviço Cosmos DB.

Quem descobriu a vulnerabilidade foi uma equipe de pesquisa da empresa de segurança Wiz. De acordo com Ami Luttwak, diretor de tecnologia da Wiz e ex-diretor de tecnologia do Grupo de segurança em nuvem da Microsoft.e  empresa, ao explorar um ponto fraco, era possível acessar chaves que controlam o acesso a bancos de dados mantidos por milhares de empresas. À agência de notícias, o pesquisador afirmou que essa é a pior vulnerabilidade de serviços em nuvem que se pode imaginar.

Ao ser informada sobre o problema, a Microsoft concordou em pagar 40 mil dólares à Wiz para encontrar a falha e reportá-la à empresa. Segundo o pesquisador, a equipe encontrou o problema no dia 9 de agosto e notificou a Microsoft no dia 12 do mesmo mês. Nesta quinta-feira, depois da publicação pela Reuters, a empresa mostrou que a falha estava em uma ferramenta de visualização chamada Jupyter Notebook, que está disponível há anos, mas foi habilitada por padrão dentro do Cosmos DB a partir de fevereiro.

“Corrigimos esse problema imediatamente para manter nossos clientes seguros e protegidos. Agradecemos aos pesquisadores de segurança por trabalharem sob a divulgação coordenada de vulnerabilidades”, disse a Microsoft à Reuters.

Aos clientes, a Microsoft afirmou que o a vulnerabilidade já foi corrigida e que não havia sido explorada anteriormente por nenhum invasor. “Não temos nenhuma indicação de que entidades externas fora a Wiz tiveram acesso à chave primária de leitura e gravação”, disse a empresa por e-mail.

Ainda assim, como medida de segurança, a companhia orientou seus clientes a trocarem as chaves de acesso aos bancos de dados. Vale lembrar que a Microsoft não consegue fazer isso por conta própria — é necessário que cada cliente faça sua alteração.

Contexto

A divulgação ocorre após meses de más notícias relacionadas à segurança da Microsoft. Recentemente, um ataque cibernético ao software de e-mail Outlook da Microsoft atingiu dezenas de milhares de empresas, escritórios do governo e escolas nos Estados Unidos. A empresa afirmou que o ataque foi executado por uma rede suspeita de hackers chineses.

Além disso, outra falha identificada em julho mostrou que hackers poderiam instalar programas, visualizar e excluir dados e criar novas contas de usuário, o que daria comando e controle suficiente aos aparelhos. A falha de segurança, conhecida como “Print Nightmare”, afeta o serviço Windows Print Spooler.

Neste caso específico, os problemas com o Azure são preocupantes, dado que a Microsoft e especialistas em segurança têm pressionado as empresas a abandonar a maior parte de sua própria infraestrutura e confiar na nuvem para obter mais segurança.

 

 Prévia de visualização de documentos no Explorador de Arquivos abre caminho para exploração da brecha. Painel pode ser desativado para minimizar riscos, mas usar apenas documentos seguros, como o mostrado na imagem, também evita problemas. — Foto: Reprodução

Prévia de visualização de documentos no Explorador de Arquivos abre caminho para exploração da brecha. Painel pode ser desativado para minimizar riscos, mas usar apenas documentos seguros, como o mostrado na imagem, também evita problemas. — Foto: Reprodução

Microsoft publicou um alerta informando que hackers estão explorando uma falha de segurança inédita no Windows 10, Windows 8.1 e Windows 7, não havendo uma correção disponível para o problema ainda. Para ser atacado, basta abrir um documento ou clicar nele no Explorador de Arquivos com o painel de visualização aberto.

Embora a falha atinja o Windows 10, as funções de segurança presentes nessa versão do Windows minimizam o impacto da falha. De acordo com a Microsoft, não foram registrados ataques contra o Windows 10, o que significa que sistemas com Windows 7 e 8.1 são os mais vulneráveis.

Documentos normalmente são inofensivos e não conseguem instalar pragas digitais no computador. Mas, por conta dessas falhas, que se localizam em um método de processamento de fontes (estilos de texto), um documento pode ser criado para executar códigos como se fosse um programa – e com isso instalar o um software malicioso no sistema.

