Category Archives: 4077

O risco de usar apenas Mac Address como solução de segurança

Esse assunto já é antigo, tanto que postei sobre ele em 2007 (http://msmvps.com/blogs/paleo/archive/2007/07/27/evitando-grandes-problemas-com-o-uso-do-wireless-em-aeroportos.aspx), mas de qualquer forma, vou repetir algumas coisas aqui.

Definir permissões de acesso a roteadores wireless por filtros de Mac Address é uma solução boa, mas não deve ser a única, pois com softwares gratuitos e simples de usar como, por exemplo, o Macshift (http://devices.natetrue.com/macshift/), já facilitavam este procedimento desde o Windows XP.

No Windows 7 basta seguir os passos abaixo:

  • Iniciar;
  • Painel de Controle;
  • Gerenciamento de Dispositivos;
  • Adaptador de Rede;
  • Avançado;
  • em Endereço de Rede, preencha com o Mac que deseja.

Isso ainda pode ser feito no registro do Windows, como explicado aqui: http://www.windowsreference.com/networking/how-to-change-mac-address-in-windows-registry/

No Windows 8:

  • Pressione a tecla do Windows junto com a letra S;
  • na caixa de busca que aparece digite: “Gerenciador de Dispositivos” (não precisa digitar tudo, pois ele vai localizando a medida que você digita);
  • localize o Adaptadores de Rede e expanda a seleção;
  • clique na guia Avançado;
  • localize Endereço de rede e altere o valor dele para o que desejar.

enter image description here

 

Em resumo, sim, o uso do endereço Mac é uma medida de segurança, mas facilmente burlada.

 

Um exemplo real? Aqui vai o que citei em 2007 no artigo mencionado acima:

Muita gente gosta de usar as conecções Wireless de aeroportos, mas como na maioria deles elas são pagas, acaba pagando por isso. O interessante é que algumas vezes as pessoas notam que pagaram por mais tempo do que usaram, mas o provedor garante que não.

Por que isto acontece? Simples, quando você embarcou no seu vôo, outra pessoa passou a usar sua conexão! Como? Muito simples:

  • Você chega ao aeroporto, acessa a página do Wireless, informa os seus dados e do seu cartão de crédito (ou conta de acesso);

  • com isto o acesso através de seu MAC Address (aqui está o problema) é liberado;

  • outra pessoa chega, obtém acesso à página onde pede cartão/usuário senha;

  • esta outra pessoa verifica o endereço IP que recebeu e identifica os outros IPs na área;

  • então esta pessoa roda um "nbtstat" em cada IP da rede e obtém seus MAC Addresses;

  • você embarca no seu vôo;

  • o segundo passo do "sacana" é identificar qual IP não está mais operando ativamento (um deles será o seu, que acaba de embarcar);

  • neste momento o "sacana" altera o MAC Address dele, deixando-o igual ao seu (usando por exemplo, o Macshift, que é free);

  • pronto, agora ele pode navegar de graça e o pior, você está pagando pela navegação dele.

Ok, muita gente vai dizer que isto não é problema, pois o acesso é barato mesmo e o seu prejuízo será baixo, mas preste muita atenção a um detalhe: QUALQUER coisa que esta pessoa realizar usando o SEU MAC Address, foi oficialmente realizada por você! Ou seja, se ele praticar algum crime, você sofrerá o processo e precisará gastar dinheiro para provar sua inocência! MUITO CUIDADO então!

O uso do MAC Address nunca foi uma forma eficiente de se implantar segurança, mas este tipo de "roubo" de MACs está ficando tão freqüênte que resolvi alertar aos meus leitores.

Claro que roubar MAC Address pode ser classificado como crime, mas o difícil é provar quem fez isto e levá-lo a um tribunal, portanto fique esperto e proteja-se.

Sempre que possível, use apenas redes "seguras" (usei as aspas, pois virtualmente nenhuma rede pode ser considerada 100% segura).

Alterando a porta do Remote Desktop

Muita gente fala que deixar aberta a porta do Remote Desktop gera uma falha de segurança, porque a porta 3389 é conhecida e alvo de ataques. Pois se esse é o problema, basta alterar a porta do remote desktop que tudo estará resolvido.

 

Alterando a porta no computador que receberá a conexão

  1. Inicie o Editor do registro.
  2. Localize e clique na seguinte subchave do registro:

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber

  3. No menu Editar, clique em Decimal;
  4. Digite o novo número de porta (entre 1025 e 65535) e clique em OK;
  5. Feche o Editor do registro.
  6. Reinicie o computador.

Outra alternativa é simplesmente criar um redirecionamento no firewall ou roteador de uma porta externa qualquer para a 3389, internamente.

Alterando a porta no dispositivo que fará a conexão

Quando for informar o endereço do servidor, basta informar a porta que usará.

