Quão segura é a sua senha?
Nesses tempos da era da informação, temos contas de e-mails, blogs, MSN, efetuamos compras virtuais com cartão de crédito, realizamos transações bancárias no netbanking, entre outros. Este artigo tem por objetivo dar algumas sugestões úteis para aqueles que não se preocupam muito com esse aspecto que é crucial e a diferença entre ser uma vítima ou carrasco dos piratas cibernéticos.
Parte 3: Não seja o algoz de si mesmo
Há dois fatores cruciais e básicos que fazem a diferença entre ser uma vítima ou um audaz internauta cibernético atento e estes são: o desconhecimento e descaso. Principalmente para os usuários do Linux, no qual orgulhosamente me incluo! :) Há um certo exagero quando proclamamos aos quatro ventos do mundo que o nosso sistema é imune a ataques. Isto é uma meia-verdade e depende muito de certas condições para ser falsa ou verdadeira essa afirmação, e é justamente o próprio usuário, que via de regra cria a senha que dá acesso à sua conta de usuário e de root, é o principal responsável pelo nível de segurança para a entrada do sistema.
O que afirmo é semelhante ao que acontece com a ciência, um fato é provado cientificamente em situações de testes controlados e o resultado é o anunciado como prova irrefutável dos argumentos. Não adianta ter as regras de permissionamento nos arquivos e diretórios se você mal sabe como eles funcionam e burlar isso não é muito difícil se você sabe como criar links simbólicos e criar um script e inserí-lo num daqueles programinhas mencionados acima para obter acesso como usuário normal, e isso já é mais que 70% do caminho.
Leia o que o Jornal da Ciência publicou de uma matéria na Folha de São Paulo a respeito da capacidade dos hackers tupiniquins:
(O Brasil se tornou neste mês o maior "exportador" de criminalidade via internet. Os hackers brasileiros atingiram o topo do ranking mundial de ataques digitais.
... o Brasil teve a ascensão meteórica no ranking dos países mais atacados por hackers. Em 2002, tornou-se a segunda maior vítima de ataques digitais abertos (4.874), perdendo apenas para os EUA (24.611).
Folha - Por que o Brasil se tornou uma potência de hackers?
Entrevistado - O Brasil é um país avançado no que diz respeito a especialistas em software. Muitas multinacionais dos EUA e da Europa usam as habilidades de programadores brasileiros. Vocês tem uma infra-estrutura industrial e de telecomunicações avançada. O cibercrime se origina do Brasil porque é um país industrializado. É um tipo de crime do século 21.)
Essas informações fazem parte de um levantamento da consultoria britânica MI2G, empresa a serviço de grandes bancos e companhias seguradoras que monitora as ações dos hackers na rede mundial de computadores.
Surpreso? A alcunha de "Estado Delinquente" no mundo virtual não é para sairmos comemorando mais uma conquista do Brasil rumo ao primeiro mundo. A falta de legislação para crimes cibernéticos não consta no código penal de 1941, o motivo mais provável é que não existia a internet nesta época (lógico, o mundo estava mergulhado na segunda grande guerra mundial de 1939 a 1945) e porque não foi atualizada para os tempos modernos e parece que não querem, pois há 11 projetos de leis de informática paradas no congresso. Mentes brilhantes de um lado e mentes retrógradas noutro?
Diante deste quadro, eu recentemente fui realizar uma manutenção num cliente residencial e fiquei boquiaberto diante de uma máquina com firewall desativado e sem antivírus e que estava assim a meses. Antes que joguem pedra em mim, devo dizer que se tratava de um Windows "genérico" populado de vírus e possivelmente visitado muitas vezes na busca de informações bancárias que felizmente o meu cliente não é adepto a usar o banco via internet porque contraditoriamente tem medo de ter seus dados roubados, imagine se não tivesse!
E sabe mais o que é surpreendente? Este mesmo computador é utilizado por mais três pessoas dentre as quais duas delas são universitários. Ou seja, ninguém pensou na segurança deste computador e todas as suas informações. Portanto, não se trata da capacidade intelectual dos usuários mais sim da consciência dos riscos e das medidas necessárias para evitar os danos.
