Mais credenciais comprometidas. O que fazer?

lost-businessman_23-2147618186

Fonte da imagem: https://www.freepik.com/

Mais uma vez, milhões de credenciais foram divulgadas durante essa semana, em uma das maiores publicações deste tipo na história.

Afirma-se que mais de 770 milhões de endereços de e-mail, e senhas, foram adicionadas a outras bases de credenciais comprometidas anteriormente, virando notícia em sites como o Olhar Digital, bem como o blog da companhia de segurança Kaspersky Labs, entre outras tantas mídias digitais.

O montante de dados foi divulgado por Troy Hunt, pesquisador de segurança e criador do site Have I Been Pwned, que provê um serviço de consultas a estas mesmas bases, permitindo aos usuários que verifiquem se o e-mail informado está entre os listados como comprometidos.

Como estes vazamentos se tornam cada vez mais frequentes, o cuidado na manutenção de dados pessoais faz-se essencial e, portanto, vou passar a publicar dicas de segurança básicas para a proteção destas informações. As primeiras dicas são relacionadas a senhas.

Sempre mantenha senhas diferentes para serviços diferentes. Se você tem cadastro em diversos serviços na Internet, como redes sociais, serviços de correio eletrônico, bancos digitais, entre outros, procure cadastrar senhas diferentes para cada um deles. Assim você minimiza a chance de que o comprometimento de um serviço leve ao acesso indevido de outros, devido a utilizarem as mesmas credenciais de acesso.

Crie senhas com alta complexidade na combinação de caracteres. Outro artigo publicado no site Olhar Digital traz uma lista que aponta as 25 senhas mais utilizadas no mundo durante o ano passado. Isso mostra o quão fácil se torna comprometer uma conta pessoal, a partir da utilização de senhas fracas e comuns.

Por isso é necessário criar senhas complexas, envolvendo letras maiúsculas, minúsculas, números, caracteres especiais, de preferência utilizando frases longas, porém de fácil memorização, evitando assim o uso de senhas mais fáceis de serem descobertas como datas de nascimento, nomes de parentes, entre outras. Daí vem a pergunta, mas como lembrar de tantas senhas complexas e diferentes para manterem-se seguros utilizando diversos serviços?

Isso leva a outra dica: Utilize gerenciadores de senhas. Eles permitem o registro, organização, e manutenção de senhas, guardando-as em bases relativamente seguras, podendo gerar as senhas automaticamente para você, e com complexidades diferentes, mantendo inclusive um histórico das alterações, facilitando a troca destas quando necessário.

Esse recurso possibilita que você armazene centenas de credenciais para o acesso a diversos serviços, sendo necessário apenas se preocupar com a senha configurada para o acesso à aplicação, bem como em sempre manter a sua base de senhas atualizada, quando da troca das credenciais junto aos serviços utilizados.

Uma das várias opções de gerenciadores de senhas, disponíveis no mercado, é o software livre Keepass, disponível em versões para diversos sistemas operacionais, como Windows, GNU/Linux, Mac OS, Android, iPhone, Chromebook, entre outras, tanto em versões de 32 bits quanto de 64 bits. A nomenclatura do app pode variar de acordo com o sistema operacional utilizado, porém são fáceis de localizar na página de downloads da aplicação.

O Keepass é um dos aplicativos coberto pelos investimentos realizados pela União Européia, e que oferece o pagamento de recompensas pela descoberta e reporte de falhas de segurança na aplicação, assim como divulgado recentemente aqui mesmo neste blog.

Esses investimentos permitem que a aplicação seja testada por pesquisadores, bem como possibilita que falhas de segurança existentes sejam descobertas e corrigidas mais rapidamente.

Mesmo empregando complexidade, e a utilização de recursos como os gerenciadores para a geração destas credenciais, também é preciso seguir uma última recomendação, que é trocar as senhas com regularidade.

A facilidade na geração de senhas complexas, oferecida por tais ferramentas, simplifica o processo de troca das credenciais com regularidade, proporcionando um maior grau de segurança através da rotatividade constante das informações de acesso.

Utilizando senhas complexas e diferentes para serviços diferentes, além de armazená-las de forma segura em gerenciadores de senhas, trocando-as regularmente, permite a minimização dos riscos de comprometimento das credenciais utilizadas para os serviços do dia a dia, ajudando a manter uma navegação mais segura.

Anúncios

Vulnerabilidades descobertas no Systemd

System

Como vocês provavelmente já ouviram falar, foram descobertas recentemente três novas vulnerabilidades no Systemd, que é um sistema de inicialização e gerenciador de serviços, utilizado em distribuições GNU/Linux populares como Red Hat e Debian, bem como em algumas destas derivadas.

Pesquisadores ligados à Qualys Inc. descobriram e reportaram as vulnerabilidades, que receberam as designações CVE-2018-16864, CVE-2018-16865, e CVE-2018-16866.

As informações publicadas no site The Hacker News, apontam que distribuições como SUSE Linux Enterprise 15, openSUSE Leap 15.0, e Fedora 28 and 29 não foram afetadas, visto que o código do espaço do usuário é compilado utilizando a opção fstack-clash-protection do GCC, protegendo este espaço contra ataques Stack Clash, que em uma tradução livre seriam ataques de “Colisão de Pilha”.

A vulnerabilidade Stack Clash é relatada pela própria Qualys como sendo uma falha que afeta não só a sistemas GNU/Linux, mas também OpenBSD, NetBSD, FreeBSD e Solaris, tanto em ambientes i386 quanto amd64.

“Cada programa executado em um computador usa uma região de memória especial chamada pilha. Essa região de memória é especial porque cresce automaticamente quando o programa precisa de mais memória de pilha. Mas se crescer muito e ficar muito perto de outra região de memória, o programa pode confundir a pilha com a outra região de memória. Um invasor pode explorar essa confusão para sobrescrever a pilha com a outra região de memória ou vice-versa”, informa o blog da Qualys.

Duas das falhas descobertas recentemente revelam problemas de corrupção de memória, enquanto a terceira expõe um problema de leitura fora do limite no systemd-journald, que pode permitir o vazamento de dados sensíveis da memória do processo em execução.

Os pesquisadores criaram com sucesso provas de conceito que verificam as vulnerabilidades, e planejam liberá-las em um futuro próximo, provavelmente após as falhas terem sido corrigidas e estas correções liberadas ao público.

“Nós desenvolvemos um exploit para a CVE-2018-16865 e a CVE-2018-16866 que obtém um shell local com  privilégios de administrador em 10 minutos em ambientes i386, e em 70 minutos em ambientes amd64, em média”, informaram os pesquisadores.

O CVE-2018-16864 é semelhante a uma vulnerabilidade Stack Clash que os pesquisadores da Qualys descobriram ainda em 2017, e que pode ser explorada por malware, ou por usuários com poucos privilégios, escalando suas permissões para o nível de administrador.

O Systemd não faz parte da distribuição Slackware Linux, que atualmente é disponibilizada em versão estável de número 14.2, mas que utiliza um sistema de inicialização compatível com o System V desde sua versão 7.0.

A recomendação aos usuários e administradores de sistemas, sendo estes afetados ou não pelas vulnerabilidades descobertas, é a de sempre acompanhar a disponibilização de atualizações de segurança, liberadas pela equipe de desenvolvimento do sistema operacional utilizado, ou administrado, e aplicar estas correções tão logo estejam disponíveis.

A realização de backups de segurança dos dados pessoais constantes nestes sistemas deve ser uma rotina, e evita que atualizações problemáticas, ou mesmo causas diversas, gerem a perda de dados.

Como complemento oferecido por um dos profissionais que acompanham o blog, Deiverson Silveira, segue o link para o comunicado oficial a respeito das vulnerabilidades, e publicado pelos pesquisadores da Qualys.

Comissão Européia lança programa de recompensas por bugs em softwares livres

Fossa

Estando entre os recursos mais utilizados por empresas, os programas de recompensa pela descoberta de vulnerabilidades premiam pesquisadores em segurança da informação, que localizam e reportam falhas de segurança em aplicações e sistemas.

Em reconhecimento à força desta estratégia, a União Européia lançou, ainda em 2014, a primeira fase de sua iniciativa para auditar softwares livres, o projeto FOSSA – Free and Open Source Software Audit, onde dois projetos foram contemplados inicialmente com auditorias de segurança, sendo estes o projeto Apache e o Keepass. Esta primeira fase durou dois anos, indo de 2015 até o final de 2016.

Em 2017, a iniciativa foi renovada para um período de mais três anos, e teve um piloto para o oferecimento de bug bounties utilizando o player multimídia VLC, permitindo que a Comissão Européia obtivesse experiência na execução da oferta de recompensas por falhas.

Em abril de 2018 foi aberta uma chamada pública para licitações e, em outubro do mesmo ano, as empresas foram definidas como as principais executoras do projeto, sendo estas a HackerOne e Intigriti.

Agora, iniciando em janeiro de 2019, o programa de recompensas para as falhas foi extendido para 15 aplicações de código aberto, consideradas como sendo de grande importância para a manutenção da infraestrutura de Internet, e também para o uso da população. A nova fase vai distribuir o equivalente a € 851.000 (oitocentos e cinquenta e um mil Euros).

Segundo Julia Reda, uma das idealizadoras do projeto, um dos principais objetivos do projeto FOSSA é “estabelecer a segurança dos softwares livres como um item permanente no orçamento da União Européia”.

Também estão previstas para esta fase a realização de Hackathons, com o objetivo de aproximar os desenvolvedores destas aplicações junto às instituições européias e os próprios mantenedores dos projetos de código aberto, para que possam colaborar de maneira mais próxima para o desenvolvimento destes softwares, facilitando o intercâmbio de conhecimento.

Veja abaixo a tabela, com uma tradução livre para os títulos da colunas, onde estão dispostos os projetos contemplados pela iniciativa, além das datas de início e fim da captação dos reportes de vulnerabilidades, bem como as plataformas onde estes reportes devem ser feitos para concorrer às premiações. Para acessar a página com o anúncio oficial, e também visualizar a tabela original, em inglês, acessem este link.

Tabela_Fossa