Tema: segurança

Internet

WordPress sob ataque

WordPress Brute Force

Segundo relatos de grandes provedores de infraestrutura e hospedagem, como o HostGator e o CloudFlare, está acontecendo um enorme ataque a sites movidos a WordPress em toda a Internet. A técnica conhecida como Brute Force Attack, utiliza o método de “tentativa e erro” para tentar descobrir senhas simplesmente “chutando-as” (óbvio, com a utilização de enormes dicionários e muitos computadores, isso fica muito mais fácil e rápido).

Foi divulgado o número de 90.000 IPs trabalhando para tentar invadir as áreas administrativas de sites em WordPress. Da maneira mais simples, o sistema tenta acessar a área wp-admin e efetuar o login com o usuário “admin” que é setado por padrão em toda nova instalação do CMS.

Como são requisições comuns de login e de forma distribuída, fica impraticável fazer o controle manual das tentativas e bloqueá-las, no entanto, algumas precauções podem ser tomadas para evitar grandes tragédias. Continue lendo “WordPress sob ataque”

   Manoel Netto    Em: 12/04/2013
Util

Como instalar o Token e Certificado Digital e-CNPJ no Mac

SafeNet-on-MacOSEssa é uma daquelas coisas que a gente sempre vai empurrando com a barriga até o dia em que realmente precisa. Quando tive que implementar o Certificado Digital em minha empresa, foi na correria. Tinha que emitir a NF-e Paulista naquele dia e descobri da necessidade do token, do prazo para cadastro, etc. Resultado: alguns dias de atraso no pagamento e muita correria para emitir a nota.

Como não havia um tutorialzinho básico na Internet e, por telefone, o suporte técnico dos Correios falou que só dava suporte para Windows, acabei instalando tudo no computador da empresa que estava prestando serviços e pronto. Não toquei mais no assunto, problema resolvido.

Aí hoje eu precisei emitir uma nota e … f*deu. Segui 3 procedimentos diferentes que achei na Internet, e após 3 horas de pesquisa – incluindo uma busca louca pelos documentos que usei para criar o certificado na primeira vez – consegui instalar tudo e fazer funcionar no MacOS, sem precisar instalar uma Virtual Machine de Windows (a solução mais rápida). Continue lendo “Como instalar o Token e Certificado Digital e-CNPJ no Mac”

   Manoel Netto    Em: 22/06/2012
Mobile

Multifactor Authentication na DreamHost

google-authenticator-logoA DreamHost, um dos webhostings mais conhecidos e utilizados na blogosfera brasileira (e lá fora também), implementou por esses dias a Autenticação Múltipla (numa tradução livre de Multifactor Authenticator) em seu painel de controle. Em parte isso se deve a um dos últimos episódios de hacking envolvendo a DreamHost, quando seus usuários tiveram suas senhas de painel expostas a um grupo invasor e rapidamente a DH agiu de forma corretiva. Essa é uma ação preventiva.

Tendo em vista uma invasão ainda mais recente envolvendo o LinkedIN (unsalted passwords, LinkedIN? Really?), qualquer iniciativa de tornar o processo de login um pouco mais seguro, é sempre válida. E no caso da DH, a solução adotada foi o uso de um token virtual em forma de aplicativo mobile. O escolhido foi o Google Authenticator.

O que é o Google Authenticator e como utilizá-lo

Você provavelmente utiliza em seu acesso ao Internet Banking alguma forma de autenticação secundária, seja através de um cartão de códigos (bizarro) ou um token eletrônico em forma de chaveiro. Alguns bancos já possuem token eletrônico, em forma de aplicativo móvel e/ou extensão do browser. Nada mais é que um gerador automático e temporal de senhas dinâmicas. Uma segunda senha que só quem sabe é quem tem acesso ao token.

O Google Authenticator App é um desses geradores, que possui duas formas de apresentar os códigos: em forma de contador, em que cada vez que você utiliza ele gera um código, e temporal, que muda o código a cada intervalo de tempo, bem pequeno, sendo assim mais seguro.

O aplicativo é multiplataforma. Existem versões para iOS, Android, BlackBerry e Windows Phone, abrangendo praticamente todo o mercado mobile e por isso, a opção mais adequada a ser adotada pela DreamHost. Para baixá-lo, apenas acesse sua loja de aplicativos mobile de costume e busque pelo nome – ou acesse a wiki da DH e veja os endereços.

Após a instalação do aplicativo, basta clicar no “+” e criar uma nova autenticação com o site escolhido. No passo a passo abaixo, aprenda como criar uma autenticação secundária no seu painel da DreamHost. Continue lendo “Multifactor Authentication na DreamHost”

   Manoel Netto    Em: 07/06/2012
Internet

Phorm desembarca no Brasil, trazida pela Oi

O meu amigo Knutz avisou lá no CyberVida sobre a vinda do Phorm para o Brasil. A solução, que já foi banida na Europa, enfrenta um sério movimento de resistência na Internet, inclusive com grandes nomes se juntando ao protesto. A Phorm fornece uma forma de rastrear os passos do usuário na Internet e (teoricamente) utilizá-los para fornecer publicidade direcionada.

