Você ainda é do tipo de pessoa que utiliza senhas como "123" ou "amor" no computador ou em serviços online? Pois sabia que mesmo senhas como "w56e@hd$%d" podem ser consideras inúteis com a crescente expansão da capacidade do processamento dos computadores atuais.

O poder de uma placa de video

Um dos setores que mais cresce no mundo da computação é o de jogos e as placas gráficas precisam acompanhar este crescimento para rodar os jogos cada vez mais pesados e realistas. O que muita gente não sabe é que uma das principais caracterísitcas das novas placas gráficas é a capacidade de realizar grandes quantidades de cálculos por segundo, como o chip GF100 da placa de video GeForce GTX 480, capaz de processar cerca de dois trilhões de operações de ponto flutuante por segundo, recurso inpensável em um computador a 10 anos atrás.

O que isso tem a ver com as senhas que utilizamos nos computadores? Segundo o Georgia Tech Research Institute, hackers estariam usando o poder de processamento de placas gráficas para quebrar senhas de usuários através de ataques do tipo brute force.

Um estudo feito pelo instituto mostrou que as unidades de processamento gráficas são extremamente rápidas em códigos de  cracking (quebra) porque são concebidas como computadores paralelos, com diferentes núcleos de processamento trabalhando em vários problemas de uma vez.

Quando a Nvidia lançou um kit de desenvolvimento de software para suas placas gráficas, a empresa forneceu as ferramentas para que os programadores pudessem escrever comandos em linguagem C, dando ordens diretamente a unidade de processamento gráfico, trazendo uma série de novos recursos, incluindo ataques de força bruta em senhas.

Força bruta (ou busca exaustiva) é uma algoritmo  trivial mas de uso muito geral que consiste em enumerar todos os possíveis candidatos de uma solução e verificar se cada um satisfaz o problema. De acordo com o cientista Joshua Davis, ataques de força bruta utilizando essas ferramentas podem ser feitos em um curto tempo, especialmente se a senha envolver palavras curtas, sem caracteres diversos ou letras maiúsculas e minúsculas. Uma senha de apenas 7 caracteres simples podem ser quebrada em questão de dias.

O comprimento é um fator importante na proteção contra a força bruta de uma senha", explicou Davis. "Um teclado de computador contém 95 caracteres, e cada vez que você adiciona um novo caracter a sua senha, a sua proteção sobe exponencialmente 95 vezes."

Abaixo, uma antiga estimativa do tempo necessário para se quebrar uma senha de acordo com a quantidade de caracteres. A estimativa é ultrapassada, pois muitos computadores pessoais hoje, já possuem a capacidade de processar mais de 1 milhão de tentativas de combinação de senhas por segundo.

Política de Segurança para Senhas

Tamanho mínimo da senha e Complexidade da senha: A exigência de um tamanho mínimo e a de complexidade (a presença de letras, números, símbolos e maiúsculas/minúsculas) são a principal defesa contra ataques de força bruta ou dicionário. As duas juntas garantem um nível de variação mínimo para tornar um ataque de força bruta demasiado caro ou mesmo inviável.

Complexidade: A senha deve satisfazer a requisitos de complexidade. Não pode ser formada pelo nome da conta de usuário ou parte do nome da conta. Deve possui caracteres de três dos quatro grupos abaixo:

Letras maiúsculas (A-Z).
Letras minúsculas (a-z).
Números (0-9).
Caracteres especiais (!, #, %, $, etc).

Frases Secretas: Mas como balancear a complexidade da senha com a necessidade dela ser facilmente lembrada? O uso de frases secretas ao invés de senhas curtas: Por exemplo, a senha Eucompropãoas11hs tem mais força do que dce*(1%& e é muito mais fácil de ser lembrada.

Troca periódica da senha: Forçar a troca da senha periodicamente acrescenta muito pouco em termos de segurança. A origem da troca periódica de senha está no tempo em que o poder computacional para fazer o ataque de força bruta contra uma senha era limitado, e fazia sentido trocar a senha em um prazo menor do que o tempo que em tese seria gasto fazendo o ataque. Nos dias de hoje com o poder computacional existente, a frequencia com que essa troca é feita pode ser menor.

Senhas automaticamente geradas: Garante que você não reutilizará nenhuma senha pessoal (senha da caixa postal, do banco, do computador do trabalho, etc). A reutilização de senhas, ou a utilização de uma senha única para todos os sistemas, é uma prática bastante desaconselhada, uma vez que o vazamento da senha em um sistema compromete a segurança de outros.

