Saturday, March 31, 2012

"eu gosto de voce" é senha mais segura que "Tr0ub4dor&3". Duvida?



Você já deve ter ouvido muitas pessoas dizendo que a melhor forma de criar senhas seguras para suas contas na internet é combinar letras, números e caracteres especiais, não é mesmo? Isso não está nada errado, mas há algumas outras dicas que devem ser seguidas para que os logins fiquem ainda menos sujeitos aos ataques de crackers e outros usuários enxeridos.

Qual será o modo mais simples de roubar a senha de alguém? A resposta certa é “pedindo”. Pois é, a maior parte dos ataques a contas de email são feitos por pessoas que conseguiram acesso às senhas por conhecerem os usuários. Ex-namorados, amigos com algumas mágoas e familiares podem utilizar sua conta facilmente.

Em segundo lugar no ranking, está a “suposição”. Se uma pessoa tem acesso a vários dados sobre você, mas nunca soube exatamente qual a sua senha, ela pode usar técnicas de adivinhação para invadir seus dados. Por isso é recomendado que não sejam utilizadas senhas com referência direta ao telefone, aniversário ou nome.

Somente na terceira posição aparecem os ataques de crackers. E eles se dividem em três categorias: força bruta, palavras comuns e ataques de dicionário.

E quanto tempo os crackers demoram para quebrar uma senha? Com a utilização de GPUs (FRED SC, da Digital Intelligence, por exemplo), o período pode ser muito menor, por isso é necessário que alguns cuidados sejam tomados na hora de cadastrar a sua senha: Códigos muito simples compostos por apenas três letras são um problema para qualquer usuário. Utilizando ataques de força bruta, eles podem ser corrompidos em menos de três minutos. No mesmo tempo, é possível realizar a quebra com técnicas de palavras comuns. Em ataques de dicionário, até uma hora pode ser gasta (isso até chegar à letra “Z”).

Vamos tomar por exemplo a senha "sol" em um sistema que testa não mais de 100 combinações por segundo.


  • Força bruta: 3 minutos
  • Palavra comum: 3 minutos
  • Dicionário: 1 hora e 20 minutos

Note que a palavra "sol" tem três posições, e com isso 17,576 combinações possíveis de caracteres. Utilizando apenas 3 letras do alfabeto e minúsculo = 263 combinações.


E como criar cada uma dessas senhas impossíveis? Se você não quer que suas senhas sejam descobertas por softwares maliciosos, utilize sempre combinações de palavras. Mas isso exige alguns cuidados especiais, pois qualquer descuido pode ser fatal para a segurança da sua conta:

  • Evite utilizar seu nome na senha;
  • Não coloque números de cartão de crédito;
  • Fuja de datas especiais, como seu aniversário;
  • Procure montar frases fáceis de serem lembradas, mas não facilmente dedutíveis.

Cuidados adicionais
Se você é administrador de redes ou serviços de email, pode adicionar algumas condições de acesso que oferecem ainda mais segurança para as senhas dos usuários, evitando ataques de força bruta, por exemplo. Utilizando a senha “Branco Ovo” em servidores sem restrições, sua senha poderia ser quebrada em menos de 2 meses. Se a cada tentativa errada existir um bloqueio de cinco segundos, o período sobe para mais de 60 anos. Há como melhorar, pois se a cada dez senhas incorretas ocorrer um bloqueio de uma hora, serão necessários mais de 1.800 anos para a invasão =)

Outro ponto que deve ser lembrado: de nada adianta criar senhas incrivelmente seguras se você não cuidar de outros aspectos na utilização. Clicar em links maliciosos pode fazer com que keyloggers sejam instalados em seu computador, fazendo com que todas as teclas digitadas sejam enviadas para servidores externos. Dessa forma, os crackers só precisam copiar o código digitado para conseguir acessar sua conta e roubar informações valiosas.


Artigo relacionado (e leitura obrigatória).
Maiores informações.
Adaptado daqui.

Thursday, March 29, 2012

Password1


A SpiderLabs (Trustwave) realizou recentemente um estudo em mais de 2 milhões de sistemas informatizados para descobrir quais são as senhas mais utilizadas em ambientes empresariais. Ao contrário do que esperam os gerentes de segurança (e do que aconselham os técnicos de TI), as coisas não mudaram muito: a string "Password" (Senha) continua sendo o mais utilizado.


Mesmo com as constantes alterações nos sistemas de segurança, não existem muitos indícios de que os usuários estão mudando de comportamento. Mesmo com a implementação de novas técnicas, eles continuam encontrando modos de utilizar códigos fracos. Em sistemas que exigem letras maiúsculas e números, por exemplo, a palavra-passe mais utilizada é "Password1".