Uma solução controversa similar já é utilizada pela Google em seu AdWords/AdSense desde o ano passado, sem muito alarde. Nesse caso, o usuário só consegue ser rastreado em sites em que a solução de publicidade da Google é utilizado e, também teoricamente, só serve para montar um “perfil de consumo” de publicidade segmentada.

Segundo a matéria divulgada na Revista Época, o programa BT Webwise da Phorm entra no paí­s com o nome de “Navegador” e vem trazido pela operadora Oi Velox. O programa já está sendo testado com clientes de banda larga do Rio de Janeiro da operadora e promete ser a próxima dor de cabeça da privacidade. Instalado e ativo no provedor, é possí­vel rastrear toda e qualquer ação que o usuário faz via Internet, além de poder monitorar o conteúdo dessa navegação (exceto, claro, nos sites seguros, com criptografia).

A empresa afirma que o serviço será “opt-in” (o usuário escolhe quando participar), mas na British Telecom, na Inglaterra, paí­s de origem da empresa, o problema começou justamente porque isso não aconteceu. Todos os clientes usavam, sem saber, o tal programa e só pedindo pra sair é que eram (supostamente) removidos do programa. Você confia numa empresa que já fez isso antes? Acredita que aqui será diferente, ou mesmo que eles realmente deixarão de rastreá-lo caso você peça? Se você é security freak como eu, certamente prefere não arriscar. Continue lendo “Phorm desembarca no Brasil, trazida pela Oi”

   Manoel Netto    Em: 07/06/2010
Internet

Trojan infecta blogs em forma de applet

Está rolando há algumas semanas já, mas como tenho visto voltando, achei melhor alertar por aqui e pedir que espalhem o aviso. Um applet malicioso distribui trojan como se fosse atualização do plugin Flash em blogs, principalmente, mas não exclusivamente.

Os atacantes estão usando diversas formas de fazer com que o código malicioso seja implementado nos blogs:

1. Explorando falha em blogs com versão desatualizada do WordPress

De tempos em tempos o WordPress, plataforma de blogs gratuita e muito utilizada em todo o mundo, disponibiliza atualizações de seus arquivos. Algumas dessas atualizações incluem correções de falhas de segurança. É sempre importante ficar atento e fazer os updates quando solicitado.

Nas versões mais novas do WP, isso pode ser feito em apenas 2 cliques, sem qualquer dificuldade por parte de quem utiliza o WP e não possui habilidades com servidores e procedimentos técnicos. O próprio sistema faz tudo por você, mas você precisa pedir que ele se atualize.

Na área administrativa do blog, você verá um aviso marcado em amarelo no topo da página, avisando que existe uma atualização disponí­vel e um link para atualizar. Ao clicar nesse link, uma nova tela será aberta para confirmar a atualização, basta clicar no botão “atualizar automaticamente”. Lembrando que a versão mais nova disponí­vel é a 2.9.2.

2. Distribuindo em temas gratuitos disponí­veis para download

Evite baixar temas de outros sites que não estejam no repositório de temas oficial do WordPress. Se fizer isso, pois existem vários temas Premium fora do repositório, principalmente os que não são gratuitos, sempre procure dentro do código fonte por chamadas estranhas.

O que você deve procurar:

  • Chamadas externas de qualquer natureza. Se o tema pede uma inclusão de arquivo fora do seu domí­nio, desconfie e verifique do que se trata;
  • Chamadas para arquivos Flash que não deveriam estar presentes no tema. Se você não baixou um tema com Flash, uma chamada dessas pode esconder um código malicioso.
  • Chamadas para Applets. Essa praga era usada no tempo do ronca para executar coisas que hoje fazemos com Flash, CSS ou HTML5, portanto, deixe-a relegada aos bancos e suas traquitanas de segurança. Applet é um troço que roda na máquina do usuário e, se o mesmo permitir, pode fazer leitura e gravação em disco local, uma potencial falha de segurança (e a gente sabe que o usuário permite sempre né?).
  • Links estranhos escondidos com CSS. Muitos temas podem servir para referenciar sites maliciosos, fazendo com que os backlinks para esses sites os destaquem nos mecanismos de busca. Não suporte parasitas, só dê link para o autor do tema, se não for um site-armadilha.

3. Distribuindo em plugins gratuitos disponí­veis para download

Os plugins agem no WordPress como extensão do aplicativo. Isso faz com que o comportamento do sistema possa ser comprometido e o seu blog se tornar ví­tima de golpe ou distribuidor de arquivos maliciosos. Se você não tem habilidades técnicas para verificar o código de um plugin, baixe sempre de sites confiáveis, como o próprio repositório do WordPress. Leia os comentários dos usuários sobre o plugin, a compatibilidade e se verificar algum problema, relate, é sua ajuda que faz com que o repositório se mantenha limpo. Continue lendo “Trojan infecta blogs em forma de applet”

   Manoel Netto    Em: 17/02/2010