Pular para o conteúdo principal

2023-10-21

Interceptação de tráfego criptografado na Hetzner e na Linode visando o serviço Jabber

  • O Jabber.ru, um serviço de mensagens XMPP, foi vítima de um ataque man-in-the-middle em que o invasor interceptou o tráfego criptografado por até 6 meses nos provedores de hospedagem Hetzner e Linode na Alemanha.
  • Apesar da natureza prolongada do ataque, não foram encontradas evidências de violações de servidor ou ataques de falsificação. No entanto, certificados TLS falsos foram explorados usando o Let's Encrypt para sequestrar conexões.
  • O ataque afetou principalmente as conexões com a porta STARTTLS 5222 do serviço XMPP. Suspeita-se que a interceptação tenha sido feita legalmente ou como resultado de uma invasão nas redes dos provedores de hospedagem.

Reações

  • O tópico do Hacker News discute a interceptação de tráfego criptografado em serviços de hospedagem voltados para o serviço de mensagens Jabber e aborda várias estratégias de atenuação, como autenticação adicional, monitoramento de certificados SSL/TLS, medições do RIPE Atlas e sistemas baseados em DLT.
  • A discussão explora o uso do DANE para autenticação de certificados e as limitações das autoridades de certificação (CAs). Outros tópicos incluem possíveis vulnerabilidades da infraestrutura SSL, o possível comprometimento da emissão de certificados SSL e a importância do DNSSEC, dos registros CAA e dos métodos de criptografia como PGP e OMEMO/OpenPGP.
  • O tópico debate a necessidade de vários certificados para o mesmo domínio, a confiabilidade dos certificados SSL, a possível interceptação legal e os desafios de garantir a segurança nos serviços de hospedagem.

O aniversário de dez anos do resgate do Healthcare.gov

  • Há uma década, uma equipe experiente chamada "tech surge", liderada por Todd Park, foi formada para resolver os problemas com o site HealthCare.gov que não funcionava.
  • A equipe, composta por pessoas de dentro e de fora do governo, analisou os desafios do site, incluindo, entre outros, código, testes, lançamentos e monitoramento.
  • Após intensas discussões e reuniões, eles instalaram com sucesso um sistema de monitoramento que revelou problemas críticos de desempenho, marcando o início de seus esforços contínuos para melhorar o site e permitir que milhões de pessoas se inscrevessem na cobertura de saúde.

Reações

  • As discussões estão centradas na reforma do sistema de saúde nos EUA, incluindo os problemas que ocorreram durante o desenvolvimento do Healthcare.gov, as influências políticas sobre o Affordable Care Act (ACA) e a competência do Medicaid.
  • Chama-se a atenção para questões como corrupção, compadrio, distribuição de fundos federais, pagamento insuficiente de funcionários federais e o envolvimento de empresas em projetos de TI relacionados à saúde.
  • Em geral, o discurso ressalta os intrincados desafios da reforma do sistema de saúde, enfatizando a necessidade de sistemas aprimorados e de intervenção política.

Policiais estão processando um adolescente por invasão de privacidade depois que o vídeo de uma falsa prisão se tornou viral

Reações

  • O texto abrange discussões sobre diversos tópicos relacionados à lei, incluindo comportamento policial, privacidade, difamação e procedimentos legais.
  • As principais questões examinadas incluem a eficácia das ordens de proteção, o papel da aplicação da lei, a influência da mídia social na responsabilidade, o comportamento dos policiais em comunidades menores, reivindicações de difamação e a autoridade dos agentes de fronteira.
  • Essa ampla gama de tópicos sugere uma exploração aprofundada da aplicação da lei e de tópicos jurídicos pertinentes à sociedade contemporânea.

