Verifique se sua rede está vulnerável ao bluekeep

Na sexta feira passada foi publicado um exploit para a até então teórica vulnerabilidade do protocolo RDP  do Windows chamada de “bluekeep” que permite a um atacante remoto invadir um sistema vulnerável ganhando totais privilégios. Se você ainda não aplicou os patches da MS é bom fazê-lo imediatamente. Mas mesmo que você tenha aplicado é sempre bom testar se está funcionando mesmo e para isso o utilitário rdpscan por enquanto não tem substituto mais simples de usar.

Você executa informando a faixa de endereços que quer testar asim:

rdpscan 10.129.40.1-10.129.40.254

E ele responde com algo assim:

 

No exemplo, a máquina .203 ainda está vulnerável.

É importante sempre lembrar que você não se deve deixar enganar pelo termo “remoto” e pensar que isso envolve acesso à internet. Uma máquina vulnerável pode ser invadida por outra máquina infectada dentro de sua própria rede, sem qualquer intervenção do usuário na máquina vulnerável. Um usuário sem poderes de administrador numa máquina segura qualquer pode infectar uma máquina vulnerável dando poderes de administrador ao vírus nesta, que por sua vez tentará infectar outras. E lembrando também que ransonware nem precisa de permissões de administrador em lugar algum.

7 comentários
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Ver o suporte técnico de um sistema comercial trabalhar ainda é assustador.

Eu comecei a reclamar disto há quase dois anos.

Na semana passada eu comecei a trabalhar com o suporte técnico de mais um sistema comercial e isso serviu para manter a impressão negativa que tenho de todos eles. Eu não tinha tempo nem saco para acompanhar tudo o que eles faziam nas máquinas do cliente mas o que pude ver ou conferir depois que eles terminaram já basta.

  1. Compartilharam o diretório inteiro do sistema comercial na rede com acesso escrita e leitura para TODOS;
  2. A aplicação deles foi configurada para rodar com privilégio de administrador no servidor. Pelo menos nas outras máquinas não foi;
  3. Eu dei acesso remoto via Anydesk em todas as máquinas mas em seguida instalaram o AMMYY e, como o AMMYY tem problemas com isso, desligaram o UAC. No servidor e no caixa. Acho que quem configurou o balcão foi outra pessoa porque não fez isso.

E tudo o que eu posso fazer é ficar contornando as bobagens que eles fazem para tentar garantir alguma segurança para a instalação.

Por que essas coisas me incomodam:

1: Notas fiscais, banco de dados e outros arquivos podem ser apagados por acidente ou maliciosamente por qualquer pessoa que sente na frente de um computador, com qualquer permissão de acesso. Qualquer ransonware meia boca em qualquer máquina pode criptografar o sistema inteiro e pedir resgate. Qualquer file infector rodando em uma máquina pode infectar os executáveis do sistema comercial e assim infectar todas as outras máquinas, etc, etc, etc.  Estou acostumado a ver pior. Os “técnicos” de suporte saem compartilhando com permissões de escrita o diretório Arquivos de Programas e até partições inteiras incluindo as de sistema. No Windows XP você ainda flagrava isso só de abrir o explorer mas desde o Windows 7 a Microsoft deixou isso menos óbvio e é preciso executar com regularidade o comando net share para conferir se nenhum compartilhamento novo foi criado. Às vezes você só percebe quando está em outra máquina e nota os compartilhamentos extras aparecendo.

2: Quando uma aplicação precisa de privilégios de administrador ou o usuário vai precisar ser administrador ou vai ter que ter a senha de administrador, o que no final dá no mesmo. O ideal é que todos os usuários trabalhem no menor grau de permissão possível. Isso não impede a ação de ransonwares, mas esse não é o único problema de quem precisa dar manutenção;

3: Hoje, até eu que rodava o Windows 7 com UAC desligado para que ele não me enchesse o saco, acho perigoso.

 

13 comentários
  • Matuto - 129 Comentários

    Eu tive um cliente que o software do estabelecimento (criado por um programador exclusivamente pra ele)também era compartilhado e qualquer micro conectado na rede local tinha acesso irrestrito. Eu acredito que isso é um meio do programador “facilitar” a vida dele, ou seja, ele instala o software nos micros, compartilha e “um abraço” pro cliente. É tipo uma preguiça que eles tem de deixar o mínimo de segurança. Pelo menos nesse meu caso, o cliente não usava internet em nenhum micro (na época) e o programador criou uma rotina de backup do software, no servidor, pra copiar a pasta pra um HD externo três vezes ao dia pelo Cobian Backup. Eu acredito que o melhor para o cliente é quando o programador se comunica com o profissional de TI, para deixar tudo alinhado. No meu caso, o cara me odiava! hehehe

    • Jefferson - 6.543 Comentários

      No meu caso, o cara me odiava! hehehe

      Rapaz, esses “programadores de banco de dados” parecem ter uma mentalidade que é difícil de compatibilizar com a mentalidade de quem faz a manutenção/segurança. É muito fácil entrar em rota de colisão com esse pessoal e para evitar criar uma situação em que alguém sinta vontade de me sabotar eu prefiro manter distância e tentar fazer meu trabalho apesar das besteiras deles.

