Pesquisador de segurança afirma ter encontrado uma falha no Skype a qual permitiria  a injeção de XSS ( Cross Site Scripting). Será? Vamos descobrir ^^

A porta-voz do Skype discorda, e afirmou em   um email ao site TheRegister, que tal falha não existe, e que o pesquisador se equivocou.

O que fora dito pelo pesquisador é que os campos, telefone móvel, casa, e cidade, estariam vulneráveis a ataques XSS. O mesmo diz ter realizado teste e disponibilizou algumas imagens do resultado do teste. O pesquisador ainda afirmou que atacantes poderiam utilizar destas falhas para inserir código maliciosos que levassem  os usuários a sites maliciosos, ou até mesmo se infectarem por algum tipo de WORM (verme em inglês).

Veja abaixo a imagem tida como prova da existência da falha:

Em resposta a porta-voz do Skype enviou um e-mail ao TheRegister (site de noticias) com o seguinte conteúdo:

Eu queria te dizer, que isso não é verdade o que ele disse, porque as entradas na (casa, escritório e telefone celular e até mesmo na “cidade”) são incorporados através de HTML “.

.

Como bom “fuçador” que sou, logo que fiquei sabendo da possível vulnerabilidade tratei logo de tentar reproduzir a falha na minha maquina, e pelo que vi a porta-voz tem razão. Pois dos campos citados pelo pesquisador nenhum deles reproduz o efeito do código para refletir no XSS.

E como  prova do que estou falando tirei algumas snapshots do meu Slype onde “reproduzi” com os mesmos códigos utilizados pelo pesquisador em questão.

Vejam:

Alguns campos até aceitam entradas em HTML (como a porta-voz tinha dito) mas não reproduzem o html, e no campo tel.celular, não é aceito/incorporado de forma alguma o código em HTML. Prestem atenção na imagem que disponibilizei, e vão ver que o campo tel.celular não aceitou o código que tentei inserir.

Tendo isso como base, não quero aqui dizer que o pesquisador esta errado, mas creio que ele deveria ter mais cautela antes de tomar partido de uma noticia tão forte, para um programa amplamente utilizado. Até por uma questão de zelo com sua imagem.

Tempos atrás, ou melhor em julho foi descoberta uma  falha semelhante a esta que o pesquisador “disse ter encontrado”. Porém em julho havia realmente um buraco no Skype que permitia a um atacante inserir códigos maliciosos do tipo Cross Site Scripiting.

E logo que foi descoberta, a equipe do Skype resolveu o problema. Para encerrar  essa postagem peço que se tiverem alguma dúvida sobre o tema abordado neste post, comente que irei responder.

Baixe  a versão full do instalador e seja feliz

Muita gente passa pela mesma situação que eu, precisa instalar o Chrome em um pc que não tenha no momento conexão com a internet.

Seja porque esta formatando ou qualquer outro motivo, e a Google não deixa claro quanto a existência de um link para download completo do instalador.

Porém fiz uma pesquisa e encontrei o link para o download completo do instalador, o qual elimina a instalação online -padrão- no Google Chrome.

O link é:
http://www.google.com/chrome/eula.html?standalone=1

Você vai entrar na mesma pagina do download online, porém ao clicar em Aceitar e instalar vai surgir outra pagina e lá esta a opção para o download do executável completo.

Veja a ilustração abaixo:

Após o download basta executar o instalador

Se você leva a sério sobre sua privacidade online e segurança do PC, você vai saber que as funções de hash são ferramentas importantes para validar a autenticidade e a integridade de um arquivo. Digamos que, quando você baixar um arquivo da internet, você nunca sabe, se o arquivo de origem é o arquivo que você tem realmente recebido, são exatamente iguais. Há chances de que algum malware foi anexado a ele.

As funções de hash são um meio para validar a autenticidade dos arquivos baixados.

Vejamos o que a Wikipédia fala sobre o Hash:
Um hash é uma sequência de bits geradas por um algoritmo de dispersão, em geral representada em base hexadecimal, que permite a visualização em letras e números (0 a 9 e A a F), representando 1/2 byte cada. O conceito teórico diz que “hash é a transformação de uma grande quantidade de informações em uma pequena quantidade de informações”.

Essa sequência busca identificar um arquivo ou informação unicamente. Por exemplo, uma mensagem de correio eletrônico, uma senha, uma chave criptográfica ou mesmo um arquivo. É um método para transformar dados de tal forma que o resultado seja (quase) exclusivo. Além disso, funções usadas em criptografia garantem que não é possível a partir de um valor de hash retornar à informação original.

