Ver o suporte técnico de um sistema comercial trabalhar ainda é assustador.

Eu comecei a reclamar disto há quase dois anos.

Na semana passada eu comecei a trabalhar com o suporte técnico de mais um sistema comercial e isso serviu para manter a impressão negativa que tenho de todos eles. Eu não tinha tempo nem saco para acompanhar tudo o que eles faziam nas máquinas do cliente mas o que pude ver ou conferir depois que eles terminaram já basta.

  1. Compartilharam o diretório inteiro do sistema comercial na rede com acesso escrita e leitura para TODOS;
  2. A aplicação deles foi configurada para rodar com privilégio de administrador no servidor. Pelo menos nas outras máquinas não foi;
  3. Eu dei acesso remoto via Anydesk em todas as máquinas mas em seguida instalaram o AMMYY e, como o AMMYY tem problemas com isso, desligaram o UAC. No servidor e no caixa. Acho que quem configurou o balcão foi outra pessoa porque não fez isso.

E tudo o que eu posso fazer é ficar contornando as bobagens que eles fazem para tentar garantir alguma segurança para a instalação.

Por que essas coisas me incomodam:

1: Notas fiscais, banco de dados e outros arquivos podem ser apagados por acidente ou maliciosamente por qualquer pessoa que sente na frente de um computador, com qualquer permissão de acesso. Qualquer ransonware meia boca em qualquer máquina pode criptografar o sistema inteiro e pedir resgate. Qualquer file infector rodando em uma máquina pode infectar os executáveis do sistema comercial e assim infectar todas as outras máquinas, etc, etc, etc.  Estou acostumado a ver pior. Os “técnicos” de suporte saem compartilhando com permissões de escrita o diretório Arquivos de Programas e até partições inteiras incluindo as de sistema. No Windows XP você ainda flagrava isso só de abrir o explorer mas desde o Windows 7 a Microsoft deixou isso menos óbvio e é preciso executar com regularidade o comando net share para conferir se nenhum compartilhamento novo foi criado. Às vezes você só percebe quando está em outra máquina e nota os compartilhamentos extras aparecendo.

2: Quando uma aplicação precisa de privilégios de administrador ou o usuário vai precisar ser administrador ou vai ter que ter a senha de administrador, o que no final dá no mesmo. O ideal é que todos os usuários trabalhem no menor grau de permissão possível. Isso não impede a ação de ransonwares, mas esse não é o único problema de quem precisa dar manutenção;

3: Hoje, até eu que rodava o Windows 7 com UAC desligado para que ele não me enchesse o saco, acho perigoso.

 

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
13 comentários
  • Matuto - 57 Comentários

    Eu tive um cliente que o software do estabelecimento (criado por um programador exclusivamente pra ele)também era compartilhado e qualquer micro conectado na rede local tinha acesso irrestrito. Eu acredito que isso é um meio do programador “facilitar” a vida dele, ou seja, ele instala o software nos micros, compartilha e “um abraço” pro cliente. É tipo uma preguiça que eles tem de deixar o mínimo de segurança. Pelo menos nesse meu caso, o cliente não usava internet em nenhum micro (na época) e o programador criou uma rotina de backup do software, no servidor, pra copiar a pasta pra um HD externo três vezes ao dia pelo Cobian Backup. Eu acredito que o melhor para o cliente é quando o programador se comunica com o profissional de TI, para deixar tudo alinhado. No meu caso, o cara me odiava! hehehe

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.093 Comentários

      No meu caso, o cara me odiava! hehehe

      Rapaz, esses “programadores de banco de dados” parecem ter uma mentalidade que é difícil de compatibilizar com a mentalidade de quem faz a manutenção/segurança. É muito fácil entrar em rota de colisão com esse pessoal e para evitar criar uma situação em que alguém sinta vontade de me sabotar eu prefiro manter distância e tentar fazer meu trabalho apesar das besteiras deles.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Arthur Dowsley - 13 Comentários

    Mas em empresas rodando Active Directory os usuarios sem permissão não podem nem instalar nada. Aqui na empresa toda vez que precisam instalar algo, tem que me chamar. Simples assim. Pode trazer no pendrive, o que for. Não executa sem permissão de ADM. Acho que já ajuda bastante. Ai quando o “suporte do software” precisa, eu instalo ele faz o que precisa sobre minha supervisão e depois nem adianta pedir. Deleto assim que termina. Abs

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Snow_man - 142 Comentários

      Arthur, sei que AD ajuda muito, mas não tenho muita experiência; atualmente uso Windows Server apenas com compartilhamento de arquivos;
      Se pudermos trocar informações, agradeço.

      VA:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.093 Comentários

      Mas em empresas rodando Active Directory os usuarios sem permissão não podem nem instalar nada.

      Eu posso estar falando bobagem, mas a não ser que você tenha criado uma diretiva de segurança com uma whitelist de executáveis, todo mundo pode instalar softwares como o Chrome, certo? E nesse caso você nem precisa de Active Directory, porque você pode implementar a diretiva em qualquer máquina avulsa. Até onde sei o AD apenas simplifica esse trabalho para um grande número de máquinas.

      Ai quando o “suporte do software” precisa, eu instalo ele faz o que precisa sobre minha supervisão e depois nem adianta pedir. Deleto assim que termina. Abs

      Você parece estar falando do ponto de vista do profissional de TI que atende UMA empresa. Eu estou falando do ponto de vista de quem atende por contratos de manutenção ou avulso. Aqui se eu bloquear o acesso do suporte do sistema, toda m***a que acontecer vai ser culpa minha. É impressionante como esses “sistemas comerciais” precisam de manutenção constante. Seria de se esperar que o sistema que já roda há sete anos na empresa já tivesse todos os bugs resolvidos, mas toda hora aparece uma novidade que requer a atenção do suporte do sistema. E não estou falando das palhaçadas do sistema tributário brasileiro que são incontornáveis. Estou falando de problemas até de campos em relatórios impressos que “desaparecem”.

      E eu não estou disponível em tempo integral nem fisicamente, nem remotamente. Pode levar qualquer coisa de alguns minutos até 24H para que eu possa fazer o atendimento.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • Matuto - 57 Comentários

        Jefferson, eu tenho uma teoria sobre esse problema do software sempre precisar de manutenção. No caso do meu antigo cliente, o programador vendeu uma “parte” do software pra ele, de acordo com o próprio cliente. Então qualquer alteração ou correção, é cobrada por fora e me parece que não é um preço muito justo (de acordo com o cliente). Então eu creio que o interesse do programador é resolver o mínimo de problemas possíveis para que sempre o cliente precise chama-lo e assim ele recebe de novo e de novo pelo serviço ou manutenção no software. Em resumo, o cliente passa dez anos usando o software e estará sempre vinculado ao programador, que continua ganhando dinheiro.

        VA:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
        • Jefferson - 5.093 Comentários

          Eu não quis entrar nesse detalhe mas desde que eu comecei a ouvir as reclamações de meus clientes sobre os problemas nos softwares eu tenho razoável certeza de que consertar uma coisa e quebrar outra faz parte do modelo de negócio da maioria dessas empresas.

          Eu posso apontar uma possível exceção: um de meus clientes usa um sistema que roda 100% no servidor do programador (é em PHP). O “paradigma” é outro. O cliente tende a enxergar como se estivesse alugando um conjunto de serviços e está menos propenso a achar que se o software não der problema toda semana ele não precisaria pagar todo mês por ele. O programador então se sente menos inclinado a sabotar sua própria criação.

          Não que eu esteja recomendando esses sistemas “no computador de outra pessoa”. De jeito nenhum eu recomendo. Eu apenas entendo a diferença.

          VN:R_U [1.9.13_1145]
          Rating: 0.0/5 (0 votes cast)
  • Snow_man - 142 Comentários

    Jefferson, eu quase citava um sistema comercial que um cliente usa, a diferença é que usam o Teamviewer. E infelizmente o sofrimento é o mesmo; em outro cliente, software de contabilidade, eu tinha deixado pra instalar o sistema em uma sub-pasta (d:\rede\sistema) mas na hora que o suporte começou, o “bendito” moveu pra raiz do D: e compartilhou geral.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.093 Comentários

      Jefferson, eu quase citava um sistema comercial que um cliente usa, a diferença é que usam o Teamviewer. E infelizmente o sofrimento é o mesmo;

      Fica pior que isso. Cada “técnico” parece ter sua preferência de software de controle remoto. Eu já cheguei a ter que remover uns quatro ou cinco instalados na mesma máquina.

      Idealmente, eu deveria poder determinar o meio de acesso para que seja usado apenas um, reduzindo a superfície de ataque. Mas eu não tenho como controlar esse pessoal.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Snow_man - 142 Comentários

    Jeff, passei por uma neste sábado; normalmente nem iria, mas como a sra da loja é uma pessoa muito agradável, fui no sábado às 14h (horário que iria maratonar a 3a. temp de Dark Matter).

    Situação: durante a semana as vendas não saíam pela net, ficando em contingência; foi piorando e ela acionou o suporte do sistema que, mesmo estando uns 600 metros de distância do shopping, só atendem remoto (ammyy ou anydesk). Resultado: bagunçaram o sistema (cuja base é, acredite, em MDB) e disseram que ela precisava chamar um técnico para formatar o micro (e ficar sem vender com cartões até resolver).