  • Arthur Dowsley - 13 Comentários

    Mas em empresas rodando Active Directory os usuarios sem permissão não podem nem instalar nada. Aqui na empresa toda vez que precisam instalar algo, tem que me chamar. Simples assim. Pode trazer no pendrive, o que for. Não executa sem permissão de ADM. Acho que já ajuda bastante. Ai quando o “suporte do software” precisa, eu instalo ele faz o que precisa sobre minha supervisão e depois nem adianta pedir. Deleto assim que termina. Abs

    • Snow_man - 303 Comentários

      Arthur, sei que AD ajuda muito, mas não tenho muita experiência; atualmente uso Windows Server apenas com compartilhamento de arquivos;
      Se pudermos trocar informações, agradeço.

    • Jefferson - 6.543 Comentários

      Mas em empresas rodando Active Directory os usuarios sem permissão não podem nem instalar nada.

      Eu posso estar falando bobagem, mas a não ser que você tenha criado uma diretiva de segurança com uma whitelist de executáveis, todo mundo pode instalar softwares como o Chrome, certo? E nesse caso você nem precisa de Active Directory, porque você pode implementar a diretiva em qualquer máquina avulsa. Até onde sei o AD apenas simplifica esse trabalho para um grande número de máquinas.

      Ai quando o “suporte do software” precisa, eu instalo ele faz o que precisa sobre minha supervisão e depois nem adianta pedir. Deleto assim que termina. Abs

      Você parece estar falando do ponto de vista do profissional de TI que atende UMA empresa. Eu estou falando do ponto de vista de quem atende por contratos de manutenção ou avulso. Aqui se eu bloquear o acesso do suporte do sistema, toda m***a que acontecer vai ser culpa minha. É impressionante como esses “sistemas comerciais” precisam de manutenção constante. Seria de se esperar que o sistema que já roda há sete anos na empresa já tivesse todos os bugs resolvidos, mas toda hora aparece uma novidade que requer a atenção do suporte do sistema. E não estou falando das palhaçadas do sistema tributário brasileiro que são incontornáveis. Estou falando de problemas até de campos em relatórios impressos que “desaparecem”.

      E eu não estou disponível em tempo integral nem fisicamente, nem remotamente. Pode levar qualquer coisa de alguns minutos até 24H para que eu possa fazer o atendimento.

      • Matuto - 129 Comentários

        Jefferson, eu tenho uma teoria sobre esse problema do software sempre precisar de manutenção. No caso do meu antigo cliente, o programador vendeu uma “parte” do software pra ele, de acordo com o próprio cliente. Então qualquer alteração ou correção, é cobrada por fora e me parece que não é um preço muito justo (de acordo com o cliente). Então eu creio que o interesse do programador é resolver o mínimo de problemas possíveis para que sempre o cliente precise chama-lo e assim ele recebe de novo e de novo pelo serviço ou manutenção no software. Em resumo, o cliente passa dez anos usando o software e estará sempre vinculado ao programador, que continua ganhando dinheiro.

        • Jefferson - 6.543 Comentários

          Eu não quis entrar nesse detalhe mas desde que eu comecei a ouvir as reclamações de meus clientes sobre os problemas nos softwares eu tenho razoável certeza de que consertar uma coisa e quebrar outra faz parte do modelo de negócio da maioria dessas empresas.

          Eu posso apontar uma possível exceção: um de meus clientes usa um sistema que roda 100% no servidor do programador (é em PHP). O “paradigma” é outro. O cliente tende a enxergar como se estivesse alugando um conjunto de serviços e está menos propenso a achar que se o software não der problema toda semana ele não precisaria pagar todo mês por ele. O programador então se sente menos inclinado a sabotar sua própria criação.

          Não que eu esteja recomendando esses sistemas “no computador de outra pessoa”. De jeito nenhum eu recomendo. Eu apenas entendo a diferença.

  • Snow_man - 303 Comentários

    Jefferson, eu quase citava um sistema comercial que um cliente usa, a diferença é que usam o Teamviewer. E infelizmente o sofrimento é o mesmo; em outro cliente, software de contabilidade, eu tinha deixado pra instalar o sistema em uma sub-pasta (d:\rede\sistema) mas na hora que o suporte começou, o “bendito” moveu pra raiz do D: e compartilhou geral.

    • Jefferson - 6.543 Comentários

      Jefferson, eu quase citava um sistema comercial que um cliente usa, a diferença é que usam o Teamviewer. E infelizmente o sofrimento é o mesmo;

      Fica pior que isso. Cada “técnico” parece ter sua preferência de software de controle remoto. Eu já cheguei a ter que remover uns quatro ou cinco instalados na mesma máquina.

      Idealmente, eu deveria poder determinar o meio de acesso para que seja usado apenas um, reduzindo a superfície de ataque. Mas eu não tenho como controlar esse pessoal.

  • Snow_man - 303 Comentários

    Jeff, passei por uma neste sábado; normalmente nem iria, mas como a sra da loja é uma pessoa muito agradável, fui no sábado às 14h (horário que iria maratonar a 3a. temp de Dark Matter).

