Início Site Página 676

Certificados Digitais: HTTPS não é sinónimo de total segurança!

Imagine um cenário em que para se identificar os membros de uma família bastaria um Bilhete de Identidade (ou Cartão de Cidadão) para cada grupo etário. Ou seja, em média, numa família teríamos 3 Bilhetes de Identidade: o das Crianças – com os dados de todas as crianças, o dos Jovens – com os dados de todos os jovens, e o dos Adultos – com os dados de todos os adultos. Seria um documento estranho, mas bastaria estar lá o nome do membro e ele teria o direito de receber uma cópia e usá-la. Agora, acrescente o detalhe de que os Bilhetes de Identidade possuiriam uma Chave que daria acesso a zonas da casa de acordo com o grau de maturidade do grupo etário. Por exemplo, uma criança teria acesso ao quarto de brincar, mas não ao escritório aonde se encontra o cofre das jóias. Com esse cenário em mente, concordaria que seria perigoso se uma criança tivesse os seus dados no Bilhete de Identidade dos adultos, recebesse a sua cópia e, por descuido e imaturidade, a deixasse cair nas mãos de um bandido?

Pois é, assim também podem funcionar os Certificados Digitais, no seu duplo papel de garantir a Identidade de um Sujeito (ou grupo de sujeitos) e a Distribuição da sua Chave Criptográfica, exigindo por essa razão um tratamento seguro para se evitar dissabores. Caso tenha concordado com a questão no final da analogia, então poderá compreender a minha inquietação ao ver os detalhes do Certificado Digital de um dos portais web de uma proeminente instituição angolana.

Em resumo, o próprio Certificado Digital, apesar de válido e funcional, representava um Risco à Segurança. Nos detalhes, a lista de SANs (Subject Alternative Name – nomes alternativos do sujeito) continha não só os dados dos portais web do ambiente de Produção (PRD = Adultos), como também dos ambientes de Homologação (HML = Jovens) e Desenvolvimento (DEV = Crianças), num total de 23 portais web. Esse facto representava as seguintes vulnerabilidades: (1) a divulgação dos ambientes de desenvolvimento adoptados pela instituição; (2) a fácil enumeração (colecta de informação) sobre os outros activos tecnológicos; (3) a exposição de activos tecnológicos com políticas de segurança menos rigorosas (HML e DEV); e por último, sendo o mais crítico, (4) a reutilização do mesmo Par de Chaves Criptográficas do ambiente de Produção nos outros ambientes (HML e DEV) – acção que foi confirmada a sua ocorrência conforme demonstrado mais abaixo.

Bilhete de Identidade dos adultos com dados de jovens e crianças.

Antes de avançar para os detalhes, vale relembrar que no caso das ligações HTTPS (“com o cadeado no navegador”), os Certificados Digitais têm dois propósitos: conferir credibilidade à identidade do servidor e difundir a sua Chave Pública que será sempre usada no processo de estabelecimento do canal de comunicação seguro entre o servidor e os seus visitantes. Essa chave pública tem o seu par, a Chave Privada, que deve permanecer protegida no servidor e ser manipulada com segurança respeitando os princípios, políticas e procedimentos da Gestão de Chaves [Criptográficas] (Key Management) para que nunca seja comprometida enquanto ainda estiver dentro do seu tempo de uso (criptoperíodo).

Assim, considerando os princípios da Gestão de Chaves [Criptográficas] e o pilar da Confidencialidade, apesar de estarmos perante um certificado SSL/TLS fidedigno do tipo Wildcard, daqueles que permitem a protecção de um domínio e de todos os seus subdomínios (*.meusite.com), uma observação minuciosa revelou os seguintes aspectos:

1. Divulgação dos Ambientes de Desenvolvimento

Apesar de aparentemente inofensivo, a divulgação de detalhes sobre os ambientes de desenvolvimento definidos pela organização pode ser usada durante a fase preparatória de um ataque. A expectativa da existência de uma vasta superfície de ataque poderá alimentar o empenho de um potencial agente malicioso.