Somado a isso, programas piratas e cópias crackeadas do Windows dão a receita do estopim e da realidade de que muitas pessoas são lesadas e não há dados precisos se estamos falando de centenas ou de milhares de casos, pois na maioria das vezes as vítimas não prestam queixa e não fazem boletim de ocorrência, até por vergonha de serem comparados com aquele animalzinho quadrúpede com orelhas avantajadas. E isso amigos é fato e não ficção científica ou enredo de algum filme Hollywoodiano ou de um histerismo inconsequente.
Recentemente o famoso hacker americano Kevin Mitnick, que ficou preso por cinco anos e obrigado a manter-se longe de um computador por mais três anos e que hoje presta segurança para grandes empresas nos Estados Unidos, disse em sua palestra na Campus Party 2010, aqui em São Paulo: "Por mais que hardware e software garantam a segurança, muitas vezes um usuário incauto inadvertidamente "entrega" senhas ou instala aplicativos maliciosos, ignorando as precauções necessárias...". A esse tipo de ataque em que o hacker utiliza da ingenuidade ou falta de preocupação do usuário, Mitnick deu o nome de "engenharia social".
(Engenharia social: Técnica mais elaborada que consiste em investigar a vida da pessoa e tentar descobrir nome de coisas e pessoas envolvidas a sua vida e por ser muito comum, é naturalmente usada pelos hackers.)
Uma forma fácil, a custo baixo e níveis alto de efetividade para invadir sistemas e isso independente de plataforma ou sistema operacional! Nós usuários do Linux temos vantagens, mas não imunidade. Acho interessante o quanto isso incomoda algumas pessoas, digamos, mais ortodoxas e o quanto elas esbravejam com depoimentos inflamados quando se menciona uma não imunidade ao GNU/Linux.
Mas com isso não estou dizendo aqui que o nosso Linux não é seguro, muito pelo contrário! Apenas estou dizendo é que não adianta ter cadeado, alarme, sensor de presença se estiverem desativados ou não devidamente configurados. Se assim não fosse, para quê o iptables, netstat, nessus, nmap, rkhunter, Aide etc?
A questão da senha é tão importante que temos o módulo de autenticação (PAM) que impede que o usuário crie uma senha escatologicamente fácil. O que nos remete ao tema do meu pequeno artigo: qual segura é a sua senha?
O que afirmo é semelhante ao que acontece com a ciência, um fato é provado cientificamente em situações de testes controlados e o resultado é o anunciado como prova irrefutável dos argumentos. Não adianta ter as regras de permissionamento nos arquivos e diretórios se você mal sabe como eles funcionam e burlar isso não é muito difícil se você sabe como criar links simbólicos e criar um script e inserí-lo num daqueles programinhas mencionados acima para obter acesso como usuário normal, e isso já é mais que 70% do caminho.
Leia o que o Jornal da Ciência publicou de uma matéria na Folha de São Paulo a respeito da capacidade dos hackers tupiniquins:
(O Brasil se tornou neste mês o maior "exportador" de criminalidade via internet. Os hackers brasileiros atingiram o topo do ranking mundial de ataques digitais.
... o Brasil teve a ascensão meteórica no ranking dos países mais atacados por hackers. Em 2002, tornou-se a segunda maior vítima de ataques digitais abertos (4.874), perdendo apenas para os EUA (24.611).
Folha - Por que o Brasil se tornou uma potência de hackers?
Entrevistado - O Brasil é um país avançado no que diz respeito a especialistas em software. Muitas multinacionais dos EUA e da Europa usam as habilidades de programadores brasileiros. Vocês tem uma infra-estrutura industrial e de telecomunicações avançada. O cibercrime se origina do Brasil porque é um país industrializado. É um tipo de crime do século 21.)
Essas informações fazem parte de um levantamento da consultoria britânica MI2G, empresa a serviço de grandes bancos e companhias seguradoras que monitora as ações dos hackers na rede mundial de computadores.