Segundo relatado pela CNN, foram avaliados 2,5 milhões de computadores e senhas com "Password" estavam presentes em pelo menos 5% deles. Isso representa um número de 125 mil, somente nessa amostragem utilizada.


Especialistas afirmam que o grande motivo para isso é o fato de as pessoas pensarem que não vão conseguir memorizar códigos mais complexos. Eles dizem também que com a chegada de sistemas biométricos a segurança deve aumentar bastante.

fonte: http://money.cnn.com/2012/03/01/technology/password_security/index.htm?iid=HP_Highlight

Wednesday, March 28, 2012

HTCIA - Brasilia Chapter

Since the beginning of this year I am a member of the HTCIA Brasilia Chapter!

The HTCIA Brasilia Chapter is designed to be the International HTCIA mirror in Brazil, and also to encourage, to promote, to aid and to effect the voluntary interchange of data, information, experience, ideas and knowledge about methods, processes, and techniques relating to investigations and security in advanced technologies among its membership, in order to facilitate the fighting of cyber crime all around the world, mainly when the criminals, their targets, the ISP, and/or the information lays in many countries.



Take this opportunity to recommend reading the document 2011 Report on Cyber Crime Investigation, compiled by HTCIA.

More information at http://www.htcia.org/

Smartphone bloqueado com senha?? XRY nele!

Configurar uma senha de proteção é o primeiro passo que qualquer pessoa deve realizar em seus aparelhos celulares. Convenhamos, esse é o mínimo que podemos fazer para proteger informações privadas como contatos, fotos, emails, entre outras coisas...

Isso não é nenhum problema para o XRY, da Micros Systemation — empresa sueca especializada em segurança, a qual vende suas ferramentas para órgãos de segurança pública e/ou militares —, já que ele simplesmente ignora a senha dos smartphones, consequentemente, dando acesso total às informações contidas no aparelho, como lista de chamadas, últimas localizações (GPS), etc.



Fonte: Forbes

Update: 

Após a imensa repercussão deste vídeo, a MSAB retirou o vídeo do YouTube. Maiores informações sobre o fato no site da reportagem original.

Desafios na Perícia Forense em dispositivos portáteis II

Dando continuidade a um assunto já levantado aqui neste blog, desta vez irei falar sobre um desafio crescente aqui no Brasil: a invasão dos produtos chineses, que não seguem padrões algum! A questão é complexa e está relacionada a "política maluca superalta de taxação de produtos que o Brasil tem", que incentiva este mercado informal. Mas vou me ater ao tema central do blog e deixar impostos e taxas para o governo.

Celulares chineses já foram tema de reportagem de capa da revista Info.

MP10, MP12, MP15, HiPhones e outros aparelhos compõe uma seleta lista de dispositivos que estão na moda. Réplicas não tão perfeitas de aparelhos de grifes, como iPhones e BlackBerries





Realizar perícias nestes dispositivos ainda é um desafio, já que estes não seguem muitos padrões.

Recentemente começou a surgir no mercado algumas soluções capazes de capturar dados destes dispositivos chineses. A EDEC Digital Forensics, por exemplo, desenvolveu um produto para perícia, chamado Tarantula.



A Oxygem também lançou um add-on para seu produto que leva o mesmo nome da companhia.



Enquanto o produto da EDEC é baseado em hardware, a Oxygem é um software para Windows que coleta e interpreta as informações dos dispositivos.

Passamos de 70.000 pageviews!!

Procurando uma informação aqui no blog hoje passei pelo contador e me assutei quando percebi que ele já havia contabilizado mais de 70.000 pageviews!!


Nada mal para este humilde blog e suas 276 postagems...

Tuesday, March 27, 2012

Hackers causaram prejuízo de US$ 1 bi ao Brasil em 2011


Durante todo o ano de 2011, hackers conseguiram roubar US$ 1 bilhão (ou quase R$ 1,8 bilhão) no Brasil, tornando o país o menos preparado para adotar a tecnologia de "cloud computing".


Um estudo recente da PricewaterhouseCoopers aponta que  32% das companhias no Brasil foi vítima de ataques virtuais, enquanto a média global é de 23%, segundo a Forbes. Outro detalhe importante é que 8% das companhias atacadas perderam US$ 5 milhões ou mais.

Já a BSA (Business Software Alliance), uma associação que junta cerca de cem empresas globais - incluindo Microsoft, Apple, Intel e Siemens, entre outras -, tem uma outra notícia ruim para o Brasil: É que muitos especialistas em tecnologia da informação, segundo a Forbes, acreditam que a mudança para o cloud computing é inevitável. Só que a BSA analisou 24 países, usando os critérios de privacidade de dados, segurança cibernética, controle de crimes cibernéticos, proteção de propriedade intelectual, infraestrutura de TI, interoperabilidade de technologia e harmonia da lei.

