Usando autenticação em duas etapas (2FA) no WordPress

Meu site não tem SSL e enquanto não resolvo isso minhas credenciais de acesso a meus blogs são transmitidas de uma forma que pode ser facilmente interceptada por alguém em posição de fazer um ataque “man in the middle” como o provedor de acesso. Para tornar isso um problema menor eu ativei autenticação em duas etapas em todos os blogs usando o plugin Google Authenticator.

Minha primeiríssima pergunta ao tentar decidir se isso era uma boa idéia foi: como eu desativo isso se algo der errado e eu não puder mais fazer login no blog? Mas é muito simples, bastando entrar no meu site via FTP (esse é outro problema de segurança a tratar em outro dia) e apagar o diretório correspondente ao plugin.

Como o próprio nome do plugin escancara, ele é compatível com a app Google Authenticator, que eu já uso para acessar minha conta Google. Ao ativar o plugin aparece uma nova seção na página “seu perfil” da administração do blog, onde você pode gerar o “Segredo” que você então insere na app.

wordpress_plugin_2fa_profile_ryan.com.br

É tão simples que eu já deveria estar usando há muito tempo. Uma informação a mais vai ser pedida a cada login:

wordpress_plugin_2fa_login_ryan.com.br

Isso não resolve o problema de interceptação completamente, porque você continua vulnerável a um “sequestro de sessão” (é, segurança de dados é coisa de doido) já que os cookies que evitam que você tenha que redigitar sua senha a todo momento continuam sendo transmitidos sem criptografia e podem ser interceptados. Você pode minimizar isso também ao não marcar “lembrar-me” na tela de login e sempre fazendo logout ao terminar. Assim os cookies terão uma validade mais curta.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
4 comentários
  • Jefferson - 5.025 Comentários

    Esqueci de comentar que usar 2FA não impede a senha de ser interceptada. Tudo incluindo o Google Authenticator Code continua podendo ser lido. Mas só é possível fazer login com isso se o atacante estiver online no mesmo intervalo de validade do código. E evidentemente você precisa usar uma senha que não tenha valor em nenhum outro lugar.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Marcel - 34 Comentários

    Jefferson, por que você não parte para uma solução de HTTPS com o Let’s Encrypt?
    Na dreamhost (US$ 10,00 / mês) isto já é embutido (sem custo) na plataforma de administração, e funciona que é uma maravilha… E o navegador não reclama!

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Dois problemas:

      1)A hostgator cobra 10 dólares para instalar certificados de terceiros
      2)A cada 90 dias você tem que renovar o certificado LetsEncrypt

      Na Hostgator então o custo de um certificado gratuito fica em 40 dólares anuais. O mesmo do pago.

      Vou checar os planos da Dreamhost

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • Marcel - 34 Comentários

        >> 2)A cada 90 dias você tem que renovar o certificado LetsEncrypt

        No caso da Dreamhost, isso é feito automático por script. É tão transparente que você não fica nem sabendo…

        PS: Não sou vendedor da Dreamhost. Só tenho coisas hospedadas por lá. Se quiser testar, forneço-lhe acesso

        VA:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Não adianta ter uma senha de um zilhão de caracteres se você não tem outra.

O problema é muito bem explicado por Randall Munroe:

password_reuse

 

Um resumo, já que não dá (ou dá?) para passar uma imagem no Google Translator: o personagem “black hat” diz que a complexidade de uma senha é raramente relevante e o real perigo está em sua reutilização. Ele explica que hospeda um monte de serviços gratuitos na internet que não dão lucro justamente para se aproveitar do hábito largamente disseminado de usar a mesma senha para tudo. E agora tem algumas centenas de milhares de identidades “reais” em algumas dúzias de serviços e ninguém suspeita de nada.

A senha que você usa para ver por onde andam seus bagulhos no Muambator é a mesma que você usa pro seu email ou, pior, pro banco? Bem…

Não que eu queira dizer que por trás do Mumbator (é só um exemplo de serviço “inofensivo”) tenha gente querendo pegar suas senhas. Mas o que “black hat” diz ter feito é algo bastante provável de estar acontecendo neste momento e além disso todo serviço inofensivo justamente é o que tem maior probabilidade de ser vulnerável a ataques. O admin pensa: não há nada de valioso aqui, por que alguém tentaria uma invasão?

Para coletar uma grande lista de emails e respectivas senhas para testar em um alvo não tão inofensivo.

No mínimo as pessoas deveriam usar uma senha para serviços inofensivos e outra para serviços importantes. Esse é realmente o mínimo, mas não é isso que tenho visto.

 

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
13 comentários
  • Jefferson - 5.025 Comentários

    Fato interessante: “inofensivo” não quer dizer “barato”. Em 2013 hackers conseguiram o banco de dados com 153 milhões de credenciais de usuários do site adobe.com. Se cobrando a fortuna que cobra pelo Photoshop a Adobe não consegue garantir a segurança do seu site…

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • VR5 - 250 Comentários

    É senha demais! As vezes eu tenho que me “lembrar” de uma senha antiga e tenho que sacar da gaveta um papel. Outras vezes eles estão num DOC do Word TAMBÉM guardado por senha… e imagine o pessoal mais idoso: chega a dar pena desse pessoal nos caixas eletrônicos muitas vezes pedindo para os outros ajudar com a digitação da senha (e que nunca poderíamos ajudar)… não seria a hora da biometria começar a aparecer mais?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Biometria só é segura em sistemas fechados. No momento em que você coloca a variável “online” na equação, há uma grande chance de virar bagunça. A biometria é como um cartão de crédito impossível de copiar, que não pode ser substituído e que não tem senha. Ninguém pode clonar o seu mas se for roubado a pessoa que o tem é efetivamente você até você desistir de ser você.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Paulo - 20 Comentários

    Nem eu mesmo sei as minhas senhas. Uso o Keepass que gera e armazena uma senha doida pra cada site. Quando preciso, abro o programa com uma senha-mestra e procuro o nome do site onde me registrei. Então é só clicar nele e pressionar control e V que ele faz o login.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Daniel Plácido - 32 Comentários

    Eu uso a mesma senha a anos em tudo, porém em cada site/serviço uso minha senha-padrão + uma sequencia numérica com base no nome do site que estou cadastrando, além de usar a arte-manha com sinal de “+” e “.” no email do Gmail, para nunca ter o mesmo email cadastrado em cada lugar.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Eu uso a mesma senha a anos em tudo, porém em cada site/serviço uso minha senha-padrão + uma sequencia numérica com base no nome do site que estou cadastrando,

      Mas isso não é a mesma senha. Você faz o mesmo que eu recomendo: usa uma fórmula que você e só você compreende para gerar senhas únicas baseadas no serviço.

      além de usar a arte-manha com sinal de “+” e “.” no email do Gmail, para nunca ter o mesmo email cadastrado em cada lugar.

      Eu não estou certo de que isso adicione alguma segurança. Você pode usar isso para filtrar emails, mas acho que é só isso.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Intruder_A6 - 129 Comentários

    Com esta proliferação de senhas, ninguém consegue escapar de reutilizar algumas senhas, mas realmente é uma boa prática separar as senhas por hierarquia (e é o que eu faço), é impossível eu utilizar senhas diferente em tudo, não tenho esta memória toda, mas para o ebay/paypal é uma senha especial (parecida com a senha do e-mail, mas não é igual), a do banco é diferente de todas (mas tem partes do número que eu reutilizo para poupar memória em outras senhas)e por ai vai, só uso a mesma senha em sites em que não tenho tanta preocupação com privacidade ou segurança. E a Senha do e-mail só uso no e-mail, em mais nada (ela também tem uma regra de formação em relação as outras, coisa que nunca vão conseguir achar por tentativa erro).

    Se alguma destas senhas cair o estrago vai ficar limitado. Eu sou meio paranoico com estas coisas.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Isso mesmo. Eu uso a mesma senha em vários sites que são igualmente irrelevantes para mim. Mas cada site onde eu um dia coloquei informação de cartão de crédito, por exemplo, tem um email e uma senha únicos, devidamente anotados em um arquivo texto guardado em um volume criptografado.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      E minha conta no gmail, que é para onde converge tudo o que faço, tem autenticação em duas etapas. A partir dessa conta o dano que alguém poderia fazer à minha vida é grande por isso com ela eu não brinco.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Eu pensei em escrever isso quando ajudei uma cliente na semana passada a criar uma conta na Econovia (um serviço mais inofensivo que o Muambator) e percebi que além de colocar como endereço de email o único que ela tem, ainda ia colocar como senha a mesma senha desse email.

    Eu expliquei a ela por que isso era má idéia e mesmo tendo uma certa dificuldade com computadores ela rapidamente entendeu o problema e, como já tinha feito o mesmo em outros lugares, tratou de mudar a senha do email.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Saulo Benigno - 260 Comentários

      Mas isso não foi usando aquela autenticação do Google? Que você pode usar em seu site, e assim não tendo informações no site e sim no Google. É inseguro isso?

      VA:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Luciano - 297 Comentários

    Eu ainda não achei a solução que me seja perfeita, confiável e usável de qualquer buraco (leia-se: smartphone, e quatro pcs). O que mais me irrita é que muitos serviços sequer aceitam caracteres especiais na senha, tipo #!%+. Obrigado você a se virar com uma senha alfanumérica. E dai pra lembrar que aquele desgraçado de site a senha é abc123 e não a#b!c%1#2!3

    Eu acho que senha já é um negócio que demanda alguma solução que funcione pra tudo e não dependa de ficar lembrado qual das 10 senhas diferentes foi usada naquele serviço.

    Enquanto isso um TXT com uma senha horrenda de grande, salva num arquivo com um nome que qualquer um consideraria um lixo ainda é o local onde posso guardar essa zorra toda.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Brickerbot parece ser a melhor pior solução para o problema da insegurança da IoT

Ou a pior melhor solução, você decide.

Brickerbot, a botnet de malware criada especificamente para destruir todo dispositivo inseguro que encontrar na internet continua firme e forte. DVRs, NVRs, cameras, modems (principalmente) e todo tipo de geringonça bizarra que só Deus sabe por que tem uma conexão direta com a internet estão caindo como mosquitos na raquete eletrificada. O hacker que criou o malware sugere que já desconectou “permanentemente” dois milhões de dispositivos.

Se algum dispositivo de rede seu “morrer” nos próximos dias, semanas ou meses, o problema pode ser esse: era inseguro, um potencial soldado em uma rede de cybercrime e por isso teve seu firmware corrompido remotamente. Se não quer que isso aconteça, pelo menos mude aquelas senhas default que você já deveria ter mudado há muito tempo, não exponha seu dispositivo à internet sem necessidade, principalmente em portas óbvias como a 80, 8080, 21, 23, etc. E sobretudo não coloque nada em uma DMZ que vá lhe fazer falta. É bom ressaltar que eu sei que não sou esperto o bastante para garantir que não serei afetado.

Embora eu lamente o prejuízo que isso causa para os consumidores, não parecia haver outra solução para a crescente e espantosa ameaça das botnets de IoT. Os fabricantes e provedores estão de braços cruzados, fingindo que o problema não existe e esperando que desapareça sozinho. Não vai. Ou vai, graças à pior melhor solução que estava disponível. Eu só posso desejar que boa parte dos dispositivos danificados esteja na garantia e isso dê um enorme prejuízo para os fabricantes que os faça levantar a bunda da cadeira.

 

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
2 comentários
  • Luciano - 297 Comentários

    “Eu só posso desejar que boa parte dos dispositivos danificados esteja na garantia”.

    Posso responder com uma única palavra?

    *DUVIDO!*

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

O Ammyy é útil, mas perigoso.

ammyyPara quem não conhece, o ammyy é um programa de administração remota que pelo menos aqui pelas minhas bandas parece bem popular. Popular até demais. Ele tem umas características que aparentemente o tornaram bastante usado por quem distribui malware e/ou em golpes de falso suporte porque é normal os antivírus implicarem com ele.

Hoje mesmo eu executei o ammyy no computador de um cliente e imediatamente apareceu na tela um pedido de acesso remoto. Eu rejeitei e fui criar uma regra com senha para me dar acesso automático mas antes de eu terminar a regra já veio outro pedido de acesso. E não foi a primeira vez que isso aconteceu. Na primeira vez eu me confundi e autorizei o acesso, para um segundo depois perceber o erro e fechar o ammyy. Aparentemente alguém descobriu um jeito de ser notificado imediatamente quando um PC se conecta ao servidor (eles chamam de “router”) da empresa. Isso ou o “ID” não tem qualquer checksum e o “router” não tem qualquer proteção contra scanning e alguém passa o dia testando números impunemente à procura de uma máquina vulnerável.

O maior problema disso é que a tentativa de acesso ocorre tão rápido que se você pede a um cliente para baixar e executar a ferramenta ou mesmo deixa um link para a mesma na área de trabalho do cliente, o risco é grande do usuário inadvertidamente dar controle remoto a outra pessoa. Isso não acontece com o Teamviewer, por exemplo, porque além do ID existe uma senha e provavelmente a Teamviewer não é tolerante com “scanning”.

Para usar o ammmyy com um mínimo de segurança você precisa imediatamente ao executar criar uma regra de acesso com senha, preferencialmente que dê acesso apenas aos seus IDs. Aí as mensagens pedindo autorização ao operador param de aparecer porque do outro lado o invasor já vê o diálogo pedindo a senha. E ainda assim o ammyy é perigoso porque não existe senha para alterar as configurações e qualquer um pode, até por acidente, adicionar uma regra para dar acesso a qualquer um, sem senha!

Eu encontrei essa barbaridade no servidor de um cliente. Muito provavelmente obra do suporte do sistema comercial dele.

Mais ainda: o ammyy é portável mas essas regras aparentemente são salvas no Registro. Se você apenas apagar o ammyy essas regras loucas continuam na máquina à espera de outra pessoa baixar e executar o programa de novo.

Ou seja, do ponto de vista da segurança o ammyy é um desastre esperando para acontecer.  Só não é pior porque não salva as senhas.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
3 comentários
  • Snow_man - 94 Comentários

    Jefferson, eu concordo. Já fiz incursões pelo Ammyy dessa forma, e de um jeito extremamente lammmer: ao usa-lo a primeira vez, ele gera uma id sequencial; basta você tentar números próximos (significa recém gerados), que a maioria vai clicar aceitando o acesso.

    E já aconteceu várias vezes de, ao usar a primeira vez, aparecer um pedido, como você relatou.

    Cuidado e canja de galinha não fazem mal a ninguém.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • VR5 - 250 Comentários

    Nunca tinha ouvido falar: aqui nas minhas bandas o TeamViewer domina soberano…

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      O Teamviewer também tem sua cota de problemas:

      1)Não tem uma versão portátil oficial. Eu uso uma fornecida por terceiros.
      2)Atualiza constantemente e a versão nova não conecta com a velha. Depois disso me atrapalhar meia dúzia de vezes eu cansei de me sujeitar a essa frescura do software;
      3)Fica enchendo o saco para você pagar, especialmente se você executar no Windows Server. E eu não tenho o “humor” para pagar R$ 1.199 por algo que posso ter de graça, ainda mais tendo que me sujeitar aos primeiros dois problemas.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

DoublePulsar será pior que o Conficker?

O patch para isso saiu no dia 12 de março mas só fiquei sabendo do problema agora. Em mais um release de informação vazada da NSA, foi encontrado um programa chamado DoublePulsar que explora uma vulnerabilidade crítica existente em todas as versões do Windows e permite tomar remotamente o controle da máquina vulnerável. Script kiddies já estão rodando scanners pela internet procurando máquinas expostas e milhares já estão infectadas.  Vale lembrar que esse tipo de vulnerabilidade não requer que as máquinas estejam “visíveis” pela internet pelo exploit para que toda a sua rede acabe infectada. A infecção inicial pode vir por diversos caminhos. Um único usuário pode se infectar por email ou pendrive e a partir da máquina dele o vírus infectar toda a rede. Caramba… alguém pode plugar inocentemente uma máquina infectada na sua rede (um consultor, vendedor, cliente, etc) e a partir daí sua segurança já era.

E se você já precisou se livrar do Conficker sabe o trabalho que dá mesmo quando na maioria das vezes o vírus só se importa em se espalhar, sem ser “ativado” para causar outro dano. Quando alguém decidir juntar o DoublePulsar com um ransonware…

Apliquem o patch referente à sua versão do Windows já!

Estou especialmente preocupado com três clientes que ainda usam Windows Server 2003. Para versões do Windows não mais suportadas a Microsoft não publicou patch. Existe um “workaround” que consiste em desabilitar SMBV1/CIFS, mas ainda não sei exatamente o que isso vai acarretar. Será que os compartilhamentos param de funcionar?

