Entenda o modelo de negócios que ajudou a Xiaomi a ganhar o título de Apple Chinesa. Empresa anuncia amanhã quais smartphones venderá no Brasil

A fabricante de smartphones chinesa Xiaomi fez sua fama ao conseguir vender smartphones semelhantes ao iPhone cobrando apenas um terço do preço dos produtos da Apple. O segredo? Usar a internet como plataforma de vendas e enxugar os custos, mantendo o preço dos seus telefones para o consumidor pouco acima do que ela gasta para produzi-los.

A companhia chinesa, que com menos de cinco anos de vida consegue derrubar gigantes como Apple e Samsung no território chinês, aponta seu modelo de negócios como a principal razão para vender aparelhos de última tecnologia a preços bem inferiores aos de seus maiores concorrentes. O modelo de negócio da Xiaomi evita encargos financeiros quando deixa de lado práticas de marketing e de distribuição tradicionais. E é na Internet que a gigante concentra combustível para suas vendas.  

Desde o início do ano, quando anunciou sua vinda para o Brasil , a “Apple Chinesa” não confirmou quais smartphones pretende vender por aqui e muito menos divulgou o preço. O anúncio oficial será realizado nesta terça-feira (30/06) durante evento em São Paulo, onde fica o escritório local da empresa, cujo nome quer dizer "pequeno grão de arroz". Além do Brasil, os planos de expansão da Xiaomi incluem também México e Rússia. 

Responsável pela expansão internacional da marca, o brasileiro Hugo Barra (ex-Google) confirma em um vídeo publicado na página do Facebook Xiaomi Brasil, que o modelo de vendas no Brasil será o mesmo usado na China e Índia: a Internet. 

 “Uma das características únicas da Xiaomi é que somos uma empresa de internet, uma empresa de comércio eletrônico. E o comércio eletrônico é o nosso principal canal de vendas pelo mundo. No Brasil não vai ser diferente e o e-commerce será nosso principal, porém não único, canal de vendas no país inteiro”, afirmou Barra.

Por que a Xiaomi consegue vender tão barato?

Quando a Xiaomi revelou seu primeiro Mi 1 em agosto de 2011, a atenção se voltou para o preço do aparelho. Consumidores conseguiam comprar então um smartphone de última tecnologia por 1,999 yuan, na época o equivalente a US$324.

Era uma grande barganha comparada a telefones similares da época, caso do iPhone 4, cujo valor inicial era de 4,999 yuan. E a Xiaomi conseguiu manter seu preço para o telefone carro-chefe da companhia, além de ter lançado uma linha de produtos – a Hongmi - telefones mais populares a preços mais populares ainda, com preço inicial de 699 yuan. 

Mas mesmo que a Xiaomi mantenha preços baixos para seus telefones, ela ainda consegue lucrar com suas vendas. Claro. No caso do Mi 3, o dispositivo teria custo de fabricação de US$ 157 , de acordo com a Fomalhaut Techno Solutions. "Acredito que eles estejam lucrando, no mínimo, 100 dólares por unidade com o Mi 3", estimou na época de lançamento do telefone, Minatake Kashio, diretor da Fomalhaut, contabilizando nesse valor já os custos de distribuição da Xiaomi.

Diferente de suas concorrentes, a empresa não investe em publicidade tradicional. Ela não tem uma grande rede de lojas físicas que exigiria uma grande equipe para mantê-las. Ao invés disso, ela cortou tais custos e vende a maior parte de seus telefones diretamente aos seus clientes por meio do e-commerce.

Além de dirigir sua própria loja online, a Xiaomi vende por meio do site Tmall.com, um das maiores varejistas online da China. Os sites não só oferecem aparelhos, mas também acessórios incluindo headphones, camisetas e até mesmos os mascotes da companhia. 

Para aumentar sua popularidade, a empresa conta com redes sociais, a imprensa e seus próprios clientes, conhecidos como "Mi fãs" para ajudar a espalhar o valor da marca pelo mundo.

O resultado da exposição pode não estar no mesmo patamar que Samsung ou Apple, mas a prática permite que a Xiaomi foque em consumidores mais jovens já acostumados em utilizar a Internet para comprar produtos online. 