    Fui, fiz backup, formatei, dei acesso remoto, e o suporte me dispensou; como já estava no shopping, fui ver um filme e fiquei de passar lá na volta só pra conferir. O que estava antes foi embora, deixou outro no lugar dele, e este tinha parado porque não tinha o certificado digital da loja pra instalar no sistema. Na hora do backup, eu vi que estava lá o arquivo .PFX DENTRO DA PASTA DO SISTEMA DELES caramba!!!! E eu que tive que mostrar a ele; instalei o certificado e ele prosseguiu.

    Mas o sistema dele insistia em não enxergar o certificado; ele olhava em Opções de Internet, via lá mas nada no sistema. Daí o que o crânio me fala? Que o problema é do certificado, e que eu falasse com a Certificadora (que obviamente não tem plantão fim de semana), e a loja iria ficar sem vender com cartões até resolver na segunda-feira, imagina o prejuízo?!

    Enquanto ele ainda estava online acompanhando, entrei no site da certificadora (Fenacon), baixei todas as cadeias de certificados, instalei, e aí sim o sistema dele funcionou.
    5 minutos de boa vontade em vez de mais 2 dias sem vendas.

    Tá difícil hein, não sei como escolhem na hora de contratar esse pessoal para suporte.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.093 Comentários

      e disseram que ela precisava chamar um técnico para formatar o micro (e ficar sem vender com cartões até resolver).

      Por causa desse tipo de presepada eu faço uma imagem da instalação com Trueimage depois que o suporte do sistema termina a instalação e de vez em quando depois disso. Assim eu tenho uma razoável chance de resolver até os maiores desastres sem ter que depender deles.

      mesmo estando uns 600 metros de distância do shopping, só atendem remoto (ammyy ou anydesk).

      Porque assim entre outras coisas eles podem “atender” dois ou três clientes de uma vez. Se o cara passar um minuto sem mover o mouse para mim é isso que ele está fazendo: me fazendo esperar enquanto atende outro.

      Tá difícil hein, não sei como escolhem na hora de contratar esse pessoal para suporte.

      Tenho razoável certeza de que essa gente ganha salário mínimo. Você aceitaria bater cartão e tolerar patrão por esse valor?

      Não se pode esperar muito do conhecimento técnico e boa vontade de quem aceita.

      Por que eles se dariam ao trabalho e custo de contratar alguém realmente capacitado se podem jogar o problema nas contas do cliente e do “outro” suporte técnico?

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.093 Comentários

    Outro exemplo de como eles são fraquíssimos.

    Em um de meus clientes a instalação do sistema comercial era coisa para horas de máquina parada. Eu terminava toda a instalação básica da máquina deixando faltando apenas instalar o sistema e telefonava para o suporte. Encontrar um técnico desocupado para fazer o serviço já podia levar qualquer coisa entre minutos e horas mas o pior vinha na instalação: o cara tinha que instalar o Chrome para acessar uma conta no 4shared de onde ele baixava os instaladores (e isso porque a empresa deles tem site) e depois começava um complicado processo de instalação que parava o tempo todo (provavelmente porque o técnico estava atendendo outra pessoa).

    Depois de ver pela terceira vez um técnico instalar manualmente cada um dos muitos aliases do Borland Database Engine (BDE) de que o sistema precisava eu perdi a paciência. Como é que esses caras não sabem que a configuração é armazenada no arquivo idapi.cfg e é só copiar o arquivo de outra máquina? Eu não espero que um técnico de manutenção saiba imediatamente disso, mas o técnico de suporte de um sistema que requer o BDE deveria saber como funciona o BDE!

    Ainda por cima, a Borland obsoletou o BDE em 2000. Nada de significativo mudou em 17 anos!

    Aproveitei uma distração de um deles que não apagou os instaladores quando terminou, copiei tudo para o servidor e anotei o procedimento deles. A parte mais difícil que era configurar o BDE eu faço simplesmente instalando-o e copiando um diretório BDE “modelo” por cima depois.

    O que antes requeria horas eu passei a fazer sozinho em 10 minutos. Há pelo menos três anos eu não chamo o suporte para corrigir problemas de instalação desse sistema.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Snow_man - 142 Comentários

      Parabéns pelo esforço, é essa linha de pensamento de trabalho que procuro manter.

      VA:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Depois de três anos, finalmente o Ammyy Admin tem uma versão que exige senha

A versão 3.6 do Ammyy saiu em julho mas só vi agora, por estar usando primariamente o Anydesk. Praticamente tudo o que mudou foi a adição de uma muito necessária geração automática de senhas de acesso.

É claro que as credenciais exibidas são falsas, meu caro gafanhoto.

Agora, os problemas.

  1. 28 dos 64 antivírus no Virustotal ainda não gostam dele. É importante notar que mais de um desses 21 deixa claro que “não é um vírus” ou que é apenas “potencialmente indesejado” ou mais especificamente “não é malicioso”. Enquanto isso o Anydesk 3.6.1 tem uma pontuação irrelevante de 1 em 64.
  2. Concordando com isso, o HIPS do CIS me deu alguns alertas sobre o comportamento do ammyy que me deixaram pouco confortável. O problema basicamente é que na primeira execução o ammyy já se instala como um serviço, mas se você bloquear isso no HIPS ele acusa um erro e roda assim mesmo. O programa parece “portátil”, mas não é. Novamente contrastando com o Anydesk que roda no modo portátil por default e só se instala se for autorizado. Entretanto eu dei uma olhada no conteúdo das chaves do Registro que o ammyy acessou e não encontrei nada de mais.
  3. O descaso com o site também não me inspira confiança. Se eu tentar baixar o programa usando o Chrome ou o Firefox o site exibe uma mensagem em javascript dizendo que eu não posso fazer isso porque meu navegador não deixa baixar o arquivo e eu devo usar o Internet Explorer.

Mas estou usando o Firefox 55.0.3 e se eu falsificar o User Agent dizendo que estou no IE8, baixo o arquivo normalmente no FF.

 

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
5 comentários
  • Jefferson - 5.093 Comentários

    Notas:

    A instalação do serviço pode ser necessária para burlar o UAC. Na execução normal do ammyy quando a janela do UAC aparece a conexão cai. E por isso é comum encontrar por aí máquinas com o ammyy e o UAC desligado. Coisas de suporte de sistema comercial mesmo.

    Você não precisa de HIPS para barrar o mau comportamento. Ao executar, o ammyy sempre pede permissões de administrador e se você negar ele não mexe nas suas configurações mas roda assim mesmo.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.093 Comentários

    Eu ainda não estou certo do que o item 2 do log de versão significa:

    07/05/2017. Ammyy Inc. released Ammyy Admin v3.6 with the following new features and minor fixes:

    1. Added feature “Random password” to strengthen a remote computer access authorization.

    2. Added possibility to save passwords on Operator side.

    3. Enhanced encryption algorithm by default.

    Isso pode ser um problema se combinado com o fato de que apagar o ammyy não apaga as configurações no Registro.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Saulo Benigno - 262 Comentários

    Como assim só pode fazer o download do programa no IE? Onde essa turma quer chegar? Como fazer um programa ter sucesso?

    Desse jeito tá dificil viu

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Ricardo Menzer - 89 Comentários

    Pode ser que eles estejam tendo problema com a verificação de segurança que o Chrome (e possivelmente o FF) fazem no download. O jeito mais fácil de contornar isso é dizendo que o usuário só pode usar um browser que permita o download sem encher a paciência.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

A versão 5.33 do CCleaner está há quase um mês infectada por malware

O anúncio foi feito hoje. Se você baixou recentemente o programa fique atento. Vale lembrar que o CCleaner é um produto AVAST desde julho.

Hoje é o dia das ironias.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
2 comentários
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Usuários de Kodi que tenham configurado o repositório MetalKettle sob risco

Aparentemente os desenvolvedores do Kodi (antigo XBMC), desejando distanciar sua marca da pirataria, estão combatendo o uso de repositórios e addons que são usados primariamente para uso ilegal. Por essa ou outra razão o desenvolvedor de um addon muito popular desse tipo “endoidou o cabeção” e apagou todo o repositório dele no github. Isso não seria um problema grande não fosse o fato dos addons no Kodi (até onde sei) não serem assinados e o github permitir reciclagem de nomes: alguém já registrou novamente o repositório  “MetalKettle” lá.

Não foi o próprio desenvolvedor, porque veio dele o alerta. Ninguém sabe ainda qual a intenção de quem fez isso. Mas ele está em posição agora de instalar software malicioso em toda máquina que tenha o MetalKettle configurado. Quem tiver, deve desinstalar o repositório imediatamente.

E é bom lembrar que o Kodi tem versões para Windows, Linux, Mac OS, Android…

 

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
7 comentários
  • Havokdan - 5 Comentários

    Tema relacionado que vi esses dias.

    O próprio Kodi foi registrado no Canadá em nome de outra pessoa… :yahoo: :yahoo:

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.093 Comentários

      Eu soube há uns dois dias mas não havia lido essa matéria. O cara é ainda mais pilantra do que haviam pintado na matéria que li.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Jorge Mendonça - 26 Comentários

    Se os desenvolvedores distanciarem o KODI da pirataria ele perde o sentido de existêcia. Acredito que menos de 1% dos que usam o KODI tem de fato o direito sobre os arquivos, usando-o como centralizador das mídias físicas que foram digitalizadas.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.093 Comentários

      Eu não creio que o pessoal do Kodi se importe com isso. O que eles estão combatendo são os addons que oferecem conteúdo pirata e os vendedores que estão vendendo aparelhos com Kodi anunciando essa “funcionalidade”. Isso aí realmente não dá.

