Curso de Linux – Vídeo Aulas Linux – Ubuntu – Debian – Treinamento Linux

Blog do Márcio d’Ávila » LastPass vs KeePass – round 1

Chakuriki Brasil – Muay Thai, Karatê, Kickboxing, Boxing – JF/MG

Você já está cheio do seu log de sistema lhe entupir com relatórios de centenas (ou até milhares) de falhas de tentativas de autenticação SSH por script kiddies buscando entrar na sua máquia?

Eles não causam dano enquanto estiverem falhando mas ainda assim incomodam. Mas há algumas maneiras de evitá-las. A melhor – desde que você nunca precise de acesso SSH de fora da sua rede – é fechar a porta 22 do seu roteador, e ninguém poderá entrar. Outra opção é executar um programa como Fail2ban ou DenyHosts. Eles vigiam seu arquivo de log por falhas de tentativas de login repetidas pelo mesmo endereço IP e adiciona o IP nas regras do seu firewall para bloquear qualquer futuro contato do remetente por um tempo.

A terceira opção é ridiculamente fácil. Tentativas de quebra de SSH geralmente assume que o SSH é executado na porta padrão 22; mude para uma alta e aleatória porta e as tentativas de quebra desapareção por mágica. Altere /etc/ssh/sshd_config e modifique a diretiva de escuta para algo como:

Listen 31337

e reinicie o sshd. A única desvantagem disso é a incoveniênica de precisar adicionar esta porta no commando ssh cada vez que você se autentica, mas você pode usar um apelido para lidar com isso:

alias myssh ssh -p 31337

pdftk – the pdf toolkit

Bem vindo | HDFree Brasil

Hospedagem de páginas gratuitas

Dividindo dados em colunas – Mauro Pichiliani – SQL Server

yfrog – Share your images/videos on Twitter!

Media Converter – the fastest free online audio and video converter

Top 100 Open Source Security Tools

Afinador eletrônico

Texas Stadium Fail « FAIL Blog: Pictures and Videos of Owned, Pwnd and Fail Moments

E o windows…

Gráfico da produtividade moderna » CrisDias weblog

The Novel 100: The 100 Greatest Novels of All Time

Os 100 livros que moldaram a história mundial

“Clientes podem demitir todos de uma empresa, do alto executivo para baixo, simplesmente gastando seu dinheiro em algum outro lugar.”

Longman English Dictionary Online

Dicionário Inglês-Inglês com extensão para Firefox

Blog do Márcio d’Ávila » Cuidado – A fraude evoluiu

E seus comerciais! É pura hipocrisia! Pura enganação! Não se iludam! A Caixa não facilita em nada. E no que ela faz, ela faz errado e ainda lhe prejudica ao máximo!

Eu que o diga, ainda mais depois que a Caixa obrigou uma abertura de conta no meu nome quando eu queria mesmo era pegar o ConstruCard e não a fechou quando houve o encerramento do cartão. Encerraram o cartão, mas mantiveram a conta aberta. Avisaram para alguém? Que nada! “Está tudo encerrado com a caixa”. Depois de um tempo colocou o meu no SPC mesmo sem eu ter usado a conta uma única vez (e ter pedido para encerrar tudo). Deixaram a taxa de manutenção alcançar R$ 500,00 no cheque especial para comunicar dois meses depois.

Vou à agência para falar com a “gerente da minha conta”. Fico lá mofando algumas horas e, depois de encher a paciência de alguém, fico sabendo que “ela está ocupada com algo muito urgente e não está atendendo hoje”. Pra quê me deram a senha para ela me chamar então?

Sou atendido por um gerente chamado Gustavo. Depois de explicada toda a história ouço: “vamos varrer a sua conta e tirar um extrato total e a gerente vai lhe telefonar para acertar os detalhes, ao mesmo tempo estou fazendo o pedido para retirar o seu nome do SPC, pois você já veio aqui para negociar”. Até hoje estou esperando a ligação. Quando ligo para lá, o que me falam? “A sua gerente mudou de setor temporariamente e não recebe nem faz ligação, está dedicada”. Ah… e quem é meu novo gerente? “É ela mesma”.

Quando vou à agência novamente para resolver, quão feliz eu fico ao saber que o tempo que o tal do Gustavo pediu para experar não só foi contado como tempo para correr juros como o pedido de retirada do nome do SPC não foi enviado? Imagino quantas vezes a Caixa deve ter sido responsável por infartos… Mas vou para o que interessa hoje. Se eu continuar não vou parar, pois a história é longa.

Ao ler sobre FGTS hoje, resolvi consultar o meu saldo. Entrei no site da caixa e acessei a área de extrato do FGTS. Ó que mensagem linda:

Erro HTTPS

Eu achei que estava no site de um banco. Mas… Banco possui certificado com expedidor desconhecido? A caixa tem. Você se sente total segurança, né? Nos tempos atuais, com informações importantes que trafegam na rede, é óbvio que você se sente totalmente inseguro!

Aliás, é impressionante o número de serviços relacionados ao governo que tem uma falsa certificação por trás. Na verdade, não há certificado algum, apenas o redirecionamento para as portas encriptadas. Mas é o óbvio de novo: se não há certificado, também não há certeza de encriptação. Nem esse pequeno cuidado têm com os utilizadores dos serviços. “Problema é deles. Que seus dados sejam roubados mesmo.” Só imagino este comentário o tempo todo.

Depois de adicionar uma exceção, à contra-gosto, acesso a área onde coloco o número do PIS e a senha. Neste passo tudo bem e a mensagem:

Mensagem de erro para o PIS

Ah, legal. Realmente nunca recebi esta senha. Então vamos no “Converse com a caixa”? Não, não vamos.

Inexistente

Então temos que ligar mesmo. Vamos à lista do “Disque caixa”?

Página não encontrada

E a Caixa ainda tem o despautério de usar “o banco que acredita nas pessoas” como slogan. Sei… Esse slogan se transforma tanto na minha cabeça…

A Juliana Barreto, da Info, divulgou que o Google ajuda a descobrir senhas de blogs, especificamente o WordPress. Outros meios de comunicação também divulgaram, mas mencionei a Info por ser um canal de renome quanto as informações de tecnologia (embora o MeioBit já se tornou o canal mais poderoso e correto em minha opinião).

Tudo não passou de uma notícia divulgada apressadamente, sem uma apuração cuidadosa do fato. Levo em conta que uma jornalista que esteja trabalhando na Info conheça algo de tecnologia, ou pelo menos sabe onde procurar informações que dêem embasamento às suas informações e notícias. Tivemos, infelizmente, uma disseminação da insegurança àqueles que utilizam o wordpress.

O Élcio, preocupado com a falta de segurança noticiada, resolveu apurar e o resultado é muito diferente do divulgado. Convido-os a visitar o Blog Fecha Tag para ver o que ele escreveu (e também convido-os a acompanhar, pois há conteúdo de primeira qualidade). De qualquer forma, peço licença a ele para copiar aqui:

Para começar, leia o trecho a seguir desta notícia na INFO Online:

Mas, quando tentou o Google, o especialista descobriu que serviço de publicação de blogs WordPress é vulnerável a pesquisas específicas. O site armazena dados como hashes MD5, que podem conter senhas, de uma maneira visível ao buscador. Bastaria informar um trecho do algoritmo para encontrar dados relacionados ao usuário e suas senhas.

Uau, belo trabalho jornalístico esse hein? Espalhando o medo. Imagine a reação de um leigo, que tenha um um blog WordPress, ao ler essa pérola da desinformação. Não parece, lendo esse texto, que o WordPress tem uma seríssima falha de segurança que pode ser explorada usando o Google? Que se alguém “informa um trecho do algoritmo” vai descobrir uma porção de dados seus? Bom, fui ao site do sujeito e li o artigo em que ele explica como quebrou a senha.

O que aconteceu é que o WordPress do tal Murdoch foi invadido por um cracker, que criou uma conta de usuário. O WordPress guarda suas senhas em um formato chamado MD5, um formato de criptografia que transforma qualquer senha num hexadecimal de 32 caracteres, assim:

• “Sylar” = 7bef5e9683a92c37a266283bf229c2e8
• “Cap. Nascimento” = 40a4b69d3132bd562dc03e2de30fda3e
• “Pat Morita” = 261f3880c4eab23075356dbc6b5befc3

O WordPress faz isso para proteger você. Se alguém invadir seu blog, mesmo assim não vai descobrir sua senha. Então o Murdoch não tinha a senha do sujeito que invadiu o blog dele, tinha apenas o texto “20f1aeb7819d7858684c898d1e98c1bb”. O jeito comum de se descobrir essa senha é o chamado ataque de dicionário. Você consegue um enorme dicionário de palavras e nomes comuns, e faz um programa que converte cada um deles para MD5. Se, ao converter algum, você encontrar o tal texto “20f1…”, pronto, você descobriu qual é a senha.

O problema é que esses ataques levam tempo, pois o computador tem que processar milhões de palavras. E se a senha não for uma palavra comum do dicionário, ela não vai ser encontrada. Assim, “banana” vai ser encontrada, mas “Xbanana43″ não. Acontece que palavras muito, muito comuns, como “banana”, ou nomes de pessoas, provavelmente já tem seu hash MD5 publicados em alguma página na web. E, se está publicado, o Google encontra. Por exemplo, procure pelo MD5 de banana.

Então, ao procurar o MD5 da senha do invasor, o Murdoch achou páginas como essa aqui, uma lista de pessoas chamadas “Anthony”. Ele resolveu tentar então “Anthony” como senha, e funcionou.

Perceba que isso não torna o WordPress mais vulnerável, porque a senha ia ser descoberta de qualquer maneira, só ia levar um pouco mais de tempo. E para fazer isso, o sujeito tem que ter acesso ao banco de dados com as senhas. Ou seja, já tem que ter invadido o sistema.

Foi só isso. Não há nenhuma vulnerabilidade no WordPress que, se alguém vai ao Google e “informa um trecho do algoritmo”, vai descobrir seu CPF e número de cartão de crédito. Aliás, será que esse repórter sabe o que significa “algoritmo”? Aprendi quando era criança, quando minha mãe ouviu meu primeiro palavrão, que gente não devia usar palavras que a gente não sabe o que significa.

Você que usa WordPress, não precisa se desesperar. Só não use senhas óbvias, não acredite em tudo o que você lê por aí e não entre em pânico.

Só lembrando: em Janeiro tem Oficina de WordPress na Visie

Diante da importância de se conhecer aonde pisamos nós e nossas crianças, repasso o que foi divulgado no De Tudo Um Pouco:

A WCF, ONG da Rainha Silvia, da Suécia, está disponibilizando uma cartilha maravilhosa sobre dicas de segurança, na internet, para pais, crianças e adolescentes.

São 44 páginas e você pode baixar neste endereço:

http://www.wcf.org.br/default.htm

Repasse, por favor.

A CGI.br trabalhando por uma internet mais fácil. Excelentes vídeos, vale a pena assistir sejam profissionais ou leigos.

Estão disponíveis 2 vídeos da Campanha Antispam.br:

   * Navegar é Preciso — trata do funcionamento da Internet, com suas vantagens, riscos e necessidade de proteção;
   * Os invasores — apresenta os tipos de códigos maliciosos, seus efeitos e como eles podem entrar no computador do usuário.

Eles podem poder obtidos para download na seguinte URL:

* Vídeos Antispam.br
http://www.antispam.br/videos/

Os vídeos estão disponíveis na área de downloads do site Antispam.br e podem ser baixados em diferentes formatos, permitindo a sua visualização em diversos sistemas operacionais. Estes vídeos também possuem diferentes tamanhos e resoluções para download via conexão discada ou banda larga.

Outros dois vídeos serão divulgados futuramente: “Spam”, aborda os tipos de spam existentes, suas diferenças e malefícios, incluindo códigos maliciosos e fraudes; e “A Defesa”, cujo enfoque é o aspecto comportamental, enfatizando como usuário pode evitar a maioria das ameaças.

Atenciosamente,
–
CERT.br
https://listas.cert.br/mailman/listinfo/certbr-anuncios