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
4 comentários
  • Jefferson - 5.025 Comentários

    Sim, param de funcionar. No XP e Windows 2003 só existe SMBv1. SMBv2 foi introduzido no Vista e SMBv3 no Windows 8.

    O único jeito parece ser fazer o upgrade desses servidores. Raios…

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Julião - 9 Comentários

    Pior ainda se sequestrarem os dados…

    https://threatpost.com/original-xpan-ransomware-returns-targets-brazilian-smbs/125173/

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Arthur Dowsley - 12 Comentários

    Ha cerca de 4 anos peguei uma batata dessas que o suposto TI de lá deixou e não consegui resolver. A empresa simplesmente voltou para o ultimo backup valido (pasmem de quase um ano). Bem. Como dou suporte a outras empresas eu fechei os RDP e só acessa TS via VPN com um Brazilfw na primeira camada. Simples assim. Usamos o 2003 server e não migrei para o 2008 server, por conta de N fatores. Recomento fortemente o uso de VPN para acesso remoto. Abs Jefferson.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Richard - 4 Comentários

    Criminosos já estão usando essa vulnerabilidade para efetuar ataques automáticos de ransomware. Um belo dia descobri que um servidor 2008 R2 meu que estava exposto (não configurei o firewall direito) foi atacado por um “AES-NI Ransomware”, sorte que não tinha nada de importante nele.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Seu telefone Android pode ser pwned só por estar ao alcance de um Wi-Fi hostil.

É o fim da picada. Um pesquisador do Project Zero da Google descobriu uma falha no firmware de um chip Broadcom Wi-Fi que permite a um atacante até mesmo ganhar acesso root ao seu telefone ou tablet bastando que o Wi-Fi esteja ligado. Nem é preciso você tentar se conectar ao ponto de acesso malicioso. E como os serviços de localização do Android podem ligar seu Wi-Fi mesmo quando você desligou, até com o Wi-Fi “desligado” você está vulnerável.

O problema também afeta produtos da Apple mas como a empresa tem total controle sobre tudo o que roda o iOS, já saiu uma correção para o problema. Somente usuários de Android ficam vulneráveis porque nesse ecossistema dependemos da boa vontade dos fabricantes.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
6 comentários
  • Jefferson - 5.025 Comentários

    E aparentemente não há um jeito fácil de saber qual o chip Wi-Fi do seu aparelho.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Luciano - 297 Comentários

    Hmmmm… o MAC Address não pode dar uma pista?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Rapaz… acho difícil. É muito comum o telefone ter um MAC registrado no nome do fabricante do aparelho e não do chipset. Quando eu faço uma varredura eu não me lembro de ver “Broadcom” ou “Qualcom” listados. O que, aliás, me parece lógico: a camada onde é definido o MAC em interfaces de rede modernas é toda em firmware.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Intruder_A6 - 129 Comentários

    Depois do Stuxnet o meu nível de paranoia piorou bastante, e agora isto foi o golpe de misericórdia com esta falha. A única forma de ficar seguro é não tendo celular, computador ou qualquer equipamento que tenha processador (ou microcontrolador). Tiraram o gênio da garrafa!

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • VR5 - 250 Comentários

    E como estão os Windows Mobile?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

A mais recente vulnerabilidade WPS: Pixie Dust Attack.

PQP! Se você ainda tem WPS ativo no seu roteador WiFi, desligue e nunca mais ligue essa coisa!

Para quem não lembra (são tantas siglas que dão um nó na nossa cabeça), WPS é uma funcionalidade do padrão Wi-Fi que permite um dispositivo se conectar a um ponto de acesso Wi-Fi (vou chamar tudo de “roteador” daqui em diante) de forma simples, através de um código chamado PIN que vem impresso no fundo do aparelho ou apertando um botão no roteador.

OBS.: Apesar disso ter sido divulgado originalmente em setembro do ano passado em uma apresentação de Dominique Bongard, ainda não encontrei nenhum grande site (como o CERT) falando sobre o assunto. Isso pode ser porque não é tão sério quanto parece ou porque é tão sério que estão tentando abafar até aparecer uma solução. Eu não vou esperar para ter certeza.

A última vulnerabilidade que eu mencionara aqui no blog era a explorada pelo reaver-wps. Esta é pior. Em resumo, com o Pixie Dust Attack é possível descobrir o PIN do roteador com apenas uma tentativa, o que anula qualquer proteção baseada em restrição no número de tentativas (proteção contra ataques de força bruta). E já existe uma ferramenta Linux para explorá-la: o pixiewps. Eu só fiquei sabendo do exploit porque minutos atrás o autor de um mod do reaver-wps para usar o Pixie Dust Attack deixou um comentário no meu blog com um link. Agora existem duas ferramentas para explorar a vulnerabilidade então vocês vão ter que me perdoar por não esperar pelo CERT para ter certeza de que não é um exploit imaginário.

Você pode ver uma lista de roteadores vulneráveis e não vulneráveis aqui. No momento é muito pequena, com 46 itens.  E a exata revisão de hardware faz diferença. Notem que o DIR615 aparece na lista em duas versões. Uma é vulnerável e a outra não.

Eu não pretendo fazer um tutorial para descobrir se o o roteador é vulnerável. Eu já venho desligando o WPS faz tempo mas sou capaz de entender a facilidade que ele oferece para usuários comuns. Só que depois dessa acabou: onde eu encontrar o WPS eu vou desligar sem nem perguntar o que o cliente acha disso. Mesmo que encontrem uma maneira de sanar o problema em novos firmwares, WPS simplesmente não é confiável.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
4 comentários
  • Jefferson - 5.025 Comentários

    Na página 69 da apresentação de Dominique, temos a resposta da Broadcom:

    Thanks for checking. This is not a chip issue. The issue you have identified can affect any Wi-Fi product.

    Vulnerabilities can depend on the Wi-Fi standard that is chosen for security. This may depend on the age of the product.

    O que se pode extrair da resposta:

    1) A Broadcom não nega que o problema exista;
    2) Pior: diz que pode afetar qualquer produto Wi-Fi;
    3) O que não explica por que alguns roteadores não apresentaram a falha.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Everson - 1 Comentário

    WPS é uma mãe. Pode dificultar um pouco as coisas, mas no final sempre acaba arregando.
    Algum tempo eu encontrei um artigo onde o autor conseguiu descobrir qual era o algoritmo usado em alguns firmwares da dlink para gerar o pin padrão que por sinal era baseado no mac address do aparelho. Acredito eu que esta nova técnica possa estar vinculada a isso. Segue link: http://www.devttys0.com/2014/10/reversing-d-links-wps-pin-algorithm/

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • snowzpoc - 94 Comentários

    Jefferson, desde o seu post anterior, comecei a desligar todo wps que encontro. Nunca gostei dessa “facilidade”.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Saulo Benigno - 260 Comentários

    Nunca usei, nunca vi ninguém usar, só vejo problemas de segurança com ele ligado.

    Então, sempre desligo.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

O escândalo Superfish/Komodia: Qual o tamanho real do problema?

Resumo da encrenca:

A imprensa de tecnologia norte-americana teve um prato cheio nos últimos dias desde que se tornou público que a Lenovo pré-instalava em uma linha de notebooks vendidos nos EUA um adware chamado Superfish que interferia com a navegação do usuário exibindo propaganda. Mas o que parecia apenas mais um adware pernicioso mostrou ser um autêntico malware. Uma massiva violação de segurança e confiança que ainda deve dar muita dor de cabeça para a Lenovo (e provavelmente levar a Superfish à falência, antes ou depois da investigação criminal) quando uma olhada mais atenta no adware mostrou que a Superfish fez coisas de deixar qualquer analista de segurança de cabelos em pé e já rendeu até alertas da Homeland Security e do CERT para que o software fosse removido de todos os notebooks:

  • A Superfish instalou um certificado raiz auto assinado que permite a ela gerar certificados falsos em nome de qualquer site;
  • A Superfish usa esses certificados e um proxy para poder interceptar as conexões HTTPS do usuário. Nem bancos escapam. E para o browser tudo está normal. Cadeado fechado e tudo mais enquanto a Superfish observa todo o seu extrato bancário;
  • A Superfish usou o mesmo certificado raiz com a mesma chave privada em todos os notebooks. Assim mesmo que a Superfish fosse uma empresa com boas intenções (HAHAHA) qualquer um com acesso à chave privada do certificado  poderia bisbilhotar silenciosamente o acesso bancário de qualquer usuário Lenovo, sem levantar qualquer alerta, bastando estar no caminho do tráfego (o operador de um provedor WiFi, por exemplo);
  • A Superfish protegeu de forma ridícula a senha da chave privada e em três horas um especialista em segurança descobriu a senha: “komodia”. Dessa forma o exploit do item anterior deixa de ser teórico para ser real.

Note que acima eu pareço apenas me preocupar com transações bancárias, mas é só um exemplo. Obviamente o fato da Superfish poder ler meus emails no gmail, interceptar meu login em blogs, foruns e todas minhas compras na internet, incluindo os dados de cartão de crédito, não deve ser ignorado.

Minha preocupação:

A princípio isso deveria ser apenas uma curiosidade, porque afeta apenas usuários de determinados modelos de notebooks Lenovo vendidos nos EUA e spyware já se tornou algo tão comum que eu nem perco mais meu sono com isso. Mas o que a Superfish conseguiu fazer é tão absurdo que eu nem achei que fosse possível. Um certificado raiz auto assinado? Quer dizer que qualquer um com acesso ao computador pode criar sua própria Serasa-Experian ou Certisign? Certificados raiz são um troço muito sério e não poder confiar no protocolo HTTPS é “fim de jogo” para qualquer um que use a internet para coisas sérias.

Qual a dificuldade para se instalar isso remotamente via malware? É possível instalar o certificado silenciosamente desde que se tenha a senha de administrador? Infelizmente o Windows não oferece qualquer granularidade de permissões (ou você é administrador ou limitado) e o administrador pode fazer qualquer coisa na máquina. Seria bom se o Windows mostrasse uma janela de permissões como o Android mostra, dizendo (quase) tudo o que o software pretende fazer, mas acho que isso está longe de acontecer. Então você instala (por exemplo) um software que se diz um editor de imagens, dá permissão a ele porque supõe que seja só para instalar os hooks necessários no Explorer e ele acaba instalando um certificado raiz?

Ou o Windows pelo menos abre uma janela de confirmação ao instalar o certificado que não pode ser clicada automaticamente? Isso não vai proteger o usuário-palerma-médio, mas se nem o usuário que sabe o que está fazendo é informado, estamos **didos!

Vou ficar perturbado com essa questão até ter certeza…

Notas:

  • Alguns antivirus já fazem interceptação HTTPS “legitima”, supostamente para proteger você de malware em sites assim, mas eu não estou certo de que gosto da idéia. No momento isso não é preocupação para mim porque até o Windows Defender eu desliguei. Antivirus atrapalham demais meu trabalho.
  • A Microsoft reagiu com surpreendente rapidez e o Windows Defender já remove (ou tenta remover) o Superfish. Enquanto isso (não sei se me espanto ou não) os desenvolvedores do Firefox ainda (21/02) discutem se devem fazer alguma coisa. A Microsoft remove o certificado depositado no repositório do Windows, mas o Firefox tem o seu próprio repositório, também comprometido, que a Microsoft compreensivelmente parece não se atrever a tocar.
  • Este site supostamente é capaz de detectar se você tem o Superfish ou outro “sequestrador de SSL” instalado. Se na caixa no meio da página estiver escrito “YES”, você tem um problema para resolver. Precisa testar com todos os seus browsers.
VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
9 comentários
  • intruder_a6 - 129 Comentários

    Preocupante, realmente muito preocupante. A coisa está ficando realmente ruim. Acho melhor tomar cuidado com a lenovo.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Não apenas com a Lenovo. Hoje, por variados motivos, é altamente recomendável que ao comprar um computador novo você apague o Windows e reinstale com um disco “limpo” da mesma versão (não use a restauração do fabricante). Se não estou enganado, em computadores novos, com UEFI, o serial do Windows esta gravado no UEFI e a versão correta do Windows instala sem nem perguntar o serial.

      VN:R_U [1.9.13_1145]
      Rating: 5.0/5 (1 vote cast)
  • Ygor Almeida - 119 Comentários

    Segundo o site, nos meus pcs ( incluindo um notebook lenovo ) estou livre. Nenhum dos 3 pcs tem antivirus. uso apenas blockhosts e abp no chrome, ff e palemon e ie.

    :D será que estou livre !? rsrsrsr

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Ygor Almeida - 119 Comentários

    Tenho um amigo que trabalha na lenovo ( motivo pelo qual tenho alguns lenovos )

    Recebi isso dele, já que a noticia está circulando em todos os lugares
    http://news.lenovo.com/article_display.cfm?article_id=1931

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Diogo - 7 Comentários

    Meu Lenovo, comprado essa semana, veio com o Superfish de brinde. Usei a ferramenta que ela mesmo disponibilizou e o problema foi resolvido. (Acho^^)

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Intruder_a6 - 129 Comentários

    Neste caso é melhor não comprar notes Lenovo, quem apronta uma coisa destas não merece confiança e não quer vender, pois se quisesse não fazia uma canalhise destas.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Ygor Almeida - 119 Comentários

    Segundo relatos internos de amigos na Lenovo, o problema não afeta a link ThinkPad – amplamente usado no mercado corporativo, para Desktops, Notebooks e alguns servers.

    Além disso parece que o Superfish é obra de invasão para roubo de dados industriais, roubo de informação confidencial, mas nada sobre os usuarios…

    O que rola de comentários internos é que quem plantou o SuperFish fez isso de propósito, a Fábrica da Lenovo não teria feito isso deliberadamente.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Nova vulnerabilidade no MS Office põe em risco todas as versões do Windows

O boletim de segurança da Microsoft não menciona o XP nem o server 2003. O XP pode não estar na lista por não ser mais suportado, mas é curioso não ver o Sever 2003. Isso pode querer dizer que XP e 2003 são imunes (2003 e XP são similares), mas até isso ficar claro é melhor tomar muito cuidado.

Todas as versões do Windows indicadas no boletim, mesmo completamente atualizadas, são vuneráveis. Seria realmente interessante descobrir que o XP é imune.

A vulnerabilidade é explorada através de documentos do Office carregando um objeto OLE malicioso. Vulnerabilidades no OLE não são nenhuma novidade e até possível argumentar que desde o início foi uma péssima idéia da MS criar o OLE porque é mais usado por criadores de malware que pelos usuários. E esse tipo de coisa põe até power users em risco porque afinal é um documento que você está abrindo. Imagine o que pode acontecer com usuários comuns.

E pouco ou nada adianta dizer que o usuário não abra documentos vindos de origem desconhecida quando se trata do departamento de vendas de uma empresa. Se você recebe um pedido de orçamento  com um anexo que não é um executável você vai deixar de abrir o documento só porque não conhece o remetente? Nenhuma empresa se sustenta por muito tempo assim.

Por precaução, é melhor eu reativar meu firewall com HIPS. o HIPS avisa toda vez que um processo tenta abrir outro e teoricamente isso impede um usuário que presta atenção às mensagens de ser infectado. A mesma coisa com o UAC, mas o danado do UAC é tão chato que nas minhas máquinas rodando o Windows 7 ele é desativado. O HIPS eu pelo menos posso ensinar a não fazer a mesma pergunta para o mesmo programa novamente. Já se eu executar 100 vezes o mesmo programa no mesmo dia, 100 vezes o UAC vai me perguntar se eu tenho certeza.

 

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Divulgado perigoso exploit para aparelhos Android

Qualquer aparelho que não esteja rodando pelo menos a versão Jelly Bean pode estar vulnerável. O estrago depende do modelo do aparelho, sendo que a falha mais grave foi apontada em alguns aparelhos Samsung, onde o exploit consegue formatar o aparelho e inutilizar o cartão SIM sem que o usuário possa fazer nada.

O exploit consiste em enviar um URL malicioso para o aparelho da vítima. Pode ser o resultado de uma busca no google, um email, um SMS, um QR code, etc. Qualquer forma de exibir um URL para o usuário funciona. Se o usuário clicar no URL e o aparelho for vulnerável, acabou-se.

O URL vem com um código USSD, desses que a gente usa para acessar opções avançadas do telefone e funciona discando algo como *#66445#*.  O problema é que alguns desses códigos podem ferrar com o telefone e são “discados” sem qualquer pergunta nos telefones vulneráveis.