Em busca do artigo menos visto na Wikipédia (2022)

  • A publicação do blog examina a pesquisa dos artigos menos visualizados na Wikipédia, sendo que muitos deles são sobre insetos e localizações geográficas obscuras.
  • Ele investiga as políticas e práticas da comunidade com relação ao conceito de notabilidade, o que levou à ausência de artigos sobre empresas ou bandas nas 500 páginas mais vistas.
  • Esses artigos menos vistos são importantes, pois oferecem uma base para futuros editores aprimorarem e desenvolverem.

Reações

  • A discussão destaca os desafios encontrados pelos editores da Wikipédia, como determinar a notabilidade de um assunto, lidar com as limitações da plataforma e gerenciar as exclusões.
  • Ele traz à tona a existência de preconceito de gênero e misoginia na plataforma, o preconceito nos critérios de notabilidade e outros desafios na contribuição.
  • Isso levanta preocupações sobre o impacto da Wikipédia nos resultados de pesquisa, além de questões relacionadas à precisão e confiabilidade das informações na plataforma.

Espaço Nakatomi

  • O artigo investiga os métodos espaciais exclusivos empregados pelos personagens de Duro de Matar para navegar pela arquitetura, traçando paralelos com as estratégias das Forças de Defesa de Israel usadas durante a invasão de Nablus.
  • Ele apresenta o conceito de "espaço Nakatomi", uma representação da navegação arquitetônica alterada em filmes como Duro de Matar, e considera uma implementação urbana mais ampla.
  • Além disso, explora vários conceitos arquitetônicos, como atravessar paredes, fluidez do espaço e violação do espaço privado, e contempla a dinâmica de poder e as implicações desses conceitos no cinema e na literatura.

Reações

  • A conversa no bldgblog.com abrange uma série de tópicos, como o impacto do planejamento urbano nas taxas de criminalidade e o déficit percebido na jogabilidade aberta dos videogames modernos.
  • A discussão também se estende ao aparente declínio da franquia James Bond e analisa a representação do romance nos filmes.
  • Os participantes da discussão contribuem com pontos de vista variados, recomendando jogos e filmes alternativos e aprofundando os aspectos multifacetados dos tópicos discutidos.

Comissário da UE como agente duplo de interferência estrangeira

  • Uma investigação recente revela que organizações afiliadas ao setor de tecnologia e serviços de segurança financiam uma campanha de apoio à regulamentação proposta pela UE para o "Controle de bate-papo", que visa combater o abuso sexual de crianças.
  • Essa regulamentação exige a verificação e a divulgação obrigatórias de mensagens privadas e fotos suspeitas pelos provedores de serviços. Patrick Breyer, um legislador do Parlamento da UE, critica o envolvimento da Comissária de Assuntos Internos da UE, Ylva Johansson.
  • Os defensores consideram a campanha como um impulso para a triagem indiscriminada de mensagens e fotos privadas, que eles consideram uma ameaça à privacidade digital e à criptografia. No momento, não existe uma lei desse tipo nos EUA.

Reações

  • A passagem destaca vários tópicos relacionados à UE, como acusações de corrupção e intervenção estrangeira, debates sobre soberania e críticas às regulamentações da UE.
  • Isso ressalta a preocupação com a integridade da UE e sua capacidade de proteger os direitos de privacidade, sugerindo um nível de ceticismo em relação às suas regulamentações e governança.
  • O texto também menciona debates sobre os prós e contras da intervenção e das regulamentações governamentais no contexto do capitalismo e do comunismo.

Eles podem e vão arruinar tudo o que você ama

  • O site de música Bandcamp, conhecido por seu apoio a artistas independentes, foi adquirido pela empresa de licenciamento de conteúdo e serviços Songtradr.
  • Essa aquisição gerou preocupações entre artistas e fãs, pois já foram anunciadas demissões que afetaram a equipe editorial e a equipe de vinil do Bandcamp.
  • A venda gerou incertezas sobre o futuro do Bandcamp e seu compromisso contínuo de apoiar artistas independentes, gerando temores de que a reputação do site como uma plataforma de música independente poderia ser comprometida sob a nova propriedade.