De acordo com a Microsoft, os ataques que se aproveitaram dessa brecha são “limitados e direcionados”.

Na prática, isso indica que poucos hackers têm o domínio da técnica de exploração, diminuindo a probabilidade de ataques em larga escala.

A falha não tem relação com a vulnerabilidade “SMBGhost”, que mereceu uma atualização emergencial da Microsoft, na semana passada. A SMBGhost pode ser explorada de forma automatizada, em que um programa consegue localizar outros sistemas vulneráveis e contaminá-los automaticamente.

Embora certas medidas possam reduzir os canais de exploração, ainda será necessário evitar a abertura de documentos de fontes não confiáveis.

Por enquanto, no entanto, não há registro de ataques em larga escala. Também não foi divulgado o teor dos documentos falsos que estão se aproveitando da falha.

O próximo pacote de atualizações da Microsoft está previsto para o dia 14 de abril. No Windows 7, que é considerado obsoleto, a atualização só está garantida para empresas com contrato de suporte estendido.

Microsoft anunciou em setembro do ano passado que teremos um sucessor do Office 2016, a versão sem assinatura do pacote de produtividade da empresa, e que esse upgrade chegaria em cerca de um ano.

Chamado de Office 2019, o pacote será direcionado para os usuários, especialmente corporativos, “que ainda não estão prontos para a nuvem”, segundo afirmou a companhia de Redmond.

Mas além dessa descrição, a Microsoft tem sido um tanto vaga sobre o Office 2019 com uma licença “perpétua”, que permite que o usuário use o pacote por quanto tempo quiser sem exigir pagamentos adicionais por isso. Então reunimos abaixo algumas das principais perguntas que os clientes podem ter sobre o novo pacote.

1. O que é o Office “perpétuo”?

A Microsoft classifica os seus softwares pela forma como eles são pagos, dividindo-os entre uma licença que foi comprada de forma mais direta e outra que é essencialmente “alugada”, uma vez que é paga com o tempo, como uma assinatura.

Na maioria das vezes a Microsoft usa o termo “one-time purchase” para se referir a uma licença de software que é paga com um custo único e adiantado para ter as aplicações do Office em um computador. Essa compra dá ao consumidor o direito de usar o Office de forma perpétua. Em outras palavras, a licença não possui data de expiração, e os usuários podem usar o pacote por quanto tempo quiserem.

2. Quando a Microsoft vai lançar o Office 2019?

A companhia programou o lançamento do pacote para o segundo semestre deste ano. “Esse lançamento, previsto para a segunda metade de 2018, vai incluir versões perpétuas dos apps Office…e servidores”, afirmou o gerente geral do Office, Jared Spataro, em um post feito em setembro de 2017 no blog da Microsoft.

Ainda não há uma data exata, mas é possível supor que isso acontecerá entre setembro e outubro. No final de setembro de 2015, a Microsoft ofereceu a versão Windows do Office 2016 para os assinantes do Office 365 – e depois liberou as versões para varejo. Por isso, o Office 2019 deve chegar nesta mesma época do ano – e seguindo a mesma ordem.

3. O que estará presente no Office 2019?

A Microsoft ainda não revelou. Na verdade, os recursos do upgrade talvez não sejam revelados até o meio de 2018, quando a Microsoft deve liberar um preview do novo Office. Pelo que Spataro indicou, no entanto, o Office 2019 deverá ganhar recursos como Ink Replay, no Word, e Morph, no PowerPoint. Vale notar que ambos já estão disponíveis há um bom tempo para os assinantes do Office 365.

E é importante ter isso em mente: as chances do Office 2019 trazer qualquer recurso inovador são mínimas. Por que? Porque a versão perpétua do pacote, com uma licença única, é construída ao reunir as mudanças acumuladas desde o lançamento do seu antecessor – neste caso, as alterações liberadas para os assinantes do Office 365 nos últimos anos.

Basicamente, a Microsoft vai pegar a versão do Office 2016 que os usuários do Office 365 ProPlus possuem, digamos, na metade de 2018 – e vale notar que essa versão do Office 2016 é diferente do Office 2016 vendido em 2015 como uma licença perpétua – “congelar” esse código, e então chamá-lo de Office 2019.

