Sobre o Portal do Governo de SP que minerava criptomoedas

Cada vez mais gente está usando criptomoedas (especialmente bitcoins), dinheiro virtual de pouca rastreabilidade, que circula mundialmente e sem depender do sistema bancário. O site coinmap.org estima que 72 estabelecimentos de São Paulo (Capital) já o aceitem.

Em Buenos Aires, esse número é bem maior: quando se restringiu a compra de moeda estrangeira na Argentina, parte da população foi buscar proteção contra a inflação na moeda digital e, hoje, há muita dessa espécie sustentando negócios no país vizinho.

Na semana passada, um desenvolvedor do Google publicou uma lista com 1.000 sites que mineravam criptomoedas. Dentre eles estava o Portal do Cidadão, mantido pelo Governo do Estado de São Paulo (no endereço www.cidadao.sp.gov.br).

Assim, quando o usuário acessava o serviço, um código malicioso escrito em JavaScript sequestrava parte do poder da CPU do visitante e a utilizava para criar dinheiro digital em determinada conta (RKbAaJRO6...Qti8a), mantida no site Coinhive. A mágica era possível porque a oferta da capacidade computacional para manter a rede que controla as transações virtuais é remunerada.

Enquanto o assunto era debatido no Twitter pelo pessoal de TI, um desenvolvedor de Caxias do Sul teve a ideia de notificar a Coinhive e a conta teria sido bloqueada.

O Governo do Estado emitiu nota falando de uma “falha pontual já superada” e o script foi removido da página.
Interessei-me pelo assunto e achei na Internet a reprodução do código fonte da página adulterada.

Estranhei a inserção do “Coinhive JavaScript” no topo do html. Passou-me a sensação de que o administrador do site governamental não poderia estar alheio ao comando acrescido.

Dessa impressão, todavia, não compartilha o desenvolvedor de Caxias do Sul, com quem conversei pelo Twitter. Para ele, se fosse voluntária, a inserção do script estaria “ofuscada” (sic) em meio ao código.

Na lista das páginas que mineram criptomoedas (https://docs.google.com/…/1ehxSVoK9sCDwwqQQ6NS07UpkBT…/edit…) encontrei, também, a do “Vestibular Fatec” (http://www.vestibularfatec.com.br). Este caso, entretanto, não despertou a atenção da imprensa.

reprodução do Twitter (@felipehoffa)

---------------------
P.S.

Vão aqui duas dicas para quem se interessar pelo assunto: o documentário da Netflix “Banking on Bitcoin” (em Português: “Banco ou Bitcoin”) e “Blockchain: Massively Simplified”, disponível no Youtube (https://www.youtube.com/watch?v=k53LUZxUF50). 

A busca domiciliar sem mandado judicial

Publicado no site de "Defenda PM" em 25 Set 2017.

O ciberataque mundial de 12/5/17

O ciberataque da última sexta-feira surpreendeu pela dimensão (99 países foram atingidos), pela significância de algumas de suas vítimas (Renault, Germany’s Rail Service, Deutsche Bank, Telefónica, Santander, etc.) e pela rapidez com que se expandiu pelas redes corporativas independentemente de ações inseguras dos usuários.

O ataque – do tipo ransomware – ficou restrito ao Windows e pode ter usado a ferramenta governamental de hacking conhecida como “EternalBlue”, que se tornou pública em abril deste ano no vazamento de registros da NSA (Agência de Segurança Nacional dos EUA).

Uma curiosidade do caso é que a ameaça foi neutralizada “por acidente”. O vírus continha uma espécie de “botão de destruição” para checar se estava sendo analisado ou rodava num ambiente computacional real. Ele se comunicava com um determinado endereço web não registrado (“iuq...gwea.com”) e recebia um padrão de resposta.  Um blogueiro do Reino Unido, de 22 anos, encontrou o domínio no código e decidiu registrá-lo, sem saber o que aconteceria. O registro alterou a comunicação com o software malicioso e interrompeu o ataque mundial. A história está no link abaixo (em Inglês).