Quantidades limitadas

Agora, conseguir colocar suas mãos em um smartphone Xiaomi é outro assunto. Os aparelhos da gigante chinesa tendem a esgotar em minutos após o lançamento de um modelo. Lançar apenas uma quantidade limitada de telefones a cada semana tem sido um ponto estratégico nos negócios da Xiaomi – já que ajuda a companhia a manter seus custos baixos. 

E a relação é um tanto óbvia: a empresa enfrenta riscos menores através da gestão de um inventário menor. Da mesma forma, permite aumentar a produção gradualmente, conseguindo economia já que os custos dos componentes tendem a diminuir ao longo do tempo.

A longo prazo, a Xiaomi quer gerar receita não exclusivamente por meio de vendas de hardware, mas também por meio de software. A ideia é semelhante à forma como a Amazon está lançando tablets Kindle a preços mais baixos para motivar clientes a comprarem mais e-books e outros conteúdos digitais.

No caso da Xiaomi, usuários podem comprar temas para seus telefones que podem mudar o visual dos mesmos. Isso pode ser feito ao comprar online créditos Mi da companhia. Não está claro ainda como a Xiaomi vai aumentar ainda mais a receita de vendas de software. Mas lançar mais telefones no mercado certamente aumentará a base de consumidores. 

Os produtos da Xiaomi já foram comparados inúmeras vezes a imitações da Apple. No entanto, o modelo de negócios da companhia está pressionando as fabricantes concorrentes. "Muitas pessoas estão tentando replicar o modelo da Xiaomi", disse Nicole Peng, analista de pesquisa da Canalys. 

Fabricantes chinesas, incluindo a Huawei, ZTE e outras também estão fabricando produtos com tecnologia de ponta por preços mais baixos usando canais online para aumentar as vendas.


Fornecido por IDG News Service

Os algoritmos por trás da ferramenta de reconhecimento facial estão cada vez mais precisos. Como isso influenciará na nossa privacidade?

Tanto Facebook e Google tem trabalhado duro em usar computadores e algoritmos para identificar pessoas em fotos. E eles ficaram realmente bons nisso. 

Nós ainda não sabemos o que eles vão fazer com essa tecnologia. E em um grau mais elevado, isso depende de nós. Mas primeiramente, vamos entender o que já é possível.

Por que o Facebook não precisa "ver" o seu rosto? O Facebook é uma das maiores companhias líderes mundiais em desenvolver algoritmos de reconhecimento facial. 

O software da rede social agora consegue identificar pessoas em fotografias assim como pessoas o fazem. 

O chamado DeepFace do Facebook (não, não estou brincando, é chamado mesmo de DeepFace)  pode nos dizer se duas pessoas em duas fotografias diferentes são a mesma pessoa, com precisão de 97%. Uma taxa ainda melhor do que próprio sistema de identificação do FBI, para se ter uma ideia. 

O DeepFace alcança esta proeza incrível, analisando rostos, transformando-os em modelos 3D, para depois reconhecer os rostos a partir de ângulos e sob condições de iluminação que são diferentes daquelas em outras fotos da mesma pessoa. 

A tecnologia usa mais de 120 milhões de parâmetros. Uma página no site do Facebook explica que a empresa "treinou tais algoritmos no maior conjunto de dados faciais, um conjunto de quatro milhões de imagens faciais pertencentes a mais de 4.000 identidades." 

Mas isso não é suficiente para o Facebook. A companhia quer ser capaz de reconhecer pessoas mesmo quando seus rostos não estão aparecendo. Para tais fins, pesquisadores estão desenvolvendo um sistema que presta atenção a detalhes como estilo do cabelo, medidas corporais, postura, roupas e por aí vai. 

Por ora, o Facebook já consegue reconhecer pessoas cujos rostos não estão aparecendo com uma taxa de precisão de 83%. 

Significativamente, a empresa tentou evitar apavorar as pessoas com esta pesquisa ao desenvolver o algoritmo usando fotos do Flickr ao invés de fotos do próprio Facebook. 

E bem, enquanto a habilidade do Facebook em reconhecer pessoas é surpreendente, a do Google também é. 

Como o Google identifica você sem identificar... você

Todos aqueles que estiveram presentes na conferência do Google I/O no mês passado reagiram com "oohs" e "ahhs" quando a gigante de buscas anunciou seu mais novo Google Photos. 

Na verdade, nós usuários do Google+ temos apreciado essa capacidade por anos. O motor de buscas do Google Photos consegue não apenas dizer a diferença entre gatos e cachorros, mas também identificar raças de cães e executar outras façanhas de busca que parecem impossíveis. 