4. Em quais formatos e versões a Microsoft irá vender o Office 2019?

A Microsoft ainda não revelou isso. As versões de licença única do Office atual variam entre o Office Professional Plus 2016 (Windows) e o Office Standard 2016 for Mac (macOS), as versões SKUs de grau empresarial disponíveis apenas por licenciamento em volumes maiores, até pacotes disponíveis no varejo como o Office Professional 2016 (Windows) e o Office Home and Business 2016 for Mac (macOS).

É certo que a Microsoft oferecerá o Office 2019 para usuários corporativos por meio de licenciamento em volume, mas é questionável presumir que a companhia irá vender versões do novo pacote para usuários finais no varejo.

Em algum momento, a empresa vai descontinuar as vendas das licenças perpétuas do Office, segundo apontam analistas. (E a Microsoft nunca escondeu que prefere assinaturas, como o Office 365, justamente pela receita recorrente que elas geram.) Parar de oferecer cópias perpétuas para usuários finais seria o lugar mais lógico para começar a reduzir essa opção no mercado.

Spataro não falou sobre isso, mas o Office 2019 terá versões para Windows e macOS. Não há muitas razões para a Microsoft cortar os Macs da equação, uma vez que a companhia domina o espaço de produtividade na plataforma rival.

5. Por que é importante que o Office 2019 seja lançado neste ano?

Outra ótima pergunta.

Em 2017, a Microsoft cortou os direitos dos usuários rodando Office sem assinatura ao anunciar que as versões de licença perpétua do Office 2016 terão acesso barrado a serviços da empresa na nuvem, incluindo o Exchange e o OneDrive for Business, a partir de 14 de outubro de 2020.

Pelas novas regras, os donos de uma licença perpétua do Office 2016 só podem usar esses serviços durante a primeira metade dos 10 anos de suporte, a porção que a Microsoft chama de “mainstream”. E o suporte mainstream do Office 2016 acaba justamente em 13 de outubro de 2020.

Ao lançar o Office 2019 em 2018, a Microsoft dará um ano ou um pouco mais para que as empresas migrem do Office 2016 (ou de uma edição anterior) para a nova versão antes desse corte nos serviços na nuvem.

6. A Microsoft vai vender uma versão de licença perpétua do Office após o Office 2019?

Não acreditamos nisso. Por que? É simples: a Microsoft está cortando o suporte para o Office 2019 em 30%. Em vez do suporte padrão de 10 anos – com a primeira metade chamada de “mainstream” e a segunda de “estendido”, em que são enviados apenas updates de segurança – o Office 2019 terá apenas 7 anos de suporte.

“O Office 2019 fornecerá 5 anos de suporte mainstream e aproximadamente 2 anos de suporte estendido”, afirmou Spataro em um anúncio feito no início de fevereiro. “Isso é…para alinhar com o período de suporte do Office 2016. O suporte estendido será encerrado em 14 de outubro de 2025.” Esse é o mesmo dia em que o suporte do Office 2016 será oficialmente encerrado.

A aposentadoria simultânea das duas versões do Office com licenças perpétuas é o sinal mais forte dado até agora sobre os planos da Microsoft de possivelmente parar de oferecer pacotes por esse modelo após o Office 2019.

Ao encurtar o suporte para o Office 2019 – algo que a Microsoft nunca tinha feito com o Office para Windows até então – a empresa poderá lavar as suas mãos nos dois pacotes ao mesmo tempo, encerrando assim a opção de compra única e transformando o Office 365, baseado em assinaturas, na única maneira de licenciar os seus aplicativos de produtividade.

7. Em quais versões do Windows o Office 2019 irá rodar?

Junto com a revelação sobre o suporte mais curto do Office 2019, a Microsoft também informou que a nova versão do seu pacote só irá rodar no Windows 10. Ou seja, nada de amor para o Windows 7 (que será aposentado em janeiro de 2020) ou para o Windows 8.1 (que será aposentado em janeiro de 2023). Esses dois sistemas mais antigos terão ficar com o Office 2016 (que, vale lembrar, será suportado pela empresa até outubro de 2025).

