English Title: How Light Travels In a fiber
Credits FOA
Este vídeo demostra como a luz se propaga em uma fibra óptica. Demostrando também como são formados os ângulos de refração e como mais que uma fonte de luz pode estar presente na mesma fibra óptica sem gerar interferências entre elas.
English title: The difference between Deliberant APC v2 and V3
via: br-linux.org – g1.globo.com
Um executivo do Serviço de Processamento de Dados do governo federal (Serpro) admitiu que o sistema de e-mail seguro do governo, chamado de Expresso, terá uma “porta dos fundos” ou “backdoor” – uma “chave mestra” que permitirá ler qualquer mensagem protegida pelo sistema.
“Por lei, pelo Marco Civil da Internet, eu tenho que garantir a auditabilidade desses meios de comunicação. Se eu uso criptografia ponto a ponto, como as boas práticas nos indicam, eu faço com que aquela criptografia seja invisível para qualquer outra pessoa. Se eu não tiver um modelo HSM de chave mestra, ela passa a ser não auditável. Ou seja, eu estou descumprindo questões legais”, afirmou o coordenador de ações governamentais do Serpro.
A declaração foi feita pelo executivo durante o 12º Fórum de Certificação Digital (CertForum) nesta quarta-feira (28), em resposta a um questionamento feito por Paulo Roque, da Associação Brasileira das Empresas de Software (Abes). Há um vídeo disponível na web com a pergunta de Roque e a resposta.
O Marco Civil da Internet não determina especificações para requerimentos de auditoria de conteúdo das comunicações, apenas de registros de acesso, que normalmente não sofrem interferência de criptografia em conteúdo. A lei possui, no entanto, algumas regras específicas para administração pública. O coordenador não informou qual artigo especificamente do Marco Civil, ou de outra legislação, exige que o sistema do governo tenha a “chave mestra”.
De uma tacada só, os atacantes usaram o Heartbleed para dar a volta tanto no sistema de autenticação de múltiplos fatores e no sistema de verificação que buscava garantir que os clientes da sua VPN pertenciam à empresa e estavam rodando determinados sistemas de segurança.
Embora só na quinta-feira tenha circulado amplamente a informação sobre a infame vulnerabilidade no OpenSSL também afetar o OpenVPN, o ataque bem-sucedido ao concentrador de VPNs de uma corporação de grande porte que foi divulgado ontem iniciou há quase 2 semanas, já no dia 8 – um dia depois da divulgação da existência do próprio bug Heartbleed, inicialmente associado a um risco contra servidores web (https).
Não foi divulgada qual a empresa afetada, só que ela é de grande porte e conta com meios avançados de detecção de ataques – mas eles não foram suficientes para evitar que este ataque em particular se consumasse. Seus logs indicam que apenas 17.000 tentativas de leitura de memória por meio do bug foram necessárias.
Ao contrário do que ocorre com servidores web, este ataque bem-sucedido a um servidor OpenVPN não tentou obter senhas ou outras informações pessoais dos usuários, mas sim ter acesso a tokens confirmando a autenticação bem-sucedida de sessões existentes – e aí os atacantes usaram esses tokens para sequestrar as conexões dos usuários legítimos, usando-as.
Como o primeiro caso conhecido ocorreu no dia 8, é possível que o seu procedimento de segurança exija que você faça revisão dos logs dos seus próprios servidores OpenVPN. Se for o caso, os responsáveis pela identificação da invasão acima sugerem que você pesquise por situações em que mais de um IP usou a mesma sessão VPN paralelamente – meras mudanças de IP ao longo da sessão são comum em casos legítimos, mas o uso simultâneo por 2 IPs é um forte indício de que havia algo estranho – como um sequestro de sessão – em andamento. Feliz Páscoa! (via arstechnica.com – “Heartbleed maliciously exploited to hack network with multifactor authentication | Ars Technica”)
Original link: http://www.br-linux.org/2014/01/nao-e-mais-teoria-ja-se-conhece-um-caso-de-servidor-openvpn-comprometido-via-bug-heartbleed.html