O sistema consegue até mesmo encontrar fotos com base em adjetivos que poderiam ser usados para descrever as imagens que retratam (veja a foto acima).

Por exemplo, quando eu procurei na minha própria coleção de fotos usando a palavra 'delicioso', o Google me mostrou centenas de fotos que eu tirei de alimentos e bebidas que eram, de fato, deliciosas. (A ferramenta também mostrou uma foto que eu tirei durante um safári no Masai Mara, no Quênia de uma chita que devora uma gazela - Eu acho que foi delicioso para a chita e o software Google de alguma forma sabia disso.)

Claro, que o sistema de buscas do Google Photos consegue encontrar pessoas quando você busca por elas. Fato é que quando você vai até a barra de buscas para selecionar, você é imediatamente apresentado a três opções: Pessoas, Lugares e Coisas. Quando você clica na opção "Mais" para a categoria "Pessoas", ele mostrará a você uma fotografia de cada pessoa que você já fotografou -- em ordem, a começar com as pessoas que você tira fotografias com maior frequência. 

Clique em alguma dessas fotografias pra ter todas as fotos dessa pessoa. Quando você faz isso, você perceberá alguma coisa interessante: Google Photos irá mostrar não apenas as fotografias onde o rosto da pessoa está claramente visível, mas também fotografias em que dificilmente se vê o rosto da pessoa em questão. 

Mas diferente da abordagem do Facebook, todas os resultados da busca por rostos no Google Photos são visíveis. Ou seja, eu não encontrei nenhuma foto onde uma pessoa estava de costas. 

É interessante notar que enquanto a tecnologia do Facebook - teoricamente - soe mais avançada, ela ainda está na fase de pesquisa e não foi lançada ainda, enquanto a ferramenta do Google já está pronta e disponível para todos gratuitamente.

O Google ainda não revela detalhes sobre como seu sistema funciona, mas provavelmente utiliza métodos muito similares ao do Facebook. 

Como o Facebook e o Google estão usando "identificação por associação" 

Antigamente, a tecnologia de reconhecimento facial era mais direta.  Ela analisaria literalmente rostos para buscar coisas como distâncias relativas entre as sobrancelhas e nariz, e entre a parte inferior das orelhas e do queixo.

Agora, a inteligência artificial por trás do reconhecimento facial do Facebook e Google reconhece pessoas como você e eu reconhecemos. 

Um exemplo, dadas imagens suficientes, ela de fato aprenderá sobre você. Assim, quando ela vê seu rosto em uma foto, ela também faz notas do ajuste, da iluminação, das roupas que você está vestindo, seu cabelo e muito mais. Quando você está de costas e seu rosto não está evidente, ela pode dizer: "Ah, esse é o Mike de costas." 

No caso do Google Photos, e provavelmente o Facebook no futuro, o reconhecimento facial irá também colher dados a respeito do engajamento social. 

E agora? 

Há três coisas importantes para observar sobre o tema. A primeira delas diz respeito a pesquisa e desenvolvimento na área da inteligência artificial para fins de reconhecimento facial. Ela continuará e bem, cada vez mais ela se mostrará avançada. 

É importante para o público entender a realidade do que é possível agora, e o que será possível no futuro. 

É só uma questão de tempo para que redes sociais, governo e outras organizações sejam capazes de identificar instantaneamente qualquer um de nós com alta probabilidade de usar qualquer foto, incluindo tomadas com webcams, câmeras de segurança em caixas eletrônicos e em outros lugares. 

Para se ter uma perspectiva do assunto, a tecnologia de reconhecimento facial estará disponível em mais de 28 milhões de dispositivos móveis e esse número deve aumentar para 123 milhões em 2024. 

A segunda coisa importante para se lembrar é que o surgimento dessa tecnologia não está relacionada - necessariamente - com a implementação ou abuso da mesma. Parece haver uma suposição de que é inevitável que a nossa privacidade seja rotineiramente violada no futuro. Mas isso não é necessariamente verdade. 

O desenvolvimento da tecnologia que consegue identificar pessoas o tempo todo é inevitável. Mas como vemos com o Facebook e Google, tal tecnologia não precisa ser usada para violar nossa privacidade. 