2. Enumeração (colecta de informação) dos activos

A lista de SAN é também um elemento usado na primeira fase de um ataque cibernético: a enumeração ou colecta de informação. Nessa fase, o agente malicioso colecta o maior número de informações sobre a potencial vítima para traçar a sua estratégia inicial de ataque.

3. Exposição de activos com políticas de segurança pouco rigorosas

Pela natureza das acções realizadas nos Ambientes de Teste e Homologação, é esperado que estejam activas configurações úteis para os desenvolvedores, como o debuggin e a exibição de mensagens de erros sem tratamento. O problema surgirá se um agente malicioso tiver acesso a esses ambientes e aproveitar-se das potenciais vulnerabilidades, tal como a de Divulgação de Informação (Information Disclosure), para aplicar os métodos e ferramentas de intrusão mais eficazes no ambiente alvo.

Por esse motivo, o nível de exposição desses ambientes deve ser reduzido ao mínimo necessário para viabilizar o negócio, salvaguardando sempre a segurança.

4. Reutilização do Par de Chaves Criptográficas entre ambientes

Apesar de ter sido possível identificar a existência de outros dois certificados dedicados aos respectivos Ambientes de Teste e Homologação, o que reforça o facto da instituição seguir o princípio da segregação de ambientes, foi possível identificar em 3 ocasiões o uso do Certificado do ambiente de Produção no ambiente de Homologação, ou seja, 3 jovens receberam e puderam usar o Bilhete de Identidade de adulto porque os seus dados lá constavam por descuido.

Tendo em conta o rigor exigido na actividade de Gestão de Chaves [Criptográficas], esse facto já representava um incidente de segurança que culminaria com a Revogação da Chave e respectivo Certificado por comprometimento, sendo necessária a geração do novo par de chaves e certificado e a devida substituição para a continuidade do negócio.

A entidade foi notificada e prontamente deu início ao tratamento da ocorrência. A principal recomendação de resolução passou pela geração do novo Par de Chaves Criptográficas e emissão do novo Certificado Digital, retirando os SANs desnecessários, principalmente os dos 12 portais web dos ambientes de Homologação e Desenvolvimento.

HTTPS não é sinónimo de total segurança!

O HTTPS não é uma super capa protectora! Devemos estar conscientes que poderão existir várias pontas soltas, inclusive no próprio Certificado Digital, que poderão ser exploradas pelos malfeitores. Sem que os outros procedimentos e controlos de segurança sejam garantidos e se realizem testes periódicos, todo o esforço dedicado à segurança poderá ser anulado.

Adicionalmente, as equipas técnicas deverão sempre garantir o rigor e segurança na Gestão de Chaves [Criptográficas] principalmente se estiverem a actuar em indústrias mais exigentes como a Financeira, Telecomunicações e Defesa e Segurança. Mesmo que recorram a Certification Authorities (CA) externas ou façam a gestão de uma PKI (Public Key Infrastructure) interna, deverá sempre existir um racional quando estiverem a lidar com a Gestão de Certificados Digitais.

Huawei reúne estudantes do ensino superior em Angola para cimeira de Talentos e Inovação

A Huawei e o Ministério do Ensino Superior, Ciência, Tecnologia e Inovação realizaram sexta-feira, 27 de Novembro, conjuntamente o Talent and Technology Innovation Summit 2020. O evento visa promover uma maior importância e participação no desenvolvimento de talentos e transmitir o investimento e a estratégia da Huawei na criação de talentos.

A Conferência contou com a Ministra do Ensino Superior, Ciência, Tecnologia e Inovação, Dra. Maria do Rosário Bragança, o Secretário de Estado das Comunicações, Tecnologias de Informação e Comunicações Sociais, Eng. Mário Oliveira, e o Secretário de Estado da Administração Pública, Trabalho e Segurança Social Dr. António Francisco Afonso, O Vice Presidente Global da Huawei Technologies Co., Ltd – Sr. Hou Tao e o CEO da Huawei Angola – Sr. Edric Chu (Chu Xiaoxin), participaram e fizeram discursos. Um total de 130 pessoas de ministérios, universidades, operadoras e empresas relacionadas, professores e alunos foram convidados para o evento.

Durante a sua apresentação a Ministra do Ensino Superior, Ciência, Tecnologia e Inovação, Maria do Rosário Bragança, fez saber que “esta é uma das principais atividades desde a assinatura do memorando de entendimento com a Huawei”.

“Confiamos na Huawei para fornecer as capacidades e o apoio necessários para o desenvolvimento de talentos em Angola. Até 2022, treinaremos mais de 40 PhDs para apoiar o desenvolvimento de empresas de alta tecnologia como a Huawei”, reforçou a governante.

Por sua vez, o Secretário de estado das Telecomunicações, Tecnologia da Informação, Mário Oliveira adiantou que “o desenvolvimento de talentos é fundamental para o desenvolvimento de nações e países”. “A Huawei é um parceiro com o qual podemos contar. A Huawei está sempre pronta para nos ajudar e nos surpreender em termos de tecnologias de ponta e actividades sociais responsáveis. No evento Sementes para o Futuro 2020, também vi o compromisso da Huawei com o desenvolvimento e determinação de talentos”, exemplificou o responsável.

Na mesma senda, o Secretário de Estado da Administração Pública, Trabalho e Segurança Social, António Francisco Afonso, frisou que o desenvolvimento de talentos requer a colaboração de várias partes, razão pela qual trabalhamos em estreita colaboração com a Huawei. “A Huawei é a empresa de TIC mais importante em Angola e tem feito um excelente trabalho na descoberta e construção de um melhor ecossistema para talentos em Angola. Continuaremos a trabalhar com a Huawei para fornecer treinamento para mais talentos angolanos com base em várias academias de ICT da Huawei, como o CINFOTEC”, revelou o dirigente.

Já o Vice Presidente Global da Huawei Technologies Co. Ltd, Sr. Hou Tao vincou que o talento é a força motriz do desenvolvimento das TIC, por isso, nos últimos 30 anos, a Huawei tem feito muitos esforços no desenvolvimento de talentos em TIC, desenvolveu padrões globais de certificação de talentos em TIC, implementou o programa Seeds for the Future e construiu uma plataforma e um ecossistema de desenvolvimento de talentos em TIC. “Embora o ambiente externo em 2020 esteja mudando e desafiando, ainda alcançamos um crescimento de 9,9% do primeiro ao terceiro trimestre. Gostaria de agradecer aos clientes angolanos o apoio prestado. Espero que esta atividade ajude a promover o cultivo de talentos e a inovação em Angola”, observou.

O CEO da Huawei Angola – Sr. Edric Chu (Chu Xiaoxin) assumiu que a Huawei Angola está comprometida em servir os clientes, aumentar o investimento local e criar valor para a sociedade.

“Acreditamos que o desenvolvimento de talentos é fundamental. Por iniciativa da TECH4ALL, iremos fortalecer a cooperação com universidades locais em áreas como a Huawei ICT Certification, Huawei ICT Academy, Huawei ICT Competition e Huawei ICT Job Fair para acelerar o desenvolvimento de talentos TIC e inovação tecnológica em Angola”, conclui o líder da companhia em Angola.

Twitter vai avisar quando utilizadores clicarem em “gostar” numa publicação falsa

O Twitter passará a alertar os utilizadores quando estes tentam ‘curtir’ uma publicação que contenha informações consideradas incorretas, medida que faz parte da esforço da empresa para combater a desinformação.

A empresa lançou novos rótulos para conteúdo enganoso e começou a mostrar um aviso quando os utilizadores tentam retuitar esses tweets falsos. Agora a rede social adiciona mais uma arma ao seu arsenal – um novo alerta para quando as pessoas tentarem “gostar” de uma publicação rotulada como enganosa.

O Twitter disse que era “vital” que a empresa fornecesse contexto adicional sobre porquê os tweets rotulados eram enganosos, nomeadamente de tweets sobre a eleição nos Estados Unidos ou sobre a COVID-19.

De acordo com a rede social, os avisos que mostram quando as pessoas tentam citar tweets enganosos ajudaram a diminuir a disseminação de informações falsas em 29%,  a empresa espera aumentar esses números com o novo alerta. A actualização está a ser lançada para iOS e a web, Os utilizadores do Android terão que esperar mais alguns dias.

Esta mudança surge após a divulgação de um estudo, no qual foi revelado que os ‘tweets’ polémicos de Trump desviavam a cobertura dos media sobre tópicos potencialmente prejudiciais para o Presidente.

Togo faz parceria com a Nokia para implementação da rede 5G

A Nokia anunciou nesta segunda-feira que foi selecionada pela operadora móvel africana, Togocom, num contrato de três anos para implementar a rede 5G em todo território do Togo. O acordo, que também prevê redes 2G, 3G e 4G herdadas, fortalecerá a posição de liderança da operadora togolesa e vai preparar a sua infraestrutura para a próxima geração de serviços digitais para cidadãos togoleses.O acordo prevê que a Nokia forneça equipamentos do seu abrangente portfólio AirScale, incluindo estações-base AirScale, enormes soluções de antena adaptativa MIMO da AirScale que permitem à Togocom fornecer experiências com a rede 5G, conectividade e capacidade ultrabaixa. Isso suporta a crescente demanda por serviços de dados dos assinantes da Togocom.

A Nokia também vai fornecer a sua solução AirScale Micro Remote Radio Head (RRH) para atender à demanda por capacidade e cobertura confiável em ambientes internos e externos. A Togocom também implementa a solução de data center Nokia AirFrame para oferecer suporte a aplicativos baseados em nuvem necessários para futuras redes.

Paulin Alazard, CEO da Togocom, disse:  “A tecnologia da Nokia nos ajuda a modernizar a nossa rede nacional existente e nos permite oferecer aos assinantes acesso aos serviços 5G de ponta. Estamos orgulhosos de ser o primeiro país da África Ocidental a oferecer a incrível conectividade 5G, que é uma virada de jogo no apoio aos cidadãos togoleses com uma gama de novos serviços e oportunidades. ”

A Nokia pretende ainda oferecer uma implantação digital, design de rede, optimização e serviços de suporte técnico, o que permitirá que a Togocom se beneficie de um lançamento de rede mais rápido e garanta que os requisitos de qualidade e confiabilidade do assinante sejam atendidos.

Pierre Chaume, vice-presidente da África do Norte e Ocidental da Nokia, disse:  “Estamos muito satisfeitos em continuar a nossa parceria de longa data e bem-sucedida com a Togocom, apoiando-a em se tornar a primeira operadora móvel na África Ocidental a fornecer serviços 5G comerciais aos seus assinantes . A Togocom tem planos ambiciosos para 5G e estamos orgulhosos de nossa colaboração com a operadora para trazer conectividade incrível para os seus clientes à medida que entramos na era 5G. ”

A Nokia é parceira de longa data da Togocom e já forneceu equipamentos para as suas redes 3G e 4G. A Togocom é a líder togolesa no mercado de telecomunicações atendendo todo o país.

UNITEL realiza ciclo de conferências online sobre Internet das Coisas

A UNITEL vai realizar nos dias 3 e 4 de Dezembro, o Ciclo de Conferências Online sobre Internet das Coisas ( Internet of Things – IOT). O certame visa consciencializar a sociedade, relativamente aos benefícios da IOT para o desenvolvimento socioeconómico de Angola e dar um primeiro passo na perspectiva da criação de um plano nacional, nesta matéria.

A Internet das Coisas, também conhecida pelo acrónimo IoT, compreende todos os aparelhos e objectos que se encontram habilitados a estarem permanentemente ligados à Internet, sendo capazes de se indentificar na rede e de comunicar entre si.

A UNITEL pretende juntar nesta conferência, empresários, profissionais de IT e Telecomunicações, entidades públicas, académicos (docentes e discentes), investigadores, empreendedores e interessados, para que no debate de questões possam eleger soluções inovadoras para o ecossistema digital angolano.

Em abordagem vão estar em destaque os temas: O panorama actual da IOT a nível mundial; Benefícios económicos da IOT para África e Angola; Caminhos para a criação de uma Estratégia Nacional de IOT; IOT na prática; Principais desafios na implementação de projectos; Ameaças e Cenários de Segurança em projectos de IOT e O papel das Startups na dinamização de soluções de IOT.