Exemplo: seudominio.com: porta

seudominio.com.br:4328

Recuperando a senha de root no Ubuntu

Recebi alguns e-mails falando sobre meu post de recuperação da senha do SBS (http://bit.ly/cfcdUg), alegando que era uma falha do Windows e que isso jamais aconteceria no Ubuntu deles. Bem, eu já havia explicado que não era falha do sistema operacional, mas de qualquer forma, aqui vai para eles, como se pode obter o mesmo resultado no Ubuntu e reparem que é ainda mais fácil!!


Para alterar a senha do usuário root em um computador rodando Linux, você só precisa reiniciar a máquina no modo de usuário único (single user mode) e resetar ela.


Explicarei abaixo os passos para fazer isso numa instalação padrão do Ubuntu, com GRUB.


  1. Reinicie a máquina;
  2. Pressione a tecla ESC enquanto o GRUB estiver carregando, para acessar ao menu;
  3. Selecione o modo de recuperação (recovery mode) e tecle “b” para reiniciar a máquina no modo de usuário único (single user mode);
  4. Caso não haja a opção de recuperação, selecione a configuração de boot padrão e tecle “e” para editá-la;
  5. Selecione a linha que inicia com “kernel” e pressione “e” novamente para editá-la;
  6. No final desta linha adicione o parâmetro “single“;
  7. Pressione ENTER para gravar e “b” para reiniciar o computador;
  8. Após a reinicialização o sistema irá deixá-lo no prompt de comando, automaticamente logado como root;
  9. Digite “passwd” para alterar a senha do usuário root;
  10. Caso deseje aproveitar para alterar a senha de outro usuário, por exemplo, do João. Digite: “passwd Joao“;
  11. Informe a nova senha;
  12. Agora digite “reboot” para reiniciar no modo normal (não gosto muito de dar a saudação dos 3 dedos, também conhecida por Ctrl + Alt + Del).

Está pronto e nem precisei de nenhum DVD.


Como isso foi possível? Mesmos motivos explicados no post do SBS 2008.

Recuperando a senha do administrador de domínio do SBS 2008

Digamos que você tenha esquecido a senha de administrador do domínio de seu SBS, ou que o administrador de seu servidor deixou a empresa, mas não deixou a senha.


O que fazer agora? Reinstalar o servidor? Não, claro que não. Podemos recuperar esta senha, para tanto execute os seguintes procedimentos:


  1. Reinicialize o servidor usando o DVD de instalação do SBS;
  2. Depois de escolher o idioma e teclado, selecione “Recuperar o seu computador”;
  3. Selecione o “prompt de comando” e mude o drive de trabalho para o C:\, digitando “C:“;
  4. Digite “cd windows\system32“;
  5. Renomeie o arquivo do gerenciador de utilitários: “ren utilman.exe utilman.bak“;
  6. Copie o prompt de comando para ele: “copy cmd.exe utilman.exe“;
  7. Reinicie o servidor, mas desta vez não use o boot do DVD, deixe que o sistema carregue normalmente até a tela solicitando sua identificação (nome de usuário e senha);
  8. Na tela de login pressione as teclas “Windows + U“;
  9. Digite “net user [nome do usuário administrador do domínio] [nova senha para ele]“;
  10. Digite “exit“;
  11. Acesse o servidor com a nova senha que acaba de cadastrar;
  12. Tudo certo? Repita os passos de 1 até 4;
  13. Renomeie de volta o aplicativo de utilitário digitando: “ren utilman.bak utilman.exe“;
  14. Pronto!

Maravilha, mas você gostaria de entender o que acabou de fazer e como isso deu certo, não é? Pois vamos lá.


a) Primeiro precisamos entender o que é o aplicativo utilman.exe. Ele é o gerenciador de utilitários do Windows e serve para garantir a acessibilidade a pessoas com deficiências visuais, auditivas, que estejam com problemas no teclado, etc. Ele é um aplicativo do sistema, legítimo e não convém desabilitá-lo.


b) Mas como então consegui alterá-lo se é um aplicativo do sistema. Por que você estava no modo de recuperação, que é utilizado quando temos um problema justamente com os arquivos do sistema.


c) De onde surgiu aquele atalho “Windows + U“? Apesar de não ser dos atalhos mais conhecidos ele está lá justamente para facilitar o acesso a estas ferramentas de acessibilidade e se você pressionar esta combinação de teclas em qualquer momento após o carregamento do sistema o gerenciador será chamado.