      Eu vi um addon desses funcionando. Você consegue assistir até HBO HD pela internet. Como eles fazem isso eu não faço a menor idéia.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • Jorge Mendonça - 26 Comentários

        O pessoal tem servidores fazendo streaming dos canais de tv a cabo e montam listas desses canais pirateados para revenda. As tvs por assinatura estão perdendo uma grana preta com isso.

        E olhe que o negocio é bem sofisticado, se tiver interesse procura por HTV 5, o pessoal faz streming com codec h265.

        VA:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
        • Jefferson - 5.093 Comentários

          O problema é que o plugin que eu vi fazendo isso é gratuito. Nada é pago em momento algum. Isso eu não consigo entender a não ser que eles estejam roubando os ladrões. :D

          VN:R_U [1.9.13_1145]
          Rating: 0.0/5 (0 votes cast)
        • Jefferson - 5.093 Comentários

          Importante: eu vi isso em um PC rodando Windows. No caso da compra de um Box Android até é possível argumentar que você está pagando um prêmio por isso na hora de comprar o aparelho, como é o caso dos receptores de satélite clandestinos.

          VN:R_U [1.9.13_1145]
          Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Mais uma vez usando um firewall com HIPS no meu PC principal

Nota: Este post ainda está em rascunho, com muitas informações “jogadas”. Certamente não ganharia uma boa nota em redação por ele.

A última vez que eu falei sobre isso aqui foi em 2011. E novamente estou usando a versão gratuita do Comodo Internet Security (CIS). Para quem não está familiarizado, HIPS é um tipo especifico de sistema de detecção de intrusos onde um software instalado observa todos os eventos que ocorrem na máquina à procura de atividades suspeitas.  O que eu acho especialmente interessante no CIS é que no modo Paranóico ele dá ao usuário uma visão impressionante dos eventos que ocorrem na máquina e a capacidade de proibir que ocorram.

Por exemplo, você precisa dar permissão quando um programa estranho é executado e mesmo que você autorize é avisado também se esse programa tentar acessar uma funcionalidade suspeita ou executar outro programa. Infelizmente isso vem com o preço da complicação: são muitas perguntas que ele faz e para muitas delas eu tenho que consultar o Google (que processo é esse?). O maior problema é estar no modo Paranóico com a opção de criar regras para aplicações seguras desligada;

E como eu programo e testo software, novos executáveis e novos comportamentos vão aparecendo o tempo todo, havendo inclusive o risco de algo não funcionar como deveria porque o CIS está bloqueando algo, possivelmente devido a uma resposta errada que dei dias antes. E é justamente quando eu esbarro em um problema desses que o CIS é desinstalado. E quando isso acontece leva meses ou anos para eu dar outra chance. Pelas minhas anotações, a última vez que usei o CIS foi no final de 2015 .

Eu não uso antivírus no PC principal há anos mas a constante ameaça dos ransonwares me deixa preocupado e o monitoramento de um HIPS me dá alguma tranqüilidade.

A instalação

Você pode perder o acesso à rede após instalar e até reiniciar o computador, por isso não comece a instalação se estiver fazendo algo que não pode parar.

A falta de um instalador offline

Nota: isso parece estar errado. Veja comentários.

A primeira coisa que me incomoda é que agora o CIS não tem mais um instalador standalone disponível. Você tem que baixar um instalador online de 5MB que se encarrega de instalar para você. A última vez que encontrei uma versão standalone disponível no site foi em novembro de 2016. O que você só descobre depois de instalar é que poder obter o instalador em dois lugares:

Se você não tomar cuidado vão ser instalados diversos “extras” que você provavelmente não vai querer, como o “navegador Dragon”, o “geekbuddy”, etc. Observe com cuidado as opções de instalação.

Os modos de proteção HIPS (da forma que os entendo)

  • Training (Treinamento) –  Este modo é para ser usado temporariamente e nele o CIS apenas observa tudo o que ocorre na máquina e vai marcando como permitido. Útil quando você está começando com uma instalação sabidamente segura e tem um ou mais softwares “incomuns” que precisa evitar que o CIS bloqueie. Depois que o CIS aprender e você colocar no modo Safe, a quantidade de perguntas feitas ao usuário em condições normais será mínima, se não for zero;
  • Safe (Seguro) – O CIS mantém uma lista de aplicações “seguras”  e nesse modo todas elas são autorizadas enquanto que as que ele não conhecer vão gerar alertas para o usuário.
  • Paranoid (Paranóico) – O CIS não parte de nenhuma lista de aplicações seguras. Tudo ele vai perguntar a você

 

Meu desktop:

Meu notebook (o que levo para a rua)

  • dual boot Windows 7 32 bits e Windows XP
  • Intel Pentium T4300 2.10GHz
  • 3GB de RAM

 

No desktop eu rodo no modo paranóico. No notebook no modo Seguro. Isso parece ilógico porque meu notebook está exposto a mais perigos mas é porque o modo Paranóico é essencialmente o modo Seguro com a possibilidade de você ver o que está ocorrendo e a chance de desbloquear algo. Na rua eu não tenho tempo para isso e quero que toda atividade desconhecida seja bloqueada por default mesmo.

 

Problemas já encontrados (provavelmente por estar no modo paranóico)

  • Ao voltar da hibernação era preciso esperar um longo tempo até poder desbloquear o Windows. A imagem aparecia mas onde deveria aparecer o lugar para digitar minha senha não havia nada. Enquanto isso eu ficava ouvindo o som do CIS pedindo autorização para algo. Quando finalmente consegui entrar eu vi nos logs que o último programa bloqueado havia sido logonui.exe e depois de desbloqueá-lo o problema sumiu.
  • Houve um momento que o kmplayer não aceitava mais executar vídeo algum via duplo clique. Clicar no vídeo fazia o kmplayer abrir, mas nada mais acontecia. Após coçar um pouco a cabeça descobri que isso ocorreu porque eu mandei o CIS tratar o kmplayer como “contained app” e nesse modo entre outras coisas o programa fica proibido de receber mensagens do tipo “abra isso”.

Eu irei adicionando mais impressões sobre minha experiência com o CIS nos comentários, à medida que as novidades surgirem.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
4 comentários
  • Havokdan - 5 Comentários

    Como é que é? CIS tem sim instalador offline.

    Ou sempre olha o tópico do último release no fórum deles, sendo o atual este.

    VA:R_U [1.9.13_1145]
    Rating: 5.0/5 (1 vote cast)
    • Jefferson - 5.093 Comentários

      Só mesmo eu errando para fazer esse pessoal que comenta pouco aparecer. :D

      Em março eu procurei bastante por isso e não achei. Fiquei indignado com a Comodo. Mas parece que meu Google-Fu falhou.

      Uma coisa me parece certa: se há um link para isso no site está bem escondido.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.093 Comentários

    Tive o primeiro aborrecimento com o CIS agora há pouco. Quando instalei eu explicitamente declarei não querer o antivírus, nem o GeekBuddy, desativei o Viruscope e o Auto-Containment e ainda assim ao executar um programa que uso de vez em quando o CIS bloqueou meu acesso a ele dizendo que era malicioso e oferecendo ajuda (paga) de “experts” via GeekBuddy.

    Como eu não instalei Antivírus, não existe a opção Antivirus no menu, nem opções óbvias para colocar o programa em uma WhiteList. A opção “Quarentine” estava vazia. Eu já estava ficando irritado com o CIS e contemplando a idéia de desinstalá-lo quando encontrei a opção de que eu precisava em Advanced Settings -> File Rating -> File List. Lá aparece uma lista dos executáveis analisados e o programa estava marcado como malicioso. Bastou trocar para “Trusted”. Depois eu coloquei como “Unrecognized”.

    Eu uso esse programa há uns doze anos e há mais de dez os antivírus insistem que ele é malicioso. Mas nem mesmo o HIPS do CIS é capaz de me mostrar a malícia dele.

    Para registro, o malware detectado é chamado de TrojWare.win32.Genome.~kkt@1, que supostamente baixa e executa outros programas.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.093 Comentários

    Tem certas perguntas malucas que o HIPS faz…

    Mandei apagar o conteúdo do backup de um cliente, em um HDD secundário que eu acabara de conectar à minha máquina. A operação de apagamento parou com o HIPS alertando que o Explorer estava tentando modificar as configurações do Chrome e perguntando se eu queria continuar.

    O arquivo a ser apagado era o “preferences”, que supostamente guarda as configurações do Chrome.

    Por um lado, eu estou com o HIPS no modo “paranóico”.

    Por outro lado, é o EXPLORER, numa operação de apagamento em massa, apagando o arquivo, em outro HDD.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

A Karspersky agora também tem uma versão gratuita do seu Antivírus

É o Karspersky Free. Eu não sei se isso tem a ver com as acusações de que a empresa, com sede em Moscow, faça espionagem para Putin. Mas que isso está sendo motivo de especulação no mundo inteiro, está.