Spataro não ofereceu nenhuma explicação específica para essa limitação de suporte no Windows, mas é provável que tenha a ver com padrões de segurança. Algumas pessoas sugeriram que esse seria mais um “empurrão” da Microsoft para impulsionar os upgrades para o Windows 10, lançado originalmente em 2015.

A não ser que você tenha passado os últimos cinco anos em uma caverna, você já sabe que a inteligência artificial vai dominar o planeta. Mas, antes, talvez as máquinas possam ajudar a humanidade com uma ou outra coisinha. Tipo, a cura para doenças e coisas do tipo.

A Microsoft e a empresa de biotecnologia Adaptive Biotechnologies anunciaram uma parceria para criar uma IA capaz de decodificar – ou ler – o sistema imunológico dos seres humanos. As companhias têm a expectativa de unir os avanços em biotecnologia e no aprendizado de máquina para explorar o sistema de diagnósticos do corpo humano.

Mas, quais são as vantagens dessa maravilha? Basicamente, a tecnologia pode diagnosticar e tratar as doenças que te afligem, desde uma simples ressaca até situações mais complexas. Tudo com ajuda do sistema imunológico humano, que tem um ótimo faro para detectar doenças e ferimentos.

Tanto Microsoft quanto Adaptive Biotechnologies querem descobrir como funciona esse mecanismo. As empresas divulgaram um comunicado para a imprensa com objetivos ousados: “criar um teste de sangue universal capaz de ler o sistema imunológico para detectar uma ampla variedade de doenças, incluindo infecções, câncer e doenças autoimunes em seus estágios iniciais”.

Descobrir problemas nesse estágio aumenta a possibilidade de diagnósticos precisos e tratamentos. E, você já sabe, pessoas saudáveis vivem mais.

 

 

A Microsoft colocou no ar neste mês o Microsoft Tech, portal que reúne materiais para capacitação de desenvolvedores, profissionais de TI, estudantes e startups em soluções de nuvem da empresa. No novo canal, além de artigos, os especialistas poderão encontrar mais de 800 vídeos de treinamentos e workshops sobre produtos e tendências deste universo cada vez mais colaborativo e multiplataforma. Eles também terão acesso à agenda de eventos da empresa, certificações e casos de sucesso.

O objetivo do Microsoft Tech é ser um agregador de conteúdo para que que os profissionais de TI em diferentes níveis consigam colocar em prática a transformação digital. O portal está divido em cinco seções: desenvolvedores, IT Pro, Estudantes, Data Scientists e Open Source. A proposta é que os conteúdos sejam selecionados de acordo com os interesses de cada público.

“O Microsoft Tech é mais uma iniciativa dentro do nosso compromisso de capacitar os profissionais de tecnologia do país. Os profissionais de TI precisam estar próximos do que há de mais novo no mercado para que possam liderar a transformação digital em suas empresas, fazendo com que a área de tecnologia seja cada vez mais estratégica para a inovação nos negócios. E é claro, o universo open source está dentro dessas prioridades”, comenta Roberto Prado, diretor de nuvem da Microsoft Brasil.

Na manhã de segunda-feira (16), a notícia de que a encriptação WPA e WPA 2 utilizada em redes WiFi seria facilmente explorada por cibercriminosos aumentou o nível de preocupação no mundo da cibersegurança. Felizmente, a Microsoft anunciou um pacote de atualização para atacar esse problema nos sistemas Windows — vale notar que sistemas macOS, Android, iOS e Linux que utilizam WiFi WPA continuam vulneráveis.

“Soltamos uma atualização de segurança para resolver este problema. Os consumidores que atualizarem o sistema, ou possuem as atualizações ativadas de maneira automática, estarão protegidos. Nós continuaremos encorajando nossos consumidores para ligarem as atualizações automáticas, isso ajudará a mantê-los seguros”, comentou um porta-voz da Microsoft.

Outros sistemas

Apesar de ter foco maior no Android — 41% dos dispositivos com o sistema da Google estariam vulneráveis a esse ataque, algo considerado “especialmente devastador” pelos especialistas —, a falha está presente nas criptografias WPA e WPA2, ou seja, gadgets com Windows, macOS, iOS e outros sistemas baseados no Linux também estão sujeitos a sofrer as consequências dela.

De acordo com especialistas de segurança, os dispositivos Android e Linux podem ser os mais afetados. A Google prometeu uma atualização que corrige a brecha para as próximas semanas — e os aparelhos Google Pixel serão os primeiros a receberem.

A Apple ainda não comentou sobre o caso, desde a vulnerabilidade no macOS e iOS até uma possível atualização de emergência.

Já a Wi-Fi Alliance, rede responsável pela tecnologia WiFi utilizada nos dispositivos ao redor do mundo, comentou que o problema pode ser resolvido por “atualizações de software disponibilizadas pelas fabricantes, e que a ‘indústria Wi-Fi’ já começou a disponibilizar pacotes de atualização”.

No começo de 2013, grandes empresas como Apple, Facebook e Twitter foram atacadas por um grupo hacker que conseguiu efetuar as invasões explorando uma brecha do Java. A Microsoft estava entre elas, e declarou na época que um “pequeno número de computadores” tinha sido comprometido, mas sem dar muitos detalhes.

A companhia chegou inclusive a afirmar o seguinte: “Não temos evidência de que dados de usuários tenham sido afetados.” Mas internamente um sinal vermelho tinha sido levantado. A Reuters publicou uma reportagem nesta terça-feira, 17, revelando que aquele ataque de 2013 afetou um dos bancos de dados mais sensíveis da Microsoft, justamente o que contém descrições de vulnerabilidades críticas e não resolvidas em seus produtos.

Essas informações são muito problemáticas porque elas poderiam fornecer meios para que indivíduos ou até governos hackeassem pessoas, empresas e Estados usando brechas em produtos como Windows e o pacote Office. Um exemplo de ataque desse gênero foi o WannaCry, que só foi possível após o vazamento de um banco de dados da Agência de Segurança Nacional dos EUA contendo ferramentas de hacking.

A história foi confirmada independentemente por cinco pessoas que faziam parte da equipe de segurança da Microsoft naquela época, mas a empresa não quis fazer comentários.

Segundo os ex-funcionários, algum tempo depois do ocorrido, a Microsoft analisou ataques a outras empresas para tentar entender se o conteúdo disponível no banco de dados poderia ter sido usado naquelas ocasiões, mas não encontrou evidências que levassem a essa conclusão. Além disso, algumas das brechas já tinham sido resolvidas, o que contribuiu na decisão de não tornar a situação pública.

Depois disso, a empresa ampliou a segurança do banco de dados, que até então estava trancado apenas por uma senha.

 

Se você tem um PCs parrudos o suficiente para minerar criptomoedas, qual o motivo de não buscar meios alternativos? Nessa premissa — digamos, um pouco maliciosa — que hackers estão minerando Monero em servidores da Microsoft, de acordo com a ESET.

Os pesquisadores da empresa de segurança descobriram um malware que já infectou centenas de servidores web Windows com mineradores maliciosos. Só este malware já rendeu cerca de US$ 63 mil moedas de Monero durante três meses para os cibercriminosos — em conversão direta, estamos falando de R$ 200 mil.

Para o malware rodar, os hackers modificaram um software minerador com código aberto e exploraram uma vulnerabilidade no Microsoft IIS 6.0. Essa vulnerabilidade permite que mineradores sejam instalados em servidores Windows que não receberam atualizações de segurança recentes.

A pesquisa da ESET indica que os criminosos por trás do malware estão agindo desde o mês de maio deste ano. A vulnerabilidade em questão é a CVE-2017-7269 e reside no serviço WebDAV da versão 6.0 da Microsoft IIS (Windows Server 2003 R2).

Vale lembrar que o ransomware WannaCry, que infectou mais de 300 mil computadores em mais de 150 países na metade deste ano, abusou de máquinas Windows desatualizadas. Lembrando disso, a dica continua: sempre atualize o seu sistema operacional com o último patch de segurança disponível.