Cuidados que você deve tomar com logins e senhas

* Evite utilizar o mesmo login em diferentes serviços, evite também utilizar o seu email como login. Saber o login de um usuário é meio caminho andado para uma futura invasão.

* Não revele sua senha para ninguém, nem compartilhe com colegas de trabalho, assistentes ou secretárias, mesmo quando viajar ou sair de férias.

* Não reutilize a senha de um site ou programa em nenhum outro sistema com senha.

* Não envie sua senha por e-mail a ninguém. Os e-mails de recibo de cadastro e lembrança de senha devem ser mantidos em local seguro ou preferencialmente apagados.

* Não escreva sua senha em papel. Decore-a ou utilize-se do recurso ‘Lembrar senha’.

O futuro das senhas

Os sistemas e o poder computacional evoluiram fazendo com que as senhas precisem evoluir também. O uso de geradores de token, autenticação utilizando certificados digitais, validação por hardware ou mesmo biometria são recursos essenciais para o futuro da segurança dos usuários comuns. Foi-se o tempo em que escaneamento de retina ou impressões digitais eram coisa de filmes de ficção científica.

Se você acessa a internet da empresa onde trabalha ou de lugares públicos, certamente existe a grande possibilidade de alguém estar de olho nos termos que você pesquisa. Mesmo acessando a rede de casa, todo conteúdo que você acessa acaba sendo registrado pelo provedor de acesso ou mesmo por vírus espiões (spywares), caso a sua máquina esteja infectada.

Utilizando a pesquisa Google SSL, você pode ter uma conexão segura entre o seu computador e o Google. Este canal criptografado protege os termos da sua pesquisa e impede que suas páginas de resultados sejam interceptadas por terceiros. Isto proporciona uma experiência de busca mais privativa e segura.

A conexão SSL é a mesma utilizada por bancos e sites de compras online, sendo homologada através de um certificado digital fornecido por uma empresa de segurança.

Para utilizar a pesquisa SSL, basta adicionar o "s" ao http sempre que for fazer uma pesquisa segura: https://www.google.com.

Quem nunca procurou no Google a senha de algum site pago? A maioria dos site pagos utilizam a própria autenticação do servidor web para controlar seus usuários. Normalmente a página restrita do site fica no diretório membros, members ou restrito e pode ser acessada se passarmos o login e a senha do usuário através do próprio endereço no navegador.

Se um site chamado site por exemplo, possui uma página de autenticação que fica na pasta membros e ele utiliza o sistema de autentição do próprio servidor, podemos acessar a área restrita diretamente através do endereço:

login:senha@membros.site.com.br

Mesmo os sites que não utilizam esse sistema de autenticação, tem seus logins e senhas divulgados por hackers e usuários através dessa sintaxe, bastando apenas copiar as informações e colar na página de autenticação.

Um grupo de pesquisadores suíços desenvolveu um novo programa que faz com que as redes de computadores atuem em conjunto de modo a evitar bugs em programas.

Bugs são os erros internos dos programas, que os fazem funcionar incorretamente ou mesmo travar o computador.

Sabe aquele clube de amigos na infância onde a porta só se abria com uma batida secreta combinada entre os membros? Parece que alguém teve a idéia de automatzar o processo e criou um pequeno gadget que consegue destrancar uma porta sem a chave, apenas com uma combinação específica de batidas na porta.

O Windows Vista e o novo Windows 7 possuem um sistema especial de controle de contas dos usuários, diferente de tudo o que existia nas versões anteriores do Windows. Todos os programas são executados por padrão com uma conta limitada, mesmo quando rodados com conta de administrador. Para efetivamente rodar um programa com direitos de administrador, é necessário aprovar conscientemente isso.

Um sério problema existe há muito tempo, que é a principal falha que permite que vírus, spywares e malwares em geral sejam instalados no Windows, a permissão de execução no sistema. O UAC (User Account Control) ou controle de conta do usuário foi criado para que o usuário precise autorizar manualmente a execução de programas no Windows, aquela famosa telinha chata que aparece cada vez que tentamos modificar algo no sistema.

As execuções são divididas em processos que podem criar COM objects como administrador, os próprios COM objects criados e uma lista de 70 processos autorizados pelo Microsoft. Como um modo de não "chatear" demais os usuários, a "lista branca" são processos que podem ser executados sem a autorização prévia do usuário.

