Pular para o conteúdo principal

2023-09-08

Exploração de dia zero e clique zero do iPhone do grupo NSO capturada na natureza

  • A Apple lançou uma atualização para corrigir uma vulnerabilidade de clique zero descoberta pelo Citizen Lab, que foi aproveitada para implantar o spyware Pegasus do NSO Group.
  • A cadeia de exploração, conhecida como BLASTPASS, pode comprometer iPhones que estejam executando a versão mais recente do iOS sem a interação da vítima. Em resposta, a Apple emitiu dois CVEs (Common Vulnerabilities and Exposures), identificadores de riscos de segurança conhecidos publicamente.
  • Recomenda-se que os usuários atualizem seus dispositivos e ativem o Modo de Bloqueio, o que pode bloquear esse ataque. Esse incidente ressalta o direcionamento das organizações da sociedade civil e a necessidade de seu apoio à segurança cibernética.

Reações

  • A discussão gira em torno do NSO Group, uma empresa israelense de segurança cibernética, criticada por vender exploits zero-click e zero-day para iPhones, com a preocupação de que Estados autoritários usem seu software para monitorar e reprimir ativistas e jornalistas.
  • São considerados assuntos como as limitações do Modo de Bloqueio da Apple, a segurança do iMessage, a eficácia das medidas de segurança e a necessidade de proteções mais fortes para lidar com as vulnerabilidades, incluindo as possíveis ramificações do bloqueio de região do iPhone.
  • O debate inclui sugestões para reforçar a segurança, como fuzzing, uso de linguagens seguras para a memória (como Rust), superação de limitações de sandboxing e a importância de considerações éticas e medidas regulatórias no setor de segurança cibernética.

O Chrome agora rastreia usuários e compartilha uma lista de "tópicos" com anunciantes

  • O Google introduziu uma nova plataforma de anúncios no Chrome chamada "Privacy Sandbox", que monitora a atividade do usuário para personalizar uma lista de tópicos de publicidade para sites.
  • Embora o Google afirme que essa é uma alternativa necessária aos cookies de rastreamento de terceiros - planejando bloqueá-los até o final de 2024 -, os críticos sugerem que se imagine um mundo sem anúncios direcionados.
  • Os usuários do Chrome podem controlar esse recurso por meio das configurações do navegador, oferecendo algum grau de controle sobre o processo.

Reações

  • O discurso abrange vários tópicos relacionados a navegadores da Web, como questões de privacidade, práticas de rastreamento, efeitos sobre a concorrência, introdução de novos recursos e anúncios, desempenho do navegador e a necessidade de regulamentações mais rígidas.
  • A conversa se estende a possíveis alternativas aos navegadores convencionais, como o Google Chrome, bots em sites, a troca entre segurança e facilidade de uso, cadeias de agentes de usuário e o tratamento dado pelo Google aos dados do usuário.
  • Essas discussões ressaltam os debates e as preocupações predominantes sobre os navegadores da Web e a privacidade do usuário.

Kagi Small Web

  • A Kagi, uma plataforma de pesquisa na Web, lançou o Kagi Small Web, uma iniciativa inovadora com foco no aumento da visibilidade da "Small Web", descrita como o segmento não comercial da Internet.
  • Esse novo serviço coleta dados novos de blogs escolhidos a dedo, exibe-os em seus resultados de pesquisa e também oferece um feed RSS. Ele é de código aberto e inclui uma lista especialmente selecionada de quase 6.000 sites verificados. O objetivo do Kagi Small Web é proporcionar uma experiência de pesquisa mais pessoal, destacar aspectos menos conhecidos da Web e enfatizar a importância da Small Web.
  • A Kagi também revelou o site Kagi Small Web, uma plataforma que opera sem JavaScript para permitir interações do usuário, como apreciação de publicações e anotações. Os usuários podem acessar o Kagi Small Web por meio de um feed RSS ou API e fornecer feedback ou contribuir por meio de várias plataformas.

Reações

  • O Kagi, um mecanismo de pesquisa menor da Web, introduziu um novo recurso, o "Small Web", que exibe explicitamente o conteúdo de blogs e sites independentes.
  • Embora o Kagi seja aplaudido por sua interface de usuário amigável, dedicação à privacidade e valor, há algumas críticas em relação à incorporação de links para plataformas centralizadas, como o Twitter, o que levou a sugestões de substitutos como o Mastodon ou opções de software livre federado.
  • Apesar das incertezas sobre a escalabilidade e os modelos de negócios, há um sentimento geral de entusiasmo e endosso à nova iniciativa da Kagi.

