Jefferson, 07 de setembro de 2019, Segurança, tools Na sexta feira passada foi publicado um exploit para a até então teórica vulnerabilidade do protocolo RDP do Windows chamada de “bluekeep” que permite a um atacante remoto invadir um sistema vulnerável ganhando totais privilégios. Se você ainda não aplicou os patches da MS é bom fazê-lo imediatamente. Mas mesmo que você tenha aplicado é sempre bom testar se está funcionando mesmo e para isso o utilitário rdpscan por enquanto não tem substituto mais simples de usar.
Você executa informando a faixa de endereços que quer testar asim:
rdpscan 10.129.40.1-10.129.40.254
E ele responde com algo assim:
No exemplo, a máquina .203 ainda está vulnerável.
É importante sempre lembrar que você não se deve deixar enganar pelo termo “remoto” e pensar que isso envolve acesso à internet. Uma máquina vulnerável pode ser invadida por outra máquina infectada dentro de sua própria rede, sem qualquer intervenção do usuário na máquina vulnerável. Um usuário sem poderes de administrador numa máquina segura qualquer pode infectar uma máquina vulnerável dando poderes de administrador ao vírus nesta, que por sua vez tentará infectar outras. E lembrando também que ransonware nem precisa de permissões de administrador em lugar algum.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 27 de setembro de 2017, manutenção, Segurança Eu comecei a reclamar disto há quase dois anos.
Na semana passada eu comecei a trabalhar com o suporte técnico de mais um sistema comercial e isso serviu para manter a impressão negativa que tenho de todos eles. Eu não tinha tempo nem saco para acompanhar tudo o que eles faziam nas máquinas do cliente mas o que pude ver ou conferir depois que eles terminaram já basta.
- Compartilharam o diretório inteiro do sistema comercial na rede com acesso escrita e leitura para TODOS;
- A aplicação deles foi configurada para rodar com privilégio de administrador no servidor. Pelo menos nas outras máquinas não foi;
- Eu dei acesso remoto via Anydesk em todas as máquinas mas em seguida instalaram o AMMYY e, como o AMMYY tem problemas com isso, desligaram o UAC. No servidor e no caixa. Acho que quem configurou o balcão foi outra pessoa porque não fez isso.
E tudo o que eu posso fazer é ficar contornando as bobagens que eles fazem para tentar garantir alguma segurança para a instalação.
Por que essas coisas me incomodam:
1: Notas fiscais, banco de dados e outros arquivos podem ser apagados por acidente ou maliciosamente por qualquer pessoa que sente na frente de um computador, com qualquer permissão de acesso. Qualquer ransonware meia boca em qualquer máquina pode criptografar o sistema inteiro e pedir resgate. Qualquer file infector rodando em uma máquina pode infectar os executáveis do sistema comercial e assim infectar todas as outras máquinas, etc, etc, etc. Estou acostumado a ver pior. Os “técnicos” de suporte saem compartilhando com permissões de escrita o diretório Arquivos de Programas e até partições inteiras incluindo as de sistema. No Windows XP você ainda flagrava isso só de abrir o explorer mas desde o Windows 7 a Microsoft deixou isso menos óbvio e é preciso executar com regularidade o comando net share para conferir se nenhum compartilhamento novo foi criado. Às vezes você só percebe quando está em outra máquina e nota os compartilhamentos extras aparecendo.
2: Quando uma aplicação precisa de privilégios de administrador ou o usuário vai precisar ser administrador ou vai ter que ter a senha de administrador, o que no final dá no mesmo. O ideal é que todos os usuários trabalhem no menor grau de permissão possível. Isso não impede a ação de ransonwares, mas esse não é o único problema de quem precisa dar manutenção;
3: Hoje, até eu que rodava o Windows 7 com UAC desligado para que ele não me enchesse o saco, acho perigoso.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 19 de setembro de 2017, Segurança A versão 3.6 do Ammyy saiu em julho mas só vi agora, por estar usando primariamente o Anydesk. Praticamente tudo o que mudou foi a adição de uma muito necessária geração automática de senhas de acesso.
É claro que as credenciais exibidas são falsas, meu caro gafanhoto.
Agora, os problemas.
- 28 dos 64 antivírus no Virustotal ainda não gostam dele. É importante notar que mais de um desses 21 deixa claro que “não é um vírus” ou que é apenas “potencialmente indesejado” ou mais especificamente “não é malicioso”. Enquanto isso o Anydesk 3.6.1 tem uma pontuação irrelevante de 1 em 64.