Reações

  • O discurso gira em torno da perda de emprego dos funcionários do Bandcamp, da importância do Bandcamp como plataforma de música e das preocupações com relação à sua aquisição pela Epic Games.
  • São realizadas discussões aprofundadas sobre as desvantagens das lojas de jogos digitais com fins lucrativos, a necessidade de entidades sem fins lucrativos cultivarem comunidades e a relação empregador-empregado.
  • Outros tópicos incluem o equilíbrio entre o valor do trabalho e do capital, questões de sustentabilidade para propriedades da Web, a preservação de conteúdo cultural por organizações como o Internet Archive, direitos de privacidade pessoal e o declínio de plataformas de mídia social como MySpace e Twitter.

Hackers roubaram tokens de acesso da unidade de suporte da Okta

  • A Okta, fornecedora de ferramentas de identidade empresarial, teve uma violação de segurança em sua unidade de suporte ao cliente, concedendo aos hackers acesso por aproximadamente duas semanas até ser contida.
  • A violação permitiu que os invasores visualizassem arquivos carregados por determinados clientes, o que poderia revelar dados confidenciais, como cookies e tokens de sessão.
  • Apesar de o incidente ter afetado um pequeno número de clientes, a Okta aconselha todos os clientes a limparem credenciais e tokens dentro dos arquivos antes de compartilhá-los e especula que um agente de ameaça conhecido provavelmente os tenha visado.

Reações

  • A Okta, um provedor de identidade centralizado, teve uma violação de segurança em que os hackers roubaram tokens de acesso de sua unidade de suporte, o que ocorreu depois que um funcionário fez o upload de dados confidenciais para a ferramenta de suporte da Okta.
  • Esse incidente gerou discussões sobre a integridade e a confiabilidade da Okta no gerenciamento de sistemas de TI importantes, a eficácia de seus protocolos de segurança e o contraste do debate contínuo entre sistemas locais e serviços de nuvem para autenticação.
  • Há uma necessidade enfatizada de implementar medidas de segurança robustas, manter uma vigilância proativa da segurança cibernética e considerar provedores de autenticação alternativos.

Progresso no CPython sem GIL

  • O conselho diretor do Python está considerando tornar o bloqueio global do interpretador (GIL), um mecanismo que impede que vários threads nativos executem bytecodes Python ao mesmo tempo, opcional em versões futuras do Python.
  • As discussões estão em andamento com relação à compatibilidade com extensões, propondo alterações na API e possíveis nomes para a versão não-GIL, com "free-threading" e "nogil" como sugestões. Eles também estão considerando a introdução de uma nova ABI (Application Binary Interface, Interface Binária de Aplicativo) denominada 'abi4'.
  • A aprovação final da Proposta de Aprimoramento Python (PEP) relacionada a essas alterações está pendente. O conselho diretor está definindo seus critérios de aceitação e discutindo o possível impacto na migração e na percepção.

Reações

  • A discussão é sobre vários aspectos da programação paralela em Python. Isso inclui a necessidade de um paralelismo mais explícito nos currículos universitários e a possível remoção do Global Interpreter Lock (GIL), um mecanismo que impede a execução simultânea de bytecodes Python por vários threads.
  • Os participantes têm opiniões diferentes, alguns promovem o código funcional sem efeitos colaterais, enquanto outros propõem abordagens alternativas, como máquinas virtuais (VMs) em sandbox e transferência de tarefas para bibliotecas.
  • Há preocupações com o desempenho de thread único do Python e com a transição do Python 2 para o 3, mas as possíveis repercussões e benefícios da remoção do GIL e do aprimoramento do paralelismo também são reconhecidos.