É muito provável que os responsáveis pelo ataque alterem o código do vírus e em breve o acionem de novo.

Usuários domésticos devem atualizar seus sistemas operacionais e usar o bom senso para seguir links e abrir arquivos enviados por e-mails.

O ataque sem precedentes fará com que a Microsoft disponibilize patches de correção para versões antigas do Windows, inclusive o XP, que há algum tempo não recebia atualizações.

Nos ambientes corporativos, a atualização dos sistemas operacionais não é tarefa trivial e envolve diversos outros fatores além dos custos.

Link para Malwaretech

"The Guardian" questiona se os antivírus são necessários

Interessante artigo publicado este mês no "The Guardian" questiona o real valor dos programas antivírus.

Sustenta que esses programas foram essenciais quando os vírus de computador eram escritos por amadores. Hoje, segundo o articulista, tais ameaças são feitas profissionalmente e se espalham, especialmente, através de e-mails e sites, por atos inseguros dos próprios usuários.

Ao lado das ameaças que se destinam a coletar informações de valor, como dados de contas bancárias ou de cartões de crédito, aparece o ransomware, que criptografa arquivos pessoais – como informações financeiras, fotos, etc – e exige das vítimas algum pagamento (normalmente em bitcoins) para desbloqueá-los.

O Windows 10 incorpora uma grande variedade de recursos de segurança. Os novos navegadores são bastante seguros e as principais ameaças derivam de programas de terceiros, como o Oracle Java e os softwares da Adobe.

As seguintes estratégias são recomendadas para manter o sistema operacional seguro:

1) Executar o Windows 10 com suas defesas nativas (Windows Defender, Proteção em Tempo Real, Proteção Baseada na Nuvem, etc.);

2) Executar o Windows 10 como um usuário padrão (previne 90% das ameaças);

3) Manter os aplicativos atualizados;

4) Manter backups confiáveis dos dados pessoais;

5) Escanear o PC periodicamente em busca de ameaças (usando soluções como o MSRT);

6) Lembrar-se de que o Windows 10 oferece boas opções de atualização, restauração e recuperação do sistema operacional.

Fonte: https://www.theguardian.com/technology/askjack/2017/apr/13/how-should-i-protect-my-windows-pc-from-malware-and-viruses

Faça o backup dos dados antes de atualizar o iPhone e o iPad para o iOS 10.3.

A nova versão do iOS, sistema operacional da Apple, altera completamente o sistema de arquivos.

Ocorre que os formatos velho e o novo não serão compatíveis entre si. Se alguma coisa der errado durante a atualização (o que não se espera), é bem provável que haja perda de dados.

Por isso, antes de atualizar o seu dispositivo, faça o backup dos dados.

Para saber mais (em Inglês): ZDNET

Usando o Google Keep na Promotoria de Justiça

O Google Keep é um aplicativo multiplataforma simples e funcional. Uso-o no celular para adicionar notas, listas, fotos e áudio. Serve bem para o registro rápido de ideias e para lembrar de compromissos.

Apesar de simples, o app tem funcionalidades interessantes. Vai um exemplo: no meu último corte de cabelo, o barbeiro, que não tinha troco, ficou me devendo R$ 20,00. No dia em que eu voltar à barbearia, através da geolocalização, o aplicativo me lembrará de cobrá-lo.

O Google Keep tem se mostrado eficiente na Promotoria, especialmente para a organização do banco de julgados e teses.

Cada vez que me deparo com julgados interessantes, os copio e colo em uma nova nota. Dou um título a ela e adiciono um marcador (no caso #Jurisprudência) para facilitar a organização dos registros.

Faço o mesmo com as teses. Isso é muito útil porque, especialmente na atuação em face da Defensoria Pública, estas se repetem.

Prefiro usar o Keep ao Auto Texto (Partes Rápidas) do Word, pois naquele os textos ficam disponíveis em todos os meus dispositivos e podem ser compartilhados com o analista e estagiários. É muito mais fácil recuperar a informação, porque as notas podem ser localizadas por palavras-chave.