    Situação: durante a semana as vendas não saíam pela net, ficando em contingência; foi piorando e ela acionou o suporte do sistema que, mesmo estando uns 600 metros de distância do shopping, só atendem remoto (ammyy ou anydesk). Resultado: bagunçaram o sistema (cuja base é, acredite, em MDB) e disseram que ela precisava chamar um técnico para formatar o micro (e ficar sem vender com cartões até resolver).

    Fui, fiz backup, formatei, dei acesso remoto, e o suporte me dispensou; como já estava no shopping, fui ver um filme e fiquei de passar lá na volta só pra conferir. O que estava antes foi embora, deixou outro no lugar dele, e este tinha parado porque não tinha o certificado digital da loja pra instalar no sistema. Na hora do backup, eu vi que estava lá o arquivo .PFX DENTRO DA PASTA DO SISTEMA DELES caramba!!!! E eu que tive que mostrar a ele; instalei o certificado e ele prosseguiu.

    Mas o sistema dele insistia em não enxergar o certificado; ele olhava em Opções de Internet, via lá mas nada no sistema. Daí o que o crânio me fala? Que o problema é do certificado, e que eu falasse com a Certificadora (que obviamente não tem plantão fim de semana), e a loja iria ficar sem vender com cartões até resolver na segunda-feira, imagina o prejuízo?!

    Enquanto ele ainda estava online acompanhando, entrei no site da certificadora (Fenacon), baixei todas as cadeias de certificados, instalei, e aí sim o sistema dele funcionou.
    5 minutos de boa vontade em vez de mais 2 dias sem vendas.

    Tá difícil hein, não sei como escolhem na hora de contratar esse pessoal para suporte.

    • Jefferson - 6.543 Comentários

      e disseram que ela precisava chamar um técnico para formatar o micro (e ficar sem vender com cartões até resolver).

      Por causa desse tipo de presepada eu faço uma imagem da instalação com Trueimage depois que o suporte do sistema termina a instalação e de vez em quando depois disso. Assim eu tenho uma razoável chance de resolver até os maiores desastres sem ter que depender deles.

      mesmo estando uns 600 metros de distância do shopping, só atendem remoto (ammyy ou anydesk).

      Porque assim entre outras coisas eles podem “atender” dois ou três clientes de uma vez. Se o cara passar um minuto sem mover o mouse para mim é isso que ele está fazendo: me fazendo esperar enquanto atende outro.

      Tá difícil hein, não sei como escolhem na hora de contratar esse pessoal para suporte.

      Tenho razoável certeza de que essa gente ganha salário mínimo. Você aceitaria bater cartão e tolerar patrão por esse valor?

      Não se pode esperar muito do conhecimento técnico e boa vontade de quem aceita.

      Por que eles se dariam ao trabalho e custo de contratar alguém realmente capacitado se podem jogar o problema nas contas do cliente e do “outro” suporte técnico?

  • Jefferson - 6.543 Comentários

    Outro exemplo de como eles são fraquíssimos.

    Em um de meus clientes a instalação do sistema comercial era coisa para horas de máquina parada. Eu terminava toda a instalação básica da máquina deixando faltando apenas instalar o sistema e telefonava para o suporte. Encontrar um técnico desocupado para fazer o serviço já podia levar qualquer coisa entre minutos e horas mas o pior vinha na instalação: o cara tinha que instalar o Chrome para acessar uma conta no 4shared de onde ele baixava os instaladores (e isso porque a empresa deles tem site) e depois começava um complicado processo de instalação que parava o tempo todo (provavelmente porque o técnico estava atendendo outra pessoa).

    Depois de ver pela terceira vez um técnico instalar manualmente cada um dos muitos aliases do Borland Database Engine (BDE) de que o sistema precisava eu perdi a paciência. Como é que esses caras não sabem que a configuração é armazenada no arquivo idapi.cfg e é só copiar o arquivo de outra máquina? Eu não espero que um técnico de manutenção saiba imediatamente disso, mas o técnico de suporte de um sistema que requer o BDE deveria saber como funciona o BDE!

    Ainda por cima, a Borland obsoletou o BDE em 2000. Nada de significativo mudou em 17 anos!

    Aproveitei uma distração de um deles que não apagou os instaladores quando terminou, copiei tudo para o servidor e anotei o procedimento deles. A parte mais difícil que era configurar o BDE eu faço simplesmente instalando-o e copiando um diretório BDE “modelo” por cima depois.

    O que antes requeria horas eu passei a fazer sozinho em 10 minutos. Há pelo menos três anos eu não chamo o suporte para corrigir problemas de instalação desse sistema.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Depois de três anos, finalmente o Ammyy Admin tem uma versão que exige senha

A versão 3.6 do Ammyy saiu em julho mas só vi agora, por estar usando primariamente o Anydesk. Praticamente tudo o que mudou foi a adição de uma muito necessária geração automática de senhas de acesso.

É claro que as credenciais exibidas são falsas, meu caro gafanhoto.

Agora, os problemas.