As duas companhias estão profundamente conscientes das preocupações do público e as potenciais conseqüências não intencionais de usar tal tecnologia em seu pleno potencial - pelo menos por agora. 

A Apple deixou claro durante a World Wide Developers Conference que é possível oferecer personalização sem violação de privacidade. 

O novo recurso da empresa, o Proactive coleta dados via Siri, e-mail, calendário e muito mais. No entanto, os dados nunca deixam o telefone e nunca estão associados a identidade de uma pessoa. Da mesma forma, não são levados para a nuvem ou em algum banco de dados permanente. A própria Apple não tem acesso a ela. 

É claro que não é inevitável que a personalização ou a tecnologia de reconhecimento viole completamente nossa privacidade. Na verdade, muitas das violações de privacidade atuais que acontecem através de nossos smartphones e computadores poderiam ser revertidas. 

O primeiro passo para que isso aconteça é que o público se torne mais preocupado a respeito da ligação entre o que é possível em termos de características e benefícios de um lado e o que é necessário em termos de violações de privacidade, por outro. 

O terceiro fato digno de nota é que a mesma tecnologia para reconhecimento facial também pode ser benéfica para a sua própria privacidade. Por exemplo, é possível que motores de busca, no futuro, possam alertar você quando algum tipo de abuso ou mau uso de de uma fotografia sua ocorre. Também é possível que esse tipo de tecnologia possa prevenir o roubo de identidade, que está se tornando cada vez mais problemático. 

O dia em que empresas como Facebook e Google serão capazez de reconhecê-lo em fotos com 99% de precisão, mesmo quando o seu rosto não esteja aparente, está se aproximando rapidamente. Essa capacidade pode levar a um mundo em que a privacidade é impossível. 

No entanto, o primeiro passo é entender o que é possível e se agarrar ao reino das implicações da tecnologia. O segundo nos leva a fazer perguntas, exigir respostas e falar em defesa da nossa privacidade. 

É fácil proclamar que a nossa privacidade está morta e enterrada. Mas ainda podemos desfrutar dos benefícios da tecnologia avançada, sem abrir mão de toda a nossa privacidade.

Fornecido por Mike Elgan, Computerworld (EUA)

Após polêmica na última semana, empresa sul-coreana confirmou que vai liberar os updates de segurança automáticos nos seus PCs.

Os donos de PCs da Samsung voltarão a receber updates de software automáticos da Microsoft em breve. Isso porque a Samsung anunciou no final de semana que vai parar de bloquear os Windows Updates automáticos nos seus computadores.

“Vamos soltar um patch por meio do processo de notificações Samsung Software Update para reverter de volta as configurações recomendadas do Windows Update em alguns dias”, afirmou a Samsung na sexta-feira, 26/6.

A empresa disse que estava comprometida em fornecer “uma experiência de usuário digna de confiança” e que valorize sua parceria com a Microsoft.

Essa é uma virada rápida dos acontecimentos da última semana, quando o pesquisador Patrick Barker informou a existência de um app chamado “Disable_Windowsupdate.exe” que roda nos PCs da Samsung como parte do serviço SW Update da companhia sul-coreana. Como o nome sugere, o programa desabilita as atualizações automáticas do serviço de patches da Microsoft, e exige que as pessoas instalem manualmente patches individuais se quiserem proteger seus PCs.

A Microsoft já disse que não recomenda que ninguém desabilite os updates automáticos do Windows, uma vez que eles fornecem patches de segurança atualizados e necessários para os usuários. Nos últimos, a Microsoft disse que estava em contato com a Samsung sobre a questão – agora, parece que a fabricante do Windows prevaleceu.

Quem ainda não tiver desinstalado o SW Update, terá suas configurações do Windows Update revertidas para aplicar as atualizações automaticamente quando a empresa liberar patches, da forma como a Microsoft recomenda.

Invasão de caixas eletrônicos, roubo por RFID, ataques a dispositivos médicos. Listamos casos que podem tirar o sono de muito profissional de segurança.


Qualquer dispositivo com capacidade computacional pode ser hackeado, mas nem todos os métodos de hacking se assemelham. Na verdade, em um mundo no qual dezenas de milhões de computadores são comprometidos por malwares todo ano, os ataques inovadores, que geram reflexão e surpresa, ainda são raros e espaçados entre si.