d) Mas como ele pôde funcionar antes mesmo de inserir meu usuário/senha? Justamente para garantir que você consiga utilizar as ferramentas de acessibilidade para resolver o seu problema. Repare que não há nada de errado nisso e não é o fato de chamar estas ferramentas que permite a alteração de sua senha, mas o fato de termos alterado o arquivo que é chamado pela combinação de teclas e só conseguimos isso em função do item c);


e) O que eu poderia fazer se a conta de administrador do domínio foi renomeada e não sei o novo nome dela? Simples, basta que você digite apenas “net user“, sem informar o nome da conta, nem a senha. Desta forma, após alguns segundos, serão listadas todas as contas e você só precisará deduzir qual delas é a do administrador do domínio. Depois prossiga com a alteração de senha;


f) Como consegui alterar a senha a partir de um prompt de comando? Como tive privilégios para isso? Simples, antes de informar o nome do usuário e a senha, você está executando o sistema personificando o próprio sistema, ou seja, com privilégios de administrador de domínio. Com este perfil você pode tudo;


g) Então quer dizer que qualquer um pode emitir o comando “net user” e alterar qualquer senha? Não, de maneira alguma, apenas quem possuir privilégios suficientes para isso;


h) Mas então há uma gigantesca falha de segurança no sistema operacional? Não, de maneira alguma. Repare que este procedimento todo só funcionou porque você teve acesso ao DVD do sistema e o pior, acesso físico irrestrito ao servidor. Em outras palavras, violou claramente a 2ª e 3ª leis imutáveis da segurança explicadas neste post: http://carlosfprocha.com/blogs/paleo/archive/2010/09/04/as-10-leis-imut-225-veis-da-seguran-231-a.aspx. Em resumo, não há segurança que resista à falhas simultâneas nestas duas leis, independentemente do sistema operacional. A forma de realizar o procedimento vai variar de sistema para sistema, mas o resultado final será sempre o mesmo.

As 10 Leis Imutáveis da Segurança

Este post é baseada nas 10 leis imutáveis da segurança postadas no TechNet em: http://technet.microsoft.com/en-us/library/cc722487.aspx (clique no link para ler a versão completa, em inglês)


As 10 Leis Imutáveis da Segurança


Ao longo dos anos, os técnicos do Microsoft Security Response Center desenvolveram uma lista que passou a ser denominada “As 10 Leis Imutáveis da Segurança”.


Pois aqui estão elas:


1) Se uma pessoa mal intencionada persuadi-lo a executar um programa dela em seu computador, este não será mais o seu computador


Um fato lamentável da ciência da computação é que: quando um programa de computador for executado, ele fará o que foi programado para fazer, mesmo que tenha sido programado para causar danos. Quando você decide executar um programa, está decidindo entregar o controle do seu computador a ele. Uma vez que ele esteja rodando, poderá fazer qualquer coisa que você possa fazer. O limite dele é o de quem o executou. Este é o momento que agradecemos ter UAC (User Access Control) no Windows Vista e posteriores e por não utilizarmos uma conta com privilégios de administrador para as nossas tarefas diárias. Mas e quanto às pessoas que cansaram de usar o UAC e desabilitaram ele? Boa sorte para elas, pois derrubaram a última barreira defensiva contra este tipo de programa malicioso. O programa poderá monitorar as teclas que você pressiona e enviar a sequência delas para um site, ou abrir como documento que houver em seu disco e alterar uma palavra ou uma frase (que tal mudar o “Atenciosamente” de sua assinatura para “entendeu f… da p…?”. Imagine um cliente novo recebendo isso…), ou até mesmo instalar um vírus ou “back door” (porta dos fundos. Um programa que abre uma porta de comunicação entre o seu computador e o da pessoa mal intencionada) que permita que o seu computador seja controlado remotamente. Adicionalmente poderia realizar uma conexão discada com um provedor em Katmandu, através de um número que por tempo de conexão (imagine fazer isso as 0:00 e ficar conectado até as 08:00 a um custo de US$ 10.00 por minuto)? Ou se faltar criatividade à pessoa mal intencionada, pode simplesmente formatar o seu disco.


Agora você pode entender a importância de nunca executar ou mesmo baixar (fazer download) de um programa desconhecido ou que venha de uma fonte desconhecida (aqui vale salientar que “fonte” refere-se a quem criou o programa e não a quem lhe enviou ele. Há uma comparação interessante entre executar um programa e comer um sanduíche. Se um estranho que passa pela rua lhe der um sanduíche, você comerá? Provavelmente não, certo? Mas e se o seu melhor amigo lhe der o sanduíche? Talvez você coma, talvez não. Isso vai depender de quem fez o sanduíche, se foi este amigo ou se ele o encontrou na rua, caído no chão. Aplique o mesmo raciocínio crítico a um programa, que aplicou ao sanduíche e normalmente você estará seguro. Puxa, mas e toda aquela quantidade de programas que você baixou para realizar tarefas de seu trabalho, ou para obter músicas, de autores (programadores) dos quais você nunca havia ouvido falar antes? Exatamente, foram riscos que você aceitou correr, sanduíches que você comeu. Alguns poderiam estar bons, mas outros poderiam estar estragados e depois de comê-los não adianta reclamar do antivirus, de quem criou o seu sistema operacional ou de quem dá suporte a ele.