Se você tem problemas com isso, a Avast é uma empresa Tcheca.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
2 comentários
  • Snow_man - 142 Comentários

    Tinha visto no Baboo que finalmente chegou a versão em inglês, e em português é pra agosto ou outubro; já vinha te indicar no Papo Geral.
    Me parece muito bom, por usar o mesmo motor da versão paga.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Matuto - 57 Comentários

    Particularmente eu compro o Kaspersky versão Antivírus desde 2013 e uso no meu micro principal e em dois no laboratório para fazer escaneamentos em HD’s de clientes. Eu gosto muito.

    O que me deixa intrigado é a diferença entre as versões… eu acredito que a versão “free” deve ter menos recursos ou somente o escaneamento e a proteção em tempo real.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Como recuperar o token do Registro.br

Mais uma da série “se ignorância matasse…“.

Eu ativei o uso de token para o login no Registro.br em junho de 2015. Menos de um ano depois quando troquei meu celular Android veio a surpresa: eu não tinha como copiar o token do Google Authenticator de um celular para outro. Com eu tinha a lista com 10 códigos reserva fazer o login não era problema e a cada uso de um código eu podia gerar mais 10 e continuar assim indefinidamente. Porém eu queria reativar o token no Google Authenticator.

Só que não encontrei em lugar nenhum a informação de como fazer isso. Li todas as páginas de ajuda do Registro.br, fiz uma busca com o Google… nada. Mesmo depois de autenticado no Registro.br não existe a opção para reexibir o código QR que instala o token. Perdi um bocado de tempo com isso e xingando o pessoal do Registro.br.

Esta semana eu me lembrei do problema porque vários domínios estão expirando e a solução apareceu na minha cabeça em menos de 30 segundos. Basta fazer login, cancelar o uso de token e reativar o uso de token. Um novo código QR é exibido e mais 10 códigos de backup são gerados.  Problema resolvido em menos de 30 segundos.

Dãaaaaaa.

 

 

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
5 comentários
  • Gustavo Sarmento - 10 Comentários

    …ou use uma alternativa com “backup na LUVEN”, tipo o Authy ou LastPass Authenticator.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Snow_man - 142 Comentários

    :D :D :D :D :D :dashhead1:

    é assim mesmo, às vezes uma solução vem no momento menos esperado;
    eu geralmente quando estou numa situação dessa, se não for urgente, tento fazer 2 coisas:
    1. comer
    2. dormir

    Aí dá um restart nas idéias, rs.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Rubens Kuhl - 1 Comentário

    O não mostrar o QR code após a primeira instalação é proposital no design da segurança do sistema. O procedimento previsto era esse mesmo de logar com os códigos de recuperação, desativar e ativar um novo…

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.093 Comentários

      Eu compreendo que possa existir um problema de segurança que não estou vendo. Mas:

      1) Por que a Google acha que isso não é problema? Se eu me autentico na conta com o token a Google não cria nenhum empecilho para me dar um novo. Certamente não é o mesmo código de antes, mas não faz diferença. E ao recomendar o Google Authenticator o Registro.br gera uma expectativa de que o procedimento seja o mesmo;
      2) Por que o Registro.br não explica isso em lugar nenhum? Eu me considero razoavelmente inteligente e apanhei vergonhosamente com o problema. Custava alguma coisa em tempo ou segurança o FAQ do Registro.br ter uma sub-seção intitulada “Como gerar um novo token?”

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.093 Comentários

    Mais uma coisa para pensar a respeito:

    A receita do NIC.br (do qual o Registro.br é parte) é superior a 100 milhões de reais por ano, dos quais mais de 41 milhões de reais são gastos anualmente em salários e encargos.

    Imagine uma instituição que tem uma folha de pagamento de 3,1 milhões de reais mensais. E o resto da destinação do dinheiro também é motivo para arquear as sobrancelhas.

    Na minha “inocência” eu sou levado a supor que há dinheiro suficiente aí para ter um FAQ com mais de quatro itens na seção “problemas para acessar a conta”.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Usando autenticação em duas etapas (2FA) no WordPress

Meu site não tem SSL e enquanto não resolvo isso minhas credenciais de acesso a meus blogs são transmitidas de uma forma que pode ser facilmente interceptada por alguém em posição de fazer um ataque “man in the middle” como o provedor de acesso. Para tornar isso um problema menor eu ativei autenticação em duas etapas em todos os blogs usando o plugin Google Authenticator.

Minha primeiríssima pergunta ao tentar decidir se isso era uma boa idéia foi: como eu desativo isso se algo der errado e eu não puder mais fazer login no blog? Mas é muito simples, bastando entrar no meu site via FTP (esse é outro problema de segurança a tratar em outro dia) e apagar o diretório correspondente ao plugin.

Como o próprio nome do plugin escancara, ele é compatível com a app Google Authenticator, que eu já uso para acessar minha conta Google. Ao ativar o plugin aparece uma nova seção na página “seu perfil” da administração do blog, onde você pode gerar o “Segredo” que você então insere na app.

wordpress_plugin_2fa_profile_ryan.com.br

É tão simples que eu já deveria estar usando há muito tempo. Uma informação a mais vai ser pedida a cada login:

wordpress_plugin_2fa_login_ryan.com.br

Isso não resolve o problema de interceptação completamente, porque você continua vulnerável a um “sequestro de sessão” (é, segurança de dados é coisa de doido) já que os cookies que evitam que você tenha que redigitar sua senha a todo momento continuam sendo transmitidos sem criptografia e podem ser interceptados. Você pode minimizar isso também ao não marcar “lembrar-me” na tela de login e sempre fazendo logout ao terminar. Assim os cookies terão uma validade mais curta.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
4 comentários
  • Jefferson - 5.093 Comentários

    Esqueci de comentar que usar 2FA não impede a senha de ser interceptada. Tudo incluindo o Google Authenticator Code continua podendo ser lido. Mas só é possível fazer login com isso se o atacante estiver online no mesmo intervalo de validade do código. E evidentemente você precisa usar uma senha que não tenha valor em nenhum outro lugar.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Marcel - 38 Comentários

    Jefferson, por que você não parte para uma solução de HTTPS com o Let’s Encrypt?
    Na dreamhost (US$ 10,00 / mês) isto já é embutido (sem custo) na plataforma de administração, e funciona que é uma maravilha… E o navegador não reclama!

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.093 Comentários

      Dois problemas:

      1)A hostgator cobra 10 dólares para instalar certificados de terceiros
      2)A cada 90 dias você tem que renovar o certificado LetsEncrypt

      Na Hostgator então o custo de um certificado gratuito fica em 40 dólares anuais. O mesmo do pago.

      Vou checar os planos da Dreamhost

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
      • Marcel - 38 Comentários

        >> 2)A cada 90 dias você tem que renovar o certificado LetsEncrypt

        No caso da Dreamhost, isso é feito automático por script. É tão transparente que você não fica nem sabendo…

        PS: Não sou vendedor da Dreamhost. Só tenho coisas hospedadas por lá. Se quiser testar, forneço-lhe acesso

        VA:R_U [1.9.13_1145]
        Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Uma atualização de software pode ter iniciado o ataque de Ransonware na Ucrânia

Finalmente a telemetria da Microsoft parece servir para algo benigno.

Isso parecia ser especulação de várias empresas de segurança, mas a Microsoft confirmou que em pelo menos algumas máquinas a infecção foi iniciada pelo atualizador de um popular software de contabilidade ucraniano. Depois disso o ransonware usou várias técnicas avançadas, incluindo a vulnerabilidade Eternalblue, para se espalhar lateralmente.

A mais preocupante dessas é uma técnica que permite obter na memória as credenciais de qualquer usuário logado na máquina. Eu ainda estou tentando digerir as implicações disso.

Outra característica digna de nota é que o ransonware é um MBR infector. O primeiro que vejo em mais de uma década. O malware infecta o MBR, dá boot na máquina e finge ser o chkdsk enquanto criptografa seus arquivos na sua cara.

Ainda não ficou claro para mim se a máquina estar com Secureboot ativo seria proteção contra isso.

É claro que para fazer tudo isso dessa forma o malware precisa de permissões de administrador, que inicialmente ele obtém porque o atualizador do software de contabilidade possivelmente obtém essas permissões e mais tarde porque Eternalblue (que a essa altura não deveria ser problema) também confere essas permissões automaticamente.

 

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Provedor de hospedagem Linux paga US$ 1 milhão de resgate para um ransonware

Lembram de quando eu falei em 2015 sobre ransonware tendo como alvo servidores Linux? Pois a empresa sul-coreana Nayana anunciou aos clientes que está processando o pagamento de um milhão de dólares (mais de 3 milhões de reais) em bitcoins para os bandidos que criptografaram os 153 servidores Linux da empresa com dados de 3400 clientes. Conforme a própria empresa cita em seu comunicado em coreano, foi o ransonware Erebus. Inicialmente os bandidos pediram 1.6 milhão mas o valor foi “negociado” depois.

Fanboys já querem justificar que isso aconteceu porque essa empresa não atualizou o Linux desde 2008. Como se isso mudasse alguma coisa. Vejam a minha posição sobre essa desculpa nos comentários do meu post de 2015.