  1. 28 dos 64 antivírus no Virustotal ainda não gostam dele. É importante notar que mais de um desses 21 deixa claro que “não é um vírus” ou que é apenas “potencialmente indesejado” ou mais especificamente “não é malicioso”. Enquanto isso o Anydesk 3.6.1 tem uma pontuação irrelevante de 1 em 64.
  2. Concordando com isso, o HIPS do CIS me deu alguns alertas sobre o comportamento do ammyy que me deixaram pouco confortável. O problema basicamente é que na primeira execução o ammyy já se instala como um serviço, mas se você bloquear isso no HIPS ele acusa um erro e roda assim mesmo. O programa parece “portátil”, mas não é. Novamente contrastando com o Anydesk que roda no modo portátil por default e só se instala se for autorizado. Entretanto eu dei uma olhada no conteúdo das chaves do Registro que o ammyy acessou e não encontrei nada de mais.
  3. O descaso com o site também não me inspira confiança. Se eu tentar baixar o programa usando o Chrome ou o Firefox o site exibe uma mensagem em javascript dizendo que eu não posso fazer isso porque meu navegador não deixa baixar o arquivo e eu devo usar o Internet Explorer.

Mas estou usando o Firefox 55.0.3 e se eu falsificar o User Agent dizendo que estou no IE8, baixo o arquivo normalmente no FF.

 

5 comentários
  • Jefferson - 6.543 Comentários

    Notas:

    A instalação do serviço pode ser necessária para burlar o UAC. Na execução normal do ammyy quando a janela do UAC aparece a conexão cai. E por isso é comum encontrar por aí máquinas com o ammyy e o UAC desligado. Coisas de suporte de sistema comercial mesmo.

    Você não precisa de HIPS para barrar o mau comportamento. Ao executar, o ammyy sempre pede permissões de administrador e se você negar ele não mexe nas suas configurações mas roda assim mesmo.

  • Jefferson - 6.543 Comentários

    Eu ainda não estou certo do que o item 2 do log de versão significa:

    07/05/2017. Ammyy Inc. released Ammyy Admin v3.6 with the following new features and minor fixes:

    1. Added feature “Random password” to strengthen a remote computer access authorization.

    2. Added possibility to save passwords on Operator side.

    3. Enhanced encryption algorithm by default.

    Isso pode ser um problema se combinado com o fato de que apagar o ammyy não apaga as configurações no Registro.

  • Saulo Benigno - 279 Comentários

    Como assim só pode fazer o download do programa no IE? Onde essa turma quer chegar? Como fazer um programa ter sucesso?

    Desse jeito tá dificil viu

  • Ricardo Menzer - 143 Comentários

    Pode ser que eles estejam tendo problema com a verificação de segurança que o Chrome (e possivelmente o FF) fazem no download. O jeito mais fácil de contornar isso é dizendo que o usuário só pode usar um browser que permita o download sem encher a paciência.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

A versão 5.33 do CCleaner está há quase um mês infectada por malware

O anúncio foi feito hoje. Se você baixou recentemente o programa fique atento. Vale lembrar que o CCleaner é um produto AVAST desde julho.

Hoje é o dia das ironias.

2 comentários
Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Usuários de Kodi que tenham configurado o repositório MetalKettle sob risco

Aparentemente os desenvolvedores do Kodi (antigo XBMC), desejando distanciar sua marca da pirataria, estão combatendo o uso de repositórios e addons que são usados primariamente para uso ilegal. Por essa ou outra razão o desenvolvedor de um addon muito popular desse tipo “endoidou o cabeção” e apagou todo o repositório dele no github. Isso não seria um problema grande não fosse o fato dos addons no Kodi (até onde sei) não serem assinados e o github permitir reciclagem de nomes: alguém já registrou novamente o repositório  “MetalKettle” lá.

Não foi o próprio desenvolvedor, porque veio dele o alerta. Ninguém sabe ainda qual a intenção de quem fez isso. Mas ele está em posição agora de instalar software malicioso em toda máquina que tenha o MetalKettle configurado. Quem tiver, deve desinstalar o repositório imediatamente.

E é bom lembrar que o Kodi tem versões para Windows, Linux, Mac OS, Android…

 

7 comentários
  • Havokdan - 13 Comentários

    Tema relacionado que vi esses dias.

    O próprio Kodi foi registrado no Canadá em nome de outra pessoa… :yahoo: :yahoo:

  • Jorge Mendonça - 55 Comentários

    Se os desenvolvedores distanciarem o KODI da pirataria ele perde o sentido de existêcia. Acredito que menos de 1% dos que usam o KODI tem de fato o direito sobre os arquivos, usando-o como centralizador das mídias físicas que foram digitalizadas.

    • Jefferson - 6.543 Comentários

      Eu não creio que o pessoal do Kodi se importe com isso. O que eles estão combatendo são os addons que oferecem conteúdo pirata e os vendedores que estão vendendo aparelhos com Kodi anunciando essa “funcionalidade”. Isso aí realmente não dá.

      Eu vi um addon desses funcionando. Você consegue assistir até HBO HD pela internet. Como eles fazem isso eu não faço a menor idéia.

      • Jorge Mendonça - 55 Comentários

        O pessoal tem servidores fazendo streaming dos canais de tv a cabo e montam listas desses canais pirateados para revenda. As tvs por assinatura estão perdendo uma grana preta com isso.

        E olhe que o negocio é bem sofisticado, se tiver interesse procura por HTV 5, o pessoal faz streming com codec h265.