2) Se uma pessoa mal intencionada puder alterar o sistema operacional de seu computador, ele não será mais seu


Em resumo, um sistema operacional não passa de uma série de zeros (0) e uns (1), que ao serem interpretados pelo processador, fazem com que o computador realize determinadas tarefas. Altere esta sequência de zeros e uns, que ele fará algo diferente.Mas onde estão armazenadas estes zeros e uns? Ora, no disco de seu computador, junto com todo o resto! Eles não passam de arquivos, portanto se outras pessoas que usarem o computador puderem alterar estes arquivos, será “game over” (final de jogo. Nada mais poderá ser feito).


Para entender melhor isso, considere que os arquivos do sistema operacional são os mais confiáveis de seu computador (ou ao menos, aqueles nos quais “ele” mais confia), portanto eles são executados com o máximo de privilégios (máximo poder, máxima autoridade). Em resumo, eles podem fazer absolutamente qualquer coisa. Dentre outras coisas, eles podem gerenciar as contas de usuários, alterações de senhas, regras que definam quem pode ou não realizar determinadas atividades, etc. Se uma pessoa mal intencionada puder alterá-los, os arquivosque eram confiáveis (masjá não são mais) farão o que esta pessoa desejar e não haverá limites no que essa pessoa possa desejar. A pessoa poderá roubar senhas, se fazer passar pelo administrador da rede ou até mesmo adicionar funcionalidades totalmente novas ao sistema operacional (e pode ter certeza de que não serão do tipo que você gostará de ter). Para evitar este tipo de ataque, certifique-se sempre de que os arquivos de sistema, bem como o registro de seu computador (que de certa forma, faz parte deles) estejam bem protegidos. Verifique a lista de procedimentos deste site, para saber como fazê-lo: http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/z02b_security_checklists.asp .


3) Se uma pessoa mal intencionada tiver acesso físico irrestrito ao seu computador, ele não será mais seu


Há uma infinidade de coisas que uma pessoa mal intencionada pode fazer com o seu computador, se ela puder colocar as mãos nele! Vejamos alguns exemplos do que ela poderia fazer:


- derrubar toda a rede de sua empresa com ataques ao seu servidor;


- levar o seu computador embora e cobrar resgate para devolvê-lo (sequestro de computadores é algo que pode chegar a parecer cômico, mas pode ser bem mais rentável do que de pessoas (grandes empresas pagariam fortunas por seus dados secretos), possuindo penas muito menores para os criminosos (por não ser considerado um crime hediondo como o de pessoas);


- inicializar o seu computador através uma mídia externa (pen drive, disco externo, disquete, etc) e formatar o seu disco. Neste ponto alguns dirão: Que nada, eu configurei minha BIOS (sistema de gerenciamento da placa mãe), para requerer uma senha ao ligar o computador. Isto não adiantaria de nada, pois se esta pessoa puder abrir a “case” (carcaça, torre, caixa)  de seu computador e colocar suas mãos nos equipamentos existentes dentro dela, poderá substituir o chip (componente que armazena os dados e as configurações da placa mãe) ou simplesmente apagar as configurações dele (desta forma eliminando a senha que você configurou);


- remover o disco do seu computador, instalá-lo em outro computador e lê-lo. Bem, aí você dirá: ler o meu disco? Nada disso, meu sistema operacional dá suporte à criptografia do disco! Parabéns, mas você ativou esta funcionalidade??;


- duplicar o seu disco e levar a cópia para seus domínios (empresa, casa, etc). Uma vez lá, terá todo o tempo do mundo para realizar ataques de força bruta (testar todas as combinações possíveis) para quebrar as suas senhas. Existem programas disponíveis na internet para automatizar esta tarefa e tendo tempo suficiente para realizar este procedimento, é quase certo que obterá sucesso. Uma vez que obtiver sucesso, serão aplicadas as leis 1 e 2.


- substituir o seu teclado por um que contenha um rádio transmissor, desta forma tornando-se possível monitorar qualquer coisa que você digite, inclusive a sua senha.


Sempre certifique-se de que seu computador esteja fisicamente seguro, de uma forma consistente com o valor dele (lembre-se aqui que o valor dele é muito superior à soma do valor dos componentes que ele possui, pois ainda há o valor dos dados dentro dele, que normalmente é o maior de todos. Isso sem falar no valor do acesso à sua rede). Em função disto, quaisquer tipos de servidores devem sempre estar dispostos fisicamente em ambientes fechados, onde apenas pessoas ligadas à sua manutenção e administração tenham acesso físico.