- Concordando com isso, o HIPS do CIS me deu alguns alertas sobre o comportamento do ammyy que me deixaram pouco confortável. O problema basicamente é que na primeira execução o ammyy já se instala como um serviço, mas se você bloquear isso no HIPS ele acusa um erro e roda assim mesmo. O programa parece “portátil”, mas não é. Novamente contrastando com o Anydesk que roda no modo portátil por default e só se instala se for autorizado. Entretanto eu dei uma olhada no conteúdo das chaves do Registro que o ammyy acessou e não encontrei nada de mais.
- O descaso com o site também não me inspira confiança. Se eu tentar baixar o programa usando o Chrome ou o Firefox o site exibe uma mensagem em javascript dizendo que eu não posso fazer isso porque meu navegador não deixa baixar o arquivo e eu devo usar o Internet Explorer.
Mas estou usando o Firefox 55.0.3 e se eu falsificar o User Agent dizendo que estou no IE8, baixo o arquivo normalmente no FF.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 18 de setembro de 2017, Segurança O anúncio foi feito hoje. Se você baixou recentemente o programa fique atento. Vale lembrar que o CCleaner é um produto AVAST desde julho.
Hoje é o dia das ironias.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 18 de setembro de 2017, Segurança Aparentemente os desenvolvedores do Kodi (antigo XBMC), desejando distanciar sua marca da pirataria, estão combatendo o uso de repositórios e addons que são usados primariamente para uso ilegal. Por essa ou outra razão o desenvolvedor de um addon muito popular desse tipo “endoidou o cabeção” e apagou todo o repositório dele no github. Isso não seria um problema grande não fosse o fato dos addons no Kodi (até onde sei) não serem assinados e o github permitir reciclagem de nomes: alguém já registrou novamente o repositório “MetalKettle” lá.
Não foi o próprio desenvolvedor, porque veio dele o alerta. Ninguém sabe ainda qual a intenção de quem fez isso. Mas ele está em posição agora de instalar software malicioso em toda máquina que tenha o MetalKettle configurado. Quem tiver, deve desinstalar o repositório imediatamente.
E é bom lembrar que o Kodi tem versões para Windows, Linux, Mac OS, Android…
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 08 de setembro de 2017, Segurança Nota: Este post ainda está em rascunho, com muitas informações “jogadas”. Certamente não ganharia uma boa nota em redação por ele.
A última vez que eu falei sobre isso aqui foi em 2011. E novamente estou usando a versão gratuita do Comodo Internet Security (CIS). Para quem não está familiarizado, HIPS é um tipo especifico de sistema de detecção de intrusos onde um software instalado observa todos os eventos que ocorrem na máquina à procura de atividades suspeitas. O que eu acho especialmente interessante no CIS é que no modo Paranóico ele dá ao usuário uma visão impressionante dos eventos que ocorrem na máquina e a capacidade de proibir que ocorram.
Por exemplo, você precisa dar permissão quando um programa estranho é executado e mesmo que você autorize é avisado também se esse programa tentar acessar uma funcionalidade suspeita ou executar outro programa. Infelizmente isso vem com o preço da complicação: são muitas perguntas que ele faz e para muitas delas eu tenho que consultar o Google (que processo é esse?). O maior problema é estar no modo Paranóico com a opção de criar regras para aplicações seguras desligada;
E como eu programo e testo software, novos executáveis e novos comportamentos vão aparecendo o tempo todo, havendo inclusive o risco de algo não funcionar como deveria porque o CIS está bloqueando algo, possivelmente devido a uma resposta errada que dei dias antes. E é justamente quando eu esbarro em um problema desses que o CIS é desinstalado. E quando isso acontece leva meses ou anos para eu dar outra chance. Pelas minhas anotações, a última vez que usei o CIS foi no final de 2015 .
Eu não uso antivírus no PC principal há anos mas a constante ameaça dos ransonwares me deixa preocupado e o monitoramento de um HIPS me dá alguma tranqüilidade.
A instalação
Você pode perder o acesso à rede após instalar e até reiniciar o computador, por isso não comece a instalação se estiver fazendo algo que não pode parar.
A falta de um instalador offline
Nota: isso parece estar errado. Veja comentários.
A primeira coisa que me incomoda é que agora o CIS não tem mais um instalador standalone disponível. Você tem que baixar um instalador online de 5MB que se encarrega de instalar para você. A última vez que encontrei uma versão standalone disponível no site foi em novembro de 2016. O que você só descobre depois de instalar é que poder obter o instalador em dois lugares:
- Uma cópia é deixada em %ProgramData%\Comodo\Installer
- Um log é criado durante a instalação que mostra de onde o instalador é baixado. Espere a instalação estar lá pelos 80% (muito cedo e o log não terá o link ainda e muito tarde e poderá ter sido apagado) e usando o Voidtools Everything procure por um arquivo de extensão .log ou .7z cujo nome começa com “cmdinstall.exe_” (exemplo: cmdinstall.exe_17-09-05_18.50.58.log). Ele provavelmente estará no diretório TEMP. Em 05/09/2017 os caminhos indicados nos logs eram estes:
Se você não tomar cuidado vão ser instalados diversos “extras” que você provavelmente não vai querer, como o “navegador Dragon”, o “geekbuddy”, etc. Observe com cuidado as opções de instalação.
Os modos de proteção HIPS (da forma que os entendo)
- Training (Treinamento) – Este modo é para ser usado temporariamente e nele o CIS apenas observa tudo o que ocorre na máquina e vai marcando como permitido. Útil quando você está começando com uma instalação sabidamente segura e tem um ou mais softwares “incomuns” que precisa evitar que o CIS bloqueie. Depois que o CIS aprender e você colocar no modo Safe, a quantidade de perguntas feitas ao usuário em condições normais será mínima, se não for zero;
- Safe (Seguro) – O CIS mantém uma lista de aplicações “seguras” e nesse modo todas elas são autorizadas enquanto que as que ele não conhecer vão gerar alertas para o usuário.
- Paranoid (Paranóico) – O CIS não parte de nenhuma lista de aplicações seguras. Tudo ele vai perguntar a você
Meu desktop:
Meu notebook (o que levo para a rua)
- dual boot Windows 7 32 bits e Windows XP
- Intel Pentium T4300 2.10GHz
- 3GB de RAM
No desktop eu rodo no modo paranóico. No notebook no modo Seguro. Isso parece ilógico porque meu notebook está exposto a mais perigos mas é porque o modo Paranóico é essencialmente o modo Seguro com a possibilidade de você ver o que está ocorrendo e a chance de desbloquear algo. Na rua eu não tenho tempo para isso e quero que toda atividade desconhecida seja bloqueada por default mesmo.
Problemas já encontrados (provavelmente por estar no modo paranóico)
- Ao voltar da hibernação era preciso esperar um longo tempo até poder desbloquear o Windows. A imagem aparecia mas onde deveria aparecer o lugar para digitar minha senha não havia nada. Enquanto isso eu ficava ouvindo o som do CIS pedindo autorização para algo. Quando finalmente consegui entrar eu vi nos logs que o último programa bloqueado havia sido logonui.exe e depois de desbloqueá-lo o problema sumiu.
- Houve um momento que o kmplayer não aceitava mais executar vídeo algum via duplo clique. Clicar no vídeo fazia o kmplayer abrir, mas nada mais acontecia. Após coçar um pouco a cabeça descobri que isso ocorreu porque eu mandei o CIS tratar o kmplayer como “contained app” e nesse modo entre outras coisas o programa fica proibido de receber mensagens do tipo “abra isso”.
Eu irei adicionando mais impressões sobre minha experiência com o CIS nos comentários, à medida que as novidades surgirem.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 28 de julho de 2017, Segurança É o Karspersky Free. Eu não sei se isso tem a ver com as acusações de que a empresa, com sede em Moscow, faça espionagem para Putin. Mas que isso está sendo motivo de especulação no mundo inteiro, está.
Se você tem problemas com isso, a Avast é uma empresa Tcheca.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 28 de julho de 2017, Segurança Mais uma da série “se ignorância matasse…“.
Eu ativei o uso de token para o login no Registro.br em junho de 2015. Menos de um ano depois quando troquei meu celular Android veio a surpresa: eu não tinha como copiar o token do Google Authenticator de um celular para outro. Com eu tinha a lista com 10 códigos reserva fazer o login não era problema e a cada uso de um código eu podia gerar mais 10 e continuar assim indefinidamente. Porém eu queria reativar o token no Google Authenticator.
Só que não encontrei em lugar nenhum a informação de como fazer isso. Li todas as páginas de ajuda do Registro.br, fiz uma busca com o Google… nada. Mesmo depois de autenticado no Registro.br não existe a opção para reexibir o código QR que instala o token. Perdi um bocado de tempo com isso e xingando o pessoal do Registro.br.
Esta semana eu me lembrei do problema porque vários domínios estão expirando e a solução apareceu na minha cabeça em menos de 30 segundos. Basta fazer login, cancelar o uso de token e reativar o uso de token. Um novo código QR é exibido e mais 10 códigos de backup são gerados. Problema resolvido em menos de 30 segundos.
Dãaaaaaa.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 04 de julho de 2017, Segurança, webmasterwork, wordpress Meu site não tem SSL e enquanto não resolvo isso minhas credenciais de acesso a meus blogs são transmitidas de uma forma que pode ser facilmente interceptada por alguém em posição de fazer um ataque “man in the middle” como o provedor de acesso. Para tornar isso um problema menor eu ativei autenticação em duas etapas em todos os blogs usando o plugin Google Authenticator.
Minha primeiríssima pergunta ao tentar decidir se isso era uma boa idéia foi: como eu desativo isso se algo der errado e eu não puder mais fazer login no blog? Mas é muito simples, bastando entrar no meu site via FTP (esse é outro problema de segurança a tratar em outro dia) e apagar o diretório correspondente ao plugin.
Como o próprio nome do plugin escancara, ele é compatível com a app Google Authenticator, que eu já uso para acessar minha conta Google. Ao ativar o plugin aparece uma nova seção na página “seu perfil” da administração do blog, onde você pode gerar o “Segredo” que você então insere na app.
É tão simples que eu já deveria estar usando há muito tempo. Uma informação a mais vai ser pedida a cada login:
Isso não resolve o problema de interceptação completamente, porque você continua vulnerável a um “sequestro de sessão” (é, segurança de dados é coisa de doido) já que os cookies que evitam que você tenha que redigitar sua senha a todo momento continuam sendo transmitidos sem criptografia e podem ser interceptados. Você pode minimizar isso também ao não marcar “lembrar-me” na tela de login e sempre fazendo logout ao terminar. Assim os cookies terão uma validade mais curta.
(Prefira clicar em "Responder" se estiver comentando um comentário)
Jefferson, 28 de junho de 2017, Segurança Finalmente a telemetria da Microsoft parece servir para algo benigno.
Isso parecia ser especulação de várias empresas de segurança, mas a Microsoft confirmou que em pelo menos algumas máquinas a infecção foi iniciada pelo atualizador de um popular software de contabilidade ucraniano. Depois disso o ransonware usou várias técnicas avançadas, incluindo a vulnerabilidade Eternalblue, para se espalhar lateralmente.
A mais preocupante dessas é uma técnica que permite obter na memória as credenciais de qualquer usuário logado na máquina. Eu ainda estou tentando digerir as implicações disso.
Outra característica digna de nota é que o ransonware é um MBR infector. O primeiro que vejo em mais de uma década. O malware infecta o MBR, dá boot na máquina e finge ser o chkdsk enquanto criptografa seus arquivos na sua cara.
Ainda não ficou claro para mim se a máquina estar com Secureboot ativo seria proteção contra isso.
É claro que para fazer tudo isso dessa forma o malware precisa de permissões de administrador, que inicialmente ele obtém porque o atualizador do software de contabilidade possivelmente obtém essas permissões e mais tarde porque Eternalblue (que a essa altura não deveria ser problema) também confere essas permissões automaticamente.
(Prefira clicar em "Responder" se estiver comentando um comentário)
|
|
Qual é o comando pra testar num único pc?
Aqui não deu certo.
C:\Users\usuario\Desktop\rdpscan.exe 192.168.1.2
192.168.1.2 – UNKNOWN – no connection – timeout
Nem com 127.0.0.1.
Você ainda está usando XP/Windows 7/Windows 2008?
Windows 8 e 10 não são vulneráveis.
Ou você está com o serviço RDP desligado, o que é bem possível se for um PC doméstico.
Uso o Windows 7.
Você ainda pode ver se a atualização necessária está instalada na sua máquina. Um dos meios é usar o batch sugerido neste texto. Cole em um arquivo de extensão .bat e rode. O programa vai indicar se achou o update instalado.
Se o batch fechar abruptamente sem exibir nada, corrija as aspas nos três comandos “find”.
Ok, obrigado.
Pergunta besta… procurei aqui no PC com Windows XP e achei o KB4500331.log, então posso ficar sossegado que o esse buraco já foi tapado?
Não sei. Você pode tentar instalar manualmente para ter certeza. Mas se você não usa RDP, seguro mesmo é desligar o serviço.