        • Jefferson - 6.543 Comentários

          O problema é que o plugin que eu vi fazendo isso é gratuito. Nada é pago em momento algum. Isso eu não consigo entender a não ser que eles estejam roubando os ladrões. :D

        • Jefferson - 6.543 Comentários

          Importante: eu vi isso em um PC rodando Windows. No caso da compra de um Box Android até é possível argumentar que você está pagando um prêmio por isso na hora de comprar o aparelho, como é o caso dos receptores de satélite clandestinos.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Mais uma vez usando um firewall com HIPS no meu PC principal

Nota: Este post ainda está em rascunho, com muitas informações “jogadas”. Certamente não ganharia uma boa nota em redação por ele.

A última vez que eu falei sobre isso aqui foi em 2011. E novamente estou usando a versão gratuita do Comodo Internet Security (CIS). Para quem não está familiarizado, HIPS é um tipo especifico de sistema de detecção de intrusos onde um software instalado observa todos os eventos que ocorrem na máquina à procura de atividades suspeitas.  O que eu acho especialmente interessante no CIS é que no modo Paranóico ele dá ao usuário uma visão impressionante dos eventos que ocorrem na máquina e a capacidade de proibir que ocorram.

Por exemplo, você precisa dar permissão quando um programa estranho é executado e mesmo que você autorize é avisado também se esse programa tentar acessar uma funcionalidade suspeita ou executar outro programa. Infelizmente isso vem com o preço da complicação: são muitas perguntas que ele faz e para muitas delas eu tenho que consultar o Google (que processo é esse?). O maior problema é estar no modo Paranóico com a opção de criar regras para aplicações seguras desligada;

E como eu programo e testo software, novos executáveis e novos comportamentos vão aparecendo o tempo todo, havendo inclusive o risco de algo não funcionar como deveria porque o CIS está bloqueando algo, possivelmente devido a uma resposta errada que dei dias antes. E é justamente quando eu esbarro em um problema desses que o CIS é desinstalado. E quando isso acontece leva meses ou anos para eu dar outra chance. Pelas minhas anotações, a última vez que usei o CIS foi no final de 2015 .

Eu não uso antivírus no PC principal há anos mas a constante ameaça dos ransonwares me deixa preocupado e o monitoramento de um HIPS me dá alguma tranqüilidade.

A instalação

Você pode perder o acesso à rede após instalar e até reiniciar o computador, por isso não comece a instalação se estiver fazendo algo que não pode parar.

A falta de um instalador offline

Nota: isso parece estar errado. Veja comentários.

A primeira coisa que me incomoda é que agora o CIS não tem mais um instalador standalone disponível. Você tem que baixar um instalador online de 5MB que se encarrega de instalar para você. A última vez que encontrei uma versão standalone disponível no site foi em novembro de 2016. O que você só descobre depois de instalar é que poder obter o instalador em dois lugares:

Se você não tomar cuidado vão ser instalados diversos “extras” que você provavelmente não vai querer, como o “navegador Dragon”, o “geekbuddy”, etc. Observe com cuidado as opções de instalação.

Os modos de proteção HIPS (da forma que os entendo)

  • Training (Treinamento) –  Este modo é para ser usado temporariamente e nele o CIS apenas observa tudo o que ocorre na máquina e vai marcando como permitido. Útil quando você está começando com uma instalação sabidamente segura e tem um ou mais softwares “incomuns” que precisa evitar que o CIS bloqueie. Depois que o CIS aprender e você colocar no modo Safe, a quantidade de perguntas feitas ao usuário em condições normais será mínima, se não for zero;
  • Safe (Seguro) – O CIS mantém uma lista de aplicações “seguras”  e nesse modo todas elas são autorizadas enquanto que as que ele não conhecer vão gerar alertas para o usuário.
  • Paranoid (Paranóico) – O CIS não parte de nenhuma lista de aplicações seguras. Tudo ele vai perguntar a você

 

Meu desktop:

Meu notebook (o que levo para a rua)

  • dual boot Windows 7 32 bits e Windows XP
  • Intel Pentium T4300 2.10GHz
  • 3GB de RAM

 

No desktop eu rodo no modo paranóico. No notebook no modo Seguro. Isso parece ilógico porque meu notebook está exposto a mais perigos mas é porque o modo Paranóico é essencialmente o modo Seguro com a possibilidade de você ver o que está ocorrendo e a chance de desbloquear algo. Na rua eu não tenho tempo para isso e quero que toda atividade desconhecida seja bloqueada por default mesmo.

 

Problemas já encontrados (provavelmente por estar no modo paranóico)

  • Ao voltar da hibernação era preciso esperar um longo tempo até poder desbloquear o Windows. A imagem aparecia mas onde deveria aparecer o lugar para digitar minha senha não havia nada. Enquanto isso eu ficava ouvindo o som do CIS pedindo autorização para algo. Quando finalmente consegui entrar eu vi nos logs que o último programa bloqueado havia sido logonui.exe e depois de desbloqueá-lo o problema sumiu.
  • Houve um momento que o kmplayer não aceitava mais executar vídeo algum via duplo clique. Clicar no vídeo fazia o kmplayer abrir, mas nada mais acontecia. Após coçar um pouco a cabeça descobri que isso ocorreu porque eu mandei o CIS tratar o kmplayer como “contained app” e nesse modo entre outras coisas o programa fica proibido de receber mensagens do tipo “abra isso”.