Se você leva seu notebook em viagens estas precauções tornam-se ainda mais importantes. As mesmas características que tornam os notebooks (tablets, netbooks, etc), ótimos companheiros para viagens (tamanho e peso reduzidos, etc) também os tornam ideais para serem roubados. Existe uma grande variedade de dispositivos de segurança para eles, que vão desde trancas até alarmes. Outros modelos permitem que você remova seus discos e leve eles junto ao seu corpo (no bolso da camisa, por exemplo). Você também pode criptografar o sistema de arquivos deles (disponível no Windows desde a Windows 2000), para tentar reduzir o dano causado por quem roubar um deles. Mas a única forma que você pode ter 100% de certeza de que seus dados estejam seguros é se mantivê-los junto a você durante toda a viagem.


4) Se você permitir que uma pessoa mal intencionada envie (upload) programas para o seu site (website), ele não é mais seu


Esta é basicamente a lei 1 invertida. Neste cenário, a pessoa mal intencionada faz com que sua vítima (que neste caso pode ser você, um empregado seu, um cliente, ou um amigo seu) baixe (download) o programa malicioso para o seu computador e execute-o, por considerá-lo confiável (afinal de contas, estava no “seu” site). Adicionalmente, neste caso a pessoa mal intencionada pode fazer com que o site envie o programa para o computador de quem acessá-lo, com a desculpa de ser uma atualização para o seu navegador. Ao chegar, o próprio programa se executa e o estrago estará feito.


Se você possui um site deverá sempre restringir o que os visitantes podem fazer nele. Só permita a existência de programas nele, se foi você quem os criou, ou se você realmente confia em quem os criou. Ainda assim, isto pode não ser o suficiente, pois se o seu site estiver hospedado em um daqueles provedores com servidores compartilhados (quase todos da web), seus cuidados devem ser ainda maiores. Caso a pessoa mal intencionada consiga comprometer qualquer um dos outros sites que estejam no mesmo servidor que o seu (e você não sabe quem são eles) e o servidor esteja mal configurado (o que você nunca saberá se é o caso), esta pessoa poderá ter acesso aos dados no seu site. Antes de abrir seu site ao acesso público, certifique-se de seguir o disposto aqui: http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/iisbook/z02b_security_checklists.asp


5) Senhas fracas destroem seguranças fortes


O propósito de existir um processo de “logon” (exigência de nome de usuário e senha) é para estabelecer quem você é. Uma vez que o sistema operacional sabe quem você é, poderá lhe permitir ou negar acesso a recursos. Se uma pessoa mal intencionada obtiver acesso à sua senha (lendo aquele post it no seu monitor, ou aquela anotação na sua agenda), ela poderá acessar ao sistema, como se fosse você. Na verdade, para todos efeitos, o sistema operacional assumirá que “é” você. Qualquer coisa que você possa fazer, esta pessoa também poderá e usando o seu nome. Pode ser que desej ler seus e-mails, ou realizar tarefas que só você deveria poder (caso seja alguém que trabalhe com você), ou queria realizar algo de ruim, para que você sofra a punição.


Sempre use uma senha, jamais configure o seu computador com aquelas senhas em branco. Quando for escolha sua senha, prefira as que forem complexas. Jamais use o nome de seu cachorro, datas importantes, nome de seu time favorito, etc. Se possui dúvidas sobre como criá-las leia este post: http://carlosfprocha.com/blogs/paleo/archive/2010/08/22/senhas-no-sbs.aspx


 Aqui vale lembrarmos as palavras de Benjamin Franklin (ex-presidente americano e grande estadista): “Duas pessoas podem guardar um segredo, desde que uma delas esteja morta.”


6) Um computador é sempre tão seguro, quanto o seu administrador for confiável


Todo computador deve possuir um administrador e neste contexto isto significa: alguém que possa instalar programas, configurar o sistema operacional, adicionar e gerenciar contas de usuários, estabelecer políticas de segurança e realizar todas as demais tarefas associados com o fato de manter um computador rodando (funcionando). Por definição, estas tarefas requerem que ele tenha controle sobre o computador, colocando-o em uma posição sem poder equivalente, sendo o dele o máximo. Um administrador não confiável (ou em alguns casos prestes a ser demitido, ou recém demitido, de acordo com a índole dele) pode desabilitar qualquer medida de segurança que você tenha implementado, instalar programas maliciosos, criar usuários fictícios, ou fazer qualquer outra coisa que venha a lhe prejudicar. Se você possui um administrador não confiável, não possui segurança alguma.


Quando for contratar um administrador para a sua rede ou o seu computador, leve em consideração que estará entregando toda a segurança de seus dados a ele, portanto seja criterioso na sua escolha. Ele precisa além de possuir sólidos conhecimentos sobre o trabalho que executará, sólidos valores morais (o que nem sempre é fácil de medir). Utilize controle de acessos na sala de seu servidor, para saber quem entrou/saiu e quando (você tem esta sala, certo? Caso contrário, re-leia a lei 3).