Você pode testar se seu telefone é vulnerável visitando esta página com ele. O autor do blog, Dylan Reeve, demonstra o problema usando um código USSD inócuo, que só mostra o IMEI do telefone na tela. Eu testei com meu xing-ling Android, Hero H200, e imediatamente ao visitar a página abriu-se o discador e uma janela na frente dele com os dois IMEI do meu telefone. Nenhuma confirmação foi pedida.

Depois testei no meu Motorola Quench com ROM CyanogenMod. Aconteceu a mesma coisa (mas só exibiu um IMEI, claro).

A implementação é simples, ao alcance de qualquer “ráquer” wannabe. Bastou colocar isso na página:

Edit: Se você estiver usando o Opera Mobile não acontece nada, porque o Opera não suporta iframe. Porém existe pelo menos um outro modo de “empurrar” o URL. Basta colocar isso na página:

<meta http-equiv=”REFRESH” content=”0;url=tel:*%2306%23″></HEAD>

Eu testei com o Opera Mobile 12, que acabei de baixar via Google Play, e o exploit funcionou. Eu criei uma página de teste em http://ryan.com.br/ussd.htm que você pode usar para testar o seu aparelho. O código que usei é o que exibe o IMEI, mas se você não estiver seguro, basta usar o browser do seu PC e olhar o código-fonte.

Eu não sei se meus aparelhos possuem códigos USSD “perigosos”. Mas na dúvida é melhor seguir as recomendações dadas por Dylan Reeve nesta página até que a poeira baixe e conheçamos o real potencial do problema.

A não ser que você seja dono de um dos modelos Samsung citados, claro. Neles o perigo é real e imediato.

Você também pode testar se sua app leitora de QR Codes é segura, lendo este código:

Trata-se do mesmo USSD que exibe o IMEI. A app que tenho instalada agora no Quench, QR Barcode Scanner versão 1.4 de 01/12/2011, mostra que é um número de telefone e qual é, me dando a oportunidade de discá-lo ou não. Já é suficientemente seguro para mim, mas eu espero que versões mais recentes, cientes do exploit, exibam um alerta bem grande quando se tratar de um USSD.

A propósito, se você precisa gerar seus próprios códigos pode usar o QR Code generator.

Edit: no momento, a melhor maneira de se proteger é usar o auto-reset blocker. Apesar do nome, o programa ajuda a te proteger de qualquer código USSD malicioso, vindo por qualquer vetor. Ele se instala como um discador e quando o sistema processar um link de telefone, irá abrir uma janela perguntando que discador usar. Escolha o auto-reset blocker. O programa então exibirá qual o número que vai ser discado, dando sua opinião sobre o mesmo (se é seguro ou não), mas deixará por sua conta se vai aceitar ou não a discagem.

 

Se você aceitar, ele joga o número para o discador padrão do telefone.

Edit2 (obrigado, Saulo): Telstop faz a mesma coisa, mas não instala no meu android xing-ling. Pelo menos não pelos caminhos oficiais (google Play).

Update – 27/09: Como o exploit mata cartões SIM

O hacker indiano que divulgou o problema, Ravi Borgaonkar,  falou sobre isso antes mesmo de comentar sobre o problema da Samsung, mas se ele explicou os detalhes, eu não consegui entender no áudio da apresentação. Eu estava achando muito estranho que nas últimas 24h todo mundo estivesse falando exclusivamente sobre o problema da Samsung, como se a parte sobre matar chips fosse tão complicada que seria altamente improvável ocorrer. Mas segundo se lê agora na h-online e na infoworld, o ataque é igualmente simples mas muito mais abrangente. Existe um código USSD, aparentemente universal, que é usado para mudar o PIN do chip. Para isso é necessário fornecer o PUK.

  • Basta fazer isso uma vez com o PUK errado para travar o chip do usuário e este ter que correr atrás do seu cartão PUK para desbloquear;
  • Uma página que consiga fazer dez tentativas em sequência inutilizará o chip do usuário definitivamente.

Vejam o vídeo da apresentação de Ravi Borgaonkar:

VN:R_U [1.9.13_1145]
Rating: 5.0/5 (1 vote cast)
23 comentários
  • Jefferson - 5.025 Comentários

    Esse exploit até que tem potencial como ferramenta de suporte, como demonstrado no exemplo de Dylan Reeve. Se você quiser ensinar o usuário a conhecer e anotar o IMEI do seu telefone, basta passar um link. A mesma coisa para acessar outras funções “benignas”.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • VR5 - 250 Comentários

    Que bom que voltaste a “ativa”, Jefferson! Espero que continues assim! :yahoo:

    Estou curioso quanto ao lançamento do Windows 8 e, consequentemente, a versão Windows Phone 8… vamos ver como vai ser…  

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Sony Santos - 58 Comentários

    Meu Motorola Defy, Android 2.2, é vulnerável. :(

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Sony Santos - 58 Comentários

    Jefferson, obrigado por compartilhar essa informação. Instalei o TelStop e funcionou: é um aplicativo super-leve (9K) que, concorrente com o discador padrão, abre uma janela para você escolher um aplicativo em caso de discagem automática (discador padrão ou TelStop). Se você tinha real intenção de discar, então escolha o discador; se apareceu sem você pedir, basta escolher TelStop. Recomendo.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Isso ajuda bastante, mas não é a solução apropriada. Se você estiver clicando em um link ciente que é para um número de telefone, mas que na verdade tem um USSD, você vai escolher o discador padrão.

      E se o usuário tiver um perfil que o leva a clicar em links desse tipo com frequência, vai acabar acostumado a escolher o discador padrão automaticamente, sem nem pensar. O mesmo problema que ocorre com o UAC do Windows Vista/Seven.

      A solução correta, que eu espero encontrar, é que se o número for um USSD (é fácil de reconhecer pelo formato), seja exibida uma mensagem para o usuário mostrando qual é e explicando o risco que ele corre se prosseguir.

      VN:R_U [1.9.13_1145]
      Rating: 5.0/5 (1 vote cast)
      • Saulo Benigno - 260 Comentários

        Aí é que está.. ver link desse tipo não é comum. O TelStop é bem interessante mesmo, gostei. Clicou em um link no site, custa nada fazer uma checagem enquanto ninguem atualiza com um Fix
        O que acho que vai ser muito e impossível fazerem isso, digo, Google, etc… Talvez só a Samsung mesmo.
        Quem sabe eles atualizem logo o Jelly Bean, pelo menos algo bom vão ganhar nisso.
         
        Ou talvez não, afinal é Android né? :)

        VA:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
        • Jefferson - 5.025 Comentários

          Aí é que está.. ver link desse tipo não é comum.

          Pelo contrário. É comum sim.

          Você deve estar teimando com a noção de que “link” tem a ver com “internet”. Em sites são incomuns mesmo (podem deixar de ser agora). Mas dê uma olhada agora na parte de messaging do seu telefone e veja quantos SMSs recebidos tem links. No meu, pelo menos a metade tem.

          E a atualização do firmware só é opção para aparelhos que podem ser atualizados.

          VN:R_U [1.9.13_1145]
          Rating: 0.0/5 (0 votes cast)
  • Dyeison - 2 Comentários

    Falha interessante. Testei no Sansung Galaxy 5, usando navegador Dolphin a falha se apresenta, exibindo o IMEI. Já no navegador Opera isso não ocorre. Por que será?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Provavelmente porque o Opera não dá suporte a URL “tel:”. Mas cuidado: simplesmente usar outro browser não vai te deixar seguro. O exploit tem diversas vias de entrada.

    Edit: Segundo eu li, é porque o Opera não suporta frames. Mas existe outra implementação que usa HTTP-Refresh, que talvez passe pelo Opera.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Acabo de testar a implementação com http-refresh e o exploit assim funciona no Opera também. Atualizei o post com um link para o teste.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Alexandre Custodio - 3 Comentários

    Aí entram duas questões:

    Meus celular é vulnerável? O Galaxy 5, sim.
    Existe algum código USSD, pra ele, que faça algum estrago, sem pedir confirmação antes?

    Fato é que o TelSpop não funciona pro meu aparelho.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Existe algum código USSD, pra ele, que faça algum estrago,

      Aí é que está o coração do problema. É impossível saber com certeza.

      Cada fabricante pode implementar seus próprios códigos, que não são divulgados para o público em geral. Alguns, mesmo supostamente inócuos, podem em certos casos criar transtorno para o usuário. Por exemplo, digamos que exista um código USSD para mudar a frequência de operação do telefone, como acontece com o TREO650. O usuário atingido vai ficar com o telefone “fora do ar”, achando até que está com defeito, até que uma pessoa capacitada descubra a razão e reconfigure o telefone.

      E como se essas não fossem incógnitas suficientes, ainda temos outro problema: segundo o artigo na Wikipedia sobre USSD, cada operadora também tem os seus próprios códigos e alguns mecanismos de pagamento também os utilizam! Ou seja: esse exploit tem potencial para custar até mais que o valor do seu telefone!

      Eu não gosto de ser alarmista, mas a coisa tem potencial para ser grave.

       

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Saulo Benigno - 260 Comentários

    E li que a Samsung informou que já foi corrigido no S3
    http://betanews.com/2012/09/26/samsung-says-remote-wipe-exploit-is-moot-on-galaxy-s-iii-might-still-work-on-others/
     
    SEI!!!!!
     

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Já saiu um app que faz exatamente o que eu queria. Vejam a atualização que fiz no post.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Saulo Benigno - 260 Comentários

      Não é a mesma coisa que o TelStop não?

      VA:R_U [1.9.13_1145]
      Rating: 5.0/5 (1 vote cast)
      • Jefferson - 5.025 Comentários

        Caramba… é!

         

        Eu não sei o que aconteceu. Eu devo ter caído na página de outra app quando li sobre o Telstop, porque eu juro que estava com outra idéia do comportamento da aplicação.

        De qualquer forma, Telstop não é compatível com meu xing-ling. Só com o Quench.

        VN:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
        • Sony Santos - 58 Comentários

          Ontem de manhã o TelStop não fazia isso, isto é, não fornecia um botão para discar ou não, após avisar se é suspeito. Mandei um email ao autor sugerindo esse comportamento, mas pela rapidez da atualização ele deve ter feito isso em paralelo. No entanto, eu ainda não posso tornar esse app padrão no meu aparelho, porque, para discar, ele chama o discador padrão! Isso mesmo, se eu deixar o telstop padrão, ele entra em loop, chamando o telstop novamente (eu testei)… Hahahahaha. Não sei se o auto-reset blocker faz o mesmo, mas pretendo testá-lo.

          VN:R_U [1.9.13_1145]
          Rating: 5.0/5 (1 vote cast)
          • Sony Santos - 58 Comentários

            Testei o auto-reset blocker. Mesmo tornado o discador padrão, ele sempre vai perguntar qual discador você quer abrir ao escolher discar. Neste caso eu preferiria que ele automaticamente discasse, ou escolhesse o padrão do aparelho, ou que eu pudesse configurar um discador padrão em suas configurações. De qualquer forma, é um comportamento melhor do que o do telstop.

            VN:R_U [1.9.13_1145]
            Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Como disse uma vez o Steve Ballmer, “não existe patch para a estupidez humana”. Já estão fazendo piada sobre a impossibilidade de realmente proteger o telefone contra o código de wipe da Samsung:

     

    [img]http://i.imgur.com/FKAkf.jpg[/img]

    Se bem que a Sansung poderia ter evitado isso simplesmente pedindo confirmação antes de apagar o telefone do usuário. Espero que ela tenha feito isso no último update do firmware, senão o que vemos na imagem acima continuará sendo uma possibilidade.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    A propósito, o código que faz o “factory reset” no Samsung sem perguntar nada é *2767*3855#

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Finalmente apareceram informações mais detalhadas sobre a versão do exploit que mata cartões SIM. Vejam a atualização que fiz no post.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Luciano - 297 Comentários

    Apenas para que fique registado. Meu Hero H2000G é vulnerável ao exploit.  :( Resolvi instalando o auto-reset blocker que foi o que achei melhor. Ele (o H2000G) roda com o Android 2.2.1.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Bruno - 10 Comentários

    Saiu uma atualização para galaxy 5 feita pelo psyke83 que desenvolve uma rom para o aparelho no fórum da cyanogem e que corrige esse problema, testei com uma versão anterior e o imei aparecia e agora nessa nova versão ao clicar no link ele informa o código na tela de discagem, mas não o executa automaticamente. Me parece que o problema foi resolvido.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

A coisa tá feia: não dá para confiar nas apps que você instala.

Não adianta você se limitar a instalar no seu smartphone apenas apps populares, já testadas por muita gente e há muito tempo.  A Path parecia ser uma app inocente o bastante, com mais de 24 mil avaliações, até um programador descobrir que a app copiava todo o catálogo de endereços do iPhone para os servidores da Path (detalhes técnicos no blog do programador). E o pior foi a resposta do CEO da Path, dizendo que isso era uma “industry best practice”.

Imagine só o que essas empresas andam fazendo. Ao dar acesso aos seus contatos de e-mail você geralmente só está dando e-mail e nome de todos eles. E isso já é ruim o bastante. Já no smartphone as chances são grandes de que existam além de todos os telefones, e-mail, endereço, aniversário, apelido, empresa onde trabalha e notas diversas sobre cada pessoa.

Ainda que não haja maldade nessa atitude (é ruim…), é preciso lembrar da lambança do QUIPTXT (por sinal, outra app para iPhone). Será que o catálogo de endereços de mais de 24 mil pessoas (e estou falando apenas de quem avaliou a app) está seguro nos servidores da Path? Ou qualquer funcionário da empresa ou hacker meia-boca tinha (o dono da empresa jura que apagou tudo) tem acesso a ele? Quantas estórias não já ouvimos sobre empresas que supostamente sabiam o que estavam fazendo mas deixaram vazar os números de cartão de crédito de todos os seus clientes?

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
5 comentários
  • Jefferson - 5.025 Comentários

    Depois de ler praticamente todos os comentários no blog do programador, fiquei ainda mais preocupado. Primeiro, um dos comentários diz que no iOS todas as apps tem acesso aos contatos e à internet

    The user is not required to give an application permission to access to this information. It is accessible for all apps, the same way accessing the internet is. So that means every app you’ve ever installed is capable of uploading your entire address book to a server without your knowledge or consent.

    Segundo, vários programadores respondem defendendo a Path e sugerindo que não vêem nenhum mal no ocorrido.

    O CEO da Path afirma que isso era feito para que fosse possível avisar ao usuário, por meio de comparação de e-mails, quando os amigos do usuário passassem a usar a app também. Mais ou menos como acontece no Facebook. Mas outros comentários apontam diversos problemas nisso:

    1)Nem todo mundo que está no meu catálogo de endereços é meu “amigo”. Pelo contrário: existem contatos que eu definitivamente quero evitar, passando pelos contatos estritamente comerciais

    2)A Path poderia ter obtido o mesmo resultado fazendo um hash local de cada um dos e-mails do catálogo e enviando para seus servidores apenas o hash. Isso permitiria a comparação mesmo obfuscando os endereços. Porém não resolve “1”.

    3)Para quê mandar o catálogo de endereços completo (nome, telefones, aniversário, notas) se você só precisa dos endereços de e-mail? Nem mesmo o nome da pessoa é necessário. Na verdade, do ponto de vista técnico, é contraproducente, já que uma mesma pessoa, com um mesmo e-mail, pode aparecer com nomes grafados de maneiras inteiramente diferentes em cada catálogo.

     

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Inspirado pela descoberta, outro programador descobriu “falha” semelhante em uma app chamada Hipster.

    E em 2008 outra app fez o mesmo e foi apagada da app store. Segundo palavras do próprio desenvolvedor, quando eles viram que o SDK da Apple permitia que eles fizessem isso ele pensou: “por que não? Vai ser ótimo para os usuários!”

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Intruder A6 - 129 Comentários

    Eles deveriam tomar um processo bem caro na caixa dos peitos de todos os 25 mil usuários do APP para ver como é que é bom, e para nunca mais se meter a besta.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      A julgar pelos comentários no blog do programador, incluindo os de dois supostos advogados, nem é necessário. O que a Path fez já viola leis de privacidade (incluindo leis específicas sobre dados de crianças), da Comunidade Européia e dos Estados Unidos. E como saiu um artigo sobre isso no The New York Times, espera-se que a Path já esteja encrencada.

      E não são apenas 25 mil. Não vi estimativa de downloads no iTunes, mas o número de usuários reais costuma ser bem maior que o de avaliações.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Felipe - 1 Comentário

    Até o Dilbert esta comentando sobre os apps “xeretas” http://www.dilbert.com/2012-05-03/

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

SPAM “Social”: Você entrega seus amigos para “o mal”, jurando que está sendo “amigo”.

Eu estou pensando em fazer este texto há anos. Vai no “rascunho” mesmo porque não tenho tempo agora para “polir” isso.

Minha preocupação (e irritação) com isso começou em setembro de 2009, quando recebi uma mensagem do Facebook dizendo que um cara que eu havia conhecido através do meu trabalho com DivX players e que acabou se tornando um amigo me convidava para ser amigo dele na rede social.

Na época, eu nem tinha cadastro no Facebook e nem me interessave em ter. Não sou, nem nunca fui, fã de redes sociais. Eu tinha um perfil no Orkut, que era largamente mais popular no Brasil que o Facebook em 2009, mas só para poder achar (e não perder contato com) velhos colegas de escola, trabalho, etc.

Eu me perguntei por que meu amigo estaria me convidando para o Facebook, mesmo sabendo que eu sou nerd e (por definição) não gosto dessas coisas. A mensagem dizia o seguinte:

Olá xxxxxxxx@xxxxxxx.com,

Criei um perfil no Facebook com minhas fotos, vídeos e eventos e quero adicionar-lhe aos amigos para que você possa ver meu perfil. Primeiro, você precisa cadastrar-se no Facebook! Uma vez cadastrado, você também poderá criar o seu próprio perfil.

Obrigado,
xxxxxxxx

A mensagem foi feita para parecer pessoal, mas ainda soava impessoal para mim. Eu não acreditei que ele tivesse escrito mesmo o texto, apesar de estar “assinado” por ele.

Deixei de lado para pensar no assunto depois.

Mas o Facebook não quis me deixar esquecer. Me lembrou do “convite” novamente em outubro e, quando ele insistiu em novembro, desisti. Fiz o cadastro no Facebook para não decepcionar meu “amigo”.

E foi durante o cadastro que a ficha finalmente caiu quando, no final do processo, o Facebook pediu as minhas senhas do gmail e hotmail para poder convidar meus “amigos”.

Que enorme decepção. O Facebook era um spammer e meu amigo havia dado os meus dados a ele.

Está achando um exagero? Veja bem: até aquele momento eu pensava que o convite tinha sido direto e pessoal. Que meu amigo tinha especificamente me convidado para o Facebook. Descobri que ele havia convidado tudo quanto é gato, cachorro e papagaio no seu catálogo de endereços e que eu não era mais especial nesse sentido do que o SAC do Submarino. O Facebook não tem como saber quem é seu amigo no seu catálogo de endereços e nem quer saber. Ele só quer a valiosa combinação de endereços de e-mail válidos e nomes que pode obter lá. Afinal, de onde vem o lucro do Facebook? A capacidade de “atrair” milhões de pessoas e com isso “atrair” investidores e anunciantes baseado no grande número de usuários é um bom ponto de partida. Não importa para a empresa como foi feita essa “atração”.

Mas a irritação não acabou ai. Mesmo depois de cadastrado no Facebook, continuei recebendo os irritantes “lembretes” da empresa, para a mesma pessoa. O que acontece é que ao me cadastrar eu usei um e-mail especifico e o meu “convite” era para outro e-mail. O único jeito de parar de receber esse convites, sem bloquear possíveis convites legítimos, é dizer ao Facebook que aquele endereço de e-mail também é meu!

Um “prato cheio” para um spammer e “data minner”.

Desde então, eu ignoro todos os convites para redes sociais que recebo, se não tiver sido avisado antes de que ia ser convidado. E olha que não são poucos.

Meus “amigos” parecem felizes em dar meu e-mail para tudo o que é rede social ou serviço obscuro que aparece. Eu tenho uma pasta específica no gmail que rotulei “Spam Social” cheia desses convites e, pior, dos lembretes. Badoo (mando um cascudo todo especial para os “amigos” que formeceram meu e-mail para este), LinkedIn,  Dropbox, Quepasa, UNYK, Orkut, Clickon, Windows Live, Myspace, Sonico…

E tem também os serviços de compra coletiva como o Peixe Urbano. Todo mês eu recebo pelo menos sessenta e-mails do Peixe Urbano, devidamente classificados pelo Gmail automaticamente como SPAM, sem jamais ter me cadastrado na empresa. E por um endereço que eu só dou a amigos. Tudo indica que um ou mais “amigos” me “presentearam” com esses sessenta SPAMs mensais ao dividir seus catálogos de endereços com o Peixe Urbano. E sabe-se lá de quantos outros serviços eu sou vítima de SPAM pela mesma razão.

Outro dia, um cliente mencionou o convite que supostamente eu havia mandado a ele para entrar no Facebook. Espantado, eu disse a ele que deveria haver algum engano, porque não é do meu feitio misturar trabalho com redes sociais e eu não faria isso sem permissão, por considerar o convite algo “intrusivo”*. Ele então procurou nos seus e-mails pelo convite e descobrimos que se tratava de um outro Jefferson, que ele nem conhecia. Aí eu expliquei a ele como essa coisa funcionava e que aquela pessoa que o estava “convidando” possivelmente nem sabia quem ele era também, e o convite havia sido enviado simplesmente porque ele algum momento havia entrado em contato com a empresa do meu cliente e o endereço de e-mail (comercial) do meu cliente estava em seu catálogo de endereços.

Eu fico me perguntando quantas pessoas não acabaram criando perfis no Facebook por causa da pressão “social” de convites de pessoas que nem sabiam que as estavam convidando. Não é à toa que Mark Zuckerberg está bilionário.

*A maioria das pessoas não parece entender o quanto um convite para uma rede social como o Facebook é intrusivo.  Não se trata de apenas “declarar” que conhece a pessoa. Aceitar alguém como “amigo” ou “conhecido” em uma rede social dá a esse “conhecido” uma visão dos seus interesses e relacionamentos que pode ser extremamente incômoda.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
7 comentários
  • Julião - 11 Comentários

    Isso acontece comigo também, recebo convites de Linkein e outras coisas de gente que troquei emails apenas uma vez na vida.
     

    *A maioria das pessoas não parece entender o quanto um convite para uma rede social como o Facebook é intrusivo.  Não se trata de apenas “declarar” que conhece a pessoa. Aceitar alguém como “amigo” ou “conhecido” em uma rede social dá a esse “conhecido” uma visão dos seus interesses e relacionamentos que pode ser extremamente incômoda.
     

    Certamente é porque a maioria das pessoas costuma fazer as coisas em “modo automático”, sem pensar em nada, como acontecia na época em que eram comuns pragas instaladas via ActiveX e as pessoas confirmavam a instalação na maioria das vezes sem nem saber o que estavam fazendo. No fim as histórias sempre se repetem, só mudam os personagens e objetos.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Sony Santos - 58 Comentários

    Concordo com você e com o Julião. Outro dia recebi convite para o “LinkedIn” de uma amiga, em tom pessoal, mas desconfiei e conversei com a pessoa antes de fazer cadastro. Ela me disse que só entrou nesse site UMA vez, e nisso deve ter fornecido sua lista de contatos. Isso é violação de privacidade!!! – da privacidade de terceiros!!! (não só do dono da lista de contatos, mas dos donos dos emails!). É um crime, dependendo do ponto de vista.
    A culpa é do usuário, que forneceu a senha? Não vejo assim. A culpa maior é da “engenharia social” da rede social que, além de pedir uma informação altamente sensível sabidamente “pessoal e intransferível” para dolosamente violar a privacidade alheia, o faz de uma forma a induz o usuário a cair no golpe. Nem todo usuário é esperto ou experiente o suficiente para entender a gravidade do que está fazendo com os seus amigos. Até porque grande parte deles cai em golpes semelhantes quando “clicam aqui” para ver “fotos.exe”; classifico no mesmo tipo de ingenuidade digital.
    Seria muito bom se a senha de acesso só funcionasse com o usuário e só no site da empresa (ex.: gmail), e não a partir de terceiros (ex.: facebook). Não consigo imaginar isso sem captcha, e captcha para cada login pode ser muito irritante para os usuários. Outra ideia é o uso de javascript para acionar certas funcionalidades, uma vez que robôs costumam ignorar js. Se o login só for possível com JS, isso pode dificultar acesso indevido de redes sociais. Porque não adianta o Google dizer nos termos de contrato “não forneça sua senha a ninguém”; é necessário uma proteção adicional própria.
    Aceito outras ideias, porque também desenvolvo sites e não quero que meus usuários caiam em golpes semelhantes.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      A culpa é do usuário, que forneceu a senha? Não vejo assim. A culpa maior é da “engenharia social” da rede social

      Apesar da clara má fé na atitude dessas empresas, não dá para passar a mão na cabeça do usuário, do contrário ele não aprende. Eu gostaria que todos os meus “amigos” que cairam nessa tivessem total ciência das implicações do que fizeram e pelo menos me pedissem desculpas e prometessem não fazer de novo, mas não posso dar um cascudo pessoalmente em todos, senão só vão sobrar os amigos nerds e, por força de definição, homens! :lol:

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • Sony Santos - 58 Comentários

        Tem razão; eles precisam aprender. E do modo como escrevi deu a entender que acho que eles não tem nenhuma culpa; mas não soube me expressar bem. Penso que eles têm, sim, parte da culpa, mas uma culpa bem menor do que a das redes sociais.

        Seu comentário sobre os amigos nerds me fez lembrar de um blog chamado Garotas Geeks. Faz tempo que estou para comentar que sempre que vejo o “GG” no blog delas a primeira coisa que me vem à mente é “Geringonças & Gambiarras”, hehehhehehe. http://garotasgeeks.com/ 

        VN:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
  • Leo - 8 Comentários

    Você falou na praga do Peixe Urbano mas tem coisa pior: “parceiros” de sites de vendas. Todo dia são uns 15 emails de sites que se dizem “parceiros” de outros, com ofertas duvidosas. E não adianta tentar cancelar o envio, usando o link de cancelamento, pois continuam a enviar spam.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • brunoguimaraes - 10 Comentários

    É verdade, ainda bem que no Yahoo existe a opção de bloqueio de domínio ou remetente, só assim para nunca mais receber esses spams de parceiros e as promoções que eu quero mesmo receber vão direto pra pasta de spam. Só queria saber quem foi o maldito que colheu o meu e-mail e vendeu, sendo que eu uso uma conta no Gmail só para cadastros.
     
    OBS: Jefferson, o pior é na play store do google, que malware lá come solto e sem a Google sequer se mexer, se a pessoa quiser manter informações importantes no celular, acho bom evitar Apps, porque não da pra se ter garantia alguma de segurança, haja visto como é a segurança dos dados no IOS e no Android.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    O Linkedin está se esmerando na baixeza. Estava me enchendo o saco com “lembretes” de convites que eu ignorei então fui olhar um de perto. Agora eles estão forjando o campo “from” dos e-mails.

    O campo agora tem o nome e endereço de email da pessoa que você conhece, como se ela mesma tivesse mandado. Só dá para perceber que é forjado olhando o código-fonte da mensagem para ver os headers. A mensagem parte dos servidores do Linkedin, mas diz que vem do uol, gmail, hotmail…

    E ainda “assina” as mensagens no nome da pessoa. Exemplos:

     

    Jefferson,

    Eu gostaria de adicioná-lo à minha rede profissional no LinkedIn.
    -Erick

     

     

    Jefferson,

    Eu gostaria de adicioná-lo à minha rede profissional no LinkedIn.
    -Lima 

     

     

    Eu gostaria de adicioná-lo à minha rede profissional no LinkedIn.
    -Suporte

     

    Esta última denuncia a Linkedin. O sistema automatizado simplesmente pega o primeiro nome do cadastro da pessoa/empresa e “assina” com ele.

     

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Tutorial reaver-wps (Linux) para usuários avançados do Windows

Cuidado: a fonte usada por padrão neste tema do wordpress não diferencia bem a letra “o” do número “0”. Eu tentei contornar isso usando texto pré-formatado onde era mais ambíguo.

“reaver-wps” é o programa Linux que explora a vulnerabilidade dos roteadores Wi-Fi que comecei a comentar neste post.

Este tutorial é destinado a usuários avançados e técnicos do mundo Windows. O tutorial é inteiramente baseado em Linux, mas se você já instalou o Linux alguma vez na vida e prestar atenção não deverá ter problemas. Não uso Linux mas mesmo assim consegui, então você também consegue.

Dicas para uma adaptação mais rápida:

  • Trate tudo no Linux como “case sensitive”. Assim “wget” e “Wget” são duas coisas completamente diferentes;
  • O comando similar ao ipconfig do Windows é “ifconfig”;
  • O prompt de comando chama-se “terminal”;
  • Você pode usar CTRL+C para copiar de um browser ou outro texto e CTRL+SHIFT+V para colar no terminal;
  • Para executar um comando como administrador você precisa antecedê-lo com o comando “sudo”, assim: “sudo reaver”;
  • Para executar um programa que esteja no diretório atual você precisa anteceder seu nome com “./” assim: “./configure”. Do contrário o Linux irá procura o programa no path e ignorar o diretório atual. Isso vale mesmo quando o comando é precedido por “sudo”.

Glossário

  • BSSID: O endereço MAC da interface wireless

Do que você precisa:

Atenção: No mundo Linux não se preza por retrocompatibilidade como no Windows, então use exatamente as versões indicadas para evitar problemas!

  • Uma cópia do Live CD do Kubuntu 11.10 – Eu estou usando o Ubuntu neste tutorial porque aprendi com um tutorial que o usa, mas outras distros (como a Backtrack) poderiam eventualmente ser mais “fáceis”;
  • Um ou mais adaptadores Wi-Fi compatíveis com Linux que possam operar no modo “monitor”. Eu estou usando dois deste aqui;
  • Uma conexão com a internet até o momento da instalação do Reaver.

Instale o Kubuntu no disco rígido (requer conexão com a internet)

Isso não é realmente necessário. Você pode pular essa parte e instalar o reaver-wps enquanto roda o Linux a partir do LiveCD. Mas não conheço modo de fazer isso sem ter que fazer de novo a instalação do reaver-wps toda vez que reiniciar. Eu optei por instalar em um notebook velho com dicos de 80GB e deixei o Ubuntu criar uma partição de 10GB para ele. Ele fez isso sem danificar a instalação do Windows XP que já existia.

Não vou ensinar aqui como se instala o Linux. Um usuário avançado Windows conhece todos os conceitos necessários para compreender o processo. Mas lembre-se de sempre usar o comando ifconfig quando precisar saber se, e como, seus adaptadores de rede foram reconhecidos.

Neste ponto eu preciso fazer um elogio ao instalador do Kubuntu 11.10. É a primeira vez que eu vejo um instalador de SO fazer perguntas de configuração enquanto copia os arquivos.

Instale o reaver-wps (requer conexão com a internet)

A partir deste ponto, lembre-se de que pode se poupar de muita digitação e frustração usando CTRL+C e CTRL+SHIFT+V. Abra esta página no browser da máquina Linux e copie e cole os comandos, adaptando onde necessário.

Só por precaução, dê o seguinte comando para atualizar o banco de dados de repositórios:

Baixe o reaver 1.4 (mude o nome do arquivo para baixar outra versão. Confirme a mais recente aqui):

Extraia

Instale as dependências e ferramentas

Compilar e instalar

Usando o reaver-wps

Dê o comando “ifconfig” no terminal para saber que interfaces WiFi estão disponíveis. Elas serão listadas como “wlan0”, “wlan1” e assim por diante.  Na maioria das vezes será “wlan0”, mas nem sempre. Por exemplo, meu notebook emachines tem um adaptador embutido que o Linux nomeou “wlan0”, mas que eu não posso usar porque a sequencia de teclas FN+F2 desse notebook não é reconhecida pelo Linux. Então eu tive que instalar um outro adaptador, que foi nomeado “wlan1”.Mas neste tutorial eu vou considerar o deafult: wlan0

Preste atenção à resposta que esse comando dá. Ele dirá se está monitorando como “mon0”, “mon1″, etc”. No meu caso foi mon0 (mon-zero)

Agora você precisa saber qual o MAC da interface wireless (BSSID) do roteador que você deseja testar. Se você tem acesso ao roteador, basta entrar no seu setup e olhar isso (lembre-se: é o MAC da interface WIRELESS). Mas também é possível obter isso remotamente com o comando:

O programa vai exibir uma lista de todas as redes ao alcance, atualizada em tempo real, com o BSSID (MAC) do lado esquerdo e o ESSID (o nome da rede) na outra extremidade. Exemplo abaixo.

Você também pode usar o programa wash, que vem com o reaver-wps. O programa tem a vantagem de só listar as redes que tem WPS habilitado (dica de tarcisiocjr):


Quando tiver o BSSID da que você quer, termine o programa com CTRL-C.

Agora você está pronto para executar o reaver:

Onde 00:00:00:00:00 é o BSSID obtido no passo anterior

Após um ou dois minutos se auto ajustando, o reaver decidiu usar um intervalo de 4s entre tentativas. Agora aguarde enquanto ele faz sua “mágica”.

