Todas as coisas mais interessantes do mundo da segurança cibernética /** com meus comentários
1) Em breve O WhatsApp terá um recurso que os usuários esperam há anos: a capacidade de criar apelidos exclusivos em vez de exibir seu número de celular.
O novo sistema de identificação permitirá que você se comunique sem abrir o celular no início ou durante o diálogo.
A inovação é focada principalmente na privacidade. Agora, se alguém iniciar uma conversa sem primeiro trocar contatos, verá apenas seu apelido, não seu número. Isso complicará seriamente o acesso de interlocutores intrusivos e fraudadores a informações pessoais e canais de comunicação.
/** Bem, estamos esperando pelo Android também. Em geral, é bom que o WhatsApp esteja gradualmente tentando alcançar outros mensageiros, inclusive em segurança.
2) O GigaChat será integrado ao sistema operacional Astra Linux.
Na conferência da Indústria Digital da Rússia Industrial (CIPR) em Nizhny Novgorod, o Sberbank e o Astra Group concluíram memorando sobre a cooperação estratégica no desenvolvimento de tecnologias de inteligência artificial.
A principal área de cooperação é a integração do modelo de rede neural GigaChat da Sber para o sistema operacional Astra Linux. Isso possibilitará o desenvolvimento de assistentes inteligentes, a melhoria da experiência do usuário e a expansão da funcionalidade do software doméstico para cidadãos e empresas em um único ambiente confiável baseado no sistema operacional russo e na rede neural.
/** Para mim, essa notícia passou por todas as etapas da aceitação, só que a primeira etapa não foi a raiva, mas a ironia. Bem, inesperadamente, de alguma forma, não é comum ou algo assim. Em geral, essas parcerias são muito necessárias. Nós, como país, podemos nos dar ao luxo de ficar atrás dos EUA e da China em UX/UI, mas em termos de inteligência artificial e seu uso, um atraso significativo não pode ser permitido!
3) Na sessão plenária da mesma conferência CIPR Primeiro-ministro da Federação Russa, Mikhail Mishustin Ditoque as soluções informáticas russas criadas a partir do zero e que não dependem de produtos internacionais do domínio público devem ter prioridade nos contratos públicos.
Ele ressaltou que, ao incluir o software russo no registro, os chamados aplicativos e soluções nativas que são desenvolvidos do zero e não dependem de nada devem ser rotulados separadamente. “Quero dizer, de produtos internacionais, que, entre outras coisas, são de domínio público”, disse o chefe de governo. Tais decisões, segundo ele, devem ser uma prioridade nas compras públicas.
Mas essa notícia estava no estágio da ironia, e permaneceu nisso) Bem, como comentar sobre isso? Então as linguagens de desenvolvimento também devem ser levadas em consideração, para que sejam “do zero” domésticas… E o fato de que o suporte e o desenvolvimento de tal software serão ordens de magnitude mais caros do que o construído usando Open Source e, o mais importante, não haverá segurança de tal software? Ah bem. Tenho certeza de que as palavras de Mishustin foram tiradas do contexto. Ele é muito inteligente e avançado com a chamada TI.
4) O Ministério da Transformação Digital apoiou a ideia de instalar o sistema operacional russo em novos computadores e laptops: Astra Linux, Alt ou Red OS.
No início, eles querem colocar o sistema operacional russo além do Windows, mas depois podem expulsar completamente o software estrangeiro, como Putin exigiu.
/** Que plano astuto… Afinal, dois problemas são resolvidos ao mesmo tempo: substituição de importações e demografia. Você pode imaginar com que frequência “você pode vir e instalar o Windows para mim?” começará a soar depois que essa iniciativa for implementada? Engenhosamente.
5) Esquerda o primeiro lançamento de um novo projeto OWASP sobre vulnerabilidades de lógica de negócios.
A parte superior é construída analisando vulnerabilidades 2023-2025 com um grande modelo de linguagem.
/** Na verdade, aqui está o TOP:
Tudo o que a OWASP produz deve ser estudado com muito cuidado.
6) Meta* e Yandex Usado Uma tecnologia de rastreamento oculta que vincula as atividades de navegação dos usuários às suas contas Android.
O Facebook*, Instagram* e vários aplicativos nativos do Yandex (incluindo Maps e Yandex Browser) ouviram as portas fixas do localhost em dispositivos Android para recuperar dados de scripts da web incorporados em milhões de sites.
Esses scripts JavaScript — Meta* Pixel e Yandex.Metrica — são executados em um navegador móvel e estabelecem uma conexão com o aplicativoções por meio de soquetes localhost. Eles transmitem metadados, cookies e comandos, incluindo identificadores de dispositivo, como o Android Advertising ID (AAID).
Isso me permitiu anonimizar os usuários associando seu comportamento de navegação às contas.
/** Terrível, é claro. Conforme escrito no próprio artigo, após seu lançamento e a reação violenta do público em 3 de junho, tanto o Meta* quanto o Yandex corrigiram seus scripts e não fazem mais isso. A propósito, essa prática funciona para o Yandex desde 2017.
Vale ressaltar o fato de que as grandes empresas (telecomunicações, bancos, plataformas de Internet) sabem muito, se não tudo, sobre nós. E será muito bom se tudo se limitar à segmentação de publicidade.
* Meta (Facebook e Instagram) é reconhecida como extremista e suas atividades são proibidas na Federação Russa.
7) Buraco crítico no Auth0 PHP SDK: um cookie é suficiente para invadir o site.
Se você usa o Auth0 PHP SDK para autorizar usuários por meio de redes sociais ou contas corporativas, verifique urgentemente a versão. Pesquisadores relataram uma vulnerabilidade crítica que permite que um invasor execute código arbitrário em um servidor simplesmente enviando cookies. A vulnerabilidade recebeu o identificador CVE-2025-48951 e uma pontuação CVSS muito alta de 9,3.
Você está em risco se usar as versões auth0/auth0-php de 8.0.0-BETA3 a 8.3.0 ou wrappers de terceiros baseados nela:
-
auth0/symfony
-
auth0/laravel-auth0
-
auth0/wordpress
/** Mantenha-se atualizado. Todos os patches já foram lançados.
8) Microsoft É programa gratuito de segurança cibernética da UE para governos.
A Microsoft anunciou um novo Programa de Segurança Europeu que promete fortalecer a segurança cibernética dos governos europeus.
O programa expande o Programa de Segurança Governamental existente da Microsoft, que é gratuito para todos os países da União Europeia, incluindo estados candidatos, membros da Associação Europeia de Livre Comércio (EFTA), Reino Unido, Mônaco e Vaticano.
A gigante da tecnologia observou que o programa visa principalmente prevenir ataques de atores apoiados pelo Estado na Rússia, Irã, China e Coreia do Norte, que intensificaram suas operações contra a UE.
/** Lembrei-me de um meme:
Li esta notícia e o sorriso não saiu do meu rosto. Como a Microsoft (americanos) é atenciosa. Tudo é gratuito e imediato para todos os governos europeus! Um milagre, apenas um milagre dos criadores de todos os spywares tecnologicamente mais avançados do mundo! Europa, concorde imediatamente, o que há para pensar?
Tenha uma semana segura!
Inscreva-se no meu Telegrama!
Semana anterior < semana Sec News