Mullvad em Tailscale: Navegar na web de forma privada

  • A Mullvad, um serviço de VPN (Virtual Private Network) voltado para a privacidade, formou uma parceria com a Tailscale para oferecer aos clientes da Tailscale o uso dos servidores VPN da Mullvad. Essa parceria aumenta a privacidade e a segurança do usuário durante a navegação na Web.
  • O Tailscale, que cria um ambiente de Internet privado, atua como uma camada de coordenação entre os dispositivos e a borda da rede da Mullvad, garantindo criptografia e privacidade de ponta a ponta.
  • Embora a Tailscale conheça as identidades dos usuários, ela não compartilha informações pessoais com a Mullvad, enfatizando ainda mais a privacidade. Essa parceria permite vários usos dos nós de saída da Mullvad com a Tailscale.

Reações

  • O tema central do artigo gira em torno de redes privadas virtuais (VPNs) e proxies da Web, destacando seus possíveis riscos e diferentes perspectivas sobre seu uso.
  • Ele inclui um foco detalhado na integração do Tailscale e do Mullvad, dois serviços de VPN, discutindo seus benefícios e limitações.
  • Há uma ênfase na privacidade, em questões de censura e no uso de VPNs para acessar conteúdo restrito na Internet.

Campanha norte-coreana direcionada a pesquisadores de segurança

  • O Grupo de Análise de Ameaças do Google fornece uma atualização sobre uma campanha norte-coreana direcionada a pesquisadores de segurança que se concentram em pesquisa e desenvolvimento de vulnerabilidades.
  • Os agentes apoiados pelo governo usam explorações de dia zero, estabelecem relacionamento com seus alvos por meio da mídia social e, em seguida, enviam arquivos mal-intencionados usando plataformas de mensagens criptografadas.
  • O grupo criou uma ferramenta para Windows capaz de baixar e executar códigos não especificados a partir de um domínio controlado por um invasor. No momento, o Google está tomando medidas para proteger seus usuários e divulgar os resultados na comunidade de segurança.

Reações

  • Hackers norte-coreanos têm atacado pesquisadores de segurança com códigos maliciosos via GitHub, levantando preocupações sobre a segurança do uso de código-fonte aberto.
  • As discussões se aprofundam em possíveis ameaças, incluindo mantenedores comprometidos, o uso indevido de estrelas do GitHub e questões relacionadas à atribuição de ataques cibernéticos à Coreia do Norte.
  • A conversa também explora o treinamento, as táticas de recrutamento e as condições de vida dos hackers norte-coreanos, provocando debates sobre a credibilidade dos relatórios de inteligência de segurança e os riscos que esses hackers apresentam.

A Microsoft assumirá a responsabilidade pelos riscos legais de direitos autorais do Copilot

  • O novo Compromisso de Direitos Autorais do Copilot da Microsoft defende os clientes de ações judiciais sobre violação de direitos autorais relacionadas ao uso dos serviços do Copilot da Microsoft ou de seus resultados gerados.
  • O compromisso se aplica às versões pagas dos serviços do Copilot e exige que os clientes usem filtros de conteúdo e se abstenham de gerar qualquer material infrator.
  • A medida da Microsoft visa apoiar seus clientes, assumir a responsabilidade por quaisquer problemas legais decorrentes do uso de seus produtos e garantir a promoção de metas de IA, respeito aos direitos autorais, concorrência e inovação.

Reações

  • A Microsoft se comprometeu a arcar com quaisquer riscos de direitos autorais relativos à sua ferramenta de IA Copilot em meio a preocupações dos usuários sobre possíveis violações de direitos autorais e o impacto no repositório de código mais amplo.
  • Há um debate contínuo sobre a legalidade e o uso justo da IA generativa na criação de conteúdo, com foco especial em sua interseção com a lei de direitos autorais e a necessidade de esclarecimento legal.
  • Também surgiram discussões sobre a responsabilidade relacionada ao uso do Copilot e o quanto o compromisso da Microsoft é realmente aplicável. O discurso contém opiniões divergentes, com algumas pessoas questionando a possibilidade de copiar determinados trechos de código e outras enfatizando o respeito à propriedade intelectual.

A Tailscale fez uma parceria com a Mullvad

  • A Tailscale firmou uma colaboração com a Mullvad VPN, permitindo que seus clientes utilizem os dois serviços em conjunto.
  • Essa parceria permite que os clientes da Tailscale acessem seus dispositivos por meio da rede mesh da Tailscale e enviem conexões de saída por meio dos servidores WireGuard da Mullvad VPN.
  • A colaboração oferece aos usuários um grau mais alto de funcionalidade e versatilidade.

Reações

  • A Tailscale entrou em uma colaboração com a Mullvad, uma empresa estabelecida na área de segurança e privacidade da Internet.
  • Os detalhes específicos dessa parceria e o que ela pode implicar ainda não foram divulgados.

Web textual: TUIs para a Web

  • O Textual Web é um projeto que converte aplicativos de terminal compatíveis com o Textual em aplicativos da Web, eliminando a necessidade de configurações de firewall e porta.
  • Ele simplifica o compartilhamento de aplicativos por meio de URLs, tornando o desenvolvimento de aplicativos Web mais acessível para desenvolvedores Python que não têm experiência em desenvolvimento Web.
  • As futuras atualizações visam incorporar APIs adicionais da plataforma Web e suporte para a criação de aplicativos de terminal, Web e desktop a partir da mesma base de código. No momento, o projeto Textual Web está em versão beta pública.

Reações

  • O artigo explora o conceito de interfaces textuais do usuário (TUIs) e como ele se compara às interfaces gráficas do usuário (GUIs), lançando luz sobre sua possível coexistência.
  • Ele destaca algumas ferramentas, como o AutoCAD e o Emacs, que oferecem opções de TUI e GUI, indicando a flexibilidade no design da interface do usuário.
  • O aplicativo Textual, uma estrutura de desenvolvimento de TUI para Python, é apresentado, e as experiências e opiniões de alguns usuários sobre o Textual são apresentadas, fornecendo um aplicativo real e uma reação às TUIs.

O Mojo está disponível para download local

  • O Mojo, uma linguagem de programação de alto desempenho feita sob medida para desenvolvedores de IA, já está pronto para download local. Ela se integra ao Python, permitindo o uso do conjunto completo de recursos do Mojo, incluindo recursos de compilador e ferramentas de IDE.
  • O Mojo Software Development Kit (SDK) oferece ferramentas como o Mojo Driver, uma extensão do Visual Studio Code e a integração com o Jupyter. Ele permite que os desenvolvedores aproveitem o desempenho do Python e acessem o ecossistema Python de uma maneira perfeita.
  • Os planos futuros para o Mojo incluem o fornecimento aberto de algumas partes da linguagem para desenvolvimento e aprimoramento adicionais.

Reações

  • A conversa se concentra no Mojo, uma linguagem de programação, com preocupações relacionadas ao seu modelo de licenciamento, à natureza de código fechado e ao futuro incerto do código aberto.
  • Os usuários relutam em investir tempo no Mojo devido ao seu aspecto de código fechado e à incerteza sobre a abertura dos criadores.
  • As opiniões estão divididas quanto ao estilo de sintaxe, ao desempenho e à eficácia do Mojo em comparação com o Python para tarefas de programação e aprendizado de máquina.

Grindr perde quase metade de sua equipe devido à exigência de RTO de dois dias

  • O aplicativo de namoro LGBTQ, Grindr, testemunhou a demissão de cerca de 45% de sua força de trabalho depois de ter aplicado uma política rígida de retorno ao escritório em meio a planos de sindicalização.
  • A política da Grindr exigia que os funcionários trabalhassem presencialmente dois dias por semana ou corriam o risco de serem demitidos.
  • Consequentemente, aproximadamente 80 dos 178 funcionários tiveram que se demitir por discordarem da nova estratégia da empresa.

Reações

  • Este resumo discute algumas questões, como cortes de pessoal no Grindr e alegações de tratamento inadequado de funcionários e possíveis ameaças à segurança.
  • Ele observa a alegação de Elon Musk de que a receita de publicidade do Twitter diminuiu devido à Liga Anti-Difamação (ADL) e ao Centro de Combate ao Ódio Digital (CCDH).
  • O resumo também se aprofunda na discussão sobre as despesas incorridas no gerenciamento de uma empresa de software, a distinção de negócios como empresas de software e sua capacidade de se adaptar às exigências do mercado por meio de assinaturas de software.