Extras

Para atualizar o reaver

Você deve fazer tudo de novo exceto o passo “instale as dependências”, mas mudando os comandos para bater com a nova versão.

Como testar mais de um roteador ao mesmo tempo

Basta instalar dois ou mais adaptadores WiFi compatíveis e abrir um terminal para cada um deles e repetir apenas os passos em “usando o reaver-wps”, ajustando os parâmetros “wlan” e “mon” de acordo. Eu testei com dois ao mesmo tempo, ligados a um hub USB.

E se eu tiver que parar o teste?

Não é problema. O reaver-wps grava tudo o que já fez e na próxima vez que você pedir para testar o mesmo BSSID ele vai se oferecer para continuar de onde parou. Você pode continuar (default) ou começar de novo.

Como saber se o WPS está ativo ou não?

No meu caso, quando eu desligo o WPS o reaver fica testando o PIN 1234567890 em loop

Créditos:

Meu tutorial se baseou neste, que está desatualizado (há uma versão mais nova do reaver) e incompleto (entre outras coisas não prevê a ausência de make numa instalação limpa do kubuntu)

VN:R_U [1.9.13_1145]
Rating: 5.0/5 (1 vote cast)
65 comentários
  • k-io - 1 Comentário

    belo post mas tenho uma pequena duvida. acho que o kubuntu não vem com aircrack e voce usou o airmon para modemon assim os menos experientes não vão entender como que se faz eu tive muita dificuldade na migração win/linux e sei o quanto é dificil quando não se tem uma base descente.
    falou novamente belo post

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Meu tutorial prevê isso. O aircrack é instalado naquele longo comando que instala dependências.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Eu vi mais de uma referência a baixar o reaver-wps do repositório debian usando o comando apt-get install reaver-wps, mas comigo sempre dá “Unable to locate package reaver-wps”. Ou é preciso acrescentar algum servidor à lista de repositórios ou o pacote existia mas foi retirado.

    Também é possível baixar um pacote .deb pronto daqui. Mas eu não testei e não estou certo de que facilitaria significativamente a instalação. Supostamente o pacote cuida automaticamente de instalar as dependências e fazer a compilação.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • tarcisiocjr - 2 Comentários

    Olá Ryan, eu não sou contra distribuir o conhecimento, muito pelo contrário, acompanho teus blog’s a anos, mas até que ponto é “saudável” publicar um tutorial tão mastigado que explora uma falha tão grave que afeta milhões de roteadores wireless pelo mundo?

    @Topic, junto ao reaver-wps existe um utilitário que busca nas redes wireless as que são afetadas por esse problema, chama-se wash. Se não me engano a sintaxe para utilizar é:

    wash -i mon0 

    VN:R_U [1.9.13_1145]
    Rating: 5.0/5 (1 vote cast)
    • Jefferson - 5.025 Comentários

      A intenção do meu tutorial é ajudar pessoas bem intencionadas a determinar se seus roteadores são confiáveis, que é o que estou fazendo com o reaver. Desde que descobri sobre isso venho preocupado com a segurança dos meus clientes.

      Infelizmente, todo conhecimento pode ser usado para o bem ou para o mal. Eu acho que é mais importante cobrar um firmware atualizado dos fabricantes e divulgar o problema para que o máximo de roteadores com a falha tenham o WPS desativado ou saiam de circulação. Os fabricantes parecem estar “brincando de avestruz”, fazendo de conta que o problema não existe ou que não é sério, 50 dias após a publicação do boletim do CERT.

      Obrigado pela dica do wash. No meu caso eu tive que rodar assim:

      VN:R_U [1.9.13_1145]
      Rating: 5.0/5 (1 vote cast)
  • Eugenio - 1 Comentário

    Bem fácil mesmo, qualquer macaco consegue digitar esses comandos no terminal. È uma vergonha vários fabricantes não terem ainda disponibilizado atualizações para essa brecha.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Eduardo Fagaraz - 4 Comentários

    Fiz alguns testes com o Reaver e fiquei impressionado com a falha do WPS. É muito simples descobrir a chave WPA2 com esse método, em apenas algumas horas está revelado. Tão ou mais fácil que descobrir uma chave WEP (que requer apenas um bom sniffer em conjunto com o aircrack), e muito mais simples que tentar quebrar uma chave WPA2 usando brute-force (montei um arquivo texto com mais de 2 gb com todos os dicionários do mundo, todas as combinações de datas e números além de milhares de nomes próprios), que pode levar vários dias ou semanas pra quebrar a chave.
    Algumas observações:

    * Se vc usar uma distribuição baseada no Ubuntu (eu uso o bactrack 5) basta usar a sintaxe “apt-get install reaver” pra instalar o Reaver e suas dependências.
    * O comando “reaver -i mon0 -b 00:00:00:00:00 -vv” mostra com mais detalhes a busca por cada um dos PINs, incluindo as tentativas de autenticação (dá pra entender melhor como funciona o processo).
    * Ryan, eu acredito que no seu caso foram 3 segundos pra cada PIN, e não 3 PINs por segundo. Fiz um teste com meu roteador (está ao lado do notebook com o backtrack) e foi 1 PIN a cada 3 segundos. Quando eu afastava o notebook do router e a potência do sinal caía ele subia pra 1 PIN a cada 5 segundos e 1 PIN a cada 8 segundos.

    * Meu router é o Siroco W301AR e permite desabilitar o WPS – coisa que fiz imediatamente ao perceber como foi fácil quebrar minha própria chave WPA2 em pouco mais de 4 horas.

     

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Se vc usar uma distribuição baseada no Ubuntu (eu uso o bactrack 5) basta usar a sintaxe “apt-get install reaver” pra instalar o Reaver e suas dependências.

      Como eu disse em outro post, o Ubuntu não tem o Reaver nos repositórios padrão. Testei de novo agora.

      E o Backtrack 5, até o dia dos meus testes, também não tinha.

      Ryan, eu acredito que no seu caso foram 3 segundos pra cada PIN, e não 3 PINs por segundo.

      Estou com dificuldade para achar onde foi que eu disse (ou insinuei) isso. Por favor cite o parágrafo.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Tailan - 7 Comentários

    Testei o Belkin F5D8236-4 v3000, com o firmware mais recente. Em um pouquinho menos de 5 h revelou a chave WPA2.
    Durante o teste, percebi que ao menos um dos LEDs dele se comportava como se o aparelho estivesse sobrecarregado (um LED que, dada a circunstância, deveria piscar num intervalo regular, mas ficou totalmente “louco”, fora de ritmo).
     

    Com o WPS desligado, o reaver ficava reportando “Failed to associate with [endereço MAC] (SSID)”.
     
     
    Outro modelo que testei foi o Sagemcom F@st 1704, cedido pela GVT (e, portanto, com firmware customizado por ela).
    Em cerca de 5 h 5 min revelou a chave WPA2.

    Com o WPS (que esse roteador chama também de “WSC”) desligado, o reaver não passou da fase “Waiting for beacon from [endereço MAC]”.
     
    Pelo menos desligar o WPS, em ambos os aparelhos, funciona.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Gabriel - 2 Comentários

    Boa noite. Primeiramente gostaria de dizer que meu interesse por tal procedimento eh profissional. Sou fanboy e defensor dos aparelhos da marca Billion, muita gente nao conhece, mas na minha opniao sao os melhores modem, aps, routers, voips e etc. Mas se comparado a algumas outras marcas tem um preco muito salgado! Por isso muitos clientes nao gostam dessa opcao.. Ja faz algum tempo que soube dessa falha no protocolo wpa, mas nunca tive problema com algo do tipo.. Ate a semana passada, que um cliente relatou certa lentidao na navegacao, ele possui um modem/router/ap da TP Link com seguranca wpa. Verifiquei problema na linha telefonica, rede e nada! Ate que achei um MAC estranho conectado no AP, kickei e fiz o bloqueio do MAC, ficou perfeito.. No outro dia, novamente mesmo problema, e agora com outro MAC.. A solucao na hora foi somente de “esconder” a SSID e permitir somente alguns MAC pre definidos. O problema eh que o cliente nao tem muito conhecimento pra “adicionar” outros MACs, e como ele ta sempre recebendo visita de fornecedores e vendedores que precisam de acesso a internet sempre acaba se enrolando e tendo que me chamar pra fazer o processo.. Atualmente troquei o TP Link dele por um Linksys WRT54G com fireware da DD-WRT(MEU XODO E FILHO UNICO), tem se mostrado “seguro”, so nao sei se eh realmente seguro ou o “hacker” desistiu. Agora quero pegar meu  Linksys de volta, mas nao sei o que fazer com o cliente, tenho medo de colocar um Billion de que tanto falo bem e o problema voltar. Procurei alguma atualizacao para o TP Link e nao achei nada que resolvesse esse problema, ja nos billion aparece que existe uma atualizacao que resolve.. Minha intencao em aprender a fazer esse processo eh: Fazer um teste com o Linksys WRT54G com fireware da DD-WRT. Fazer um teste com os meu APs da Billion antes e depois da atualizacao. Desculpa o falatorio, mas quiz me explicar antes de fazer qualquer pergunta.. Estou tendo problemas para instalar e usar esse reaver.. Nunca tive nenhuma experiencia com linux, nenhuma mesmo! Ja tentei fazer esses procedimentos no Ubuntu e no Kubuntu. Sempre da o mesmo problema.  Baixo e descompacto, ate ai tudo OK. 

    Nessa hora:sudo apt-get install libpcap-dev aircrack-ng sqlite3 libsqlite3-dev  <code>kubuntu@kubuntu:~/reaver-1.4/src$ sudo apt-get install libpcap-dev aircrack-ng sqlite3 libsqlite3-dev
    Reading package lists… Done
    Building dependency tree       
    Reading state information… Done
    Package aircrack-ng is not available, but is referred to by another package.
    This may mean that the package is missing, has been obsoleted, or
    is only available from another source
    However the following packages replace it:
      iw:i386 iw
     
    E: Package ‘aircrack-ng’ has no installation candidate</code>  

    Depois no:
    .configure
    <code>kubuntu@kubuntu:~/reaver-1.4/src$ ./configure
    checking for gcc… no
    checking for cc… no
    checking for cl.exe… no
    configure: error: in /home/kubuntu/reaver-1.4/src':
    configure: error: no acceptable C compiler found in $PATH
    See
    config.log’ for more details.</code> 

    Se puderem me ajudar!! 

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Não tenho tempo para checar isso agora, mas eu suponho que seu primeiro problema se deva aos repositórios padrão das duas distros que você está usando não terem o aircrack-ng. Você precisa acrescentar um repositório que tenha.

      O segundo erro é causado possivelmente porque você fez uma instalação básica do Ubuntu/Kubuntu. Instalações básicas não incluem ferramentas de desenvolvimento, como compiladores. Eu não me lembro das opções que escolhi ao instalar o Ubuntu, mas verifique se essa opção de instalar os compiladores não está lá.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Gabriel - 2 Comentários

    Certo amigo.
    Obrigado por sua resposta..
    Tanto o Ubuntu como o Kubuntu são os baixados do site e ambos os sistemas.
    Teria que ser ua versão do ubuntu/kubuntu server pra ter essas ferramentas de desenvolvimento?
     
    Vou tentar reinstalar novamente pra ver se vejo alguma opção assim..

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Duff - 2 Comentários

    Pq quando dou o comando “tar -zxvf reaver-1.4.tar.gz” da o seguinte erro:

    gzip: stdin: not in gzip format
    tar: Child returned status 1
    tar: Exiting with failure status due to previous errors

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • cleverton - 1 Comentário

    bom dia jefferson pelo tutorial já tinha visto esse metodo…só tenho umas duvidas..
    é eu estou testando aqui em casa na wpa2 e deixei uma noite toda umas 12 horas praticamente
    e não obtive resultados minhas são as seguintes?
    1- quando e reaver está e modo captura é ele desconecta meu sinal wirells ficando reconectando enquanto executa, isso é normal?
    2- é demorado assim mesmo para quebra da chave ou depende do sinal, ou da vitima que o reaver espera a vitima conectar para captura a handshark e tenta quebra ela?
    3- como queu faço para voltar onde pare. exemplo tive que desligar o note e quando eu ligar o modo mon0 exemplo ele não estara mais habilitado, então como posso prosegui onde o reaver parou sem que ele começe do inicio…porque ele deve guardar essas informações capturadas em algum lugar…
    agradeço desde já
    abraços cleverton

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Fred - 2 Comentários

    Ola, amigos ja instalei o reaver 1.4 uso Ubuntu com pacote aircrack-ng instaldo tambem,
    Quando uso o reaver ele chega na parte que termina o seu processo e exibe a senha WAP PSK com um monde de algoritimos, ou seja não exibe a senha corretamente
    podem me ajudar, alguem ja passou por isso ?
    Reaver v1.4 WiFi Protected Setup Attack Tool
    Copyright (c) 2011, Tactical Network Solutions, Craig Heffner <cheffner@tacnetsol.com>

    [?] Restore previous session for 00:1D:1A:0A:D9:9E? [n/Y] y   
    [+] Restored previous session
    [+] Waiting for beacon from 00:1D:1A:0A:D9:9E
    [+] Associated with 00:1D:1A:0A:D9:9E (ESSID: Teste testn)
    [+] Trying pin 71633060
    [+] WPS PIN: ‘71633060’
    [+] WPA PSK: ‘7CDD8B85FDBE0A20ADC8C53AEEBFB06F6FF98086558FEF1DB0753F4AD7F8348D’
    [+] AP SSID: ‘Network-001d1a0ad99e’
    root@fred-Sansao:/home/fred#

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Eu acredito que esta é a senha, mas se você não sabe disso então está tentando invadir uma rede que não é sua, não é mesmo?

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Fred - 2 Comentários

    Bom Dia Jefferson,
    Essa e a minha mesmo que fiz para testar e no entando eu ja tentei invadir uma outra que não é a minha tambem apareceu um monte de algoritimos tambem da mesma forma que a minha e dai peguei mais uma e a mesma coisa para achar redes aqui com a opção habilitada uso o comando:
    wash -i mon0 –ignore-fcs
    Agora o que eu notei tambem que em todos quando fasso o processo novamente ele mostra os algoritimos da senha diferentes, então como ele muda se fosse a senha mesmo ele num poderia estar mudando a todo novo processo.
    Sera que é porque estou usando o Ubuntu teria que usar o bactrack 5 ?
    Bom hoje vou testar em uma nova rede aqui dai posto os resultados
    Obrigado pela atenção
    Abraços Fred

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Marcelo - 1 Comentário

    Tenho um problema com o meu router da ZON que quando meto a correr o reaver este não me procura os pins, apenas fica o inicial 12345670 e não prossegue para outro pin.. (estou a uns 30 cms do router se for relevante)

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Ramile - 1 Comentário

    O Reaver tá rodando aqui desde ontem a noite e o único output que eu recebo é “[!] WARNING: Detected AP rate limiting, waiting 630 seconds before re-checking”.
    Alguém pode me ajudar?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Ricardo Dantas - 1 Comentário

     
    Tudo bom Jefferson!
     
    Meu nome é Ricardo,e recentemente li um tutorial seu  a respeito do ‘BLACTRACK” em  especial  sobre a ferramenta ‘REAVER”.
    Gostei muito e resolvi por em prática, instalei o BLACKTRACK 5r3 em uma máquina virtual vm ware no W7, no BLACKTRACK 5r3 já vem o REAVER,segui o passo a passo,mas quando dou  o comando :
    #reaver –i mon0 –b 7C:4F:B5:86:87:DC –vv
    Aparece o seguinte:
     [+] Waiting for beacon from 7C:4F:B5:86:87:DC
    [+] Switching mon0 to channel 1
    [+] Associated with 7C:4F:B5:86:87:DC (ESSID: HomeMNR)
    E não sai disso,já esperei horas e nada.
    Há vezes  aparece isso a baixo, e também não sai disso.
    WARNING: Failed to associate with 7C:4F:B5:86:87:DC(ESSID: HomeMNR)
    Já revirei toda a INTERNET procurando a solução, mais nada,se você pude me ajudar com alguma dica ,agradeço muito.
     
    Obrigado!
     

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Hugo - 1 Comentário

      Estou com o mesmo problema, mas não sei se isso quer dizer q meu roteador é seguro ou se é algum problema na execução do reaver…
      Existe algum tipo de comando paralelo para executar o reaver ou essa linha de comando é a unica possibilidade? (só com o monitor e o BSSID)
      De qualquer forma, estarei satisfeito se isso significar que ninguém mais vai conseguir invadir minha rede :)

      Informações adicionais:
      Sou leigo nesse tipo de assunto, mas estou sendo host para uma rede de amigos, num tipo improvisado de lan house com notebooks! Fiquei assustado quando um amigo me disse da possibilidade de alguém conseguir se juntar à minha conexão, bastando apenas estar no alcance do sinal do meu roteador, e desde então resolvi pesquisar a respeito.