Surpreso? A alcunha de "Estado Delinquente" no mundo virtual não é para sairmos comemorando mais uma conquista do Brasil rumo ao primeiro mundo. A falta de legislação para crimes cibernéticos não consta no código penal de 1941, o motivo mais provável é que não existia a internet nesta época (lógico, o mundo estava mergulhado na segunda grande guerra mundial de 1939 a 1945) e porque não foi atualizada para os tempos modernos e parece que não querem, pois há 11 projetos de leis de informática paradas no congresso. Mentes brilhantes de um lado e mentes retrógradas noutro?
Diante deste quadro, eu recentemente fui realizar uma manutenção num cliente residencial e fiquei boquiaberto diante de uma máquina com firewall desativado e sem antivírus e que estava assim a meses. Antes que joguem pedra em mim, devo dizer que se tratava de um Windows "genérico" populado de vírus e possivelmente visitado muitas vezes na busca de informações bancárias que felizmente o meu cliente não é adepto a usar o banco via internet porque contraditoriamente tem medo de ter seus dados roubados, imagine se não tivesse!
E sabe mais o que é surpreendente? Este mesmo computador é utilizado por mais três pessoas dentre as quais duas delas são universitários. Ou seja, ninguém pensou na segurança deste computador e todas as suas informações. Portanto, não se trata da capacidade intelectual dos usuários mais sim da consciência dos riscos e das medidas necessárias para evitar os danos.
Somado a isso, programas piratas e cópias crackeadas do Windows dão a receita do estopim e da realidade de que muitas pessoas são lesadas e não há dados precisos se estamos falando de centenas ou de milhares de casos, pois na maioria das vezes as vítimas não prestam queixa e não fazem boletim de ocorrência, até por vergonha de serem comparados com aquele animalzinho quadrúpede com orelhas avantajadas. E isso amigos é fato e não ficção científica ou enredo de algum filme Hollywoodiano ou de um histerismo inconsequente.
Recentemente o famoso hacker americano Kevin Mitnick, que ficou preso por cinco anos e obrigado a manter-se longe de um computador por mais três anos e que hoje presta segurança para grandes empresas nos Estados Unidos, disse em sua palestra na Campus Party 2010, aqui em São Paulo: "Por mais que hardware e software garantam a segurança, muitas vezes um usuário incauto inadvertidamente "entrega" senhas ou instala aplicativos maliciosos, ignorando as precauções necessárias...". A esse tipo de ataque em que o hacker utiliza da ingenuidade ou falta de preocupação do usuário, Mitnick deu o nome de "engenharia social".
(Engenharia social: Técnica mais elaborada que consiste em investigar a vida da pessoa e tentar descobrir nome de coisas e pessoas envolvidas a sua vida e por ser muito comum, é naturalmente usada pelos hackers.)
Uma forma fácil, a custo baixo e níveis alto de efetividade para invadir sistemas e isso independente de plataforma ou sistema operacional! Nós usuários do Linux temos vantagens, mas não imunidade. Acho interessante o quanto isso incomoda algumas pessoas, digamos, mais ortodoxas e o quanto elas esbravejam com depoimentos inflamados quando se menciona uma não imunidade ao GNU/Linux.
Mas com isso não estou dizendo aqui que o nosso Linux não é seguro, muito pelo contrário! Apenas estou dizendo é que não adianta ter cadeado, alarme, sensor de presença se estiverem desativados ou não devidamente configurados. Se assim não fosse, para quê o iptables, netstat, nessus, nmap, rkhunter, Aide etc?
A questão da senha é tão importante que temos o módulo de autenticação (PAM) que impede que o usuário crie uma senha escatologicamente fácil. O que nos remete ao tema do meu pequeno artigo: qual segura é a sua senha?
Mas a screenshot do jhon pode estar errada. O JTR empacotado ou direto do codigo fonte não consegue reconhecer o novo sistema utilizado para esconder a senha. As senhas foram atualizadas para o SHA-512.
Para conseguir o suporte, é nescessário aplicar um patch e compilar na mão. Fica a dica ;D
Parabéns de novo