Mitigando o incidente de interceptação MitM do Hetzner/Linode XMPP.ru

  • O proprietário do jabber.ru e do xmpp.ru relatou um ataque man-in-the-middle, provavelmente originário da Alemanha, envolvendo a interceptação automática do tráfego e a emissão de um certificado não autorizado.
  • O relatório destaca as falhas na infraestrutura do Transport Layer Security (TLS) e propõe medidas de segurança aprimoradas, como o uso do Automatic Certificate Management Environment (ACME) - Certificate Authority Authorization (CAA) e Domain Name System Security Extensions (DNSSEC).
  • O artigo desaconselha a confiança em soluções de terceiros, defende a criptografia de ponta a ponta e questiona a eficácia das tecnologias de "computação confidencial" no fornecimento de segurança sólida.

Reações

  • Uma violação de segurança recente foi identificada envolvendo a interceptação do tráfego XMPP na rede Hetzner/Linode, visando especificamente a porta XMPP STARTTLS.
  • O ataque foi atenuado, mas expôs vulnerabilidades e destacou os riscos de segurança associados a data centers e possíveis comprometimentos da cadeia de suprimentos.
  • As discussões apresentavam as preocupações dos usuários sobre o uso da Cloudflare, com uma exploração de suas vantagens e desvantagens. XMPP é a sigla de Extensible Messaging and Presence Protocol, um protocolo de comunicação, e STARTTLS é uma maneira de usar uma conexão não criptografada e atualizá-la para uma conexão criptografada (TLS ou SSL).

["31M"? Segurança do terminal ANSI em 2023 e descoberta de 10 CVEs

  • O documento discute as vulnerabilidades e as possíveis cadeias de exploração presentes nos emuladores de terminal, com ênfase nas sequências de escape.
  • Ele identifica os riscos em emuladores de terminal populares e destaca a importância de implementar medidas adequadas de manuseio e atenuação contra essas vulnerabilidades.
  • O estudo também aponta para o desenvolvimento de uma ferramenta de teste para terminais e reconhece as contribuições de pesquisadores anteriores nesse campo.

Reações

  • O artigo destaca a importância da higienização de caracteres de controle em ferramentas baseadas em texto para reduzir os riscos de segurança, enfatizando os problemas em alguns sistemas de terminais.
  • Ele chama a atenção para as dificuldades e os desafios associados à emulação de terminal, especialmente devido à falta de padronização, propondo a necessidade de um novo protocolo de terminal de texto.
  • O conteúdo também abrange questões relacionadas a emuladores de terminal e sequências de controle, abordando o contexto histórico da tecla de escape, o uso de PostScript em programas Lisp e projetos associados.

F-Droid: Loja de aplicativos FOSS para Android

  • O F-Droid é um repositório de aplicativos de software livre e de código aberto (FOSS) para Android, oferecendo um cliente para facilitar a navegação, a instalação e a atualização em dispositivos.
  • A atualização mais recente introduziu novos aplicativos e recursos aprimorados, melhorando a usabilidade e a funcionalidade do F-Droid.
  • O F-Droid é uma organização sem fins lucrativos que depende de doações públicas para manter seus serviços e continuar fornecendo suas ofertas à comunidade Android.

Reações

  • O artigo explora o F-Droid, uma loja de aplicativos Android gratuitos e de código aberto. Clientes alternativos, incluindo Aurora Droid e Neo Store, são recomendados pelos usuários para melhorar a funcionalidade e a instalação de aplicativos.
  • A falta de estatísticas de uso do F-Droid, possíveis obstáculos na implementação e a lenta adição de novos softwares são discutidos no artigo. Os usuários recomendam adicionar repositórios extras para melhorar o acesso e mencionam o F-Droid Basic, uma versão do F-Droid.
  • Tanto os pontos positivos quanto os negativos do F-Droid são destacados pelos usuários, apontando que, enquanto alguns o adoram, outros criticam a plataforma por conter vários aplicativos que não são atualizados há anos.