Eu irei adicionando mais impressões sobre minha experiência com o CIS nos comentários, à medida que as novidades surgirem.

6 comentários
  • Havokdan - 13 Comentários

    Como é que é? CIS tem sim instalador offline.

    Ou sempre olha o tópico do último release no fórum deles, sendo o atual este.

    • Jefferson - 6.543 Comentários

      Só mesmo eu errando para fazer esse pessoal que comenta pouco aparecer. :D

      Em março eu procurei bastante por isso e não achei. Fiquei indignado com a Comodo. Mas parece que meu Google-Fu falhou.

      Uma coisa me parece certa: se há um link para isso no site está bem escondido.

    • Jefferson - 6.543 Comentários

      O post da Comodo com o link para baixar a versão offline mais recente em maio de 2019 está aqui.

  • Jefferson - 6.543 Comentários

    Tive o primeiro aborrecimento com o CIS agora há pouco. Quando instalei eu explicitamente declarei não querer o antivírus, nem o GeekBuddy, desativei o Viruscope e o Auto-Containment e ainda assim ao executar um programa que uso de vez em quando o CIS bloqueou meu acesso a ele dizendo que era malicioso e oferecendo ajuda (paga) de “experts” via GeekBuddy.

    Como eu não instalei Antivírus, não existe a opção Antivirus no menu, nem opções óbvias para colocar o programa em uma WhiteList. A opção “Quarentine” estava vazia. Eu já estava ficando irritado com o CIS e contemplando a idéia de desinstalá-lo quando encontrei a opção de que eu precisava em Advanced Settings -> File Rating -> File List. Lá aparece uma lista dos executáveis analisados e o programa estava marcado como malicioso. Bastou trocar para “Trusted”. Depois eu coloquei como “Unrecognized”.

    Eu uso esse programa há uns doze anos e há mais de dez os antivírus insistem que ele é malicioso. Mas nem mesmo o HIPS do CIS é capaz de me mostrar a malícia dele.

    Para registro, o malware detectado é chamado de TrojWare.win32.Genome.~kkt@1, que supostamente baixa e executa outros programas.

  • Jefferson - 6.543 Comentários

    Tem certas perguntas malucas que o HIPS faz…

    Mandei apagar o conteúdo do backup de um cliente, em um HDD secundário que eu acabara de conectar à minha máquina. A operação de apagamento parou com o HIPS alertando que o Explorer estava tentando modificar as configurações do Chrome e perguntando se eu queria continuar.

    O arquivo a ser apagado era o “preferences”, que supostamente guarda as configurações do Chrome.

    Por um lado, eu estou com o HIPS no modo “paranóico”.

    Por outro lado, é o EXPLORER, numa operação de apagamento em massa, apagando o arquivo, em outro HDD.

  • Marcelo de Sousa - 1 Comentário

    Olá, Jefferson. Muito legal as informações que vc postou nesta página sobre o firewall do Comodo. É algo difícil dese encontrar no gúgol… Brother, cheguei aqui no teu site procurando uma solução para um pequeno probleminha com o visualizador de relatórios deste software.Na janela dos relatórios dos ventos do HIPS, para visualizar toda a informação, eu tentei “redimensionar” a coluna Aplicativo, na qual aparece o caminho dos aplicativos que lá estão listados. Tentei fazer isso clicando (no limite entre uma coluna e outra, quando o ponteiro do mouse assume a forma de uma seta que aponta ao mesmo tempo para a direita e para a esquerda) e arrastando. Só que a coluna deu um salto, digo, abriu em demasia, e a cada vez que eu tentava voltar para a dimensão original, acontecia um novo salto da coluna…Agora fica até difícil encontrar esta coluna Aplicativos(e as demais que ficam depois desta). Vc já tinha visto ou ouvido falar de algo parecido?… Por acaso vc sabe como resolver isso, ou seja, fazer essas colunas voltarem para as dimensões originais?…

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

A Karspersky agora também tem uma versão gratuita do seu Antivírus

É o Karspersky Free. Eu não sei se isso tem a ver com as acusações de que a empresa, com sede em Moscow, faça espionagem para Putin. Mas que isso está sendo motivo de especulação no mundo inteiro, está.

Se você tem problemas com isso, a Avast é uma empresa Tcheca.

2 comentários
  • Snow_man - 303 Comentários

    Tinha visto no Baboo que finalmente chegou a versão em inglês, e em português é pra agosto ou outubro; já vinha te indicar no Papo Geral.
    Me parece muito bom, por usar o mesmo motor da versão paga.

  • Matuto - 129 Comentários

    Particularmente eu compro o Kaspersky versão Antivírus desde 2013 e uso no meu micro principal e em dois no laboratório para fazer escaneamentos em HD’s de clientes. Eu gosto muito.

    O que me deixa intrigado é a diferença entre as versões… eu acredito que a versão “free” deve ter menos recursos ou somente o escaneamento e a proteção em tempo real.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Como recuperar o token do Registro.br

Mais uma da série “se ignorância matasse…“.