      VA:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
    • ancarvalho - 1 Comentário

      Ricardo,
      vc conseguiu resolver esse problema do “WARNING: Failed to associate with 7C:4F:B5:86:87:DC(ESSID: HomeMNR)”

      estou com esse mesmo problema e não sei como resover

      obrigado

      VA:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • humbertode franAa santos - 1 Comentário

    Ola, parabens pelo tutorial, sou iniciante no linux e tentei no Ubunto baixado diretamente do Lili e nao consegui.
    Baixei o Kubunto e ta rodando em live aqui e ate agora esta dando tudo certo. Ele esta varrendo a minha rede da GVT e creio que em poucas horas ele acertara o PIN.
    Depois volto para publicar o resultaado.

    Tks

    VN:R_U [1.9.13_1145]
    Rating: 5.0/5 (1 vote cast)
  • hugop - 1 Comentário

    Ola a todos
    Primeiro de tudo, os meus parabéns pelo post.
    tenho as seguintes duvidas:
    – ao estar a utilizar o reaver podemos ao mesmo tempo estar ligados a outro router para utilizar a internet???
    – porque me aparece isto:
    “[+] 0.16% complete @ 2012-12-21 22:34:47 (50 seconds/pin)
    [+] Trying pin 00075671
    [+] Trying pin 00085670
    [!] WARNING: Detected AP rate limiting, waiting 60 seconds before re-checking
    [!] WARNING: Detected AP rate limiting, waiting 60 seconds before re-checking
    [!] WARNING: Detected AP rate limiting, waiting 60 seconds before re-checking
    [!] WARNING: Detected AP rate limiting, waiting 60 seconds before re-checking
    [!] WARNING: Detected AP rate limiting, waiting 60 seconds before re-checking
    [!] WARNING: Detected AP rate limiting, waiting 60 seconds before re-checking
    [!] WARNING: Detected AP rate limiting, waiting 60 seconds before re-checking

    ha alguma maneira de evitar esta espera de 60 segundos???

    obrigado 

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Não. O roteador tem proteção contra ataques de força bruta. Ele age como todo roteador decente deveria.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • mafeaa - 1 Comentário

        Amigo o Reaver ta me trazendo essa resposta: [!] WARNING: Detected AP rate limiting, waiting 300 seconds before re-checking como voce falou é porque o roteador tem proteçãocerto? mas mesmo com essa proteção ele vai continuar tentando e vai consguir? ou quando ele da esse aviso é porque não existe mais possibilidade?
        Coloquei pra quebrar minha senha wifi so com letras e numeros e ficou dando esse aviso na tela. Se por acaso tiver uma wordlist so de letras e numeros e puder me enviar eu agradeço quero testar novamente agora com força bruta.
        Obrigado.
        mafeaa [email removido pela moderação]
         
         

        VA:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
  • Joshi - 1 Comentário

    “# sudo airmon-ng start eth0

    Found 1 processes that could cause trouble.
    If airodump-ng, aireplay-ng or airtun-ng stops working after
    a short period of time, you may want to kill (some of) them!

    PID Name
    686 dhclient3

    Interface Chipset Driver

    o meu so aparece isso alguem pode me ajduar ? acho que nao identificou minha placa wireless. como que eu instalo ela no backtrack5 r3?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Marlonbt# - 1 Comentário

      Roda o sistema em um Live CD ..usa o backtrack 5r3 que é o que eu uso. Pois se vc estiver tentando fazer esse processo em uma maquina virtual provavelmente nao vai conseguir pois nao eh possivel reconhecer sua placa wireless dependendo do Sistema Operacional. espero ter ajudado.

      VA:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • […] ver um tutorial mais explicado, CLIQUE AQUI Gostar disso:GosteiSeja o primeiro a gostar […]

  • Egno - 2 Comentários

    Ola fiz tudo certo , mais depois de um tempo aparece isto:WARNING: Receive timeout occurred
    [+] Sending EAPOL START request
    Poderia me dar uma força .
    obrigado

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Segundo rápida pesquisa que fiz isso pode acontecer por diversas razões, sendo a mais provável o roteador não suportar WPS. Também pode ser porque você está muito longe dele ou por bug.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • Egno - 2 Comentários

        Não ,o sinal nao é, ele do meu amigo Everton ele esta no ap de cima sinal fica com 3 level  e wps esta NO com o comando wash -i mon0 –ignore-fcs esto NO ……………e alguem puder me ajudar agradeço.


        Valeu Jeferson seu tuto ajudou muito

        VA:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
  • Ricardo - 1 Comentário

    teoricamente os rooters estariam menos vulneráveis tentando proteções desses ataques.
    Mas la vem o hack novamente a tentar evitar isso.

    tenta-se assim de outras maneiras para os que perecem seguros:

    aireplay-ng mon0 -1 120-a 00:00:00:00:00:00-e FUBAR
    reaver-i mon0-A-b 00:00:00:00:00:00-v

    e outras tentativas com -d definido de 0 a 1

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Edu - 1 Comentário

    E possivel iniciar a busca do PIN por um numero especifico, como o do proprio roteador?
    Iniciando sempre com muito zeros no inicio deixa a pesquisa onerosa!
    Ficou otimo o seu post, parabens!!

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Fisher - 1 Comentário

    Ola com seu tutorial o que consegui foi isso

    [+] Pin cracked in 9320 seconds
    [+] WPS PIN: ‘20676728’
    [+] WPA PSK: ’39e0658fbf561f78e6d05c2202ad69ca09d13c55a871736a47f407cabaa64745′
    [+] AP SSID: ‘Multilaser_WS01’

    Porem não consigo me conectar, é o roteador do meu irmão e uma terceira pessoa colocou a senha e apostamos quem se conecta primeiro.

    Sabe o que posso fazer pra conseguir a senha ?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • vitor - 1 Comentário

    sudo reaver -i mon0 -b 00:00:00:00:00 -e (nome da rede) -vv
    tentem assimque da

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Marcelo Leifeld - 1 Comentário

    Bom dia! Jefferson, estou com dois problemas.O Reaver começa do 90% e quando chega no 100% ele para de fazer a busca.No outro caso ele associa e não vai mais pra frente.Obrigado

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • anonymous - 1 Comentário

    Muito bom esse tutorial descobri que erro “Detected AP rate limiting, waiting 60 seconds before re-checking” proteção roteador mas tem outro problema reaver fica buscando channel testa todos e nao sai disso usando comando wash não apareceu nenhuma rede não possui nenhuma rede com wps ou reaver se ajustando.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Rafael venquiaruti - 1 Comentário

      Essa falha é antiga e o roteador que usaste para fazer este teste de penetração tem um dispositivo para evitar o ataque por força bruta.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • blau - 1 Comentário

    Parabens. Otimo conteudo de aprendizado. Ja uso o linux e tenho
    O kali linux instalado duool boot.
    Estou aprendendo sobre testes de suguranca, mas fazendo
    Este teste exibe sempre Receive timeout occurred e ja esta em
    99,99%. Como resolvo e porque esta ocorrendo isso?
    O reatante do processo todo ocorreu como descrito.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • VEIZINHO - 1 Comentário

    O pessoal acaba sempre descobrindo uma maneira de quebrar as proteções.

    E só existe esta forma de se obter a senha?
    Só existe usando a bruta força?

    Alguém já viu falar de outra(s) maneira(s) de burlar isso?
    É bom saber de todas as possibilidades para nos prevenir.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • EvanHAcker - 3 Comentários

    Para quem está com problema do roteador “ser protegido” contra “ataques brutos” aparecendo a mensagem “detected ap rate limiting…” tente o seguinte comando …

    comigo deu certo ;)

    # reaver -i -b -vv -L

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • EvanHAcker - 3 Comentários

      # reaver -i Mon device -b BSSID -vv -L

      VA:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • EvanHAcker - 3 Comentários

        Acrescente -L no final… apenas isso 

        VA:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
        • Robert - 1 Comentário

          O -L apenas oculta a mensagem de erro do roteador. O roteador continuará bloqueando novas tentativas: não solucionará o problema.

          VA:R_U [1.9.13_1145]
          Rating: 0.0/5 (0 votes cast)
  • GabrielN - 2 Comentários

    Aki no meu ta dando “Failed to associate with…”

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Karina - 2 Comentários

    No tp-Link não tem o nome WPS para desabilitar, o nome é QSS/WPS , provavelmente QSS, ai vc desabilita.
    No meu celular estava aparecendo a opção do lado da senha entre parenteses assim (WPS DISPONIVEL) ai fui e desabilitei o QSS no roteador TP LINK e agora não aparece mais.
    Procurei tanto pelo Sigla WPS e não encontrava, ai depois lendo as instruções do roteador vi que era QSS.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Karina - 2 Comentários

    do lado da senha não, do lado do nome da rede SSID aparecia o nome (WPS DISPONIVEL), não aparece mais.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • silvio sousa - 1 Comentário

    Bom dia estou fazendo meu TCC baseado em invasao de forca bruta pelo reaver. Gostaria de saber o significado das mensagens que aparecem no teste de invasao.

    received M1 message
    sending M2 message
    received M3 message
    sending M4 message
    received M5 message
    sending M6 messsage
    fora as outras mensagens que aparecem e que ainda nao sei o significado
    Agradeco antecipadamente.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • t6x - 1 Comentário

    I have made a modification in reaver to automatize the process for the pixie dust attack, here is the github (https://github.com/t6x/reaver-wps-fork-t6x), here is the discussion topic (https://forums.kali.org/showthread.php?25123-Reaver-modfication-for-Pixie-Dust-Attack)

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Gente, é melhor vocês se familiarizarem com essa nova vulnerabilidade.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • cleber - 1 Comentário

      Ola boa tarde!! vc ja testou essa nova vulnerabilidade ou instalou esses novos aquivos do reaver, se sim qual foi o resultado e se vc recomenda, obg!!

      VA:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • Jefferson - 5.025 Comentários

        Eu estou ocupado com outros projetos e não tive tempo para me dedicar a isso.

        VN:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
        • Leonardo - 1 Comentário

          Jefferson, o meu reaver fica repetindo o mesmo pin a 99.99%, creio que os 4 primeiros numeros estao corretos, como faço para pular esse pin? Backtrack 5 r3

          VA:R_U [1.9.13_1145]
          Rating: 0.0/5 (0 votes cast)
  • zeh - 1 Comentário

    O reaver começa com 90% e quando chega nos 100% ele volta para 52% e vai buscando novamente e fica em loop de 50% e 100% e nao da a chave, que estar acontecendo? uso o comando “reaver -i mon0 -c (canal) -b (bssid) –no-nacks” podem me ajudar?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • cleyton cads - 1 Comentário

    ola..esse problema do reaver com wps bloqueados ja existe alguma solução, para que o reaver continue a missão de descobrir a senha?

    porque pelo que eu sei o mdk3 consegue desbloquear o wps de yes para on…mas mesmo desbloqueando ele logo ira voltar a bloquear de novo, tipo nao adianta nada.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Everton - 1 Comentário

    Digamos que eu ja tenha o pin de um roteador, qual seriam os comandos utilizados para um pin especifico?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Rodrigo Nunes - 1 Comentário

      reaver -i mon -b C8:3A:35:13:82:C8 -d 70 -c 6 -p 12786640 -vv

      -i mon – Interface em modo monitor
      -b bssid – Mac do AP
      -d 70 – delay, tentativa a cada 70 segundos
      -c 6 – canal do AP
      -p 12786640 – Opção para o PIN inicial, já vai tentar com esse pin primeiramente se não der certo tentará os próximos restantes.
      -vv – método verbose

      VA:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Descoberto mais um modo de se invadir uma rede wireless

Normalmente, basta que o roteador suporte WPS. [16/04/2015]: A TP-Link chama o WPS de “QSS”.

A vulnerabilidade foi publicada no final de dezembro. Todo roteador que tem aquele botãozinho rotulado “WPS” deve ser considerado vulnerável e precisa ser verificado. O problema consiste numa série de falhas:

  • Todo roteador que suporta WPS suporta autenticação por PIN, que é um número impresso em uma etiqueta no fundo do roteador;
  • A autenticação por PIN não requer que você aperte o botão. Ter o PIN é mais ou menos o mesmo que ter a senha WPA/WPA2;
  • Adivinhar remotamente o PIN (“pelo ar”), devido a uma falha grosseira no protocolo, requer apenas 11 mil tentativas (se fosse corretamente implementado, seriam 10 milhões);
  • Muitos firmwares não tem bloqueio automático em caso de sucessivas tentativas erradas. Isso permite que qualquer roteador comprometido seja invadido em 10 horas ou menos. Alguns em 30 minutos;

Como se proteger:

  • Desativar a função WPS, se possível (preferível);
  • Verificar se existe um novo firmware que bloqueie o WPS em caso de erros sucessivos. Na minha opinião, só é razoavelmente  seguro se após 3 tentativas o WPS ficar bloqueado até um reboot no roteador;

A julgar pela descrição do problema, usar WPS pode ser tão ou mais perigoso quanto usar criptografia WEP.

16/04/2015 – Nova vulnerabilidade.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
46 comentários
  • Jefferson - 5.025 Comentários

    O que é ainda mais preocupante nessa falha é que faz parte do funcionamento do WPS revelar a senha de rede ao dispositivo que apresenta o PIN. Assim o atacante não apenas “entra” na rede. Ele fica de posse da senha que você usa! É melhor que não seja uma senha que você usa em muitos lugares.

    Então, após resolver o problema com o WPS, é importante também mudar a senha WPA/WPA2.

    Também é importante resetar o roteador para as configurações de fábrica. Qualquer um que tenha invadido sua rede pode ter feito configurações indesejáveis nele. A mais perigosa delas é o “DNS poisoning” (apontar os servidores DNS para servidores malignos).

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Também é importante resetar o roteador para as configurações de fábrica. Qualquer um que tenha invadido sua rede pode ter feito configurações indesejáveis nele. A mais perigosa delas é o “DNS poisoning” (apontar os servidores DNS para servidores malignos).

      Fui alarmista demais. Isso só é necessário se a senha de administração do roteador ainda for a default ou for igual à senha wireless. Deixar o roteador com a senha default é um grande não-não de qualquer forma.
       

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • Luciano - 297 Comentários

        Uma questão interessante. Como que fica isso em roteadores que tiveram seu firmware trocado pelo DD-WRT por exemplo? Em casa eu tenho um dlink DIR-300 que troquei o firmware podre dele pelo DD-WRT, mas não me lembro se o botão WPS continua tendo sua função padrão. :huh:

        VN:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
        • Jefferson - 5.025 Comentários

          Segundo mais de uma fonte, o DD-WRT não suporta WPS, por isso qualquer aparelho com ele instalado está seguro.

          VN:R_U [1.9.13_1145]
          Rating: 5.0/5 (1 vote cast)
      • leonardo - 1 Comentário

        o problema é que hoje em dia é muito comun se configurar o router com a entreda do router em defalt (admin). depois dessa brecha como voce mesmo disse as chances de direcionar o dns ( pra quem tem uma certa experiencia) realmente é grande, mas geralmentesao apenas pessoas que so querem usurfrir do conteudo web, belo post…

        VA:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Basicamente por apreciar “ver por onde ando e o que estou fazendo” eu nunca usei essa facilidade do PIN e só usei o WPS por botão umas três vezes no máximo e só para instalar impressoras wireless. Talvez por isso eu nunca me perguntei como isso poderia ser seguro. Segundo a especificação, depois de apertar o botão o outro dispositivo tem dois minutos para fazer a conexão. Agora que eu vejo a implementação burra que fizeram na autenticação por PIN eu me pergunto:  se no momento em que eu estiver instalando um dispositivo via botão alguém estiver nas proximidades rodando um programa mandando “pings” periódicos esperando por isso, ele não vai aproveitar a oportunidade e conseguir conexão? Se alguém me fizesse essa pergunta ontem eu diria: os projetistas não são tão burros: eles devem detectar os “pings” marcar o dispositivo como hostil e bloquear seu acesso.

    Agora eu não estou tão certo disso.

     

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    A principal razão para isso não ter sido largamente explorado ainda nesses 40 dias é que a única ferramenta pública (até onde sei), é o reaver-wps, que só existe para Linux. E como executável mesmo só como um pacote debian.