Como a sequência do hash é limitada, muitas vezes não passando de 512 bits, existem colisões (sequências iguais para dados diferentes). Quanto maior for a dificuldade de se criar colisões intencionais, melhor é o algoritmo.

Portanto é sempre recomendável que você verifique se o Hash de um determinado arquivo que você baixou conferi com o arquivo legitmo ou se trata de um malware. Para isto existem ferramentas gratuitas que facilitam o trabalho.

São elas a HashTab e a HashMyFiles

HashTab:

HashTab fornece extensões do SO para calcular hashes de arquivo. HashTab suporta vários algoritmos de hash como MD5, SHA1, SHA2, RIPEMD, HAVAL e Whirlpool. HashTab é suportado como uma extensão de shell do Windows. A  HashTab fornece uma maneira fácil de verificar a integridade e autenticidade do arquivo.

Download

HashMyFiles:

HashMyFiles é um utilitário pequeno que lhe permite calcular o MD5 e SHA1 de um ou mais arquivos em seu sistema. Você pode facilmente copiar a lista de hashes MD5/SHA1 na pasta, ou salvá-las em texto / arquivo de html / xml.

Download

Nos dias atuais não podemos apenas deixar de lado o que as crianças e adolescentes fazem e vêem durante o uso do computador. É preciso ter limites e saber controlar o acesso a determinados conteúdos é fundamental.

Lembrando que a internet é uma ‘ faca de dois gumes’ pois se por um lado ela ajuda na educação e informação. Ela também serve para pessoas mal intencionadas aliciarem crianças e jovens em bate-papos e redes sociais.

Pensando nisto a Microsoft lançou um aplicativo gratuito que controla toda atividade que seu filho executa a frente do computador. Trata-se do Windows Live Proteção para Familia. Com este filtro instalado no computador você pai  ou mãe, passa a controlar o que seus filhos estão fazendo na internet.

O que o aplicativo lhe proporciona:

• Relatórios de atividade.
• Escolha jogos, sites, e programas que seu filho pode ou não utilizar.
• Define períodos limite de uso, onde você pode limitar o tempo de acesso do seu filho na internet.

• Definir contatos confiáveis com os quais seu filho poderá se comunicar pelo Messenger.

O aplicativo está disponível em português e sua instalação e configuração são simples.

Para mais informações e download visite o site do Windows Live Proteção para Familia

Saiba como proteger seus dados de logins em sites como Twitter, Facebook e outros.

Na semana passada muito foi falado sobre um add-on (Firesheep) que possibilita o sequestro de logins e senhas de usuários que utilizam redes sem fio –Wi-Fi – porém no dia 28, um jovem universitário da Islândia desenvolveu  uma solução.

Um jovem islandês criou um programa chamado FireShepherd que inunda o trafego de informações na rede sem fio anulando a ação do Firesheep, pois o programa emite uma sequência de caracteres o que congestiona a rede periodicamente. O que torna inviável o uso do firesheep.

Lembrando que o FireShepherd é uma solução voltada para usuários que tem vários computadores em rede. Para usuários domésticos existe outras soluções como o HTTPS Everywhere que é um plugin o qual encripta e protege seus dados.

Download: Firesheepherd

Licensa:  Freeware

Para este tipo de tarefa existem algumas opções porém vou tratar aqui daquela que julgo ser a melhor, add-on Youtube to MP3.

Extraia as músicas presentes em vídeos de sites como Youtube e outros de maneira rápida e fácil. E o melhor gratuitamente.

Estou falando do add-on YouTube to MP3 que inserir um link na pagina do vídeo para você realizar a conversão do vídeo em áudio no formato *.mp3 em poucos instantes.

A conversão também pode ser feita diretamente no site do Video2mp3 que esta disponível em PT-br  http://www.video2mp3.net/pt-br/ o site também oferece add-on para o navegador Chrome, além do Firefox.

Bom é isto espero que tenham gostado

A mudança é parte do que Mozilla chama de uma atualização de sua Security Bug Bounty Program, que foi lançado em 2004.

“Muita coisa mudou em seis anos desde que  o programa Mozilla foi anunciado, e nós acreditamos que uma das melhores maneiras para manter a segurança de nossos usuários é torná-lo economicamente sustentável para os investigadores de segurança, para fazer a coisa certa ao divulgar informações”, escreveu Lucas Adamski, diretor de engenharia de segurança, em um blog.

A Mozilla também ampliou o valor da recompensa, que continuará a aplicar-se o Firefox e o cliente de email Thunderbird, e também para o navegador Firefox móvel e outros serviços.