Esses ataques extremos se distinguem dos comuns, que vemos no dia a dia. Isso se deve tanto pelos alvos pretendidos quanto pelos métodos aplicados – antes desconhecidos, inutilizados ou muito avançados. São medidas que ultrapassam o limite do que os profissionais de segurança julgam ser possível, abrindo os olhos do mundo para novas ameaças e vulnerabilidades do sistema enquanto conquistam o respeito de seus adversários.

Entre algumas dessas iniciativas recentes e antigas, separamos dez que consideramos os mais impressionantes:

Caixa eletrônico

A maior parte dos caixas eletrônicos contém computadores com sistemas operacionais populares. Na maioria das vezes, rodam Windows ou alguma versão do Linux. É comum que esses sistemas incluam implementações de algum conhecido (como extensões em Java) por seus bugs e facilidade de ser hackeado. Para piorar, essas máquinas raramente são atualizados e as que são não seguem a periodicidade adequada.

Além disso, o sistema operacional dos caixas eletrônicos possui suas próprias vulnerabilidades, muitas de fácil exploração até poucos anos atrás. Os fabricantes enviam os caixas a seus clientes com senhas compartilhadas padrão e métodos comuns de acesso remoto, agravando ainda mais os riscos de segurança.

Naturalmente, eles orientam os destinatários a alterarem os padrões, mas poucos o fazem. O resultado é óbvio: cheios de dinheiro, os caixas são constantemente hackeados, tanto fisicamente quanto por suas portas de acesso remoto.

O mais infame dos hackers de terminais bancários foi Barnaby Jack, falecido em 2013. O cibercriminoso divertia as plateias de congressos de segurança quando levava máquinas comuns ao palco e as fazia expedir dinheiro falso em questão de minutos. Entre a vasta gama de truques dos quais dispunha, o mais comum se baseava em um pen drive com malware plugado nas entradas das máquinas, que não costumam ser protegidas mesmo com a recomendação dos fabricantes.

O software de Jack se conectava ao caixa através de uma porta de rede conhecida, usando acesso remoto para explorar uma vulnerabilidade que então comprometia completamente a máquina. Executando alguns comandos administrativos, o hacker instruía o caixa a liberar o dinheiro. Sempre seguidas de aplausos, as apresentações de Jack levaram à criação do termo “Jackpotting”, que batizou o método de hacking.

Marca-passo

Quando a tática de exploração de caixas eletrônicos foi descoberta pelos fabricantes dos terminais, Barnaby Jack voltou sua atenção aos dispositivos médicos. Suas demonstrações mais extremas incluíam o envio não autorizado e letal de choques a pacientes com marca-passos e dosagens extremas de insulina a diabéticos – tudo de uma localização remota.

A maioria dos aparelhos com fins medicinais são submetidos a um período de desenvolvimento, teste e certificação que duram entre cinco e dez anos antes de serem entregues a pacientes humanos. Infelizmente, isso significa que o software usado nos dispositivos não é atualizado durante todo esse tempo, colecionando uma sucessão de vulnerabilidades negligenciadas até ser introduzido ao mercado. Os fornecedores desses mecanismos costumam contar com a obscuridade de seus produtos como uma proteção artificial, a chamada “segurança por obscuridade”, visivelmente precária.

O quadro não aparenta estar melhorando. Em abril de 2014, o Wired publicou um artigo a respeito da facilidade de se hackear equipamentos hospitalares, em boa parte graças às senhas codificadas de forma padrão, que não podem ser alteradas.

É claro que os dispositivos médicos devem ser de fácil uso, continuando a operar mesmo caso sua segurança seja violada, mas isso dificulta sua proteção. Senhas customizadas mais longas, complexas e de mudança constante dificultam o uso dos aparelhos e, por isso, não são empregadas. Para agravar o quadro, quase toda a comunicação entre diferentes ferramentas não é autenticada ou criptografada.

Isso permite que qualquer hacker que tenha encontrado as portas certas leia e mude os dados dos aparelhos sem causar qualquer interrupção nas operações do dispositivo, de seu software de gerenciamento ou outros sistemas de interface (como registros médicos eletrônicos). Na verdade, a maioria das comunicações entre aparelhos médicos carece de soma de verificação da integridade básica de dados, o que facilmente identificaria a maioria das mudanças maliciosas.