    Mas como todo o código fonte está disponível, é só uma questão de tempo até aparecerem versões para Windows, Android, iOS… Se bem que elas serão rapidamente deletadas das “lojas” da Google e da Apple.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Aparentemente o modo mais fácil para um usuário Windows testar essa vulnerabilidade é usando o live DVD da distro Backtrack. Embora o pacote esteja disponível para qualquer distro Debian como o Ubuntu, parece que existem outros requerimentos. O Reaver já foi até incluído na distro, mas não na versão que podemos baixar hoje, então ainda é necessário fazer um apt-get para instalar o reaver e isso será perdido toda vez que você reiniciar o PC.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    E aqui temos uma planilha com uma lista de 125 roteadores testados. Mas o autor avisa que os resultados são submetidos pelo público e não podem ser confirmados por ele. Só deve ser usada como referência.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • José Carneiro - 182 Comentários

    Jefferson, valeu pela dica, meu roteador tem esse serviço, não está habilitado, mas tem.
    Vou passar essas informações para o pessoal do trabalho.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Segundo a planilha, em todos os TP-Link quando o WPS é desabilitado fica mesmo desabilitado. Mas ainda assim um dos testadores disse que o Reaver conseguiu obter o PIN O_o

      Isso precisa ser testado caso a caso, infelizmente.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Outra indicação chocante de que a irresponsabilidade dos fabricantes vinha passando despercebida: segundo comentários deste post do hack-a-day, um grande número de roteadores tem como PIN default 12345670.

    O que significa que nesses casos nem é preciso o Reaver. Basta abrir um notebook com Windows 7 e tentar conexão nas redes uma a uma procurando quem aceita esse PIN.

    Ridículo!

    Pelo menos os mencionados, que eu saiba, não são vendidos no Brasil.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Sony Santos - 58 Comentários

    Uma implementação correta não implicaria em 100 milhões de tentativas?

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Sony Santos - 58 Comentários

    Acabei de ler o link… o último dígito é checksum. Dããã. Não vejo necessidade de checksum neste caso; um dígito a mais de segurança me parece mais importante.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Pois é. Em outra situação eu diria que “deve haver uma boa razão”, mas diante da sucessão de decisões estúpidas que agora se tornaram públicas,  tenho que concluir que trata-se de outra estupidez.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    O roteador Siroco EVO que criou aquele enorme tópico no Buzz pelo menos tem uma opção para desativar o WPS:

    Eu não pude testar ainda se ele é vulnerável, porque ainda não consegui botar o reaver-wps para funcionar.

     

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    O método que estou usando para detectar roteadores possivelmente vulneráveis (por terem WPS ativo) é usar o Windows Seven. O roteador é “suspeito” se no lugar de apenas pedir a senha, der a opção de apertar o botão:

     

     

    Eu não me lembro em que circunstâncias o Windows pede o PIN. Eu tenho a impressão que só acontece no VISTA.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Ramon - 1 Comentário

    Jefferson quando aparece a mensagem no reaver ” failed to associate SSID …” é por que o WPS está desabilitado?

    para fazer esse tipo de ataque algum cliente precisa está conectado ao roteador alvo?

    Para conectar no windows 7 é só digitar o PIN no lugar da senha??? 

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Rodrigo - 3 Comentários

    Tenho um visinho que sempre consegue entrar no meu roteador e troca a senha, tambem aparecem ips de logs nele que não sei de onde vem.
    a Senha e uma frase de duas linhas com números inclusos.
    Uso wpa2psk e mesmo assim o cara entra
    Não aparece o ip nem o mac andress da maquina dele.

    Como esse cara consegue isso? Depois ele ainda fala tds as paginas que visitei.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Rodrigo - 3 Comentários

    Wikresharck? e clonando o mac da minha placa de rede local.
    Acho redes Wireless muito, mas muito frágeis.
    Será que tem alguma porta aberta no roteador.

    Obrigado

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Rodrigo - 3 Comentários

    Não ele não tem o referido botão Wps conheço esses roteadores já configurei ele tambem.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Carvalho. - 2 Comentários

      Rodrigo, pode ser que o cara que está mudando a tua senha não seja o teu vizinho. O atacante pode estar vindo de fora! À um tempo foi descoberta uma vulnerabilidade em mais de 500 mil roteadores domésticos que poderiam ser atacados via web. Não lembro bem onde nem quando vi essa informação, mais acontecia comigo de o meu roteador ter umas atitudes estranhas do tipo: não reconhecer a senha de acesso ou aparecer umas configurações esquisitas. Aconselho a desativar o acesso da interface de configuração via web (principalmente depois de reinstalar o firmware no roteador, pode ser a mesma versão. Eu fiz isso pensando que poderia um atacante ter feito um upload de um firmware “viciado”) e mudar a senha de acesso principal às configurações. Assim você irá ter certeza que o ataque é interno…

      Você sabia que existe um tipo de phising que modifica o endereço do servidor DNS (aquele servidor responsável por transformar o “www.google.com.br” em 74.125.229.223, o endereço que os computadores se conversam) para apontar para um servidor DNS infectado. Esses servidores infectados repassam quase todos os endereços corretamente, mais quando o “dono” desse servidor tem uma página falsa de um banco (Banco do Brasil por exemplo) eles marcam esse site e redirecionam para o servidor web (páginas de internet) com essa “cópia” falsa que vai pedir dados que ajudam a acessar a conta da vítima (como se costuma ver, pedindo para digitar todas as posições das chaves de segurança sob a ameaça de suspensão da conta) além de capturar todos os dados sensíveis dos acessos. Isso geralmente é transparente para o usuário. Pense nessa possibilidade de invasão. Algum estelionatário quer seus dados para ganhar “algum” para o cafezinho… 
       
      Abraços e boa sorte!

      Carvalho.

      VA:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • Jefferson - 5.025 Comentários

        Rodrigo, pode ser que o cara que está mudando a tua senha não seja o teu vizinho.

        Segundo o texto de Rodrigo, é o vizinho, sim:

        Depois ele ainda fala tds as paginas que visitei.

         

        VN:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
        • Carvalho - 1 Comentário

          Tem algo estranho nesse depoimento. Quantos roteadores residenciais/domésticos você conhece que grava o log das páginas visitadas? No máximo, esses roteadores (mais simples) gravam os IPs/MACs que se conectaram à este… Acho que o caso pode ser mais sério! Pode ser um spyware ou mesmo um simples RDP que o tal vizinho está usando na máquina desse colega…
           
          Abraços.
           
          Carvalho.

          VA:R_U [1.9.13_1145]
          Rating: 0.0/5 (0 votes cast)
          • Jefferson - 5.025 Comentários

            Salvo engano, uma vez que ele tenha a senha da rede, o Wireshark pode observar em tempo real o tráfego do vizinho.

            VN:R_U [1.9.13_1145]
            Rating: 0.0/5 (0 votes cast)
  • Fred - 1 Comentário

    Raciocina comigo …uma vez ke o cracker tenha conseguido o PIN do router , só tem um geito de evitar ke ele nao entre na sua net novamente …trocando o pin do aparelho mas é possivel trocar o pin? e logico trocar a senha e desabilitar o wps…PS: se nao trocar o pin com 1 tentaiva com o numero correto do pin o reaver consegue descobrir a nova senha ….

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Se seu aparelho é vulnerável, não importa se você trocar o PIN. Se seu aparelho não é vulnerável, trocar o PIN é desnecessário.

      E já vi aparelhos onde é possível escolher o PIN.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • Carvalho. - 2 Comentários

        Acho que mais importante do que pensar em trocar o PIN é confirmar se desativando a função WPS/QSS faz o roteador inseguro tornar-se seguro!

        Tenho um TP-Link e mecho em outros instalados por mim, sempre desativo o QSS/WPS e queria mesmo saber se é eficaz. Nas interfaces de configuração da TP-Link tem a opção de mudar/restaurar o PIN do aparelho…
         
        Abraços.
         
        Carvalho.

        VA:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
        • Jefferson - 5.025 Comentários

          O único jeito seguro é testar:

          http://ryan.com.br/blogs/quicktalk/2012/02/tutorial-reaver-wps-para-usuarios-avancados-do-windows/

          Ou se basear no testemunho de alguém que já testou.

           

          VN:R_U [1.9.13_1145]
          Rating: 0.0/5 (0 votes cast)
          • Andressa - 2 Comentários

            Ola Jefferson.

            Eu comprei hoje (09/01/2015) um roteador TP-LINK TL-WR941ND.
            O mesmo vem configurado o WPS habilitado.
            Eu configurei uma senha com número e caracteres no meu WPA/WPA2.
            Entrei na interface web do meu roteador e DESABILITEI o WPS. Conforme mostra a imagem anexada.
            Gostaria de saber se eu tenho que trocar o PIN ou DESABILITAR ele também? Pois tem essas opções, conforme mostra a imagem.
            Não quero correr o risco de alguém conseguir entrar na minha rede.

            Você pode me ajudar e me explicar melhor o que mais posso fazer além de desabilitar o WPS nas configurações para deixar a minha rede mais protegida?

            Sou leiga nesse assunto.
            Fico no aguardo do seu retorno.
            Obrigada desde já.

            Att,
            Andressa Sorgetz
            [img]http://ryan.com.br/blogs/quicktalk/wp-content/uploads/2015/01/tp-link.JPG[/img]

            VA:R_U [1.9.13_1145]
            Rating: 0.0/5 (0 votes cast)
            • Jefferson - 5.025 Comentários

              Não é preciso mexer no PIN quando o WPS está desabilitado. O que você fez é o suficiente para ter uma segurança razoável (seguro mesmo é nem sequer usar Wi-Fi). Mas não deixe de mudar a senha de administração do tp-link, mesmo que seja para colar um adesivo no fundo dele com a nova senha para não esquecer. Deixar o roteador usando a senha padrão é uma brecha que pode ser explorada de modos que você nem imagina.

              VN:R_U [1.9.13_1145]
              Rating: 0.0/5 (0 votes cast)
              • Andressa - 2 Comentários

                Ola Jefferson.
                Obrigada pelo seu retorno.
                Já desativei o WPS. B)
                Também mudei a senha de entrada do modem e do roteador mudei o usuário e a senha tb.
                Mais uma vez, agradeço a sua atenção e o esclarecimento.

                Abraços.. Feliz 2015 para todos. :yahoo:

                Att,
                Andressa Sorgetz

                VA:R_U [1.9.13_1145]
                Rating: 0.0/5 (0 votes cast)
  • David Abrantes - 1 Comentário

    Boas, Normalmente os Reuters tem a função de modo de registo, o que isso significa? Depois de instalado activa-se modo registro e para aceder ao Rute o administrador da rede tem de permitir que determinado mac-address possa aceder a rede Wifi, neste caso também dá para determinar um horário ou em que dias da semana determinado msc-address pode ou não contactar-se a rede. Os Thomson têm quase todos essa opção.
    Assim só se conecta que o administrador da rede deixar conectar, e de nada servem os codigos de acesso, porque mesmo com a passe ou Pin-QSS, a ligação fica sempre em modo (limitado ou inexistente) Efectua ligação mas não tem acesso a nada!

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Isso dá uma boa segurança, mas só é viável em um número limitado de casos. Qualquer dispositivo novo precisará ser acrescentado manualmente à lista do roteador. É no mínimo um inconveniente (quando você sabe fazer) e pode ser um estorvo (se for uma residência e ninguém souber mexer nisso). A maioria das empresas pequenas, sem alguém que faça o papel de administrador da rede, julgaria isso muito inconveniente.

      É muito mais simples, para o efeito do que é explicado no meu post, desligar o WPS.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Sandra - 2 Comentários

    O meu modem ficou durante 1 semana com o botão WPS, ativo intermitente sem que eu tivesse acionado porque eu nem sabia o que era e pra que servia, depois apagou e não acendeu mais. O que pode ter acontecido? estavam usando minha internet?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • kleudo - 1 Comentário

    Já usei o reaver muitas vezes, é muito eficaz, mas alguém aqui já tentou usar o reaver em um router com wps desativado? PS: ja sabendo o pin dele.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Fernando - 1 Comentário

    Olá. Mudei meu plano da Net para 30 Mega e instalaram um modem Humax HG 100R-l4. Passado algum tempo, percebi que demorava muito para carregar as páginas do navegador. Pensei em entrar nas configurações do roteador, entrando pela pasta amarela que fica na barra de tarefas. Fiquei surpreso ao ver que abaixo do ícone do roteador havia um ícone de telefone, que sumiu logo em seguida. Após este fato comecei à ficar paranóico tentando descobrir o que seria aquilo. Comecei a ver cada vez mais ícones de telefone abaixo do roteador, até que eu atinei em clicar neles com o botão direito do mouse e em propriedades. Comecei a tirar print screen de todos eles, junto com o respectivo mac de cada um. Ao total, foram sete dispositivos que consegui registrar. Percebi que estranhamente nenhum deles aparece na lista de dispositivos conectados. E sempre que eu desligo o wifi eles ficam sem aparecer. Fiz muitas pesquisas e descobri a tal vulnerabilidade no botão WPS. Parece que foi a única coisa que fez eles sumirem de vez. Mas quero dizer que resetei este modem para os padrões de fábrica quatro vezes, troquei senha de adm. e senha do wifi e inclusive o nome da rede, dúzias de vezes e eles continuavam entrando livremente. Gostaria de saber que técnica é essa que eles tem para entrar no meu roteador e não aparecer nos dispositivos conectados, e se além de pegar carona no meu wifi eles poderiam ver o que eu estou acessando e também se existe como eu virar o jogo e invadir o dispositivo deles quando eles estiverem invadindo meu wifi.Já encaminhei um e-mail à delegacia de crimes virtuais explicando esta situação e estou aguardando a resposta. O meu medo é que este “pessoalzinho” que desconfio ser os autores disso estejam usando minha rede em benefício do crime e eu acabar sendo responsabilizado por isso, já que a rede é minha. Existe algo do ponto de vista legal que eu possa fazer contra eles, já que possuo o mac de todos eles? Obrigado.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Snow_man - 94 Comentários

    Jefferson, descobri hoje um app que diz explorar essa falha, se chama AndroDumpper ( WPS Connect ) [https://play.google.com/store/apps/details?id=com.bigos.androdumpper&hl=pt-br]

    obs: se não puder ter o link, pode editar ou remover o comentário.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • euzinha - 1 Comentário

    ola, boa noite, eu também queria saber se no roteador link1one tem como desativar o botão wps, como e como ele eh explícito nas configurações, ou seja, que nome a ele eh dado? Obrigada euzinha!

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • brono - 1 Comentário

    :yahoo: bom

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Daniel - 1 Comentário

    Eu queria saber se existe possibilidade do admin da rede Wifi descobrir se existe alguém usando a rede pelo WPS?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Problemas no acesso ao Itaú

Ao tentar acessar itau.com.br, sempre dá erro na primeira tentativa. Na segunda o site entra. Testado com IE e Firefox, em dois computadores diferentes em duas redes completamente distintas (um deles é o meu desktop, em casa).

E dá a seguinte mensagem ao acessar com o Firefox 3.6.25:

Nas minhas contas 3.6.25 é mais recente que 3.0.

O cliente estava usando a versão 4.0 e dava a mesma mensagem. Eu atualizei o Firefox para a versão 10.0 e continuou dando a mensagem.Tive que instruir o cliente a não usar o Firefox.

Testei com o IE8, mas estava esquisito. Depois de aplicar todas as atualizações de segurança para o IE8 que eu tinha no meu kit, passou a funcionar “mais ou menos”.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
4 comentários
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

O malware “esperto” parece estar ficando mais comum

Até meados de 2009 eu podia me gabar de ser capaz de remover “na munheca” 100% das infestações  de malware, simplesmente usando ferramentas como o Autoruns e, algumas poucas vezes, o Bankerfix. Mas no último ano e meio eu me deparei pelo menos quatro vezes com máquinas onde, baseado nos sinais e sintomas, eu tinha certeza de que havia um malware mas não fui capaz de achá-lo.

Um desses sinais é configurar o Windows para exibir arquivos ocultos e a opção ser revertida imediatamente.

Foram pelo menos quatro situações em que eu tive que renomear a instalação do Windows e reinstalar tudo do zero. Coisa que raramente eu preciso fazer.