7) Dados criptografados (com informações cifradas) são tão seguros quanto a chave de descriptografia deles


Imagine que você instalou a maior e mais forte fechadura em sua porta da frente, mas deixou a chave embaixo do tapete de entrada. Realmente não fará diferença alguma o quão forte for esta fechadura, certo? O fator crítico será a precária forma com que a chave foi protegida (o tapete sobre ela), pois se ela for localizada, só será necessário abrir a porta com ela. Dados criptografados funcionam da mesma forma, não importando o quão forte for o algoritmo de criptografia, mas sim a chave de decriptografia dele.


Muitos sistemas operacionais e programas de criptografia lhe permitem armazenar a chave de decriptografia no seu computador. A vantagem naturalmente é a conveniência (você não precisa se preocupar em localizá-la), mas o custo dela é uma grande redução na segurança. Normalmente estas chaves são ofuscadas (com o sentido de escondidas) e alguns métodos de ofuscá-las são muito bons. De qualquer forma, no final, não faz muita diferença o quão bem elas foram escondidas, pois se estão no computador podem ser encontradas. Afinal de contas, elas tem de ser, pois o programa que as usa precisa encontrá-las, portanto bastaria monitorá-lo, para encontrá-las também. Só vai depender do grau de motivação desta pessoa mal intencionada. Sempre que possível, use fontes externas de armazenagem para estas chaves. Se for uma palavra ou frase, memorize-a. Se não for o caso, exporte-a para um pen drive ou algo do gênero. No mínimo você estará dificultando a vida desta pessoa mal intencionada.


8) Um Antivírus desatualizado é apenas marginalmente melhor do que nenhum


Os antivirus funcionam comparando os dados em seu computador com uma coleção de “assinaturas” de vírus. Cada “assinatura” é característica de um vírus em particular, portanto quando o antivirus encontra dados em um arquivo, e-mail, ou qualquer outro lugar, que combine com alguma assinatura, ele conclui que seja um vírus. Entretanto, o antivirus só consegue localizar vírus que ele “conheça”, daí a importância de manter o seu antivirus atualizado, pois o que ele atualiza é justamente esta coleção de assinaturas.


Um novo vírus faz o maior dano de todos justamente logo após o seu lançamento, exatamente porque poucas pessoas possuem antivirus capazes de detectá-lo. Uma vez que ele se torne conhecido e sua assinatura seja distribuída aos antivirus, sua eficácia desaba. O segredo reside em atualizar o seu antivirus sempre antes de ser atacado pelos novos vírus. Isso significa que mesmo possuindo um antivirus atualizado posso ser infectado? Sim, pode. É tudo uma questão de tempo. Se você receber o vírus antes do seu antivirus receber a vacina para ele, não terás defesas e serás infectado. Mas então de que adiantam os antivirus? É tudo uma questão estatística. Possuindo um antivirus atualizado a sua chance de ser infectado passa a ser mínima, ainda que não seja nula.


Adicionalmente, os fabricantes de antivirus desenvolvem constantemente novas técnicas de detectar vírus, daí a importância de possuir a última versão do antivírus e não apenas o último arquivo de atualizações. Mas então deve estar sempre investindo meu dinheiro nisso? Não necessariamente, pois há vários antivirus bons e gratuitos.


Como por exemplo este: http://xa.ly/6Wb


Ou você também pode usar as versões online deles: http://xa.ly/7Wb


9) Anonimicidade absoluta não é prática, na vida real nem na web


Toda interação humana envolve algum tipo de troca de informações. Se alguém reune dados suficientes, então consegue identificar você. Imagine quantas informações podem ser obtidas através de uma simples conversa com você. No mínimo pode deduzir, sua altura; seu peso; de acordo com o seu sotaque, descobrir de onde você é. Caso você converse sobre qualquer coisa além do tempo, deixará vazarem informações sobre sua família, seus interesses, onde mora e com o que trabalha. Em resumo, não leva muito tempo para a outro pessoa conseguir traçar um perfil seu. Por outro lado, se você insistir em ser anônimo, sua melhor chance é viver em uma caverna, sem contato com humanos, :).


O mesmo vale para a internet.Ao visitar um website, o dono dele pode coletar informações a seu respeito. Todos os zeros e uns daquele site precisam chegar em seu computador para que você os leia e portanto eles tornam o seu computador restreável (alguns mais e outros menos). Você até pode usar softwares que despistes esta busca, mas no momento que encontrar aquele super vale brinde em um site e desejar possuir ele, terá de permitir um contato direto e neste momento fostes localizado. Ok, foi apenas por um website. Será? Como fica caso o dono deste website costume compartilhar seus dados com outro dono de site, ou seja do tipo que vende a listagem de clientes?


Isto significa que não haja possibilidade de ser anônimo na web? Não, apenas significa que você nunca conseguirá ser 100% anônimo e portanto deve seguir as mesmas regras de preservação que segue no mundo real.


10) Tecnologia não é uma panacéia


Panacéia vem da mitologia grega, onde representava a Deusa da cura. É usado atualmente com o sentido de cura e no enfoque presente serve para lembrar que a tecnologia não pode ser vista como a cura para todos os males.