No âmbito da 4ª revolução industrial ou indústria 4.0, países como Angola devem identificar sectores chaves, onde a IOT pode servir como instrumento de aceleração do desenvolvimento socioeconómico, por meio do aumento da produtividade e competitividade da economia, fortalecimento das cadeias produtivas nacionais, proporcionado desta forma uma melhoria na qualidade de vida da população.

A conferência será realizada com o suporte da TECH21 ÁFRICA, instituição nacional que tem como missão impulsionar a inserção de Angola na 4ª revolução Industrial, actuando como um catalisador na criação de sinergias entre a sociedade civil, sector público, sector privado e académico.

O evento ocorrerá no formato virtual, pela plataforma Zoom, sendo que para participar deve-se efectuar confirmação através do link de inscrição aqui

Lenovo anuncia o novo ThinkPad P15s

A Lenovo anunciou o seu novo computador portátil- o ThinkPad P15s, que traz uma junção perfeita de potência e desempenho, com um design fino e um peso de apenas 1,75 kg, combina os mais recentes processadores Intel Core i7 vPro de 10ª geração e a placa gráfica profissional NVIDIA Quadro.

O novo ThinkPad P15s tem um Intel Core i7-10610U de quatro núcleos, um processador idêntico ao popular Core i7-10510U, que se diferencia apenas pela inclusão das funcionalidades adicionais da tecnologia vPro. O computador tem ainda 16 GB de memória DDR4 a 3200 MHz, uma unidade SSD NVMe de 1 TB e uma placa gráfica dedicada Nvidia Quadro P520 com 2 GB de memória dedicada.

Perfeito para trabalhar em movimento, com uma duração da bateria de até 15 horas, a mais recente workstation móvel, é a solução ideal para que os designers, engenheiros e estudantes sejam criativos a qualquer hora e em qualquer lugar.

Com um processador, que oferece características de segurança adicionais, como camadas de segurança para os seus dados (por hardware), melhor suporte remoto quando associado a uma infra-estrutura com gestão centralizada, entre outras funcionalidades, este ThinkPad P15s inclui ainda a tecnologia de encriptação dTPM, leitor de impressões digitais e câmara HD com infravermelhos.

Com um impressionante ecrã até 4K Ultra HD (3840×2160) de 39,62 cm (15,6″), IPS com tecnologia HDR (high dynamic range) Dolby Vision, o ThinkPad P15s permite desfrutar de maior luminosidade, maior contraste, maiores detalhes e cores super vibrantes graças a 100% da gama cromática Adobe.

Chromecast agora com Google TV e comando.

O ChromeCast, o pequeno dispositivo da Google que permite a transmissão de conteúdos para a TV, a partir de smartphones, computadores e outros dispositivos ganhou uma nova versão.

O dongle, anunciado em Setembro, conta com um design arredondado e ligação à TV por HDMI tal como os seus antecessores, mas agora com Google TV, o Chromecast deixa de ser totalmente dependente de outros equipamentos.

Baseado na Android TV, o sistema operativo promete melhorar a experiência do utilizador, tornando possível o acesso a diversas aplicações de streaming, através do próprio dispositivo. O comando, além de botões dedicados para o YouTubeNetflix e Google Assistant, traz um microfone integrado para comandos de voz.

O novo Chromecast já está disponível nos Estados Unidos por 49$. A boa notícia é que há lojas online em Angola que vendem “Giftcards” em kwanzas, permitindo a compra directa em sites nos Estados Unidos.

Veja descrição oficial da Google TV:

Conheça os países africanos mais atingidos por fraude móvel

De acordo com a empresa de segurança cibernética Evina, o Quénia, a África do Sul e os Camarões são considerados os três principais pontos de acesso para o ataque móvel móveis. Esses países africanos enfrentam transações de faturamento baseadas em telemóveis suspeitas de 51%, 30% e 10%, respectivamente.

Os criminosos estão a impactar a sustentabilidade de longo prazo das indústrias de publicidade digital e pagamentos móveis, em particular, e a perpetrar milhares de tentativas de fraude baseadas em dispositivos móveis diariamente.

David Lotfi, CEO da Evina, avança que a população jovem de África, na sua maioria sem conta bancária, e o continente possui cerca de 900 milhões de contas de dinheiro móvel, é particularmente atingida por criminosos profissionais de todo o mundo, que juntos custam à África cerca de 4 bilhões dólares todos os anos.

O ataque móvel acontence por duas formas principais: clickjacking, em que um criminoso intercepta um clique legítimo e, sem saber, direciona o usuário a um site com dados financeiros confidenciais e outros podem ser roubados e aplicativos maliciosos que procuram fazer o mesmo.

Embora a incorporação de malware em aplicativos maliciosos possa ser uma técnica fraudulenta mais refinada, o clickjacking é um tipo muito básico de fraude que existe há pelo menos cinco anos e quase sempre foi erradicado em grandes partes do mundo móvel.

“A fraude móvel é um obstáculo viável a ser superado e realmente não há desculpa para o facto de que uma em cada três tentativas de assinaturas móveis na África do Sul, por exemplo, é fraudulenta. Os criminosos que continuam a roubar a riqueza de África podem ser derrotados com as ferramentas certas que já usamos para proteger milhões de transações móveis todos os dias ”, acrescenta Lotfi.

Lojas que aderiram a Black Friday em Angola | Edição 2020

Por regra no mês de Novembro é quando temos a famosa “Black Friday” em vários países. Há alguns anos, as empresas em Angola deram início a essa conhecida prática de super descontos.

Para o ano de 2020, apesar da situação pandémica (COVID-19) que o mundo vive, as lojas angolanas que comercializam alguns produtos tecnológicos, não deixaram de aderir mais uma vez a campanha.

Lojas ou empresas que aderiram a Black Friday

Dentre as que anunciaram a Black Friday, a única que fora deste segmento de “Lojas” é a Jobartis, que está a oferecer 50%  no serviço de publicação de oferta de emprego. Poderão existir mais lojas de vendas de artigos tecnológicos que aderiram a Black Friday, a Menos Fios fará a actualização.

Angola terá centros de deteção de crimes cibernéticos

Em 2018 o pais começou a constatar uma nova postura no que concerne aos crimes cibernéticos, tendo em conta que na época, abordava-se que o novo código penal aprovado agora aprovado em 2020 contém normas para combater crimes cometidos nas Redes Sociais.

Passados praticamente dois anos, nota-se claramente o investimento do país em matérias ligadas aos crimes cibernético, a nova medida tomada em causa pelos Serviços de Inteligência e Segurança de Estado (SINSE) acabam por dar essa garantia.

A informação sobre a criação do referido centro, foi anunciada pelo Director dos Serviços de Inteligência e Segurança de Estado (SINSE), Fernando Garcia Miala, no âmbito da apreciação, na especialidade, da proposta de Lei do OGE para 2021, durante o encontro com os deputados da 2ª Comissão de Trabalho da Assembleia Nacional, que também reuniu nesta quarta-feira com os Serviços de Inteligência Externa e os Serviços de Informação Militar.

Além da criação de centros modernos para detetar crimes cibernéticos, Fernando Garcia Miala avançou que para o Orçamento Geral do Estado do próximo ano, o SINSE vai priorizar as despesas com pessoal, a aquisição de meios tecnológicos de trabalho, a formação e a capacitação dos agentes de inteligência.

Por seu turno, o Director Geral dos Serviços de Inteligência Externa (SIE), José Luís Caetano de Sousa, garantiu que, “Prevenir as ameaças de terrorismo externas através da informação dos nossos oficiais de inteligência, destacados nas diversas embaixadas, com meios tecnológicos para o efeito também consta das nossas prioridades para o próximo orçamento”.

Portanto acredita-se que o órgão de inteligência do país, investirá fortemente em matérias relacionadas a crimes cibernéticos não só fora de Angola, mas também localmente, para mitigar as situações que tem acontecido.