E o Brasil ficou em último entre os países avaliados. Japão saiu na frente, seguido por Austrália, Alemanha, Estados Unidos e França. Sendo assim, o país foi classificado como despreparado para o cloud computing. Principalmente por não ter leis que garantam a privacidade da transferência de informações nesse sistema, fora a legislação fraca contra o crime cibernético.

fonte: http://www.midianews.com.br/conteudo.php?sid=8&cid=110766

Monday, March 26, 2012

[off topic] Evolução dos HDs

Limpando alguns arquivos antigos, encontrei alguns materiais de estudo sobre storage, e encontrei algumas "coisas" interessantes..

Para começar, um gráfico relacionando a capacidade dos discos rígidos e a época do lançamento:


A redução do custo por gigabyte armazenado em disco:

E para finalizar, alguns modelos de disco rígidos magnéticos, onde capacidade é inversamente proporcional ao tamanho físico, quando se evolui o tempo.


Qual o impacto disso na forense digital? Imaginar a massa de dados que iremos analisar dentro de 10 ou 15 anos... Já não está na hora de parar de trabalharmos com "full disk capture" e passarmos a trabalhar com tecnologias de triagem na ponta (AD Triage ou EnCase Portable), adicionando inteligência ao processo??

[OAB/SP e MJ] Múltiplas Visões dos Temas de Direito Eletrônico

A Comissão de Direito Eletrônico e Crimes de Alta Tecnolgia da OAB-SP convida você para uma sessão temática de exposiçaõ e debate sob o título "OAB/SP e MJ Múltiplas Visões dos Temas de Direito Eletrônico", a ser realizada no dia 27/março de 2012, na OAB/SP, das 9h30 às 12h30.

Clique para ampliar

Friday, March 23, 2012

Evento FTK 4 World Tour


O Forensic Toolkit® 4 está pronto, e nós estamos vindo para uma cidade perto de você para apresentá-lo pessoalmente.

Três anos atrás o FTK lançou uma nova era na computação forense atrelando uma arquitetura de banco de dados orientado que permitiu escalabilidade e performance nunca antes vistas em qualquer outro produto forense. Hoje, acreditamos que a Accessdata mais uma vez vai alterar o paradigma da computação forense com o lançamento do FTK 4. O FTK 4 introduz novas capacidades de análise remota de dados, ideal para investigações corporativas, além de integrar com as mais recentes inovações da AccessData - os novos módulos de análise de malware e visualização. Estes novos módulos opcionais irão melhorar radicalmente a eficiência dos usuários do FTK, permitindo que um único investigador possa fazer o trabalho que tradicionalmente era feito por uma equipe inteira.

Nosso novo módulo de análise de malware (Cerberus) integra–se com o FTK permitindo que usuários façam detecção e triagem de binários suspeitos. Em minutos, você pode determinar o comportamento e as intenções destes binários, bem como o perigo potencial que representam, sem esperar por uma equipe de malwares que normalmente demoram semanas para realizar estas análises.

Com o nosso novo módulo de visualização pode exibir dados em segundos, em diversos formatos de exibição, incluindo cronogramas, gráficos de cluster, gráficos de pizza e muito mais. Isso não só permite aos usuários determinar rapidamente os relacionamentos nos dados analisados, como encontrar informações relevantes, mas também possibilita a geração rápida de relatórios que são facilmente assimilados por advogados, CIOs ou outros investigadores.

Aprenda mais sobre essas tecnologias uma das oportunidades que a Accessdata reservou para o Brasil!

  • FTK 4
  • NOVO módulo de visualização!
  • NOVO Cerberus!
  • Mobile Phone Examiner Plus (MPE+)
  • AD Triage
  • AD Lab
Informações e inscrições no site oficial do evento: http://accessdata.com/ftktour


Tuesday, March 13, 2012

Top 10 InfoSec Facts in 2011





Top 10 Security Threats in 2011:
1. Nation sponsored hacking: when APT meets industrialization
2. The insider threat is much more than you expected
3. Man in the browser attacks
4. Misanthropes and anti socials: privacy vs. security in social networks
5. File security takes center stage – data breaches
6. Data security goes to the cloud
7. Mobile devices compromise data security
8. Hackers feeling the heat
9. Cybersecurity becomes a business process
10. Convergence of data security and data privacy regulation worldwide