 

 

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
2 comentários
  • Eduardo Viriato de Medeiros - 2 Comentários

    Olá Jefferson, eu não tinha lido seu post de 2015, também detesto essa estupefação recorrente com a “nuvem”. É impressionante como pessoas supostamente esclarecidas são permeáveis a marketadas, sem pararem um minuto para raciocinar. E também só considero confiáveis backups sobre os quais se tenha total controle físico, e isso significa assumir a definição de estratégia, execução, e principalmente a guarda offline deles.
    Abs :)

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • João Batista - 24 Comentários

    Não sei se você sabe mais eu uso e administro sistema Linux a anos e nunca tive algum problema com o sistema operacional , e eu também não gosto muito da ideia deste sistema de nuvens , os meus backups são todos full e offline via velho de confiança conhecido como fita DAT ou a versão Tape Library LTO 400/800 , para ate 30 fitas

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Fraude bem feita usando o nome do Supermercado Extra. Quase me pegou

Preciso voltar a usar óculos.

Eu estava orientando um cliente. Estava numa posição inconveniente e não consegui ver o “c” a mais no nome do domínio.

http://www.extrac.com.br/produto.php?linkcompleto=tvseacessorios/Televisores/SmartTV/Smart-TV-Games-LED-40-Full-HD-Curva-Samsung-40K6500-com-Aplicativos-Plataforma-Tizen-GameFly-Conectividade-com-Smartphones-Wi-Fi-HDMI-e-USB-8867199.html?recsource=busca-int&rectype=busca-1588&id=5

fraude_extrac_ryan.com.br

Foi na conversa entre mim e o cliente que a fraude foi notada. O cliente me mostrou o email da promoção e eu imediatamente apontei que o email não tinha sido enviado pelo Extra. Eu disse para ele clicar para ver aonde ia (sim eu usei que tem gente paranoica quanto a isso) e achei estranho cair no site do Extra. Enquanto eu estava argumentando com ele que se era o site verdadeiro do Extra o email deveria ser de um “afiliado” o cliente apontou o “c” a mais no nome do domínio, que eu tive uma incrível dificuldade para discernir na posição e distância que eu estava.

Mais adiante você percebe outras dicas, como o carrinho dizer que o produto é “o último disponível” (isso não ocorre em um sistema real) e não existe a opção de fazer login se você já for cliente do Extra.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
6 comentários
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Não adianta ter uma senha de um zilhão de caracteres se você não tem outra.

O problema é muito bem explicado por Randall Munroe:

password_reuse

 

Um resumo, já que não dá (ou dá?) para passar uma imagem no Google Translator: o personagem “black hat” diz que a complexidade de uma senha é raramente relevante e o real perigo está em sua reutilização. Ele explica que hospeda um monte de serviços gratuitos na internet que não dão lucro justamente para se aproveitar do hábito largamente disseminado de usar a mesma senha para tudo. E agora tem algumas centenas de milhares de identidades “reais” em algumas dúzias de serviços e ninguém suspeita de nada.

A senha que você usa para ver por onde andam seus bagulhos no Muambator é a mesma que você usa pro seu email ou, pior, pro banco? Bem…

Não que eu queira dizer que por trás do Mumbator (é só um exemplo de serviço “inofensivo”) tenha gente querendo pegar suas senhas. Mas o que “black hat” diz ter feito é algo bastante provável de estar acontecendo neste momento e além disso todo serviço inofensivo justamente é o que tem maior probabilidade de ser vulnerável a ataques. O admin pensa: não há nada de valioso aqui, por que alguém tentaria uma invasão?

Para coletar uma grande lista de emails e respectivas senhas para testar em um alvo não tão inofensivo.

No mínimo as pessoas deveriam usar uma senha para serviços inofensivos e outra para serviços importantes. Esse é realmente o mínimo, mas não é isso que tenho visto.

 

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
13 comentários
  • Jefferson - 5.093 Comentários

    Fato interessante: “inofensivo” não quer dizer “barato”. Em 2013 hackers conseguiram o banco de dados com 153 milhões de credenciais de usuários do site adobe.com. Se cobrando a fortuna que cobra pelo Photoshop a Adobe não consegue garantir a segurança do seu site…

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • VR5 - 291 Comentários

    É senha demais! As vezes eu tenho que me “lembrar” de uma senha antiga e tenho que sacar da gaveta um papel. Outras vezes eles estão num DOC do Word TAMBÉM guardado por senha… e imagine o pessoal mais idoso: chega a dar pena desse pessoal nos caixas eletrônicos muitas vezes pedindo para os outros ajudar com a digitação da senha (e que nunca poderíamos ajudar)… não seria a hora da biometria começar a aparecer mais?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.093 Comentários

      Biometria só é segura em sistemas fechados. No momento em que você coloca a variável “online” na equação, há uma grande chance de virar bagunça. A biometria é como um cartão de crédito impossível de copiar, que não pode ser substituído e que não tem senha. Ninguém pode clonar o seu mas se for roubado a pessoa que o tem é efetivamente você até você desistir de ser você.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Paulo - 21 Comentários

    Nem eu mesmo sei as minhas senhas. Uso o Keepass que gera e armazena uma senha doida pra cada site. Quando preciso, abro o programa com uma senha-mestra e procuro o nome do site onde me registrei. Então é só clicar nele e pressionar control e V que ele faz o login.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Daniel Plácido - 36 Comentários

    Eu uso a mesma senha a anos em tudo, porém em cada site/serviço uso minha senha-padrão + uma sequencia numérica com base no nome do site que estou cadastrando, além de usar a arte-manha com sinal de “+” e “.” no email do Gmail, para nunca ter o mesmo email cadastrado em cada lugar.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.093 Comentários

      Eu uso a mesma senha a anos em tudo, porém em cada site/serviço uso minha senha-padrão + uma sequencia numérica com base no nome do site que estou cadastrando,

      Mas isso não é a mesma senha. Você faz o mesmo que eu recomendo: usa uma fórmula que você e só você compreende para gerar senhas únicas baseadas no serviço.

      além de usar a arte-manha com sinal de “+” e “.” no email do Gmail, para nunca ter o mesmo email cadastrado em cada lugar.

      Eu não estou certo de que isso adicione alguma segurança. Você pode usar isso para filtrar emails, mas acho que é só isso.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Intruder_A6 - 141 Comentários

    Com esta proliferação de senhas, ninguém consegue escapar de reutilizar algumas senhas, mas realmente é uma boa prática separar as senhas por hierarquia (e é o que eu faço), é impossível eu utilizar senhas diferente em tudo, não tenho esta memória toda, mas para o ebay/paypal é uma senha especial (parecida com a senha do e-mail, mas não é igual), a do banco é diferente de todas (mas tem partes do número que eu reutilizo para poupar memória em outras senhas)e por ai vai, só uso a mesma senha em sites em que não tenho tanta preocupação com privacidade ou segurança. E a Senha do e-mail só uso no e-mail, em mais nada (ela também tem uma regra de formação em relação as outras, coisa que nunca vão conseguir achar por tentativa erro).

    Se alguma destas senhas cair o estrago vai ficar limitado. Eu sou meio paranoico com estas coisas.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.093 Comentários

      Isso mesmo. Eu uso a mesma senha em vários sites que são igualmente irrelevantes para mim. Mas cada site onde eu um dia coloquei informação de cartão de crédito, por exemplo, tem um email e uma senha únicos, devidamente anotados em um arquivo texto guardado em um volume criptografado.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.093 Comentários

      E minha conta no gmail, que é para onde converge tudo o que faço, tem autenticação em duas etapas. A partir dessa conta o dano que alguém poderia fazer à minha vida é grande por isso com ela eu não brinco.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.093 Comentários

    Eu pensei em escrever isso quando ajudei uma cliente na semana passada a criar uma conta na Econovia (um serviço mais inofensivo que o Muambator) e percebi que além de colocar como endereço de email o único que ela tem, ainda ia colocar como senha a mesma senha desse email.

    Eu expliquei a ela por que isso era má idéia e mesmo tendo uma certa dificuldade com computadores ela rapidamente entendeu o problema e, como já tinha feito o mesmo em outros lugares, tratou de mudar a senha do email.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Saulo Benigno - 262 Comentários

      Mas isso não foi usando aquela autenticação do Google? Que você pode usar em seu site, e assim não tendo informações no site e sim no Google. É inseguro isso?

      VA:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Luciano - 337 Comentários

    Eu ainda não achei a solução que me seja perfeita, confiável e usável de qualquer buraco (leia-se: smartphone, e quatro pcs). O que mais me irrita é que muitos serviços sequer aceitam caracteres especiais na senha, tipo #!%+. Obrigado você a se virar com uma senha alfanumérica. E dai pra lembrar que aquele desgraçado de site a senha é abc123 e não a#b!c%1#2!3

    Eu acho que senha já é um negócio que demanda alguma solução que funcione pra tudo e não dependa de ficar lembrado qual das 10 senhas diferentes foi usada naquele serviço.

    Enquanto isso um TXT com uma senha horrenda de grande, salva num arquivo com um nome que qualquer um consideraria um lixo ainda é o local onde posso guardar essa zorra toda.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Brickerbot parece ser a melhor pior solução para o problema da insegurança da IoT

Ou a pior melhor solução, você decide.

Brickerbot, a botnet de malware criada especificamente para destruir todo dispositivo inseguro que encontrar na internet continua firme e forte. DVRs, NVRs, cameras, modems (principalmente) e todo tipo de geringonça bizarra que só Deus sabe por que tem uma conexão direta com a internet estão caindo como mosquitos na raquete eletrificada. O hacker que criou o malware sugere que já desconectou “permanentemente” dois milhões de dispositivos.