Vírus fazem a festa no Windows 7

A verdade é que este tipo de controle já se provou totalmente falho se o nível de segurança do UAC for deixado como padrão. A Sophos, um dos principais laboratórios de segurança em tecnologia testou e confirmou que o UAC do Windows 7, em seu nível de controle padrão, permite a execução de 8 em cada 10 vírus testados, ou seja, em cada 10 vírus injetados no sistema, 8 conseguiram autorização para agir livremente.

No Windows 7, no nível padrão do UAC, algumas aplicações não pedem elevação, ou seja, rodam diretamente com direitos administrativos. Isso permite que outros programas sejam rodados como administrador sem passar pela confirmação, com injeção de código.

Aumentar ou não o nível de controle?

Cria-se um paradoxo, o que fazer se os níveis de proteção padrão não adiantam e os níveis de proteção máxima inviabilizam o bom uso do sistema? A melhor forma de se prevenir usando o Windows 7 é configurar o UAC para sempre avisar, deixando a proteção no máximo. Com isso ele trabalha de forma parecida como é no Vista, sem dar direitos administrativos a aplicações do próprio Windows.Quem usa o Windows 7 com o UAC no nível padrão já deve ter percebido que, algumas ações que antes no Vista exibiam e pediam confirmação, no 7 rodam diretamente. Para aumentar o nível de segurança do UAC do Windows:

1. Vá em Executar ou na barra de buscas que serve como executor e digite: UAC

2. Aumente o nível de notificação do sistema para Máximo.

Sacrificando a segurança pela usabilidade

Eu não clico em qualquer coisa, tenho um bom anti-vírus e sou um usuário experiente que não quer se chatear com as perguntas da Microsoft, o que fazer? Você pode mudar a frequencia com que o UAC faz perguntas ao usuário:

1. Vá em Executar ou na barra de buscas que serve como executor e digite: UAC

2. Aumente o nível de notificação do sistema para Nunca Notificar.

Códigos desativam a proteção do Windows

Agora estou completamente seguro? Infelizmente não! Além de artigos discutindo e questionando a eficácia do controle de usuários do Windows, já existem códigos na internet criados por um garoto de 12 anos que simplesmente desativam o UAC do Windows, ou seja, nem com nível máximo de proteção você estará 100% seguro.

Apesar de ser algo relativamente difundido na web, muita gente ainda me pergunta sobre login único, então resolvi tratar do assunto. Que bom seria se aquele login bonitinho que você criou e aquela senha que já está mais do que decorada pudessem ser utilizados em todos os sites da internet.

Haja paciência para responder formulários gigantes cada vez que é preciso se cadastrar um algum site, fórum ou até mesmo comentar em um blog.  Conheço muita gente que utiliza a mesma senha de emails, comunicadores instantâneos e até mesmo contas bancárias em cadastro de sites. Nunca faça isso! Por acaso você conhece o sujeito que tem acesso aos dados deste cadastro?

OpenID é um login único e seguro que você pode usar em diversos sites na internet. Entre os mais conhecidos estão Yahoo, Google, Windows Live, CNN, Wikispaces, Technorati. Utilizando os pacotes de integração, é possível utilizar o OpenID em seu site pessoal, blog e até em sistemas internos de uma empresa.

Com OpenID , você não precisa criar um nome de usuário e senha toda vez que for se registrar em um novo site ou serviço na web. Você pode simplesmente usar seu OpenID cadastrado.

Usar o OpenID é como utilizar seu RG para provar sua identidade, pois funciona como uma identidade digital única, que pode ser utilizada para acessar um serviço na web ou comentar em um blog.

A ideia do OpenID é facilitar a vida do usuário no processo de registro e/ou autenticação em diversos sites que visitamos. Assim sempre que quiser experimentar um novo serviço, basta utilizar seu endereço OpenID . Em alguns casos  essa ideias não soa tão bem assim principalmente em serviços que envolvam situações monetárias. Outro problema é caso seu OpenID seja roubado você pode perder o acesso em todos os serviços que participa.

Para usar, você deve criar seu OpenID com um dos fornecedores. Seu OpenID é uma URL curta que provavelmente você já tenha uma, já que a maioria dos serviços de e-mails, redes sociais e blogs que prestam esse serviço, já lhe fornece um OpenID.

Entre os serviços mais populares estão:

Google ou Gmail: https://www.google.com/accounts/o8/id
AOL ou AIM: openid.aol.com/nome_de_usuário
Yahoo!: https://me.yahoo.com/nome_de_usuário
WordPress.com: http://nome_de_usuário.wordpress.com
My Space: www.myspace.com/nome_de_usuário

Se você já possui um blog no Wordpress, Blogspot ou Email no Gmail, pode usá-los como provedores de ID, sem precisar criar um novo.

http://www.openid.com.br

Segundo notícias mais recentes dos sites americanos especializados, os dias de segurança das redes Wi-Fi que usem a encriptação WPA estão com os dias contados. Eric Tews vai apresentar na Tokyo PacSec Conference, dentro de 2 dias no Japão, como hackear o sistema WPA em apenas 15 minutos.

O sistema de seguraça WPA foi criado para substituir o sistema peneira WEP, mas Eric Tews vai demonstrar que consegue ler a informação enviada de um router para o computador graças a um sistema que consegue descodificar o TKIP (Temporal Key Integrity Protocol).

Se isto for mesmo comprovado, poderá causar o pânico entre muitas empresas e utilizadores domésticos, pois é meio caminho andado para que as suas redes possam ser invadidas e controladas.

Por enquanto, muitos usuários utilizam as criptografias apenas para que suas conexões de internet sem fio não sejam “chupadas” pelo vizinho, mas grandes empresas já sofrem com a ameaça de ver seus dados sigilosos sendo capturados no ar.

Se você tem uma rede sem fios usando o protocolo WEP e possui um vizinho metido a hacker, pode já estar sendo invadido a tempos.

Basta o software Aircrack e um pequeno tutorialzinho…

Este é um alerta para webmasters e todo pessoal acostumado a utilizar o CMS Joomla.

Apesar da falha estar sendo amplamente divulgada pela comunidade Joomla, tomei conhecimento dela a pouco tempo e conversando com vários outros utilizadores, descobri que a grande maioria ainda não conhecia o problema, por isso resolvi reforçar o alerta.

A falha foi detectada recentemente em todas as versões 1.5.X do Joomla, onde um ataque utilizando SQL Injection permite que qualquer pessoa possa trocar a senha do usuário administrador e obter controle total do sistema. O SQL Injection ocorre quando o atacante consegue inserir uma série de intruções SQL dentro de uma query através da manipulação das entrada de dados de uma aplicação.

O ataque é feito no sistema de tokens, que permite ao usuário definir uma nova senha caso esqueça a anterior.

Para resolver o problema, atualize urgentemente o seu Joomla para a versão 1.5.6 ou caso não queira fazer modificações no seu sistema atual, aplique a seguinte correção:

Abra o arquivo reset.php, que se encontra em:

/components/com_user/models/reset.php

Depois da global $mainframe (linha 113), adicione:

if(strlen($token) != 32)
{
$this->setError(JText::_(’INVALID_TOKEN’));
return false;
}

Salve o arquivo reset.php ou substitua-o pelo original e pronto.

O procedimento para explorar a falha ou testar se ela foi sanada é simples, mas não vou divulgá-lo aqui porque muitos aventureiros metidos a hacker andam a espreita por ai e não quero que este alerta seja utilizado de forma errada.

Quem realmente tiver um site em Joomla e quiser realizar um teste, envie um email (pliniotorres@gmail.com) e assim que me sobrar um tempinho, me disponho a  testar se a correção (já aplicada) funcionou corretamente.

Se você está sempre por dentro das notícias do mundo da tecnologia, já deve ter lido em algum lugar que o famoso MacBook Air, o mais fino notebook do mundo, foi invadido em apenas 2 minutos em uma disputa de segurança realizada no Canadá.

Um MacBook Air, com o Leopard OS X 10.5.2 instalado, foi o primeiro a cair nas mãos dos especialistas de segurança que participaram do concurso que se realizou em paralelo com a conferência CanSecWest.

No dia seguinte a invasão do MacBook, uma falha no Adobe Flash permitiu a Shane Macaulay invadir uma máquina com o Windows Vista Ultimate SP1. O hacker levou para casa um prêmio de cinco mil dólares e o notebook onde o Vista estava instalado.

E o que tudo isso tem haver com o título da notícia? Bem, digamos que durante toda a competição, apenas um sistema operacional não foi invadido pelo hackers de plantão. Será que eu realmente preciso dizer qual?

O Linux, muito bem representado pela distribuição Ubuntu 7.10, foi o único sistema operacional que não foi violado ao longo dos três dias da competição realizada no Canadá. Vários especialistas em segurança da informática tentaram descobrir falhas no Leopard da Apple, no Vista da Microsoft e no Ubuntu.

Acho desnecessário qualquer comentário extra, deixo por conta dos leitores…