Quão segura é a sua senha?

Nesses tempos da era da informação, temos contas de e-mails, blogs, MSN, efetuamos compras virtuais com cartão de crédito, realizamos transações bancárias no netbanking, entre outros. Este artigo tem por objetivo dar algumas sugestões úteis para aqueles que não se preocupam muito com esse aspecto que é crucial e a diferença entre ser uma vítima ou carrasco dos piratas cibernéticos.

[ Hits: 28.193 ]

Por: Lúcio SLV em 01/02/2010


Não seja o algoz de si mesmo



Há dois fatores cruciais e básicos que fazem a diferença entre ser uma vítima ou um audaz internauta cibernético atento e estes são: o desconhecimento e descaso. Principalmente para os usuários do Linux, no qual orgulhosamente me incluo! :) Há um certo exagero quando proclamamos aos quatro ventos do mundo que o nosso sistema é imune a ataques. Isto é uma meia-verdade e depende muito de certas condições para ser falsa ou verdadeira essa afirmação, e é justamente o próprio usuário, que via de regra cria a senha que dá acesso à sua conta de usuário e de root, é o principal responsável pelo nível de segurança para a entrada do sistema.

O que afirmo é semelhante ao que acontece com a ciência, um fato é provado cientificamente em situações de testes controlados e o resultado é o anunciado como prova irrefutável dos argumentos. Não adianta ter as regras de permissionamento nos arquivos e diretórios se você mal sabe como eles funcionam e burlar isso não é muito difícil se você sabe como criar links simbólicos e criar um script e inserí-lo num daqueles programinhas mencionados acima para obter acesso como usuário normal, e isso já é mais que 70% do caminho.

Leia o que o Jornal da Ciência publicou de uma matéria na Folha de São Paulo a respeito da capacidade dos hackers tupiniquins:
(O Brasil se tornou neste mês o maior "exportador" de criminalidade via internet. Os hackers brasileiros atingiram o topo do ranking mundial de ataques digitais.

... o Brasil teve a ascensão meteórica no ranking dos países mais atacados por hackers. Em 2002, tornou-se a segunda maior vítima de ataques digitais abertos (4.874), perdendo apenas para os EUA (24.611).

Folha - Por que o Brasil se tornou uma potência de hackers?

Entrevistado - O Brasil é um país avançado no que diz respeito a especialistas em software. Muitas multinacionais dos EUA e da Europa usam as habilidades de programadores brasileiros. Vocês tem uma infra-estrutura industrial e de telecomunicações avançada. O cibercrime se origina do Brasil porque é um país industrializado. É um tipo de crime do século 21.)

Essas informações fazem parte de um levantamento da consultoria britânica MI2G, empresa a serviço de grandes bancos e companhias seguradoras que monitora as ações dos hackers na rede mundial de computadores.

Surpreso? A alcunha de "Estado Delinquente" no mundo virtual não é para sairmos comemorando mais uma conquista do Brasil rumo ao primeiro mundo. A falta de legislação para crimes cibernéticos não consta no código penal de 1941, o motivo mais provável é que não existia a internet nesta época (lógico, o mundo estava mergulhado na segunda grande guerra mundial de 1939 a 1945) e porque não foi atualizada para os tempos modernos e parece que não querem, pois há 11 projetos de leis de informática paradas no congresso. Mentes brilhantes de um lado e mentes retrógradas noutro?

Diante deste quadro, eu recentemente fui realizar uma manutenção num cliente residencial e fiquei boquiaberto diante de uma máquina com firewall desativado e sem antivírus e que estava assim a meses. Antes que joguem pedra em mim, devo dizer que se tratava de um Windows "genérico" populado de vírus e possivelmente visitado muitas vezes na busca de informações bancárias que felizmente o meu cliente não é adepto a usar o banco via internet porque contraditoriamente tem medo de ter seus dados roubados, imagine se não tivesse!