“Estes são produtos que têm, tradicionalmente nos temos pagado prêmios, de qualquer maneira, mas nós quisemos fazer isso explícito”, escreveu Adamski.

Mozilla pode negar uma recompensa para um pesquisador, no entanto, se a organização considera a pessoa agiu de má fé para com os usuários,disse  Adamski.

Outras partes do programa serão mantidas, no entanto. Uma recompensa ainda vai ser pago mesmo que um pesquisador tenha publicado informações sobre as vulnerabilidade ou se o pesquisador não tem tempo para trabalhar em estreita colaboração com a equipe de segurança da Mozilla.

Agora ficou mais fácil baixar vídeos no Google Chrome, basta usar o plugin Chrome youtube downloader.

Com o crescimento de usuários que adotaram o Chrome surge também cada vez mais a necessidade de novos complementos, e a comunidade Chromium não tem deixado a desejar, já se pode encontrar vários add-on’s para o Chrome e com diversas funcionalidades.

O uso desse complemento é muito simples após ter ele instalado, basta acessar a pagina do vídeo que você quer baixar, e vai surgir na tela algumas opções de download como mostra imagem abaixo:

O complemento é compatível com a versão atual do chrome ou superior, então se você é maníaco por vídeos e gosta de baixá-los diretamente para seu computador esse é o complemento que te faltava.

Download: Chrome YouTube Downloader

Licença: Freeware

Tutorial atualizado em 17 de Julho de 2011

Estou sempre atualizando o tutorial, sempre que você perceber que o plugin parou de funcionar me informe por comentários que providencio outro.

Bom hoje vou dar uma dica de um Add-on para sua segurança, é que com a chegada do twitter e outros microblogs o uso de url’s encurtadas como a bit.ly e tinyurl são constante e é difícil saber o que esta por traz dessas url’s.

Além de oferecer risco a segurança de seu computador, pois usuários com má intenção podem usar do serviço encurtador de url’s para esconder uma url maliciosa e contaminar seu PC com vírus, isso é mais comum do que se imagina.
E a cada dia surge um novo site encurtando essas url’s o que torna ainda mais difícil a tarefa de descobrir o que se esconde por traz delas.

Pois bem navegando na net e conversando com alguns amigos encontramos um site que ajuda você internauta a descobrir a verdadeira url, é e o melhor de graça:aaa:. Pois bem para descobrir qual é a verdadeira url acesse o site http://untiny.me/ lá você encontra um campo para colar a url que esta encurtada, cole a url lá em seguida clique em Extract em segundos a verdadeira url será mostrada a você como mostra a imagem abaixo:

Simples,fácil e rápido.
Ainda tem a possibilidade de instalar um Add-on no seu Firefox para não precisar ficar visitando o site sempre.

Para instalar o add-on visite o site http://untiny.me/ clique na Aba Add-on em seguida clique em UntiniFox na próxima pagina clique em download será baixado um arquivo .XPI ao fim do download arraste o arquivo para dentro do navegador e solte, em seguida o Firefox vai te perguntar se você quer instalar, aceite e prossiga, ao final reinicio o navegador e pronto assim que você abrir o navegador vai ver este ícone – - na sua barra do Firefox.

Agora veja como vai funcionar o UntinyFox:

Com o UntinyFox:

Sem o UntinyFox:

Como podem ver funciona e deixa você seguro para clicar nos links sem medo de ali estar escondido um vírus.

É isso mesmo que você leu, licença gratuita do Everest e não é versão domonstrativa, é versão completa, sem pagar nada e o melhor de forma legal.
Para quem não conhece Everest é o programa mais utilizado em informática para saber tudo que se passa com seu hardware – parte física do computador – neste seguimento ele é considerado o melhor.

Aqui está como você pode obter a versão completa do Everest Ultimate Edition 100% legal e genuíno, basta seguir as orientações abaixo:

Primeiro baixe o Everest Ultimate Edition em seguida acesse o site Pro.de

O site não esta em português porém o formulário é simples, e eu vou dar uma forcinha pra te ajudar.

No campo Anrede se você for homem deixe Herr, se for mulher altere para Frau
Em seguida preencha os campos seguindo esta ordem:

Vorname = Primeiro nome

Nachname = Último nome

E-mail para onde será enviado um e-mail de validação clique no link(livre de malware) e logo você receberá outro e-mail com a licença.

Feito isto instale  o Everest e quando solicitado insira a licença que lhe foi dado.
Aviso: a licença só vale para um PC.