Na hora de colar teses e julgados na peça em elaboração, uso o “Colar Especial”. Fazendo assim, não perco a formatação.

O Google Keep possui integração com o Google Docs. É possível exportar as notas para um documento estruturado em tópicos, o que é útil para o compartilhamento com terceiros e o manuseio nas reuniões com a equipe.

ACESSO A DADOS DA AMAZON 

Echo é um dispositivo da Amazon concebido para servir como assistente pessoal. Atende como uma secretária, ao ser chamada pelo nome de Alexa, que interage com o usuário, conta piadas, toca música, reproduz audiobooks, controla as luzes, os interruptores e termostatos da casa. O gadget também responde a perguntas (como está o trânsito? como está o tempo?...), marca compromissos, chama o Uber e muito mais.

Alexa pode ter testemunhado o assassinato de Victor Collins, ocorrido em novembro de 2015, nos EUA.

A Amazon está resistindo aos esforços da Polícia e dos promotores de justiça para entregar o áudio que Alexa teria transmitido aos servidores da empresa na data do crime, invocando a Primeira Emenda e questões de privacidade.

Órgãos da justiça criminal de todo o mundo têm exigido “backdoors” (meio de acesso aos dados) das gigantes de tecnologia para a obtenção de informações contidas em apps e dispositivos criptografados, como WhatsApp, Facetime, iMessage etc. As corporações se opõe a isso alegando que “backdoors” criam vulnerabilidades nas plataformas e facilitam o acesso a hackers.

(reprodução de arstechnica.com)

INDISPONIBILIDADES DOS SISTEMAS SAJ E e-SAJ

1. A persistente instabilidade dos sistemas SAJ/e-SAJ sugere que o maciço investimento realizado pelo TJ/SP em desenvolvimento e infraestrutura não tem sido suficiente para contornar possíveis limitações tecnológicas da plataforma. 

2. Como usuário, tenho a impressão de que os problemas dos sistemas ocorrem justamente quando são feitas manutenções ou alterações para a incorporação de funcionalidades. Esse sintoma pode indicar que o código está sendo acrescentado sem controle ou está se tornando desorganizado (é só especulação). 

3. MP, Defensorias, Procuradorias do Estado e Advogados não integram os comitês gestores do SAJ/e-SAJ e nem sempre são atendidos nas demandas de usuários. Se não bastasse, a melhora da usabilidade dos portais não convém ao negócio, pois reduz o interesse dessas instituições pelos produtos de prateleira a elas destinados e que são comercializados pelo mesmo fabricante (mercadorias, entretanto, que não tem a mesma maturidade dos sistemas oferecidos ao Poder Judiciário).

4. Estima-se que haja 47 sistemas de processo eletrônico no país. Os principais são o e-SAJ, PROJUDI, PJe e o eThemis. O PROJUDI chegou a incorporar funcionalidades bastante interessantes para o MP e a Defensoria (editor de texto, modelo de documentos, separação “manifestação – ciência – alegações finais – oitiva – parecer”, etc) – confira no link: https://www.youtube.com/watch?v=n8ahnWvedzc – mas foi descontinuado quando o CNJ pretendeu instituir o PJe como um sistema único (Resolução nº 185, de 18/12/2013). 

5. O desafio de emplacar o PJe como sistema único, entretanto, é bastante grande. Há poucos recursos dedicados à evolução desse software (pequenas equipes no CNJ, TJDFT, TJMG e TSE). Nada que se compare ao orçamento do SAJ, que lhe assegura (ainda) a primazia em termos de solução para o processo eletrônico no Brasil. 

6. O Modelo Nacional de Interoperabilidade (atualmente na versão 2.2.2, publicada em 07/07/2014), que permite a adoção de soluções próprias pelos órgãos auxiliares da Justiça, precisa evoluir mais rápido. Suspeito que caberia ao Conselho Nacional do Ministério Público - CNMP empreender seus melhores esforços para estimular o debate nacional sobre o problema e definir funcionalidades essenciais e a estratégia para sua efetiva implementação.