O hacking de aparelhos médicos existe há, no mínimo, uma década e é comum que demonstrações a respeito sejam feitas em conferências, motivando a FDA (agência de saúde dos Estados Unidos) a emitir um aviso a respeito das vulnerabilidades. Os desenvolvedores de dispositivos médicos atualmente trabalham para preencher os buracos de fácil exploração, mas seu ciclo obrigatório de testes de longa duração ainda dificulta o devido combate aos problemas.

Fraude de cartões

A fraude de cartões de crédito é menos mórbida, mas ainda pode causar problemas substanciais em sua vida financeira. O hacking é simples: o agressor coloca um dispositivo chamado skimmer (popularmente chamado de “chupa cabra” no Brasil), no em outro aparelho – como um caixa eletrônico ou terminal de pagamento – para obter as informações de um cartão (tanto de crédito quanto de débito) e o PIN correspondente quando ambos forem digitados.

Os skimmers foram aprimorados ao longo dos anos, de aparelhos óbvios (que poderiam ser reconhecidos por qualquer um à procura de algo estranho) para dispositivos que dificultam o reconhecimento até mesmo por especialistas. Alguns deles incluem conexões por Bluetooth, permitindo que os hackers obtenham as informações roubadas a uma curta distância ao invés do próprio dispositivo.

Os atacantes frequentemente inserem dezenas de aparelhos em uma área geográfica comum – de preferência próximas a estradas, permitindo fugas rápidas – e usam a informação roubada para gerar cartões novos e fraudulentos, que são usados em lojas caras (para comprar produtos que possam ser revendidos) e varejistas online. Isso é feito com rapidez, geralmente ainda nas primeiras horas. Até os fornecedores detectarem ou serem comunicados da fraude, os agressores já lucraram e escaparam sem ser apanhados.

Brian Kebs, que cobre os últimos dispositivos skimming e notícias relacionadas, reportou recentemente uma vitória contra a tecnologia fraudulenta. Neste caso, a polícia escondeu aparelhos de rastreamento GPS em dispositivos skimming ativos já descobertos. Quando os hackers apareceram para reaver seus aparelhos, a força policial os rastreava e prendia. Naturalmente, a popularização da estratégia deve levar os agressores a intensificarem o uso do Bluetooth para evitar a remoção física -- mas, por enquanto, a polícia intensifica o combate à fraude.

Hacking remoto de cartões

Se seu cartão possui o mecanismo de pagamento por etiquetas de radiofrequência (RFID) – como MasterCard PayPass ou American Express ExpressPay --, é provável que suas informações possam ser lidas por um hacker que ande próximo à sua bolsa ou carteira. Isso acontece porque qualquer dispositivo RFID desprotegido pode ser hackeado, incluindo passaportes, cartões de acesso predial/residencial e etiquetas de rastreamento de produtos.

Aparelhos de radiofrequência quase não possuem segurança. Basta energizar o transmissor RFID usando ondas de rádio de baixa frequência para que ele transmita toda a informação que possui. As linhas magnéticas dos cartões de crédito já não eram seguras – podiam ser lidas por qualquer leitor vendido na internet a US$ 15 --, mas a diferença neste caso é que os leitores de radiofrequência permitem o roubo de informações sem que haja qualquer contato com o cartão. Ande a um metro de um leitor malicioso de RFID e, sim, você pode ser hackeado.

Com o tempo, a distância necessária tende a aumentar: alguns especialistas em hackers por radiofrequência preveem o aumento do espaço exigido para cerca de cem metros nos próximos cinco anos -- o que possibilitaria que hackers coletassem milhares de cartões por hora somente por frequentarem lugares movimentados.

Se você tem cartões que usam radiofrequência, pode comprar “escudos” e carteiras de defesa gastando entre US$ 25 e US$ 50. Felizmente, a tecnologia para hackear esses dispositivos é mais usada por “hackers éticos” em demonstrações do que agressores reais e os especialistas esperam um crescimento no número de cartões habilitados por chip, que desapareceriam com o hack de RFID antes que ele produzisse dano substancial com o aumento de seu alcance.

BadUSB

Ano passado, pesquisadores demonstraram que cerca de metade das entradas USB instaladas nos computadores podem ser comprometidas por um dispositivo malicioso. Basta plugar um aparelho USB a um computador desavisado e ele executará automaticamente qualquer comando configurado, desviando de todos os controles de segurança, firewalls e software antimalware ativos.

Não há nenhuma defesa para a tática de exploração (batizada de BadUSB) além de danificar fisicamente a porta ou prevenir qualquer acesso físico não autorizado. Pior, não há como saber se uma chave USB plugada a um computador contém BadUSB. É também impossível descobrir se a chave infectada foi espalhada intencionalmente por um amigo ou associado, já que poderia ter acontecido sem seu conhecimento, acabando por contaminar outro computador por acidente – ou um planejamento bem calculado.

Stuxnet

O Stuxnet é o ataque mais avançado já registrado e, facilmente, o malware mais perfeito escrito até hoje. Ele não recorreu ao BadUSB, mas se espalhou via chaves USB e um método de execução USB até então desconhecido, juntamente a três outros ataques de dia zero.

Descoberto publicamente em junho de 2012, o Stuxnet levou o conceito de cyberwar a ser reconhecido como uma batalha real, capaz de causar danos físicos. Especula-se que o malware tenha sido desenvolvido em colaboração entre os Estados Unidos e Israel para frustrar o programa nuclear do Irã, embora nenhum dos dois países tenha reconhecido a autoria.

A infiltração de malware nas instalações nucleares isoladas e de alta segurança foi considerada impossível por muitos especialistas em computação. Os criadores do Stuxnet alegadamente infectaram as chaves USB de consultores nucleares estrangeiros que trabalhavam nas centrífugas iranianas. Se eles sabiam o que carregavam, fica para especulação.

O malware foi lançado pelas chaves USB, atuou nos computadores de gerenciamento dos reatores operados por Windows e então programou os próprios controladores lógicos das centrífugas. Uma vez lá, o Stuxnet gravou os valores normais de operação e os reproduziu enquanto criava condições fatais execução, destruindo boa parte dos equipamentos de controle e das centrífugas.

Uma revisão de código fonte feita por várias empresas e levou à conclusão de que exigiria de muitas equipes (compostas de doze membros cada) e um ano ou mais para criar o worm, tão avançada era sua programação. Contudo, desde a descoberta do Stuxnet, muitos outros também foram revelados. Por mais futurista que tenha sido na época, os especialistas creem que o Stuxnet tornou-se ponto de partida comum para os próximos programas de cyberwar. Começou a guerra fria cibernética.

Painéis de trânsito

Hackear as sinalizações eletrônicas de estradas, aqueles painéis com mensagens variáveis sobre o trânsito, é ilegal e pode gerar sérios problemas. Mesmo assim, é difícil não rir com as pegadinhas do gênero quando elas não prejudicam ninguém – caso da vez em que mudaram os dizeres de um painel inutilizado para “Atenção! Zumbis à diante”.

Nos Estados Unidos, alguns dos que praticam esse tipo de hacking são antigos funcionários do Departamento de Transporte, que programavam os sinais de trânsito como parte de seus trabalhos. Fato é que os manuais desses painéis eletrônicos estão disponíveis online e quase sempre contém senhas padrão (tão simples quanto “senha”, “visitante” e “público”). Os hackers só precisam descobrir o modelo do painel que desejam atacar e fazer o download do manual.

Para a maioria dos sinais de trânsito, é necessário o acesso físico a um painel trancado, mas isso não é um grande problema uma vez que o equipamento costuma ficar destrancado. Uma vez que o hacker obtenha o acesso físico, ele usa o teclado do console para logar-se em uma credencial padrão ou para visitantes. Feito isso, ele pode fazer o reboot do computador do painel enquanto obedece às instruções do manual, voltando a sinalização aos padrões do fabricante, incluindo as senhas.

Mesmo quando o painel tem credenciais distintas de usuário e administrador, a mensagem ainda pode ser alterada sem a necessidade de permissão – obrigatória somente para configurações de equipamento, como ventilação e energia.

O “livro de ordens” da NSA

Qualquer um que tenha ouvido sobre Edward Snowden sabe que a NSA possui, essencialmente, um “livro de ordens” para requisitar a execução de hacking avançado.Um deles, o Quantum Insert, é escolhido pela agência para o uso de ferramentas de injeção de pacotes, que redirecionam as vítimas em questão de um site a outro, onde podem ser manipuladas de forma mais extensa e de forma imperceptível.

Caso a página de redirecionamento for desenvolvida para se assemelhar bastante com a pretendida pela vítima, ela provavelmente não perceberá o que aconteceu. Criptografia aplicada (HTTPS) pode ajudar a frustrar o ataque, mas a maioria dos sites não a exige e os usuários não costumam habilitá-la quando é opcional. Esse ataque é feito desde 2005.