Se algum dispositivo de rede seu “morrer” nos próximos dias, semanas ou meses, o problema pode ser esse: era inseguro, um potencial soldado em uma rede de cybercrime e por isso teve seu firmware corrompido remotamente. Se não quer que isso aconteça, pelo menos mude aquelas senhas default que você já deveria ter mudado há muito tempo, não exponha seu dispositivo à internet sem necessidade, principalmente em portas óbvias como a 80, 8080, 21, 23, etc. E sobretudo não coloque nada em uma DMZ que vá lhe fazer falta. É bom ressaltar que eu sei que não sou esperto o bastante para garantir que não serei afetado.

Embora eu lamente o prejuízo que isso causa para os consumidores, não parecia haver outra solução para a crescente e espantosa ameaça das botnets de IoT. Os fabricantes e provedores estão de braços cruzados, fingindo que o problema não existe e esperando que desapareça sozinho. Não vai. Ou vai, graças à pior melhor solução que estava disponível. Eu só posso desejar que boa parte dos dispositivos danificados esteja na garantia e isso dê um enorme prejuízo para os fabricantes que os faça levantar a bunda da cadeira.

 

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
2 comentários
  • Luciano - 337 Comentários

    “Eu só posso desejar que boa parte dos dispositivos danificados esteja na garantia”.

    Posso responder com uma única palavra?

    *DUVIDO!*

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

O Ammyy é útil, mas perigoso.

ammyyPara quem não conhece, o ammyy é um programa de administração remota que pelo menos aqui pelas minhas bandas parece bem popular. Popular até demais. Ele tem umas características que aparentemente o tornaram bastante usado por quem distribui malware e/ou em golpes de falso suporte porque é normal os antivírus implicarem com ele.

Hoje mesmo eu executei o ammyy no computador de um cliente e imediatamente apareceu na tela um pedido de acesso remoto. Eu rejeitei e fui criar uma regra com senha para me dar acesso automático mas antes de eu terminar a regra já veio outro pedido de acesso. E não foi a primeira vez que isso aconteceu. Na primeira vez eu me confundi e autorizei o acesso, para um segundo depois perceber o erro e fechar o ammyy. Aparentemente alguém descobriu um jeito de ser notificado imediatamente quando um PC se conecta ao servidor (eles chamam de “router”) da empresa. Isso ou o “ID” não tem qualquer checksum e o “router” não tem qualquer proteção contra scanning e alguém passa o dia testando números impunemente à procura de uma máquina vulnerável.

O maior problema disso é que a tentativa de acesso ocorre tão rápido que se você pede a um cliente para baixar e executar a ferramenta ou mesmo deixa um link para a mesma na área de trabalho do cliente, o risco é grande do usuário inadvertidamente dar controle remoto a outra pessoa. Isso não acontece com o Teamviewer, por exemplo, porque além do ID existe uma senha e provavelmente a Teamviewer não é tolerante com “scanning”.

Para usar o ammmyy com um mínimo de segurança você precisa imediatamente ao executar criar uma regra de acesso com senha, preferencialmente que dê acesso apenas aos seus IDs. Aí as mensagens pedindo autorização ao operador param de aparecer porque do outro lado o invasor já vê o diálogo pedindo a senha. E ainda assim o ammyy é perigoso porque não existe senha para alterar as configurações e qualquer um pode, até por acidente, adicionar uma regra para dar acesso a qualquer um, sem senha!

Eu encontrei essa barbaridade no servidor de um cliente. Muito provavelmente obra do suporte do sistema comercial dele.

Mais ainda: o ammyy é portável mas essas regras aparentemente são salvas no Registro. Se você apenas apagar o ammyy essas regras loucas continuam na máquina à espera de outra pessoa baixar e executar o programa de novo.

Ou seja, do ponto de vista da segurança o ammyy é um desastre esperando para acontecer.  Só não é pior porque não salva as senhas.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
4 comentários
  • Snow_man - 142 Comentários

    Jefferson, eu concordo. Já fiz incursões pelo Ammyy dessa forma, e de um jeito extremamente lammmer: ao usa-lo a primeira vez, ele gera uma id sequencial; basta você tentar números próximos (significa recém gerados), que a maioria vai clicar aceitando o acesso.

    E já aconteceu várias vezes de, ao usar a primeira vez, aparecer um pedido, como você relatou.

    Cuidado e canja de galinha não fazem mal a ninguém.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • VR5 - 291 Comentários

    Nunca tinha ouvido falar: aqui nas minhas bandas o TeamViewer domina soberano…

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.093 Comentários

      O Teamviewer também tem sua cota de problemas:

      1)Não tem uma versão portátil oficial. Eu uso uma fornecida por terceiros.
      2)Atualiza constantemente e a versão nova não conecta com a velha. Depois disso me atrapalhar meia dúzia de vezes eu cansei de me sujeitar a essa frescura do software;
      3)Fica enchendo o saco para você pagar, especialmente se você executar no Windows Server. E eu não tenho o “humor” para pagar R$ 1.199 por algo que posso ter de graça, ainda mais tendo que me sujeitar aos primeiros dois problemas.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Jefferson - 5.093 Comentários

    Só não é pior porque não salva as senhas.

    Nem eu me lembro o que isso quer dizer… :dashhead1:

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

DoublePulsar será pior que o Conficker?

O patch para isso saiu no dia 12 de março mas só fiquei sabendo do problema agora. Em mais um release de informação vazada da NSA, foi encontrado um programa chamado DoublePulsar que explora uma vulnerabilidade crítica existente em todas as versões do Windows e permite tomar remotamente o controle da máquina vulnerável. Script kiddies já estão rodando scanners pela internet procurando máquinas expostas e milhares já estão infectadas.  Vale lembrar que esse tipo de vulnerabilidade não requer que as máquinas estejam “visíveis” pela internet pelo exploit para que toda a sua rede acabe infectada. A infecção inicial pode vir por diversos caminhos. Um único usuário pode se infectar por email ou pendrive e a partir da máquina dele o vírus infectar toda a rede. Caramba… alguém pode plugar inocentemente uma máquina infectada na sua rede (um consultor, vendedor, cliente, etc) e a partir daí sua segurança já era.

E se você já precisou se livrar do Conficker sabe o trabalho que dá mesmo quando na maioria das vezes o vírus só se importa em se espalhar, sem ser “ativado” para causar outro dano. Quando alguém decidir juntar o DoublePulsar com um ransonware…

Apliquem o patch referente à sua versão do Windows já!

Estou especialmente preocupado com três clientes que ainda usam Windows Server 2003. Para versões do Windows não mais suportadas a Microsoft não publicou patch. Existe um “workaround” que consiste em desabilitar SMBV1/CIFS, mas ainda não sei exatamente o que isso vai acarretar. Será que os compartilhamentos param de funcionar?

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
4 comentários
  • Jefferson - 5.093 Comentários

    Sim, param de funcionar. No XP e Windows 2003 só existe SMBv1. SMBv2 foi introduzido no Vista e SMBv3 no Windows 8.

    O único jeito parece ser fazer o upgrade desses servidores. Raios…

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Julião - 9 Comentários

    Pior ainda se sequestrarem os dados…

    https://threatpost.com/original-xpan-ransomware-returns-targets-brazilian-smbs/125173/

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Arthur Dowsley - 13 Comentários

    Ha cerca de 4 anos peguei uma batata dessas que o suposto TI de lá deixou e não consegui resolver. A empresa simplesmente voltou para o ultimo backup valido (pasmem de quase um ano). Bem. Como dou suporte a outras empresas eu fechei os RDP e só acessa TS via VPN com um Brazilfw na primeira camada. Simples assim. Usamos o 2003 server e não migrei para o 2008 server, por conta de N fatores. Recomento fortemente o uso de VPN para acesso remoto. Abs Jefferson.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Richard - 4 Comentários

    Criminosos já estão usando essa vulnerabilidade para efetuar ataques automáticos de ransomware. Um belo dia descobri que um servidor 2008 R2 meu que estava exposto (não configurei o firewall direito) foi atacado por um “AES-NI Ransomware”, sorte que não tinha nada de importante nele.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Seu telefone Android pode ser pwned só por estar ao alcance de um Wi-Fi hostil.

É o fim da picada. Um pesquisador do Project Zero da Google descobriu uma falha no firmware de um chip Broadcom Wi-Fi que permite a um atacante até mesmo ganhar acesso root ao seu telefone ou tablet bastando que o Wi-Fi esteja ligado. Nem é preciso você tentar se conectar ao ponto de acesso malicioso. E como os serviços de localização do Android podem ligar seu Wi-Fi mesmo quando você desligou, até com o Wi-Fi “desligado” você está vulnerável.

O problema também afeta produtos da Apple mas como a empresa tem total controle sobre tudo o que roda o iOS, já saiu uma correção para o problema. Somente usuários de Android ficam vulneráveis porque nesse ecossistema dependemos da boa vontade dos fabricantes.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
6 comentários
  • Jefferson - 5.093 Comentários

    E aparentemente não há um jeito fácil de saber qual o chip Wi-Fi do seu aparelho.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Luciano - 337 Comentários

    Hmmmm… o MAC Address não pode dar uma pista?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.093 Comentários

      Rapaz… acho difícil. É muito comum o telefone ter um MAC registrado no nome do fabricante do aparelho e não do chipset. Quando eu faço uma varredura eu não me lembro de ver “Broadcom” ou “Qualcom” listados. O que, aliás, me parece lógico: a camada onde é definido o MAC em interfaces de rede modernas é toda em firmware.