Por mais que atecnologia possa fazer coisas incríveis por nós, ela está longe de ser o remédio para todos nossos males. A segurança perfeita requer um nível de perfeição que simplesmente não existe e provavelmente nunca venha a existir. Isto é simplesmente um fato da vida.


Por outro lado, mesmo que os programas pudessem ser perfeitos, isto não resolveria o problema por completo, pois a maior parte dos ataques possui origem em manipulação de origem humana, o que normalmente chamamos de “engenharia social”. Basta que você amplie o custo e a dificuldade para se atacar a um sistema, que as pessoas mal intenciosada passarãoa desviar o seu foco da tecnologia e ampliá-lo às pessoas que operam os consoles.


Em resumo, o importante é sempre ter em mente duas coisas:


a) segurança consiste de duas partes: tecnologia e política;


b) a segurança é um caminho, não um destino, ou seja, ela não é um problema que possa ser resolvido, mas uma série constante de movimentos e contra-movimentos (movimentos defensivos) entre as pessoas bem e as mal intensionadas.


 

Senhas no SBS

Na verdade isso serve para senha em qualquer lugar, mas como o foco é o servidor, falemos dele.


Que tamanho possui a sua senha? A maioria das pessoas ainda possui aquelas senhas de 8 caracteres, que eram as recomendadas até pouco tempo atrás. Mas por que então deveríamos para de usá-las?


Alguns cientistas usando um cluster, conseguiram quebrar senhas de 8 caracteres em menos de duas. Então eles tentaram quebrar senhas de 11 caracteres e a estimativa foi de 180 anos. Quando tentaram senhas de 12 caracteres a estimativa foi de 17.134 anos.


Considerando-se um princípio básico de nunca recomendar senhas que se leve menos de 1.000 anos para quebrar, a nova recomendação passa a ser de senhas com 12 caracteres.


Mas de onde sai essa idéia de não se usar nada que leve menos de 1.000 anos para quebrar? 1.000 anos atrás nem se pensava em computadores e daqui a 1.000 nem estaremos mais vivos (ainda que fóssemos gostar de estarmos, :D). Simples, a tecnologia evolui em um ritmo tão rápido, principalmente em termos de capacidade de processamento, que uma senha segura por 1.000 anos, torna-se insegura em menos de 6 anos.


Ok, maravilha, 6 anos, mas então por que preciso trocar minha senha a cada 90 dias na empresa onde trabalho? Porque isso é considerado uma boa prática de segurança e serve para garantir que sua senha “nunca” seja quebrada.


Certo, mas se senhas de 8 digitos levam 2 horas para serem quebradas, de 11 digitos levam 180 anos, caso utilize uma senha de 10 dígitos estarei perfeitamente seguro durante os 90 dias. Certo? Não exatamente, pois se leva até 2 horas ou até 180 anos. Porém nada impede que a senha seja quebrada em apenas alguns minutos, dependendo da “sorte” de quem a tenta quebrar.


O tamanho de sua senha, em alguns casos, pode determinar a vulnerabilidade dela, segunda Joshua Davis, um pesquisador do Georgia Tech Research Institute


Segundo Richard Boyd, um dos pesquisadores chefe, envolvido nesta pesquisa, é difícil dizer o que ocorrerá no futuro, mas as pessoas só deveriam ser usadas senhas de 12 dígitos hoje em dia.


As estimativas de tempo deles foram realizadas considerando que um cracker sofisticado consegue, atualmente, testar 1 trilhão de combinações de senhas por segundo.


Mas como então alguém conseguirá lembrar-se de uma senha dessas? O recomendado é que sejam utilizadas frases para a criação das senhas. Pesquisadores da Carnegie Mellon University (http://www.cs.cmu.edu/~help/security/choosing_passwords.html) sugerem que utilize-se a primeira letra de cada palavra da frase para formar a senha e ainda alteremos algumas letras por símbolos.
Ficaria algo como:
 Frase: “Eu gosto muito de comer morangos com chantily umas 2 ou 3 vezes por semana.”
 Senha: “Egmcmc2o3ps


 Frase: “Tenho dois filhos: João e Maria. Eles fazem faculdade 3 vezes por semana.”
 Senha: “T2f:JeM.Eff3vs


Naturalmente a segunda senha é muito melhor do que a primeira demonstrada, pois ela possui os 4 conjuntos de caracteres!


Como assim 4 conjuntos de caracteres? Existem 4 conjuntos de caracteres que podemos utilizar em nossas senhas, a saber:
1 – Números: 0 – 9 (contém 10 possíveis)
2 – Letras Minúsculas: a – z (contém 27 possíveis)
3 – Letras Maiúsculas: A – Z (novamente contém 27 possíveis)
4 – Caracteres Especiais: !@#$%¨&*:>< (depende do idioma que se usa, mas são no mínimo 69 possíveis)
A lógica é de análise combinatória simples, quanto maiores as possibilidades, mais tempo se leva para “adivinhar” a escolha.