E sabe mais o que é surpreendente? Este mesmo computador é utilizado por mais três pessoas dentre as quais duas delas são universitários. Ou seja, ninguém pensou na segurança deste computador e todas as suas informações. Portanto, não se trata da capacidade intelectual dos usuários mais sim da consciência dos riscos e das medidas necessárias para evitar os danos.

Somado a isso, programas piratas e cópias crackeadas do Windows dão a receita do estopim e da realidade de que muitas pessoas são lesadas e não há dados precisos se estamos falando de centenas ou de milhares de casos, pois na maioria das vezes as vítimas não prestam queixa e não fazem boletim de ocorrência, até por vergonha de serem comparados com aquele animalzinho quadrúpede com orelhas avantajadas. E isso amigos é fato e não ficção científica ou enredo de algum filme Hollywoodiano ou de um histerismo inconsequente.

Recentemente o famoso hacker americano Kevin Mitnick, que ficou preso por cinco anos e obrigado a manter-se longe de um computador por mais três anos e que hoje presta segurança para grandes empresas nos Estados Unidos, disse em sua palestra na Campus Party 2010, aqui em São Paulo: "Por mais que hardware e software garantam a segurança, muitas vezes um usuário incauto inadvertidamente "entrega" senhas ou instala aplicativos maliciosos, ignorando as precauções necessárias...". A esse tipo de ataque em que o hacker utiliza da ingenuidade ou falta de preocupação do usuário, Mitnick deu o nome de "engenharia social".

(Engenharia social: Técnica mais elaborada que consiste em investigar a vida da pessoa e tentar descobrir nome de coisas e pessoas envolvidas a sua vida e por ser muito comum, é naturalmente usada pelos hackers.)

Uma forma fácil, a custo baixo e níveis alto de efetividade para invadir sistemas e isso independente de plataforma ou sistema operacional! Nós usuários do Linux temos vantagens, mas não imunidade. Acho interessante o quanto isso incomoda algumas pessoas, digamos, mais ortodoxas e o quanto elas esbravejam com depoimentos inflamados quando se menciona uma não imunidade ao GNU/Linux.

Mas com isso não estou dizendo aqui que o nosso Linux não é seguro, muito pelo contrário! Apenas estou dizendo é que não adianta ter cadeado, alarme, sensor de presença se estiverem desativados ou não devidamente configurados. Se assim não fosse, para quê o iptables, netstat, nessus, nmap, rkhunter, Aide etc?

A questão da senha é tão importante que temos o módulo de autenticação (PAM) que impede que o usuário crie uma senha escatologicamente fácil. O que nos remete ao tema do meu pequeno artigo: qual segura é a sua senha?

Página anterior     Próxima página

Páginas do artigo
   1. A chave mestra de todas as portas
   2. Atitude x segurança
   3. Não seja o algoz de si mesmo
   4. A arte da senha(logia)
   5. Fim de papo
Outros artigos deste autor

Afinal, o que é o Ubuntu?

O Mestre, o Tecnólogo e o Aprendiz

Será este o ano do Linux?

Qual é o melhor Sistema Operacional?

Como a propaganda afeta você?

Leitura recomendada

ClamAV em desktop

Festa com SQL injection

Mecanismo de firewall e seus conceitos

Vírus em Linux?

wpa_supplicant.conf - Configuração para WPA2-PSK

  
Comentários
[1] Comentário enviado por affboy em 01/02/2010 - 21:34h

Cara, muito bom o artigo.

Mas a screenshot do jhon pode estar errada. O JTR empacotado ou direto do codigo fonte não consegue reconhecer o novo sistema utilizado para esconder a senha. As senhas foram atualizadas para o SHA-512.

Para conseguir o suporte, é nescessário aplicar um patch e compilar na mão. Fica a dica ;D

Parabéns de novo

[2] Comentário enviado por andrezc em 02/02/2010 - 08:27h

Qual segura é a sua senha?

R: Pergunta meio indiscreta, não acha? =p

brincadeira... muito bom o artigo.

[3] Comentário enviado por daigo em 02/02/2010 - 15:47h

O certo não seria:

Quão segura é sua senha?

[4] Comentário enviado por ronaldomjunior em 02/02/2010 - 18:57h

Ótimo artigo!

[5] Comentário enviado por Teixeira em 03/02/2010 - 04:08h

Gostei do artigo, embora tenhamos que prestar atenção a alguns fatores desfavoráveis:

1- No YouTube é ensinado descaradamente (tem várias postagens, em vários idiomas) como roubar senhas de Orkut, MSN, etc.
E por aí vemos que roubar senhas do etc. é rigorosamente a mesma coisa!
O candidato-a-cracker rouba a string com tudo o que tiver dentro, independentemente de nossas "keystrokes" mirabolantes (#p@t$ox0*95w31).
Qualquer "teenager com juízo de camarão" já sai crackeando senhas por aí, e se intitulando "hacker"...

2- Dependendo do sistema operacional ou mesmo do navegador ou dos cookies que recebemos, nossos preciosos dados pessoais ficam guardados em cache, à espera de um milagre, ou seja, que ninguém mal-intencionado resolva aproveitar-se de nosso "descuido forçado".

3- Certas senhas, apesar de supostamente difíceis, são largamente utilizadas no mundo inteiro.
Quem desejar usar a palavra "aardvark", por exemplo, estará fazendo coro com centenas de milhares de pessoas em todo o mundo que também tiveram essa "idéia original".
Essa nada mais é que uma "palavra de dicionário". A propósito, o tal de aardvark é um "porco da terra". Como descrevê-lo? Ele se parece muito com... outro aardvark!

4- Existem sites extremamente mal formulados (ou elaborados de forma criminosa mesmo) que exigem que baixemos nossa guarda para poder acessá-los.
Alguns deles mudam de página segura para página não-segura exatamente na hora em que o usuário vai entrar com seus dados.
Outros têm formulários (ah, esses formulários...) que não funcionam, a não ser justamente "naquele" navegador que é inseguro... (e os dados inseridos são transmitidos, porém não recepcionados no destino). Existe uma famosa empresa de cosméticos cujo formulário é assim, e que instala um monte de cookies bem convenientes...

[6] Comentário enviado por andrezc em 03/02/2010 - 11:12h

Opa li errado, foi mal aí ...

(Cada dia que passo preciso mais de um óculos )

[7] Comentário enviado por jbribas em 03/02/2010 - 22:49h

Por mais que a senha fosse dificil se eu tiver algum software mal intencionado no meu computador não descobririam se senha do memso jeito?? independente do S.O utilizado, concordo que engenharia social muitas vezes é a maneira de descobrir senhas pois já vi acontecer muito disso...
Adorei o artigo e parabéns!!!

[8] Comentário enviado por Miojo em 26/04/2010 - 13:06h

$ cat | python
from random import randint
spam = ''
for i in range(12):
`echo "\ \ \ \ "`spam.join(chr(randint(0, 255)))
print spam

[9] Comentário enviado por removido em 17/02/2011 - 02:37h

Oh teixeira pelo amor de Deus tu olha vidiozinho do youtube p aprender a roubar senha e acha que isso é tão facil como essa pirralhada do youtube faz???

Faça me o favor ....

[10] Comentário enviado por Teixeira em 17/02/2011 - 12:46h

Eu não acho que seja TÃO FÁCIL assim.
Na verdade, acho que é MUITO MAIS FÁCIL do que parece (o que é bem mais grave).
Mesmo porque, nem todo conteúdo do YouTube como tutorial é confiável.
O que realmente nos salva não é a dificuldade em outras pessoas obterem as senhas, mas a preguiça que a maioria dessas pessoas tem.
Simples assim.
Está TUDO registrado em nossos caches.
Ou não?


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner
Linux banner

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts