João Saramago

É natural que uma empresa como a Google, sob a luz dos holofotes, comece a ficar ansiosa e a sentir necessidade de publicitar as suas práticas de segurança. As práticas de segurança e, sobretudo, os controlos que visam garantir a confidencialidade da informação dos seus clientes. Nesse sentido, acabou de lançar um paper que descreve, em alto nível, os controlos e os procedimentos que mantém para isolar os dados e salvaguardar a privacidade das contas no Google Apps.

O documento intitula-se Security Whitepaper: Google Apps Messaging and Collaboration Products e pode ser muito útil, mesmo para quem não usa estes serviços, para recolher ideias importantes sobre práticas de segurança de sistemas de informação. Mesmo.

Link to the original site

siliconbits writes “A confidential, seven-page Google Inc. ‘vision statement’ shows the information-age giant in a deep round of soul-searching over a basic question: How far should it go in profiting from its crown jewels—the vast trove of data it possesses about people’s activities? Should it tap more of what it knows about Gmail users? Should it build a vast ‘trading platform’ for buying and selling Web data? Should it let people pay to not see any ads at all?”

Read more of this story at Slashdot.

Link to the original site

Kidfork writes “On Wednesday Google’s vice president of product management said that this fall Google will launch Chrome OS to compete with Microsoft Windows. More than 70 million users already use the Chrome Browser, and Google expects at least 1 million users of the OS by day one of release.”

Read more of this story at Slashdot.

Link to the original site

wiredmikey sends along a brief (and quite poorly written) report from Security Week on Samy Kamkar’s talk at Black Hat last week. In the video, which is amusing, he demonstrates how to obtain location information (within 30 feet, in the example he shows) of a user who does no more than visit a malicious website. The technique involves sniffing out the local router, breaking into it to obtain its MAC accress, and sending that to Google to extract the router’s location from Google’s Street View database.

Read more of this story at Slashdot.

Link to the original site

An anonymous reader sends word of a proof-of-concept Google Chrome browser extension that steals users’ login details. The developer, Andreas Grech, says that he is trying to raise awareness about security among end users, and therefore chose Chrome as a test-bed because of its reputation as the safest browser. Grech says he does not doubt that Chrome is a safe browser, but the point is that such an extension could be written for any of them. Grech says he has not uploaded his extension to the Google Chrome repository or anywhere else; but he has published enough details to allow others to reproduce the technique easily.

Read more of this story at Slashdot.

Link to the original site

alphadogg writes “Google’s e-mail security team has updated its Postini engine to stop a new type of JavaScript attack that helped fuel a rise in spam volume in recent months.

Google says it has seen a surge in obfuscated JavaScript attacks, describing them as a hybrid between virus and spam messages. The e-mails are designed to look like legitimate messages, specifically Non Delivery Report messages, but contain hidden JavaScript.

‘In some cases, the message may have forwarded the user’s browser to a pharma site or tried to download something unexpected,’ Google said in its official blog.”

Read more of this story at Slashdot.

Link to the original site

No SAPO, para quem ainda não leu:

Os funcionários da Google estão a deixar de utilizar o Windows. Em causa está a política de segurança adoptada após os ataques identificados em meados de Dezembro – e atribuídos à China –, levando a gigante da Internet a incentivar os trabalhadores a optarem por outro sistema operativo que não o da Microsoft, avança o Finantial Times. Recorde-se que, segundo concluiu a investigação interna da Google, os ataques foram possíveis graças às falhas no Internet Explorer 6 e no sistema operativo Windows.

in Funcionários da Google incentivados a deixar Windows.

Bem, como lá diz o ditado, Para lá do Marão mandam os que lá estão : ) … embora, na minha opinião, o problema da (in)segurança dos sistemas, e das aplicações, não se resuma apenas à troca de uns pelos outros. Pode ajudar, pela diversidade e pela mudança do contexto (porque o mundo é mais hostil para uns do que para outros) mas não é uma panaceia: A gestão dos controlos de segurança, das actualizações, dos processos IT (onde se incluem as instalações, gestão de alterações, gestão de acessos, etc) não ficam resolvidos pela mudança do sistema — continuam a ser necessários.

É uma decisão arrojada, embora o contexto da Google seja muito específico: É uma empresa de tecnologia, tem desenvolvido sistemas e aplicações próprias, e o nível de conhecimento técnico, da generalidade dos colaboradores, é elevado. Vamos ver como evolui, e se não surgem novidades de ataques bem sucedidos. Se a informação for baldada cá para fora, claro : )

Link to the original site

… publicadas pela McAfee, no blog Security Insights, onde George Kurtz apresenta algumas das conclusões que retiraram, na sequência da análise forense que tem vindo a ser realizada após a divulgação, na semana passada, dos ataques dirigidos a várias empresas globais, incluindo a Google. Alegadamente, a partir da China. Vale a pena ler: Operation Aurora hit Google, others.

Link to the original site

No blog oficial do Gmail:

Em 2008, introduzimos a opção de usar sempre HTTPS — cifrando o email em trânsito entre o browser e os nossos servidores. A utilização de HTTPS ajuda a proteger os dados contra a leitura ilegítima, como em pontos de acesso público sem fios. Inicialmente deixámos a escolha da sua adopção aos utilizadores, porque há um lado negativo: o HTTPS pode diminuir a velocidade de transmissão do mail, porque os dados cifrados não atravessam a rede tão depressa como os dados em claro. No entanto, nos últimos meses, temos avaliado o balanço entre a segurança e a latência e decidimos que activar HTTPS para todos os utilizadores seria a coisa certa a fazer.

in Default https access for Gmail.

Até que enfim. E devia ser adoptado em todos os serviços que manipulam e transmitem informação potencialmente confidencial.

Link to the original site

Google has just launched its very own public Domain Name System resolver, with which the company hopes to speed up internet traffic. The search giant claims its DNS is more secure (through protection against cache poisoning attacks) and faster than others.

Link to the original site