      VN:R_U [1.9.13_1145]
      Rating: 0.0/5 (0 votes cast)
  • Intruder_A6 - 141 Comentários

    Depois do Stuxnet o meu nível de paranoia piorou bastante, e agora isto foi o golpe de misericórdia com esta falha. A única forma de ficar seguro é não tendo celular, computador ou qualquer equipamento que tenha processador (ou microcontrolador). Tiraram o gênio da garrafa!

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • VR5 - 291 Comentários

    E como estão os Windows Mobile?

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

O desleixo dos desenvolvedores de sistemas comerciais com a segurança.

Eu não conheço muitos porque meus clientes empresariais são poucos, mas uma coisa é comum a todos: eles parecem viver num mundo onde recuperação “automágica” de dados parece algo garantido.

Cenário 1 – Serviço completo: eles já trazem os próprios vírus.

Lembram de quando um file infector me pegou desprevenido em outubro de 2008? Os responsáveis por isso, representando um desenvolvedor de Recife, tinham várias instaladores infectados no DVD que eles usavam para instalar o sistema comercial. Eu praticamente esfreguei na cara deles o vírus no DVD, mostrando com um editor hexadecimal o trecho onde o vírus havia se alojado nos executáveis e comparando com o mesmo executável baixado diretamente da fonte, mas mesmo assim estava difícil convencê-los. O vírus era novo na época e esse pessoal ainda está em um nível onde depende de anti-vírus para dizer a eles o que é seguro ou não. Literalmente não conseguem reconhecer um vírus nem com você apontando para ele .

Uma semana depois outro representante estava na mesma empresa com um pendrive lotado de malware.

O programador pode até saber algo, mas se cerca de drones incompetentes fazendo trabalho de campo.

Cenário 2 – Deixar tudo escancarado é norma.

Em teoria o mecanismo do gerenciador de banco de dados deveria agir como uma ponte vigiada, isolando os clientes dos dados e só deixando passar comandos autorizados. Porém todo programador que usa Firebird/Interbase e MySQL (provavelmente outros também) por alguma razão parece precisar que o banco de dados inteiro esteja num compartilhamento com permissões de escrita garantidos para toda a rede. Não é que o Firebird seja incapaz de fazer o isolamento porque, pelo contrário, o manual do Firebird fala explicitamente sobre esse problema e recomenda que a situação seja evitada. Tradução e ênfase são minhas:

Proteja os bancos de dados no nível do sistema de arquivos

Qualquer um que tenha acesso de leitura a um arquivo do banco de dados pode copiá-lo, instalá-lo em outro sistema sob seu próprio controle e extrair todos os dados dele, incluindo possível informação sigilosa. Qualquer um que tenha acesso de escrita a um arquivo do banco de dados pode corrompê-lo ou destruí-lo totalmente.

Como regra, apenas o processo servidor do Firebird deveria ter acesso aos arquivos do banco de dados. Usuários não precisam, e não deveriam ter, acesso aos arquivos – nem mesmo de leitura apenas. Eles consultam o banco de dados via servidor e o servidor se certifica de que os usuários tenham apenas o tipo de acesso permitido (se tiverem) a qualquer objeto no banco de dados.

Isso é ratificado na única página em português que encontrei do manual sobre o assunto. A ênfase é minha:

Isto significa que, para uma segurança razoável, toda instalação deve manter os arquivos do banco de dados adequadamente seguros. Na maioria dos casos, isto significa que o servidor Firebird deve rodar em um usuário específico no sistema operacional, e apenas esse usuário (e provavelmente o administrador/root) deve ter acesso direto aos arquivos do banco de dados. Estes arquivos não devem ficar em diretórios compartilhados na rede ou que sejam acessíveis por qualquer pessoa que não o pessoal autorizado.

Por que então escancarar “o sistema” parece norma? Não faço idéia. Mas com a crescente sofisticação dos ransomwares eu vou começar a cobrar desse pessoal que colabore com a segurança em vez de atrapalhar. Qualquer estação comprometida pode paralisar a empresa inteira desse jeito.

Cenário 3 – Deixar tudo REALMENTE escancarado também é comum.

No item anterior eu mencionei como os desenvolvedores e seus drones costumam escancarar todo o sistema comercial. Mas tem os que vão além. Já peguei situações em que toda a partição do sistema no servidor estava compartilhada com permissão escrita para Todos pela rede.

Deixa eu ir mais devagar para você assimilar a tragédia.

  • Toda a partição de sistema;
  • No servidor;
  • Compartilhada com permissão de escrita;
  • Para o grupo “Todos”.

Vá você, meu caro colega que vive de suporte, entender o que passa na cabeça do sujeito na hora de fazer algo assim. Tirando levar com você seu próprio vírus, não tem como ser muito mais desleixado que isso.

E quanto a vocês, o que veem por aí? É só aqui em Recife (ou no meu círculo de clientes) que é assim?

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
2 comentários
  • Luciano - 337 Comentários

    Realmente tem coisas, que nem Froid explica… Me lembrou o caso em 2009, quando fui baixar o discador do IG no site deles, e o link havia sido sorrateiramente alterado para baixar o discador de uma outra localidade.

    Ou seja… a segurança no servidor estava tendendo a zero.

    Logo, percebemos que isso já vem de longa data. E tende a piorar com os ransomwares.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Walter - 117 Comentários

    Taí uma oportunidade de negócio para você explorar. Ao invés de brigar com os desenvolvedores de sistemas comerciais, oferecer para os seus clientes uma bateria de testes para verificar se eles são seguros. Faça uma limonada com os limões.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

A mais recente vulnerabilidade WPS: Pixie Dust Attack.

PQP! Se você ainda tem WPS ativo no seu roteador WiFi, desligue e nunca mais ligue essa coisa!

Para quem não lembra (são tantas siglas que dão um nó na nossa cabeça), WPS é uma funcionalidade do padrão Wi-Fi que permite um dispositivo se conectar a um ponto de acesso Wi-Fi (vou chamar tudo de “roteador” daqui em diante) de forma simples, através de um código chamado PIN que vem impresso no fundo do aparelho ou apertando um botão no roteador.

OBS.: Apesar disso ter sido divulgado originalmente em setembro do ano passado em uma apresentação de Dominique Bongard, ainda não encontrei nenhum grande site (como o CERT) falando sobre o assunto. Isso pode ser porque não é tão sério quanto parece ou porque é tão sério que estão tentando abafar até aparecer uma solução. Eu não vou esperar para ter certeza.

A última vulnerabilidade que eu mencionara aqui no blog era a explorada pelo reaver-wps. Esta é pior. Em resumo, com o Pixie Dust Attack é possível descobrir o PIN do roteador com apenas uma tentativa, o que anula qualquer proteção baseada em restrição no número de tentativas (proteção contra ataques de força bruta). E já existe uma ferramenta Linux para explorá-la: o pixiewps. Eu só fiquei sabendo do exploit porque minutos atrás o autor de um mod do reaver-wps para usar o Pixie Dust Attack deixou um comentário no meu blog com um link. Agora existem duas ferramentas para explorar a vulnerabilidade então vocês vão ter que me perdoar por não esperar pelo CERT para ter certeza de que não é um exploit imaginário.

Você pode ver uma lista de roteadores vulneráveis e não vulneráveis aqui. No momento é muito pequena, com 46 itens.  E a exata revisão de hardware faz diferença. Notem que o DIR615 aparece na lista em duas versões. Uma é vulnerável e a outra não.

Eu não pretendo fazer um tutorial para descobrir se o o roteador é vulnerável. Eu já venho desligando o WPS faz tempo mas sou capaz de entender a facilidade que ele oferece para usuários comuns. Só que depois dessa acabou: onde eu encontrar o WPS eu vou desligar sem nem perguntar o que o cliente acha disso. Mesmo que encontrem uma maneira de sanar o problema em novos firmwares, WPS simplesmente não é confiável.

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
4 comentários
  • Jefferson - 5.093 Comentários

    Na página 69 da apresentação de Dominique, temos a resposta da Broadcom:

    Thanks for checking. This is not a chip issue. The issue you have identified can affect any Wi-Fi product.

    Vulnerabilities can depend on the Wi-Fi standard that is chosen for security. This may depend on the age of the product.

    O que se pode extrair da resposta:

    1) A Broadcom não nega que o problema exista;
    2) Pior: diz que pode afetar qualquer produto Wi-Fi;
    3) O que não explica por que alguns roteadores não apresentaram a falha.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Everson - 1 Comentário

    WPS é uma mãe. Pode dificultar um pouco as coisas, mas no final sempre acaba arregando.
    Algum tempo eu encontrei um artigo onde o autor conseguiu descobrir qual era o algoritmo usado em alguns firmwares da dlink para gerar o pin padrão que por sinal era baseado no mac address do aparelho. Acredito eu que esta nova técnica possa estar vinculada a isso. Segue link: http://www.devttys0.com/2014/10/reversing-d-links-wps-pin-algorithm/

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • snowzpoc - 142 Comentários

    Jefferson, desde o seu post anterior, comecei a desligar todo wps que encontro. Nunca gostei dessa “facilidade”.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Saulo Benigno - 262 Comentários

    Nunca usei, nunca vi ninguém usar, só vejo problemas de segurança com ele ligado.