Em nenhuma das situações eu fiz buscas por rootkits. Quando só resta a possibilidade de rootkit, o melhor a fazer mesmo é começar do zero. Se a busca for negativa, você perdeu tempo. Se for positiva… com rootkit não se brinca.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
6 comentários
  • juliaof - 11 Comentários

    Olá Jefferson, como você não comentou, acho pertinente citar que há como causar esse comportamento no Windows Explorer modificando uma chave no registro do Windows, quando eu trabalhava com manutenção de computadores e removia malwares (entre 2006 e 2008), de vez em quando aparecia um assim. Claro que é necessário desabilitar o malware antes pra não voltar a ocorrer, mas as vezes o que falta é só alterar essa chave do registro.
    Achei esse site que cita a chave de registro e outras causas pra esse problema (particulamente só precisei alterar a chave do registro): http://www.technize.com/show-hidden-files-and-folders-not-working/

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Saulo Benigno - 260 Comentários

    Não tentasse executar nenhum programa de limpeza antes de instalar o Windows do zero?
    Eu normalmente uso a versão free do Malwarebytes Anti-Malware sempre ajuda.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Walter R. Gomes - 95 Comentários

    E o ComboFix? Não resolve?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Eu não lembro por que não uso o Combofix, então executei-o aqui na minha máquina e tive essas impressões:

    • * Se ofereceu para instalar o Console de Recuperação do XP, mas eu já tenho o console instalado. Provavelmente ele não notou porque eu tenho triplo boot e ia matar meu bootloader (Seven);
    • * Demora uma eternidade: mais de 30 minutos numa partição Windows que só tem 30GB.
    • * Só deu falsos positivos (e trabalho), removendo para a quarentena arquivos legítimos como o sqlite.dll, um programa que eu mesmo fiz e até um arquivo .log que era texto puro. É, eu submeti os arquivos executáveis removidos para o Virustotal e deram 0/46 

    Mas já coloquei-o no meu kit. Numa máquina onde a próxima opção for começar tudo do zero, não custa nada tentar um programa paranóico.

     

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • wagnerferreira - 50 Comentários

    Eu só costumo formatar em último caso, quando mesmo depois de removidos vírus ou spywares o Windows ainda fica “bixado”. Ainda tento a reparação do sistema pelo CD antes de formatar.
    Tenho um ritual que consiste em colocar o HD do cliente em um micro meu e rodo o Avira, Nod32 (portátil) e o Spyware Terminator. Depois volto com o HD pro micro do cliente e rodo o Spybot, BankerFix, SmitfraudFix e ComboFix.
    Se der tudo certo, crio um ponto de restauração do sistema, apago os antigos e limpo o registro do Windows com o MV RegClean.
    Claro que não faço isso na casa do cliente, eu explico a situação, explico que demora bastante o procedimento e só dou alguma notícia para o cliente com 24hs.
     

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.025 Comentários

      Eu só costumo formatar em último caso,

      Eu também não formato. O que eu chamo de “começar do zero” é acessar o HDD por algum meio offline, mover todo o conteúdo da partição de sistema para um diretório e começar uma nova instalação. Tudo o que o cliente procurar vai estar preservado.

       

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

[BUZZ] Hoje eu flagrei um exploit que eu só conhecia na teoria: DNS poisoning

Hoje eu flagrei um exploit que eu só conhecia na teoria.

O cliente me chamou dizendo que não conseguia acessar vários sites, incluindo o UOL, no notebook, mas o MSN funcionava. Assim que eu botei o olho no IE eu sabia que havia um malware na máquina, porque havia uma janela de publicidade semelhante às que o programa Super Tela abre na frente do vídeo, com um botão “fechar” minúsculo.

Ao tentar abrir uol.com.br, eu era redirecionado automaticamente para globo.com, mas a página que abria não era a globo.com. Era uma página (até bem organizada) repleta de propaganda do tipo adsense, que simulava a página de um provedor de hospedagem. Estava lá na barra de endereços: http://www.globo.com, mas a página não tinha nada a ver.

Mas e cadê o danado do malware?

Desativei todos complementos do IE, redefini para a configuração default, verifiquei configurações de proxy, arquivo hosts, configuração de DNS, usei o Autoruns e o Process Explorer para examinar os processos… tudo parecia “normal”.

Tentei baixar o bankerfix, mas a página era automaticamente bloqueada.

Fiquei desconfiado. São raros os malwares que eu não consigo detectar usando o Autoruns e o Process Explorer. Teria que ser um negócio bem feito para passar abaixo do meu radar. E um malware dedicado a propaganda nunca é tão elaborado assim. Comecei a desconfiar de outra coisa.

Conectei o meu notebook à rede do cliente e tentei acessar o UOL. Mesmo problema.

Então eu sabia o que era.

O cliente tem três roteadores em cascata:

Modem DSL 500B -> Roteador VOIP – > Roteador Wireless

Saí olhando as configurações de DNS de um por um até chegar ao modem, onde não consegui entrar na configuração. As senhas habituais para um DSL-500B não funcionavam.

O FDP tinha mudado as configurações de DNS do modem remotamente, apontando para o seu próprio servidor, e mudou a senha de acesso. Assim a rede toda estava “infectada”, sem nenhum computador estar.

Resetei o modem, configurei para o Velox e mudei a senha de acesso. Problema resolvido.


Liked by: Bruno Oliveira, pedro santo

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
1 comentário
  • Jefferson - 5.025 Comentários

    A última vez que alertei para esse exploit foi em abril, mas ainda era algo teórico para mim:
    https://plus.google.com/117578158927571476541/posts/ehgiNhTLnCd

    Conclusão: jamais deixe o modem com a senha padrão. Esse caso foi só de propaganda, mas o FDP poderia com igual facilidade redirecionar qualquer acesso a banco.

    Se bem que eu não testei acesso a bancos. O FDP poderia também estar explorando isso, mas como esse cliente não acessa bancos no notebook, não notou.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

[BUZZ] Dando outra chance ao Comodo Internet Security

Desinstalei o Avast de novo. E agora vou dar outra chance ao Comodo Internet Security. O software continua bem cotado.

Eu fui obrigado a desistir do Comodo duas vezes porque ele tinha um problema que persistia entre versões: ao entrar e sair da hibernação eu perdia todo o acesso à rede, como se o firewall desse um “lock” automático e não conseguisse mais sair. Só reiniciando o computador para consertar.

E não me vejo trabalhando num computador sem hibernação.

Na verdade eu prefiro o Sunbelt Personal Firewall, mas este tem um problema que nunca foi consertado e agora que a GFI comprou a Sunbelt e descontinuou o produto, não vai mesmo: ele consome uma quantidade exagerada de CPU quando transferindo arquivos via rede, mesmo que o firewall esteja desativado. Só desinstalando a coisa volta ao normal.


Liked by: Carlos Augusto

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
5 comentários
  • Jefferson - 5.025 Comentários

    Até agora, tudo bem. Já usei a hibernação duas vezes e minha internet não foi bloqueada.

    Assim como o Sunbelt, o Comodo tem um módulo de comportamento que me agrada muito. Ele me avisa quando um programa tenta executar outro e permite que eu impeça isso. .

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson, em relação ao comportamento e "responsividade" geral do sistema, alguma diferença entre o Avast e o Comodo?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Ja tentou o ESET Smart Security?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Wilson,

    Que eu saiba, a ESET não oferece versão gratuita dos seus produtos.

    Alisson,

    É cedo para dizer. No geral o computador parece normal, mas encontrei duas esquisitices que podem ser culpa do Comodo:

    +Ao executar pela primeira vez um programa que eu havia acabado de instalar, houve uma pausa estranha onde nada acontecia. Pode ser o Comodo analisando o executável;

    +Tentei apagar os arquivos hiberfil.sys e pagefile.sys de um HDD escravo e o Explorer travou por mais de um minuto. Também desconfio de paranóia do Comodo.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • De fato, é pago. Não levei isso em consideração.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

[BUZZ] Toda vez que eu olho os logs de acesso do meu modem ADSL, me espanto.

É enorme a quantidade de tentativas de acesso Telnet. Eu não tenho como saber exatamente o que os “invasores” procuram, mas é bom lembrar que uma das possibilidades é acessar a configuração do modem e trocar os servidores DNS para poder redirecionar os acessos. Dessa forma você digitaria “www.bradesco.com.br” no seu browser, em qualquer computador de sua rede, e cairia na página dos pilantras.

O modo mais fácil de evitar que isso aconteça é nunca deixar seu modem com a senha default. E se puder desabilitar o acesso telnet via WAN, melhor ainda.

Configurar os servidores DNS do Google em todos os computadores é outra medida interessante, mas é mais complicado garantir que toda a rede continue assim.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
5 comentários
  • Eu uso Firefox desde a versão 0.3 acho. Outro dia meu PC ficou estranho. MSN demorava entrar. Ai resolvi usar o Google Chrome pra acessar o site do Itaú. Quando entrei já notei a falta do cadeado e que era uma página falsa pra roubar senhas. Tentei site do Banco do Brasil por outro endereço e dava erro. O IP não batia. De cara fui no arquivo host pra verificar e não tinha nada. Passei o Avira Antivirus e não achou nada. Olhei todos os processos que iniciavam junto e nada. SpyBot e nada também. Resolvi então colocar o proxy da Prodemge que uso no trabalho. Quando fui lá em Propriedades de Internet / Configurações de LAN vejo o proxy automático setado em http://www.upwascode.com/0xf05.pac Abri o arquivo no Bloco de Notas e lá estava a causa do problema. Varios endereços de bancos jogando para o IP 187.33.0.140. Mandei um email pro Data Center e ate hoje nada. Acho que não estão preocupados com isso.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Que negócio impressionante viu. mesmo. uau. Diga aí, entra no "sistema" do usuário e deixa lá o rastreio de dados. Não conhecia isso. Estou impressionado.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Este ataque de DNS poisoning é tão velho quanto o próprio DNS. Me divirto usando um honeypot e capturando trocentas tentativas de invasão. Meu IP é fixo (só muda se o modem ficar mais de 10min desconectado) e o povo adora brincar por aqui. xD

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Amigos, aqui em casa temos uma linha com Velox, com um modem ADSL em modo bridge e um roteador wireless. A mudança de senha teria que ser feita somente no roteador ou no modem também?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Eu não tenho certeza de como essas coisas funcionam quando você opera em modo bridge, mas eu suponho que como nessa configuração quem "serve" o DNS é o roteador, você não precisa mexer no modem. Mas por via das dúvidas eu mudaria a senha do modem também e/ou configuraria um DNS permanente e confiável (como o da Google) no roteador.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

[BUZZ] Saiu a versão 6 do Avast

#segurança

Saiu a versão 6 do Avast

http://www.avast.com/pt-br/free-antivirus-download

Eu estou sem usar antivirus há vários meses, de saco cheio com a paranóia do Avast 5 e do Avira, que não me permitem mais colocar programas em uma "white list".

Vou testar a versão 6 para ver se eu consigo conviver com ela.

A principal novidade dessa versão é a sandbox, que teoricamente permite rodar executáveis suspeitos sem comprometer seu sistema. Isso é algo que pretendo testar.

 

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
12 comentários
  • Pelo mesmo motivo, tambem me recuso a usar anti-virus. É de uma dificuldade tão grande desenvolver uma whitelist protegida?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Não uso antivírus há 10 anos. Mas também pudera, é o mesmo tempo que passei a usar Linux! rsrs

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Não existe nada mais fácil que a whitelist do Eset NOD32:

    Formato de exclusão
    Ao configurar exclusões no rastreador residente, símbolos especiais ? caracteres curinga como ?*? e ??? – podem ser usados.

    Exemplos:
    – Se você quiser excluir todos os arquivos em uma pasta, digite o caminho para a pasta e use a máscara ?*.*?.
    – Se você quiser excluir somente arquivos doc, use a máscara ?*.doc?.
    – Se o nome de um arquivo executável tiver um determinado número de caracteres (e os caracteres variarem) e você souber somente o primeiro com certeza (digamos, ?D?), use o seguinte formato: ?D????.exe?. Os sinais de interrogação substituem os caracteres faltando (desconhecidos).

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Tenho usado o Microsoft Security Essentials a um bom tempo e estou satisfeito.

    Mas não sei como ele se sai com usuários que tem síndrome do "dedinho nervoso" e clicam em tudo que é link.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Eu passei MUITO tempo sem usar anti-vírus, mais por conta de performance, e enchessão de saco. Recentemente passei a usar o Microsoft Security Essencials, mais por causa da quantidade de pendrives que ando usando no cotidiano (embora meu computador tenha os autoruns todos desabilitados). Tenho gostado da performance dele! Mas que ele matou arquivos genuinos meus, matou. Com razão, mas matrou…

    Tenho feito meus testes de software sempre dentro de uma vmware preparada. Então nunca tive problemas com testes de software. Para cada programa novo, copio de uma vm padrão de instalação limpa e faço os testes. Terminei os testes, verifico registros de inicialização, serviços, enfim, tudo aquilo que por ventura podem ter vindo junto que não deveria. As vezes instalo um anti-vírus na vm tb para saber se está tudo ok. Teste direto na máquina nem pensar… É mais pesado que uma sandbox? É! Mas tem certas vantagens…

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    O AVAST 6 tem uma whitelist, mas sua operação não é das mais intuitivas.

    Módulos Residentes -> Módulo Arquivos -> Configurações Avançadas – Exclusões

    Quando você vai acrescentar algo o programa só te deixa acrescentar pastas inteiras, mas olhando as exclusões pré-existentes vi que deveria haver um modo de excluir apenas arquivos. Então eu selecionei uma pasta e depois editei o caminho para apontar apenas para o arquivo que eu queria.

    Funcionou.

    Para ter certeza de que não era ainda a pasta inteira que estava na whitelist, eu usei o Explorer para copiar o arquivo para o mesmo ditretório. O AVAST imediatamente apontou que a cópia era um vírus. Aí eu me deparei com um bug: tive que meter o dedo no botão de RESET porque não importava que opção eu escolhesse (quarentena, excluir ou bloquear), o aviso voltava imediatamente. E o sistema de arquivos ficou inteiramente bloqueado.

    Como o que mais me irritava no AVAST era não poder proteger esses programas e agora eu posso, acho que vou ficar usando o antivirus por algum tempo.

    Edit: constatei que no Avast 5 isso também funciona.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • É possível criar whitelist no avira. Tem que ir na opção "Configurar o Antivir", marcar o "modo avançado". Depois ir em Scanner > Verificar > Exceções e adicionar o arquivo a ser ignorado. Ir em "Guard > Verificar > Excessões" e fazer a mesma coisa. O confuso é que quando o Avira acha alguma coisa, aparece uma tela em que uma das opções é "Ignorar sempre". Daí entende-se que ele nunca mais vai perturbar com relação a aquilo, mas na verdade o "sempre" dele é só até o fim da sessão atual.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Bônus inesperado. A instalação do Avast 6 fez com que o Direct Folders voltasse a funcionar com o Firefox!

    Fiz vários testes aqui para confirmar isso, inclusive instalando o Avast 5. É realmente a instalação do Avast 6 que "religa" o Direct Folders.

    Para mim dar o duplo clique nas janelas "salvar como" já é automático e eu me espantei quando funcionou no FF. Desconfiei que tinha sido a instalação do Avast porque este faz alterações óbvias no Firefox, como acrescentar um ícone de confiabilidade.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    O Avast 6 "reescreve" as páginas html de buscas no Google "on the fly", acrescentando informações de confiabilidade em cada resultado. Isso é coisa que outros antivirus já vinham fazendo. Não sei se aprovo, porque para mim é inútil.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Ponto negativo no desempenho.

    Aproveitando que eu ia investigar o ponto positivo com o Direct Folders, cronometrei várias vezes as inicializações durante os testes. o AVAST 6 retarda a inicialização do meu PC em quase 40s. Percentualmente é uma espera quase 60% maior.

    Athlon X2 5200+
    2GB de RAM
    Windows XP SP3

    Sem antivirus
    40s – Tela de logon
    1min05s – Posso abrir o Explorer
    1m10s – O último item aparece na barra de tarefas

    Com Avast 5
    43s – Tela de logon
    1min24s – Posso abrir o Explorer
    1min40s – O último item aparece na barra de tarefas

    Com Avast 6
    43s – Tela de logon
    1min22s – Posso abrir o Explorer
    1min48s – O último item aparece na barra de tarefas

    Notar que o Avast 6 ainda é mais pesado que o Avast 5 durante o boot.

    "Posso abrir o Explorer" é um teste feito assim: quando os primeiros itens começam a aparecer na barra de tarefas eu teclo WIN+E e registro quando é que finalmente a janela do Explorer aparece.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.025 Comentários

    Desinstalei o AVAST. Estou investigando um problema no PC e me incomoda a demora a mais para reiniciar . Vou ficar sem antivirus por mais alguns dias.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Luciano José da Silveira – Tenho usado o Microsoft Security Essentials a um bom tempo e estou satisfeito.

    Faço o mesmo aqui e aconselho, ainda não tive nem um vírus que ele não tenha conseguido destruir, principalmente aqueles de pendrive!

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »