 Jefferson,  26 de abril de 2017,  SegurançaO problema é muito bem explicado por Randall Munroe:
Um resumo, já que não dá (ou dá?) para passar uma imagem no Google Translator: o personagem “black hat” diz que a complexidade de uma senha é raramente relevante e o real perigo está em sua reutilização. Ele explica que hospeda um monte de serviços gratuitos na internet que não dão lucro justamente para se aproveitar do hábito largamente disseminado de usar a mesma senha para tudo. E agora tem algumas centenas de milhares de identidades “reais” em algumas dúzias de serviços e ninguém suspeita de nada.
A senha que você usa para ver por onde andam seus bagulhos no Muambator é a mesma que você usa pro seu email ou, pior, pro banco? Bem…
Não que eu queira dizer que por trás do Mumbator (é só um exemplo de serviço “inofensivo”) tenha gente querendo pegar suas senhas. Mas o que “black hat” diz ter feito é algo bastante provável de estar acontecendo neste momento e além disso todo serviço inofensivo justamente é o que tem maior probabilidade de ser vulnerável a ataques. O admin pensa: não há nada de valioso aqui, por que alguém tentaria uma invasão?
Para coletar uma grande lista de emails e respectivas senhas para testar em um alvo não tão inofensivo.
No mínimo as pessoas deveriam usar uma senha para serviços inofensivos e outra para serviços importantes. Esse é realmente o mínimo, mas não é isso que tenho visto.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 26 de abril de 2017, Redes, SegurançaOu a pior melhor solução, você decide.
Brickerbot, a botnet de malware criada especificamente para destruir todo dispositivo inseguro que encontrar na internet continua firme e forte. DVRs, NVRs, cameras, modems (principalmente) e todo tipo de geringonça bizarra que só Deus sabe por que tem uma conexão direta com a internet estão caindo como mosquitos na raquete eletrificada. O hacker que criou o malware sugere que já desconectou “permanentemente” dois milhões de dispositivos.
Se algum dispositivo de rede seu “morrer” nos próximos dias, semanas ou meses, o problema pode ser esse: era inseguro, um potencial soldado em uma rede de cybercrime e por isso teve seu firmware corrompido remotamente. Se não quer que isso aconteça, pelo menos mude aquelas senhas default que você já deveria ter mudado há muito tempo, não exponha seu dispositivo à internet sem necessidade, principalmente em portas óbvias como a 80, 8080, 21, 23, etc. E sobretudo não coloque nada em uma DMZ que vá lhe fazer falta. É bom ressaltar que eu sei que não sou esperto o bastante para garantir que não serei afetado.
Embora eu lamente o prejuízo que isso causa para os consumidores, não parecia haver outra solução para a crescente e espantosa ameaça das botnets de IoT. Os fabricantes e provedores estão de braços cruzados, fingindo que o problema não existe e esperando que desapareça sozinho. Não vai. Ou vai, graças à pior melhor solução que estava disponível. Eu só posso desejar que boa parte dos dispositivos danificados esteja na garantia e isso dê um enorme prejuízo para os fabricantes que os faça levantar a bunda da cadeira.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 25 de abril de 2017, fanfiction, leituraVou começar com o sumário fornecido pelo autor:
Universo Alternativo, Viagem no Tempo. Snape volta no tempo com o conhecimento do que acontecerá se ele falhar. Não mais guardando rancor, ele busca moldar Harry no maior bruxo de todos os tempos, começando pelo dia em que Hagrid levou Harry para o Beco Diagonal.
Neste futuro alternativo Voldemort venceu a guerra. Um a um todos os soldados da luz morreram. Harry por volta dos seus 19 anos é um bruxo poderoso e grande amigo de Snape, mas isso aconteceu tarde demais para que Harry desenvolvesse todo o seu potencial. Quando só restavam os dois, Harry sacrifica sua vida em um ritual poderoso que envia a alma de Snape para seu corpo de uma década atrás (como em O Efeito Borboleta) com a missão de incentivar e proteger Harry desde o início.
A premissa é boa e foi conduzida muito bem nos primeiros capítulos mas depois o autor se perdeu, os personagens (principalmente do lado de Draco, Sonserina e as famílias “puro sangue”) começaram a ter atitudes que não faziam sentido, o autor inventou uma doideira misturando o curandeirismo bruxo com a medicina trouxa e mesmo sem ser médico dedicava looongos parágrafos a explicações sobre curas improváveis, etc.
Acabou terminando bem, mas foram 560 paginas cansativas. Apesar de ser uma das obras de fanfiction mais populares e ter ganho prêmios, não posso recomendar.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 25 de abril de 2017, Segurança Para quem não conhece, o ammyy é um programa de administração remota que pelo menos aqui pelas minhas bandas parece bem popular. Popular até demais. Ele tem umas características que aparentemente o tornaram bastante usado por quem distribui malware e/ou em golpes de falso suporte porque é normal os antivírus implicarem com ele.
Hoje mesmo eu executei o ammyy no computador de um cliente e imediatamente apareceu na tela um pedido de acesso remoto. Eu rejeitei e fui criar uma regra com senha para me dar acesso automático mas antes de eu terminar a regra já veio outro pedido de acesso. E não foi a primeira vez que isso aconteceu. Na primeira vez eu me confundi e autorizei o acesso, para um segundo depois perceber o erro e fechar o ammyy. Aparentemente alguém descobriu um jeito de ser notificado imediatamente quando um PC se conecta ao servidor (eles chamam de “router”) da empresa. Isso ou o “ID” não tem qualquer checksum e o “router” não tem qualquer proteção contra scanning e alguém passa o dia testando números impunemente à procura de uma máquina vulnerável.
O maior problema disso é que a tentativa de acesso ocorre tão rápido que se você pede a um cliente para baixar e executar a ferramenta ou mesmo deixa um link para a mesma na área de trabalho do cliente, o risco é grande do usuário inadvertidamente dar controle remoto a outra pessoa. Isso não acontece com o Teamviewer, por exemplo, porque além do ID existe uma senha e provavelmente a Teamviewer não é tolerante com “scanning”.
Para usar o ammmyy com um mínimo de segurança você precisa imediatamente ao executar criar uma regra de acesso com senha, preferencialmente que dê acesso apenas aos seus IDs. Aí as mensagens pedindo autorização ao operador param de aparecer porque do outro lado o invasor já vê o diálogo pedindo a senha. E ainda assim o ammyy é perigoso porque não existe senha para alterar as configurações e qualquer um pode, até por acidente, adicionar uma regra para dar acesso a qualquer um, sem senha!
Eu encontrei essa barbaridade no servidor de um cliente. Muito provavelmente obra do suporte do sistema comercial dele.
Mais ainda: o ammyy é portável mas essas regras aparentemente são salvas no Registro. Se você apenas apagar o ammyy essas regras loucas continuam na máquina à espera de outra pessoa baixar e executar o programa de novo.
Ou seja, do ponto de vista da segurança o ammyy é um desastre esperando para acontecer. Só não é pior porque não salva as senhas.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 25 de abril de 2017, SegurançaO patch para isso saiu no dia 12 de março mas só fiquei sabendo do problema agora. Em mais um release de informação vazada da NSA, foi encontrado um programa chamado DoublePulsar que explora uma vulnerabilidade crítica existente em todas as versões do Windows e permite tomar remotamente o controle da máquina vulnerável. Script kiddies já estão rodando scanners pela internet procurando máquinas expostas e milhares já estão infectadas. Vale lembrar que esse tipo de vulnerabilidade não requer que as máquinas estejam “visíveis” pela internet pelo exploit para que toda a sua rede acabe infectada. A infecção inicial pode vir por diversos caminhos. Um único usuário pode se infectar por email ou pendrive e a partir da máquina dele o vírus infectar toda a rede. Caramba… alguém pode plugar inocentemente uma máquina infectada na sua rede (um consultor, vendedor, cliente, etc) e a partir daí sua segurança já era.
E se você já precisou se livrar do Conficker sabe o trabalho que dá mesmo quando na maioria das vezes o vírus só se importa em se espalhar, sem ser “ativado” para causar outro dano. Quando alguém decidir juntar o DoublePulsar com um ransonware…
Apliquem o patch referente à sua versão do Windows já!
Estou especialmente preocupado com três clientes que ainda usam Windows Server 2003. Para versões do Windows não mais suportadas a Microsoft não publicou patch. Existe um “workaround” que consiste em desabilitar SMBV1/CIFS, mas ainda não sei exatamente o que isso vai acarretar. Será que os compartilhamentos param de funcionar?
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 22 de abril de 2017, webmasterworkNota: As colunas não aparecem se você estiver visualizando a versão mobile do blog.
16/02/2018: Como não houve manifestações a favor, o layout em colunas foi desativado.
[one_half padding=”0 20px 0 20px”]Como uns poucos talvez lembrem porque participaram da discussão, o blog tem uma largura de 800 pixels para os posts porque
- Eu decidi limitar meu layout a algo que pudesse ser visto em monitores de 1024×768, apesar de criar com um monitor de 1920×1080
- Permite exibir imagens com um bom tamanho sem ser preciso clicar nelas para dar zoom. Os restantes 224 pixels ficam para as barras laterais do blog;
Porém mesmo tendo me limitado a 800px eu sei que isso criou um problema: as linhas de texto ficaram longas, o que pode dificultar a leitura, principalmente em parágrafos com muitas linhas. Isso não me incomoda realmente mas eu não escrevo no blog para que eu leia. E tudo que atrapalhar meus leitores e eu puder mudar sem criar um incômodo para mim eu estou disposto a fazer.[/one_half]
[one_half padding=”0 20px 0 20px”]Eu instalei o plugin Column Shortcodes e estou experimentando com os resultados. O plugin não formata automaticamente todos os meus posts em colunas até mesmo porque acho que fazer isso automaticamente no tipo de blog que escrevo sem ficar uma bagunça está perto de ser impossível. Então eu estou adicionando a formatação em alguns posts selecionados, principalmente em trechos que parecem uma “parede de texto”. Eu ainda não estou bem certo de que fique melhor em colunas. No momento o único problema é que se a coluna da esquerda tiver mais texto que a coluna da direita o plugin bagunça a exibição do plugin de compartilhamento social (os links na parte inferior de cada post)
O que acham? [/one_half]
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 22 de abril de 2017, fanfiction, leituraO tema de Poison Pen é interessante. O que aconteceria se Harry Potter não fosse um “donzelo indefeso” (eu sou fã, mas tenho que admitir isso) e decidisse partir para o ataque contra o Profeta Diário, Rita Skeeter, o Ministro Fudge e até mesmo as manipulações de Dumbledore? A estória ataca vários problemas do universo criado por J.K. Rowling e embora use um ponto de vista excessivamente “muggle” as críticas são interessantes. Vale a pena até mesmo porque não é uma estória muito longa, com o equivalente a 166 páginas.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 22 de abril de 2017, webmasterworkNota: Os QRCodes não aparecem se você estiver visualizando a versão mobile do blog.
Às vezes eu comecei a ler algo no desktop ou notebook e gostaria de continuar a leitura no celular ou tablet. No meu computador principal e usando o Palemoon/Firefox eu já tenho uma solução para isso na forma de um bookmarklet que quando clicado transforma o URL de qualquer página que eu esteja vendo em um código QR que eu posso “fotografar” com o Barcode Scanner.
|
|
javascript:%20var%20t=((window.getSelection&&window.getSelection())||(document.getSelection&&document.getSelection())|| (document.selection%20&&document.selection.createRange&&document.selection.createRange().text));%20if(t!='')%20 {location.href='http://chart.apis.google.com/chart?cht=qr&chl=%20'+t+'&chs=250x250';}%20else%20 {location.href='http://chart.apis.google.com/chart?cht=qr&chl='+escape(location.href)+'&chs=250x250';}; |
Isso foi sugestão de um leitor. Não consigo lembrar quem foi.
Mas às vezes eu estou usando o computador de terceiros ou outro browser e aí deixa de ser tão simples. Esta semana mesmo eu estava fazendo uma pesquisa de um produto no Mercado Livre no computador de um cliente e queria fazer uma pergunta ao vendedor, mas eu não gosto de fornecer credenciais em computadores que eu não controlo por isso queria abrir exatamente o mesmo produto no meu telefone e eu pensei: o ML deveria exibir QR codes dos itens.
E logo em seguida eu pensei que deveria fazer o mesmo no meu blog para facilitar a vida dos leitores.
Existem diversos plugins disponíveis para isso. Alguns tem características que considero reprováveis como conectar com o site do desenvolvedor para gerar o código e outros não sabem reconhecer páginas com múltiplos posts, como a inicial do blog, e assim exibem em cada post o mesmo código. É “um saco” “separar o joio do trigo”.
Após testar vários, no momento me decidi pelo QR Code Widget que obviamente tem suporte a widgets. Minha opção anterior foi pelo WP Page QR, que só exibe o código em páginas individuais e tem um modo automático, que gera o código mesmo nos meus posts antigos. Nada disso é realmente necessário quando o plugin tem suporte a widgets, já que cada widget só aparece mesmo uma vez por página. Note que o QR Code Widget não ativa (acusa um erro) se você tiver o WP Page QR ativo no mesmo blog.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 13 de abril de 2017, fanfiction, leituraOs irmãos Fred e Jorge, capitães do time de quadribol da Grifnória, fazem uma aposta temerária em um jogo de “verdade ou desafio” mágico e perdem. Agora todo o time da Grifnória (pelo menos todos os maiores) precisa comparecer pelado ao próximo jogo com a Sonserina. Não há nada que a administração de Hogwarts possa fazer porque o jogo é um contrato mágico. Harry Potter e as garotas do time não estão achando nada engraçado mas o resto da escola, principalmente as garotas, mal pode esperar pela partida. Dizem que Harry tem mais de uma varinha mágica. A estória é contada pelos mmails (magic mail) trocados entre os estudantes, com a participação ocasional dos professores e até de Voldemort!
A estória é curta e a diversão é garantida para fãs da obra de J. K. Rowling.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 12 de abril de 2017, fanfiction, leitura, LivrosBrowncoat, Green Eyes é a segunda obra de fanfiction que leio. Nem chega perto da complexidade narrativa da obra de Less Wrong, mas ainda assim tem uma qualidade surpreendente. O público alvo são os fãs de Firefly e Harry Potter que tenham a disposição para ler o equivalente a 660 páginas.
O autor imaginou Firefly como o universo de Harry Potter centenas de anos no futuro. Harry cresceu, se tornou um dos bruxos mais poderosos da Terra, derrotou mais uma meia dúzia de dark lords e… casou com Luna Lovegood. Somente essa “sacada” já valia a leitura porque você acaba acreditando que Luna era definitivamente um melhor par para Harry do que a insossa Gina.
Porém nesse futuro Harry está sozinho pois após a morte de Luna ele aplicou a si mesmo um feitiço de animação suspensa com instruções para ser acordado quando fosse necessário novamente (um Rei Arthur bruxo) e aparentemente acharam que a destruição da Terra e a debandada e o espalhamento de todo o mundo bruxo pelo universo não era motivo bom o bastante. Harry foi acordado quase que por acaso, centenas de anos depois de todo mundo que ele conhecia estar morto e graças a uma interessante afinidade com River Tam se une à tripulação de Serenity para tentar descobrir se realmente é o último bruxo do universo. E o autor inclui uma explicação realmente surpreendente para o que aconteceu em Miranda.
A estória é bem “light”. Harry praticamente o tempo todo tem o controle da situação. Não existem traições nem problemas que Harry não possa resolver, muitas vezes de forma engraçada. Sua relação com a tripulação e principalmente com River Tam é hilária.
Só não gostei do conflito final. O autor exagerou no drama e achei bem forçado.
(Prefira clicar em "Responder" se estiver comentando um comentário)
|
|
Fato interessante: “inofensivo” não quer dizer “barato”. Em 2013 hackers conseguiram o banco de dados com 153 milhões de credenciais de usuários do site adobe.com. Se cobrando a fortuna que cobra pelo Photoshop a Adobe não consegue garantir a segurança do seu site…
É senha demais! As vezes eu tenho que me “lembrar” de uma senha antiga e tenho que sacar da gaveta um papel. Outras vezes eles estão num DOC do Word TAMBÉM guardado por senha… e imagine o pessoal mais idoso: chega a dar pena desse pessoal nos caixas eletrônicos muitas vezes pedindo para os outros ajudar com a digitação da senha (e que nunca poderíamos ajudar)… não seria a hora da biometria começar a aparecer mais?
Biometria só é segura em sistemas fechados. No momento em que você coloca a variável “online” na equação, há uma grande chance de virar bagunça. A biometria é como um cartão de crédito impossível de copiar, que não pode ser substituído e que não tem senha. Ninguém pode clonar o seu mas se for roubado a pessoa que o tem é efetivamente você até você desistir de ser você.
Nem eu mesmo sei as minhas senhas. Uso o Keepass que gera e armazena uma senha doida pra cada site. Quando preciso, abro o programa com uma senha-mestra e procuro o nome do site onde me registrei. Então é só clicar nele e pressionar control e V que ele faz o login.
Eu uso a mesma senha a anos em tudo, porém em cada site/serviço uso minha senha-padrão + uma sequencia numérica com base no nome do site que estou cadastrando, além de usar a arte-manha com sinal de “+” e “.” no email do Gmail, para nunca ter o mesmo email cadastrado em cada lugar.
Mas isso não é a mesma senha. Você faz o mesmo que eu recomendo: usa uma fórmula que você e só você compreende para gerar senhas únicas baseadas no serviço.
Eu não estou certo de que isso adicione alguma segurança. Você pode usar isso para filtrar emails, mas acho que é só isso.
Com esta proliferação de senhas, ninguém consegue escapar de reutilizar algumas senhas, mas realmente é uma boa prática separar as senhas por hierarquia (e é o que eu faço), é impossível eu utilizar senhas diferente em tudo, não tenho esta memória toda, mas para o ebay/paypal é uma senha especial (parecida com a senha do e-mail, mas não é igual), a do banco é diferente de todas (mas tem partes do número que eu reutilizo para poupar memória em outras senhas)e por ai vai, só uso a mesma senha em sites em que não tenho tanta preocupação com privacidade ou segurança. E a Senha do e-mail só uso no e-mail, em mais nada (ela também tem uma regra de formação em relação as outras, coisa que nunca vão conseguir achar por tentativa erro).
Se alguma destas senhas cair o estrago vai ficar limitado. Eu sou meio paranoico com estas coisas.
Isso mesmo. Eu uso a mesma senha em vários sites que são igualmente irrelevantes para mim. Mas cada site onde eu um dia coloquei informação de cartão de crédito, por exemplo, tem um email e uma senha únicos, devidamente anotados em um arquivo texto guardado em um volume criptografado.
E minha conta no gmail, que é para onde converge tudo o que faço, tem autenticação em duas etapas. A partir dessa conta o dano que alguém poderia fazer à minha vida é grande por isso com ela eu não brinco.
Eu pensei em escrever isso quando ajudei uma cliente na semana passada a criar uma conta na Econovia (um serviço mais inofensivo que o Muambator) e percebi que além de colocar como endereço de email o único que ela tem, ainda ia colocar como senha a mesma senha desse email.
Eu expliquei a ela por que isso era má idéia e mesmo tendo uma certa dificuldade com computadores ela rapidamente entendeu o problema e, como já tinha feito o mesmo em outros lugares, tratou de mudar a senha do email.
Mas isso não foi usando aquela autenticação do Google? Que você pode usar em seu site, e assim não tendo informações no site e sim no Google. É inseguro isso?
A autenticação Google autentica no servidor da Google. O site não vê a senha.
Eu ainda não achei a solução que me seja perfeita, confiável e usável de qualquer buraco (leia-se: smartphone, e quatro pcs). O que mais me irrita é que muitos serviços sequer aceitam caracteres especiais na senha, tipo #!%+. Obrigado você a se virar com uma senha alfanumérica. E dai pra lembrar que aquele desgraçado de site a senha é abc123 e não a#b!c%1#2!3
Eu acho que senha já é um negócio que demanda alguma solução que funcione pra tudo e não dependa de ficar lembrado qual das 10 senhas diferentes foi usada naquele serviço.
Enquanto isso um TXT com uma senha horrenda de grande, salva num arquivo com um nome que qualquer um consideraria um lixo ainda é o local onde posso guardar essa zorra toda.