So suppose you've used a temporary PC/net/notebook to run TweetDeck
Now, you release such old machine, and do a favor to yourself changing your twitter account password (as you should do with all other "static" passwords like emails, websites, etc)
I've verified that TweetDeck 0.36.1 still logs in twitter account using the old password (I don't know how long this last, if it is a kind of a temporary threat, as I've tested immediately after changing password at website)
In order to stop the old machine from being able to login into your twitter account, YOU MUST:
1- login twitter website
2- go to settings > connections
3- go to TweetDeck then click over "revoke access" - DO NOT click "undo revoke access" under any circumstances
Only after that you'll see Twitter rejecting TweetDeck old password and requiring new credentials
Note that when using Twitter website the password change takes effect immediately, leading the user to believe his account is safe.
But the thing can be worst...
This happens not only with TweetDeck, but with ALL THE TWITTER CONNECTIONS like twitter for android, linkedin, etc - as far as I've verified.
(maybe this is a known issue as I still need to check)
Showing posts with label segurança. Show all posts
Showing posts with label segurança. Show all posts
Friday, December 17, 2010
Friday, April 23, 2010
Código Aberto, Segurança e o Google
Pois bem, aparentemente está compreendido como as contas dos ativitistas políticos chineses puderam ser invadidas. Os detalhes ainda não foram reconhecidos oficialmente pelo Google, mas vazaram no NYT. Um funcionário com acesso ao repositório das aplicações de core teria tido sua estação de trabalho infectada por um cavalo de Tróia, e o vetor propagador teria sido o MSN messenger. É o velho golpe do link contaminado, manjado há tempos mas ainda muito eficaz por fazer uso de técnicas psicológicas que apelam para um traço essencial da natureza humana, a curiosidade. Neste caso, bastou mirar no alvo certo.
Como o(s) cracker(s) tiveram acesso ao programa que controla o login simultâneo à diversos serviços do Google, puderam destrinchá-lo e descobrir falhas que não eram conhecidas nem pelos próprios arquitetos/programadores do Google. Esse é precisamente o ponto que vou explorar neste artigo: os invasores descobriram as falhas antes da corporação.
O Google é declaradamente uma empresa que fomenta as soluções baseadas em tecnologia de código aberto, basta constatar que baseia suas maiores apostas para o futuro (Android e ChromeOS) nos kernels do Linux.
Contudo, a "jóia da coroa", que foi roubada no incidente citado aqui, não é uma solução de código aberto. Ela pode até se basear em plataformas e linguagens abertas, mas a solução em sí é proprietária, tanto que o Google declarou que "houve roubo de propriedade intelectual" no incidente com os crackers chineses. O que é absolutamente compreensível do ponto de vista corporativo, afinal, quem em sã consciência tornaria público os detalhes da arquitetura do sistema que abriga a senha de seus usuários?
Meus caros, pois estamos diante de mais um paradigma à ser quebrado por esses novos tempos de tecnologia colaborativa. A principal vantagem das soluções abertas é dispor da maior estrutura de testes e validação de que se tem notícia na história da tecnologia. Qualquer um que conheça o processo de desenvolvimento de software sabe da importância desta etapa no ciclo. A imensa maioria dos membros de uma comunidade de desenvolvimento aberta não deseja fazer uso irresponsável da informação quando descobre uma falha, ao contrário, normalmente o que se observa é um esforço enorme para alertar os responsáveis e precipitar a solução do problema. Isso obriga os programadores e mantenedores da solução à remediá-las o mais rapidadamente possível, ao mesmo tempo em que informa os administradores do risco potencial à que estão expostos para que possam adotar soluções de contorno até que se tenha uma correção definitiva. Entenda-se que não existe realmente uma "solução definitiva" em termos de segurança em TI - existe na verdade um processo de evolução constante. Tampouco é correto afirmar que conhecendo-se os detalhes de uma arquitetura de segurança seja possível quebrá-la. O "elo fraco" desta corrente será sempre muito mais provavelmente o caráter humano, como nos mostra o incidente em questão.
Ainda que seja uma das empresas mais inovadoras do mundo, neste caso, o Google fez o que o senso comum esperava, e adotou uma solução proprietária de controle de acesso. Não se pode dizer que foi um erro estratégico, afinal seus próprios arquitetos/programadores poderiam ter identificado préviamente as falhas que foram identificadas pelos invasores. Mas haja recurso para simular internamente o poder de teste das comunidades de desenvolvimento abertas.
Como o(s) cracker(s) tiveram acesso ao programa que controla o login simultâneo à diversos serviços do Google, puderam destrinchá-lo e descobrir falhas que não eram conhecidas nem pelos próprios arquitetos/programadores do Google. Esse é precisamente o ponto que vou explorar neste artigo: os invasores descobriram as falhas antes da corporação.
O Google é declaradamente uma empresa que fomenta as soluções baseadas em tecnologia de código aberto, basta constatar que baseia suas maiores apostas para o futuro (Android e ChromeOS) nos kernels do Linux.
Contudo, a "jóia da coroa", que foi roubada no incidente citado aqui, não é uma solução de código aberto. Ela pode até se basear em plataformas e linguagens abertas, mas a solução em sí é proprietária, tanto que o Google declarou que "houve roubo de propriedade intelectual" no incidente com os crackers chineses. O que é absolutamente compreensível do ponto de vista corporativo, afinal, quem em sã consciência tornaria público os detalhes da arquitetura do sistema que abriga a senha de seus usuários?
Meus caros, pois estamos diante de mais um paradigma à ser quebrado por esses novos tempos de tecnologia colaborativa. A principal vantagem das soluções abertas é dispor da maior estrutura de testes e validação de que se tem notícia na história da tecnologia. Qualquer um que conheça o processo de desenvolvimento de software sabe da importância desta etapa no ciclo. A imensa maioria dos membros de uma comunidade de desenvolvimento aberta não deseja fazer uso irresponsável da informação quando descobre uma falha, ao contrário, normalmente o que se observa é um esforço enorme para alertar os responsáveis e precipitar a solução do problema. Isso obriga os programadores e mantenedores da solução à remediá-las o mais rapidadamente possível, ao mesmo tempo em que informa os administradores do risco potencial à que estão expostos para que possam adotar soluções de contorno até que se tenha uma correção definitiva. Entenda-se que não existe realmente uma "solução definitiva" em termos de segurança em TI - existe na verdade um processo de evolução constante. Tampouco é correto afirmar que conhecendo-se os detalhes de uma arquitetura de segurança seja possível quebrá-la. O "elo fraco" desta corrente será sempre muito mais provavelmente o caráter humano, como nos mostra o incidente em questão.
Ainda que seja uma das empresas mais inovadoras do mundo, neste caso, o Google fez o que o senso comum esperava, e adotou uma solução proprietária de controle de acesso. Não se pode dizer que foi um erro estratégico, afinal seus próprios arquitetos/programadores poderiam ter identificado préviamente as falhas que foram identificadas pelos invasores. Mas haja recurso para simular internamente o poder de teste das comunidades de desenvolvimento abertas.
Subscribe to:
Posts (Atom)