Eu ativei o uso de token para o login no Registro.br em junho de 2015. Menos de um ano depois quando troquei meu celular Android veio a surpresa: eu não tinha como copiar o token do Google Authenticator de um celular para outro. Com eu tinha a lista com 10 códigos reserva fazer o login não era problema e a cada uso de um código eu podia gerar mais 10 e continuar assim indefinidamente. Porém eu queria reativar o token no Google Authenticator.

Só que não encontrei em lugar nenhum a informação de como fazer isso. Li todas as páginas de ajuda do Registro.br, fiz uma busca com o Google… nada. Mesmo depois de autenticado no Registro.br não existe a opção para reexibir o código QR que instala o token. Perdi um bocado de tempo com isso e xingando o pessoal do Registro.br.

Esta semana eu me lembrei do problema porque vários domínios estão expirando e a solução apareceu na minha cabeça em menos de 30 segundos. Basta fazer login, cancelar o uso de token e reativar o uso de token. Um novo código QR é exibido e mais 10 códigos de backup são gerados.  Problema resolvido em menos de 30 segundos.

Dãaaaaaa.

 

 

12 comentários
  • Gustavo Sarmento - 11 Comentários

    …ou use uma alternativa com “backup na LUVEN”, tipo o Authy ou LastPass Authenticator.

  • Snow_man - 303 Comentários

    :D :D :D :D :D :dashhead1:

    é assim mesmo, às vezes uma solução vem no momento menos esperado;
    eu geralmente quando estou numa situação dessa, se não for urgente, tento fazer 2 coisas:
    1. comer
    2. dormir

    Aí dá um restart nas idéias, rs.

  • Rubens Kuhl - 1 Comentário

    O não mostrar o QR code após a primeira instalação é proposital no design da segurança do sistema. O procedimento previsto era esse mesmo de logar com os códigos de recuperação, desativar e ativar um novo…

    • Jefferson - 6.543 Comentários

      Eu compreendo que possa existir um problema de segurança que não estou vendo. Mas:

      1) Por que a Google acha que isso não é problema? Se eu me autentico na conta com o token a Google não cria nenhum empecilho para me dar um novo. Certamente não é o mesmo código de antes, mas não faz diferença. E ao recomendar o Google Authenticator o Registro.br gera uma expectativa de que o procedimento seja o mesmo;
      2) Por que o Registro.br não explica isso em lugar nenhum? Eu me considero razoavelmente inteligente e apanhei vergonhosamente com o problema. Custava alguma coisa em tempo ou segurança o FAQ do Registro.br ter uma sub-seção intitulada “Como gerar um novo token?”

  • Jefferson - 6.543 Comentários

    Mais uma coisa para pensar a respeito:

    A receita do NIC.br (do qual o Registro.br é parte) é superior a 100 milhões de reais por ano, dos quais mais de 41 milhões de reais são gastos anualmente em salários e encargos.

    Imagine uma instituição que tem uma folha de pagamento de 3,1 milhões de reais mensais. E o resto da destinação do dinheiro também é motivo para arquear as sobrancelhas.

    Na minha “inocência” eu sou levado a supor que há dinheiro suficiente aí para ter um FAQ com mais de quatro itens na seção “problemas para acessar a conta”.

  • luiz guilherme - 1 Comentário

    Como faço para cancelar o uso de token e reativar o uso de token sem entrar em contato com eles?

    • Jefferson - 6.543 Comentários

      Você precisou entrar em contato com eles para ativar? Isso sempre foi feito online, no site.

      • LUIZ GUILHERME DE OLIVEIRA JR - 2 Comentários

        Entrei em contato e ele me pediram para enviar aquela maldita carta, tem outro jeito não? Repito só tenho login e a senha. Perdi meu celular (Token)

        • Jefferson - 6.543 Comentários

          Então seu problema é outro. O que você quer é recuperar o acesso à sua conta porque perdeu o token e os 10 códigos de reserva. Nesse caso, sim, você vai ter que seguir o procedimento enviando a carta com firma autenticada. É um procedimento de segurança que não pode ser contornado.

  • LUIZ GUILHERME DE OLIVEIRA JR - 2 Comentários

    Que bon Jefferson, já estou dando meus pulos aqui. Muito obrigado!

  • Lazzaro Menasce - 1 Comentário

    Caro Jefferson
    Você salvou o meu mês…. estava sofrendo por duas semanas e não lembrava dessa história dos códigos.
    Mesmo problema, troquei de celular (IOS) copiei e apaguei o anterior, daí perdi o acesso ao Google Authenticator.
    Eu fiz o seguinte procedimento. Como acabei lembrando a senha… rsss…. entrei e marquei a opção como não tendo acesso ao token, com o primeiro código de recuperação (tem de usar um por vez na ordem).
    Entrei na conta e ali eu não removi o token. Entrei na opção alterar token, daí veio o QR code, entrei no Authenticator no celular novo, opção ler o QR Code, informei os 6 números que mudam (mudam a cada minuto ou menos) e bingo. Problema resolvido.
    Muito obrigado pelo seu comentário.
    Utilíssimo…
    Abraço amigo

  • Marta - 1 Comentário

    E eu que nunca usei o tal token, só usava a lista com 10 códigos, agora estou tentandoa cesdsar e está pedido o código da posição 11. Oi?!! Não existe a posíção 11 na lista de códigos! E mesmo recebendo o link para trocar de senha no e-mail, só é possível cadastrar nova senha se informar o código de posição 11 (que não existe) da lista.