A NSA também pode exigir outros ataques, como por exemplo, a utilização de backdoors em equipamentos para monitorar o envio e o recebimento de dados de uma empresa ou órgão que trafegam por uma rede.

Já deve estar claro que a agência, assim como quase toda entidade estatal americana, pode espiar em qualquer dispositivo que desejem, sem que haja muito que fazer a respeito. Muitos desses aparelhos e software são criados por empresas privadas e disponibilizados para compra por qualquer cliente disposto a pagar.

Rompendo criptografia

Gary Kenworthy, da Cryptography Research, é especializado em revelar chaves criptográficas de diversos dispositivos antes tidos como seguros. Ele é capaz de monitorar remotamente a radiofrequência e as emissões de radiação eletromagnética dos aparelhos, descobrindo códigos binários que compõem sua chave de segurança – e tem o costume de fazê-lo em demonstrações ao redor do mundo.

Os avanços recentes de Kenworthy contra os dispositivos que deveriam nos proteger balançaram a comunidade criptográfica. Ele e sua empresa lucram com o fornecimento de proteção contra os ataques que ele demonstra, mas eles são reais e, essencialmente, reduzem a segurança da maioria dos dispositivos que rodam criptografia e não aplicaram as defesas sugeridas por ele.

Hack de carros

Os fabricantes de automóveis competem para ver quem coloca o maior número de funções possível em seus veículos. Portanto não surpreende que esses mesmos computadores sejam incrivelmente vulneráveis a ataques. Desde cedo, os hackers aprenderam a destrancar carros usando suas chaves remotas sem fio, também impedindo os donos de trancarem seus veículos enquanto pensam terem feito.

O Dr. Charlie Minner começou sua carreira hackeando dispositivos Apple e ganhando vários concursos Pwn20wn. Ele está entre os melhores hackers do gênero. Em 2013, junto de seu colega de pesquisa, Chris Valasek, demonstrou como controlar os freios e a direção de um Toyota Prius 2010 e de um Ford Escape usando interfaces de ataques físicos nas unidades de controle eletrônico e nos sistemas dos veículos. Felizmente, pelo menos esse método hacking não funciona wireless ou remotamente.

Ano passado, Miller e Valasek discutiram o hacking remoto e sem fio de 24 modelos de carros, elegendo o Cadillac Escalade, o Jeep Cherokee e o Infiniti Q50 como os mais vulneráveis. Eles conseguiram documentar que as ferramentas de rádio remoto dos veículos eram (ou poderiam ser) ligadas aos sistemas críticos de controle.

Também em 2014, o Senado americano emitiu um relatório indicando que virtualmente qualquer carro fabricado hoje em dia é hackeável. Agora, a indústria automotiva segue a solução encontrada pelas empresas de software: contratam hackers para ajudarem a melhorar a segurança de seus sistemas. Pense nisso na próxima vez em que estiver em uma concessionária, sendo tentado pelo modelo com o melhor Wi-Fi.

Fornecido por IDG Now CSO/EUA

Depois de confundir os usuários na última semana com a notícia de que todos os beta testers do Windows 10 ganhariam a atualização de graça, a Microsoft voltou um pouco atrás em um post em seu blog oficial. O texto diz que quem utilizou as versões de Preview do sistema operacional realmente receberá o update gratuitamente – mas apenas se continuar aceitando testar os futuros Previews.

Dessa forma, todos que instalaram as primeiras builds do SO do zero receberão o update no dia 29 de julho, como se fosse um upgrade de rotina. Mas apenas quem continuar no Insider Preview, que continua mesmo após o lançamento da versão final do sistema, terá a licença renovada. Os que desistirem de participar do programa terão que voltar algumas versões, para o Windows 7 ou 8.1, ou adquirir uma licença separadamente.

Além dos beta testers, donos de cópias originais do Windows 7 e 8.1 poderão receber o Windows 10 gratuitamente, desde que reivindiquem o exemplar em um prazo de um ano. Depois desse período, quem não adquiriu o sistema precisará pagar por ele.

A décima versão do sistema operacional será lançada no dia 29 de julho, e usuários já podem optar por recebê-la no dia de sua estreia.

Fornecido por INFO OnLine