Top 10 biggest data breaches of 2011:
1. Sony Playstation Network, Qrioctiy, Sony Online Entertainment – 101 million user accounts – April 26, 2011
2. Epsilon, Alliance Data Systems – 60 million email addresses (estimated) – April 1, 2011
3. HBGary Federal – 60,000 records – February 7, 2011
4. WordPress – 18 million records (estimated) – April 14, 2011
5. University of South Carolina – 31,000 PII records (Personal Identifying Information) – March 4, 2011
6. TripAdisor, Expedia – Unknown number of user emails – March 24, 2011
7. RSA Security – Compromise of SecurID technology – March 18, 2011
8. HuskyDirect.com/Univ. of Connecticut – 18,059 PII records – January 11, 2011
9. Seacoast Radiology – 231,400 PII records – January 12, 2011
10. Ankle and Foot Center of Tampa Bay – 156,000 PII records – January 29, 2011
11. CitiGroup – 250,000 records and climbing – June 2011 (BONUS)


BONUS - Largest data breaches of all time: 
• Heartland Payment Systems – 130 million records – hacked January 20, 2009
• TJX Companies, Inc – 94 million records – hacked January 17, 2007
• TRW – 90 million records – hacked June 1, 1984
• Sony Corporation – 77 million records – hacked April 26, 2011
• National Archives – 76 million records – improper disposal October 5, 2009
• CardSystem – 40 million records – hacked June 19, 2005
• RocyYou, Inc. – 32 million records – hacked December 14, 2009
• U.S. Dept. of Veterans Affairs – 26 million records – stolen May 22, 2006
• HM Revenue and Customs – 25 million records – lost November 20, 2007
• Sony Corporation – 25 million records – hacked May 2, 2011
• T Mobile – 17 million records – lost October 6, 2008

Safari é o único a sair ileso da Pwn2Own2012



O Pwn2Own é a maior competição de hacking que se realiza todos os anos, tendo por alvo os browsers presentes no mercado. Todos os anos são atacadas as mais recentes versões dos browsers, com a intenção de serem mostradas as suas vulnerabilidades.

Depois de ter passado anos a fio a ver a concorrência ser esmagada de forma avassaladora no Pwn2Own, este foi o ano do Chrome ser o primeiro a cair. E não se limitou a cair uma vez, mas sim duas!


Imediatamente após a apresentação destas duas falhas a Google colocou em campo os seus engenheiros e 24 horas depois apresentada uma actualização ao seu browser que corrige e resolve esta e outras falhas.

Segundo o CEO da Vupen Security o ataque que fizeram ao Chrome pretendeu apenas mostrar que não existem browsers invioláveis e que após tanta publicidade sobre a sua invencibilidade, fruto dos Pwn2Own de anos anteriores, também o Chrome pode ser quebrado.



O Safari, da Apple, foi o único navegador que permaneceu em pé na competição, que também derrubou o Internet Explorer e Firefox.

Sunday, March 4, 2012

What´s (REALLY) new na nova versão do FTK


Então a AccessData liberou a versão 4 do FTK... Quando fiquei sabendo da novidade, corri para baixar a atualização e comecei a ler a documentação disponível! Aproveitei também para migrar meus casos do Oracle para o Postgres, e não me arrependi!


A AccessData tem hoje uma ferramenta simples e com certeza a mais intuitiva disponível no mercado de perícia forense, e não me decepcionei quando percebi que o time da AccessData não fez nenhuma revolução na interface, assim como a Guidance fez com seu EnCase 7 (que ainda não decolou muito bem). Pelo contrário, a ferramenta evoluiu muito em pequenos detalhes e trouxe novidades muito interessantes! A capacidade de realizar buscas de RegEx no índice para mim foi a melhor, mas também merecem destaque:

OCR em arquivos PDF que já são texto? Não, obrigado...

Visualizar objetos de documentos OLE do Office? Agora não mais!

São algumas novidades pequenas, que trazem uma agradável surpresa no momento de uma análise forense: o perito não fica procurando uma checkbox que mudou de lugar misteriosamente, mas é "agraciado" com algumas novidades e recursos que facilitam muito o trabalho quando mais se precisa!

Ok, tudo isso é muito bacana, mas pequenas novidades assim a AccessData lançou nas versões 3.2, 3.3 e 3.4 do FTK... O que justificou lançar a versão 4.0? A AccessData apostou em dois componentes que estão estreando e me impressionaram:

Cerberus Malware Analysis realiza uma análise no conteúdo da imagem forense (E01, AFF, RAW/DD...) e então calcula um "score" de risco baseada em características dos binários:


Visualization gera gráficos gerenciais incríveis baseados nas informações e estatísticas do caso. Simplesmente fantástico!

O meu amigo Sandro Suffert escreveu um artigo sobre o FTK4 em seu blog. Recomendadíssimo!