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Usando autenticação em duas etapas (2FA) no WordPress

Meu site não tem SSL e enquanto não resolvo isso minhas credenciais de acesso a meus blogs são transmitidas de uma forma que pode ser facilmente interceptada por alguém em posição de fazer um ataque “man in the middle” como o provedor de acesso. Para tornar isso um problema menor eu ativei autenticação em duas etapas em todos os blogs usando o plugin Google Authenticator.

Minha primeiríssima pergunta ao tentar decidir se isso era uma boa idéia foi: como eu desativo isso se algo der errado e eu não puder mais fazer login no blog? Mas é muito simples, bastando entrar no meu site via FTP (esse é outro problema de segurança a tratar em outro dia) e apagar o diretório correspondente ao plugin.

Como o próprio nome do plugin escancara, ele é compatível com a app Google Authenticator, que eu já uso para acessar minha conta Google. Ao ativar o plugin aparece uma nova seção na página “seu perfil” da administração do blog, onde você pode gerar o “Segredo” que você então insere na app.

wordpress_plugin_2fa_profile_ryan.com.br

É tão simples que eu já deveria estar usando há muito tempo. Uma informação a mais vai ser pedida a cada login:

wordpress_plugin_2fa_login_ryan.com.br

Isso não resolve o problema de interceptação completamente, porque você continua vulnerável a um “sequestro de sessão” (é, segurança de dados é coisa de doido) já que os cookies que evitam que você tenha que redigitar sua senha a todo momento continuam sendo transmitidos sem criptografia e podem ser interceptados. Você pode minimizar isso também ao não marcar “lembrar-me” na tela de login e sempre fazendo logout ao terminar. Assim os cookies terão uma validade mais curta.

4 comentários
  • Jefferson - 6.543 Comentários

    Esqueci de comentar que usar 2FA não impede a senha de ser interceptada. Tudo incluindo o Google Authenticator Code continua podendo ser lido. Mas só é possível fazer login com isso se o atacante estiver online no mesmo intervalo de validade do código. E evidentemente você precisa usar uma senha que não tenha valor em nenhum outro lugar.

  • Marcel - 67 Comentários

    Jefferson, por que você não parte para uma solução de HTTPS com o Let’s Encrypt?
    Na dreamhost (US$ 10,00 / mês) isto já é embutido (sem custo) na plataforma de administração, e funciona que é uma maravilha… E o navegador não reclama!

    • Jefferson - 6.543 Comentários

      Dois problemas:

      1)A hostgator cobra 10 dólares para instalar certificados de terceiros
      2)A cada 90 dias você tem que renovar o certificado LetsEncrypt

      Na Hostgator então o custo de um certificado gratuito fica em 40 dólares anuais. O mesmo do pago.

      Vou checar os planos da Dreamhost

      • Marcel - 67 Comentários

        >> 2)A cada 90 dias você tem que renovar o certificado LetsEncrypt

        No caso da Dreamhost, isso é feito automático por script. É tão transparente que você não fica nem sabendo…

        PS: Não sou vendedor da Dreamhost. Só tenho coisas hospedadas por lá. Se quiser testar, forneço-lhe acesso

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »

Uma atualização de software pode ter iniciado o ataque de Ransonware na Ucrânia

Finalmente a telemetria da Microsoft parece servir para algo benigno.

Isso parecia ser especulação de várias empresas de segurança, mas a Microsoft confirmou que em pelo menos algumas máquinas a infecção foi iniciada pelo atualizador de um popular software de contabilidade ucraniano. Depois disso o ransonware usou várias técnicas avançadas, incluindo a vulnerabilidade Eternalblue, para se espalhar lateralmente.

A mais preocupante dessas é uma técnica que permite obter na memória as credenciais de qualquer usuário logado na máquina. Eu ainda estou tentando digerir as implicações disso.

Outra característica digna de nota é que o ransonware é um MBR infector. O primeiro que vejo em mais de uma década. O malware infecta o MBR, dá boot na máquina e finge ser o chkdsk enquanto criptografa seus arquivos na sua cara.

Ainda não ficou claro para mim se a máquina estar com Secureboot ativo seria proteção contra isso.

É claro que para fazer tudo isso dessa forma o malware precisa de permissões de administrador, que inicialmente ele obtém porque o atualizador do software de contabilidade possivelmente obtém essas permissões e mais tarde porque Eternalblue (que a essa altura não deveria ser problema) também confere essas permissões automaticamente.

 

Clique para comentar
(Prefira clicar em "Responder" se estiver comentando um comentário)

Deixe um comentário

Você pode usar estas tags HTML

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

  

  

  

:) :( ;) O_o B) :lol: :huh: :S :D :-P 8-O :yahoo: :rtfm: :dashhead1: :clapping: more »