Grades hexagonais (2013)

  • O guia detalha como criar e trabalhar com grades hexagonais, abrangendo vários sistemas de coordenadas, algoritmos e fórmulas com exemplos de código de programação.
  • Ele aborda o cálculo de distâncias, o desenho de linhas e a determinação de intervalos de movimento para grades hexagonais, além de algoritmos para lidar com obstáculos, armazenamento de mapas, mapas envolventes e localização de caminhos.
  • O autor recomenda recursos pertinentes, como a biblioteca GameLogic Grids no Unity, a biblioteca Hex-Grid Utilities, código de amostra, um artigo em PDF e código de geração de procedimentos para uso no site.

Reações

  • O artigo esclarece a Red Blob Games, uma página da Web que oferece recursos e guias para lidar com grades hexagonais.
  • Ele explica as diferenças entre hexágonos pontiagudos e planos, ajudando a entender seu uso na codificação.
  • A discussão aborda os sistemas de coordenadas e os prós e contras do uso de grades hexagonais no design de jogos.

Hospitais sem fins lucrativos economizam em caridade enquanto os CEOs ganham milhões, segundo relatório

  • Os hospitais sem fins lucrativos dos EUA estão sendo examinados por favorecerem a remuneração dos executivos em detrimento do fornecimento de atendimento de caridade para pacientes de baixa renda.
  • De acordo com um relatório do Comitê de Saúde, Educação, Trabalho e Pensões do Senado, muitos hospitais sem fins lucrativos gastam menos de 2% de sua receita em atendimento de caridade, enquanto os CEOs dos hospitais recebem salários multimilionários.
  • O relatório acusa os hospitais de praticar preços excessivos e violar suas obrigações sem fins lucrativos. A American Hospital Association, entretanto, protesta que o relatório ignora os benefícios que os hospitais oferecem à comunidade.

Reações

  • O relatório revela que os hospitais sem fins lucrativos são examinados por seu atendimento beneficente relativamente baixo, apesar dos altos salários dos CEOs, o que levanta questões de justiça em relação às organizações financiadas com recursos públicos.
  • Esse debate aborda os desafios do hospital no atendimento a pacientes do Medicaid e do Medicare, o impacto dos pagamentos do governo sobre os custos de saúde e as opiniões sobre a remuneração dos executivos, sugerindo a necessidade de abordar essa questão.
  • O relatório também discute a transparência em relação à natureza e às operações financeiras de organizações sem fins lucrativos, alegações de conluio, a necessidade de alterações nas leis de financiamento de campanhas e a importância da alocação de fundos hospitalares para atendimento de caridade.

Flappy Bird implementado em tipos TypeScript

  • O autor desenvolveu um jogo Flappy Bird 2D usando apenas anotações de tipo do TypeScript, demonstrando o potencial de aproveitar essas anotações fora do compilador do TypeScript.
  • O estado do jogo é atualizado com base nos princípios da programação funcional e da renderização por meio de um buffer de comando preenchido com comandos de desenho, demonstrando a proficiência técnica do projeto.
  • O tempo de execução, criado em Rust e Zig, emprega bytecode e a API de tela da Web para execução de jogos, com planos futuros de utilizar esse tempo de execução de TypeScript em nível de tipo como um verificador de tipo de alto desempenho e desenvolver uma linguagem específica de domínio (DSL) competente para criar esquemas.

Reações

  • O artigo explora a utilidade do sistema de tipos do TypeScript por meio de sua aplicação na implementação do jogo Flappy Bird, e faz referência ao uso do Ocaml na resolução de sudoku para fins de comparação.
  • Ele discute a força e a complexidade do sistema de tipos do TypeScript, sua capacidade de gerar interfaces complexas e os benefícios de um sistema de tipos avançado.
  • O artigo destaca a flexibilidade e as restrições do sistema de tipos do TypeScript e aborda as implicações da completude de Turing, um termo que descreve um sistema capaz de resolver qualquer problema de computação com tempo e recursos suficientes.