Claro, temos que considerar que os pesquisadores utilizaram o método da força bruta para tentar quebrar as senhas, que é o mais demorado, pois testas todas as combinações possíveis.


Que outros métodos são comuns?
1 – Ataque por dicionário: Consiste em testar todas as palavras existentes em um dicionário, partindo-se do principio que a maioria das pessoas usam palavras em suas senhas;
2 – Ataque Híbrido: O mais comum e que surte bons resultados. Consiste em mesclar os dois métodos anteriores. Se considerarmos que muitas pessoas usam de senhas os seus endereços, este método surtiria um ótimo efeito, mesclando palavras de dicionários com o conjunto dos números.
Os tempos para descoberta de senhas diminuem vertiginosamente quando se utiliza um destes dois métodos.


Mas como então lembrar de todas estas senhas? Temos várias que usamos no nosso dia-a-dia.


Existem sites e programas para ajudá-lo nisso, mas sempre há um risco colateral no uso deles. Qual? Que alguém tenha acesso ao repositório deles, pois neste caso teria acesso a todas as suas senhas de uma única vez.
 http://passwordsafe.sourceforge.net/


Se você pensar o estrago que ter uma senha violada, como por exemplo, a do seu Facebook, que lhe dá acesso a vários outros sites ou serviços, imagine o problema de perder todas elas de uma única vez?


Desta forma, o mais recomendado é que você utilize frases longas e uma lógica que só você conheça para formar suas senhas. Neste caso poderá até anotar suas frases, pois ninguém mais saberá convertê-las nas senhas. Melhor ainda se durante a montagem da senha você pular algumas palavras e adicionar alguns espaços.


Ótimo, mas o que tudo isso tem a ver com a minha senha do SBS? Tudo, pois o que estamos discutindo aqui, em resumo, é o estabelecimento de uma política de senhas e ainda lhe dando os argumentos para fornecer aos seus usuários, quando estes reclamarem e pode apostar que eles irão!

Antivirus Online

Você já necessitou usar um antivirus, sem instalar ele?


  1. Avast! Online Scanner
  2. Bitdefender Online Scanner
  3. CA Virus Scanner
  4. Dr. Web Online Checher
  5. Eset Online Scanner
  6. F-Secure Online Scanner
  7. Jotti Malware Scanner
  8. Kaspersky Free Virus Scan
  9. McAfee FreeScan
  10. Microsoft OneCare Live
  11. Panda ActiveScan
  12. Panda ActiveScan 2.0 (ex NanoScan)
  13. Shields Up!
  14. Symantec Security Check
  15. Trendsecure HouseCall
  16. Virus.Org Rogue File Scanning Service
  17. VirSCAN Multi Engine Virus Scanner
  18. VirusTotal Online Scan
  19. GFI EndPoint

 Para rodar a partir do pen drive (outra alternativa ótima, especialmente se o seu tiver o switch para proteger contra gravação):


ClamWin Portable

Quem protege nossos protetores???

As empresas de antivirus nos protegem contra hackers, vírus, worms, phishing, etc, etc. Mas quem protege elas???


Muito se ouve falar sobre quem é melhor: Symantec vs Kaspersky vs Eset-(Nod32) vs AVG vs F-secure vs Trendmicro


Mas o que dizer quando todos estes fabricantes possuem vulnerabilidades em seus próprios sites?


http://nemesis.te-home.net/News/20090510_Vulnerabilities_in_Websites_of_6_Antivirus_Vendors.html


Qual tipo? XSS


O que é XSS??

O XSS, ou Cross Site Scripting é um método de ataque onde um site não filtra suficientemente os parâmetros que recebe dos browsers, tem seu funcionamento interno confundido e pode, se devidamente orientado, exibir conteúdo de outros sites sob a própria URL.

 

Network Monitor 3.2 disponível

Já está disponível o Network Monitor 3.2. Quer saber quais as novidades?


- Monitoramento de processos. Com ele você pode identificar aplicativos que estejam enviando dados pela rede, com o nome do processo e PID. Com o modelo de árvore você poderá ver o que está associado a cada processo.



- O motor de capturas foi redesenhado para operar de forma mais adequada em redes de alta velocidade, perdendo muito menos pacotes do que o Network Monitor 3.1;


- Encontre conversações: Era muito complexo acompanhar trocas de dados na rede e muitos solicitavam uma ferramenta melhor para isso, pois ela foi incorporada. Apenas dê um clique direito em um frame e mande localizar as conversações. Acompanhe streams FTP, fluxos HTTP, etc.



 


O produto está disponível em: http://www.microsoft.com/downloads/details.aspx?FamilyID=f4db40af-1e08-4a21-a26b-ec2f4dc4190d&DisplayLang=en