    Então, sempre desligo.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

O escândalo Superfish/Komodia: Qual o tamanho real do problema?

Resumo da encrenca:

A imprensa de tecnologia norte-americana teve um prato cheio nos últimos dias desde que se tornou público que a Lenovo pré-instalava em uma linha de notebooks vendidos nos EUA um adware chamado Superfish que interferia com a navegação do usuário exibindo propaganda. Mas o que parecia apenas mais um adware pernicioso mostrou ser um autêntico malware. Uma massiva violação de segurança e confiança que ainda deve dar muita dor de cabeça para a Lenovo (e provavelmente levar a Superfish à falência, antes ou depois da investigação criminal) quando uma olhada mais atenta no adware mostrou que a Superfish fez coisas de deixar qualquer analista de segurança de cabelos em pé e já rendeu até alertas da Homeland Security e do CERT para que o software fosse removido de todos os notebooks:

  • A Superfish instalou um certificado raiz auto assinado que permite a ela gerar certificados falsos em nome de qualquer site;
  • A Superfish usa esses certificados e um proxy para poder interceptar as conexões HTTPS do usuário. Nem bancos escapam. E para o browser tudo está normal. Cadeado fechado e tudo mais enquanto a Superfish observa todo o seu extrato bancário;
  • A Superfish usou o mesmo certificado raiz com a mesma chave privada em todos os notebooks. Assim mesmo que a Superfish fosse uma empresa com boas intenções (HAHAHA) qualquer um com acesso à chave privada do certificado  poderia bisbilhotar silenciosamente o acesso bancário de qualquer usuário Lenovo, sem levantar qualquer alerta, bastando estar no caminho do tráfego (o operador de um provedor WiFi, por exemplo);
  • A Superfish protegeu de forma ridícula a senha da chave privada e em três horas um especialista em segurança descobriu a senha: “komodia”. Dessa forma o exploit do item anterior deixa de ser teórico para ser real.

Note que acima eu pareço apenas me preocupar com transações bancárias, mas é só um exemplo. Obviamente o fato da Superfish poder ler meus emails no gmail, interceptar meu login em blogs, foruns e todas minhas compras na internet, incluindo os dados de cartão de crédito, não deve ser ignorado.

Minha preocupação:

A princípio isso deveria ser apenas uma curiosidade, porque afeta apenas usuários de determinados modelos de notebooks Lenovo vendidos nos EUA e spyware já se tornou algo tão comum que eu nem perco mais meu sono com isso. Mas o que a Superfish conseguiu fazer é tão absurdo que eu nem achei que fosse possível. Um certificado raiz auto assinado? Quer dizer que qualquer um com acesso ao computador pode criar sua própria Serasa-Experian ou Certisign? Certificados raiz são um troço muito sério e não poder confiar no protocolo HTTPS é “fim de jogo” para qualquer um que use a internet para coisas sérias.

Qual a dificuldade para se instalar isso remotamente via malware? É possível instalar o certificado silenciosamente desde que se tenha a senha de administrador? Infelizmente o Windows não oferece qualquer granularidade de permissões (ou você é administrador ou limitado) e o administrador pode fazer qualquer coisa na máquina. Seria bom se o Windows mostrasse uma janela de permissões como o Android mostra, dizendo (quase) tudo o que o software pretende fazer, mas acho que isso está longe de acontecer. Então você instala (por exemplo) um software que se diz um editor de imagens, dá permissão a ele porque supõe que seja só para instalar os hooks necessários no Explorer e ele acaba instalando um certificado raiz?

Ou o Windows pelo menos abre uma janela de confirmação ao instalar o certificado que não pode ser clicada automaticamente? Isso não vai proteger o usuário-palerma-médio, mas se nem o usuário que sabe o que está fazendo é informado, estamos **didos!

Vou ficar perturbado com essa questão até ter certeza…

Notas:

  • Alguns antivirus já fazem interceptação HTTPS “legitima”, supostamente para proteger você de malware em sites assim, mas eu não estou certo de que gosto da idéia. No momento isso não é preocupação para mim porque até o Windows Defender eu desliguei. Antivirus atrapalham demais meu trabalho.
  • A Microsoft reagiu com surpreendente rapidez e o Windows Defender já remove (ou tenta remover) o Superfish. Enquanto isso (não sei se me espanto ou não) os desenvolvedores do Firefox ainda (21/02) discutem se devem fazer alguma coisa. A Microsoft remove o certificado depositado no repositório do Windows, mas o Firefox tem o seu próprio repositório, também comprometido, que a Microsoft compreensivelmente parece não se atrever a tocar.
  • Este site supostamente é capaz de detectar se você tem o Superfish ou outro “sequestrador de SSL” instalado. Se na caixa no meio da página estiver escrito “YES”, você tem um problema para resolver. Precisa testar com todos os seus browsers.
VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
9 comentários
  • intruder_a6 - 141 Comentários

    Preocupante, realmente muito preocupante. A coisa está ficando realmente ruim. Acho melhor tomar cuidado com a lenovo.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
    • Jefferson - 5.093 Comentários

      Não apenas com a Lenovo. Hoje, por variados motivos, é altamente recomendável que ao comprar um computador novo você apague o Windows e reinstale com um disco “limpo” da mesma versão (não use a restauração do fabricante). Se não estou enganado, em computadores novos, com UEFI, o serial do Windows esta gravado no UEFI e a versão correta do Windows instala sem nem perguntar o serial.

      VN:R_U [1.9.13_1145]
      Rating: 5.0/5 (1 vote cast)
  • Ygor Almeida - 117 Comentários

    Segundo o site, nos meus pcs ( incluindo um notebook lenovo ) estou livre. Nenhum dos 3 pcs tem antivirus. uso apenas blockhosts e abp no chrome, ff e palemon e ie.

    :D será que estou livre !? rsrsrsr

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Ygor Almeida - 117 Comentários

    Tenho um amigo que trabalha na lenovo ( motivo pelo qual tenho alguns lenovos )

    Recebi isso dele, já que a noticia está circulando em todos os lugares
    http://news.lenovo.com/article_display.cfm?article_id=1931

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Diogo - 8 Comentários

    Meu Lenovo, comprado essa semana, veio com o Superfish de brinde. Usei a ferramenta que ela mesmo disponibilizou e o problema foi resolvido. (Acho^^)

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Intruder_a6 - 141 Comentários

    Neste caso é melhor não comprar notes Lenovo, quem apronta uma coisa destas não merece confiança e não quer vender, pois se quisesse não fazia uma canalhise destas.

    VA:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
  • Ygor Almeida - 117 Comentários

    Segundo relatos internos de amigos na Lenovo, o problema não afeta a link ThinkPad – amplamente usado no mercado corporativo, para Desktops, Notebooks e alguns servers.

    Além disso parece que o Superfish é obra de invasão para roubo de dados industriais, roubo de informação confidencial, mas nada sobre os usuarios…

    O que rola de comentários internos é que quem plantou o SuperFish fez isso de propósito, a Fábrica da Lenovo não teria feito isso deliberadamente.

    VN:R_U [1.9.13_1145]
    Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Nova vulnerabilidade no MS Office põe em risco todas as versões do Windows

O boletim de segurança da Microsoft não menciona o XP nem o server 2003. O XP pode não estar na lista por não ser mais suportado, mas é curioso não ver o Sever 2003. Isso pode querer dizer que XP e 2003 são imunes (2003 e XP são similares), mas até isso ficar claro é melhor tomar muito cuidado.

Todas as versões do Windows indicadas no boletim, mesmo completamente atualizadas, são vuneráveis. Seria realmente interessante descobrir que o XP é imune.

A vulnerabilidade é explorada através de documentos do Office carregando um objeto OLE malicioso. Vulnerabilidades no OLE não são nenhuma novidade e até possível argumentar que desde o início foi uma péssima idéia da MS criar o OLE porque é mais usado por criadores de malware que pelos usuários. E esse tipo de coisa põe até power users em risco porque afinal é um documento que você está abrindo. Imagine o que pode acontecer com usuários comuns.

E pouco ou nada adianta dizer que o usuário não abra documentos vindos de origem desconhecida quando se trata do departamento de vendas de uma empresa. Se você recebe um pedido de orçamento  com um anexo que não é um executável você vai deixar de abrir o documento só porque não conhece o remetente? Nenhuma empresa se sustenta por muito tempo assim.

Por precaução, é melhor eu reativar meu firewall com HIPS. o HIPS avisa toda vez que um processo tenta abrir outro e teoricamente isso impede um usuário que presta atenção às mensagens de ser infectado. A mesma coisa com o UAC, mas o danado do UAC é tão chato que nas minhas máquinas rodando o Windows 7 ele é desativado. O HIPS eu pelo menos posso ensinar a não fazer a mesma pergunta para o mesmo programa novamente. Já se eu executar 100 vezes o mesmo programa no mesmo dia, 100 vezes o UAC vai me perguntar se eu tenho certeza.

 

VN:R_U [1.9.13_1145]
Rating: 0.0/5 (0 votes cast)
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Siga as Regras de Participação, ou seu comentário será ignorado.

Não faça comentários sem relação com os posts. Comente neste post para assuntos genéricos

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »