Senha

Atacando redes wifi com Aircrack-ng protegidas com criptografia WEP

Muitos roteadores vem com um método de criptografia padrão chamado Wired Equivalent Privacy (WEP). Um problema fundamental com o WEP é uma falha no algoritmo, o qual é possível um atacante recuperar qualquer chave WEP. WEP usa a cifra de fluxo Rivest Cipher 4 (RC4) e uma pre-shared key. Qualquer um que queira se conectar à rede pode usa a mesma chave, composta de uma string de dígitos hexadecimais, tanto para criptografar quanto para descriptografar. Os dados em texto claro (não criptografados) passam por uma operação de OU-Exclusivo (XOR) bit a bit de fluxo com uma chave para criar um texto cifrado.

A operaçõe tem quatro possibilidade:

  • 0 XOR 0 = 0
  • 1 XOR 0 = 1
  • 0 XOR 1 = 1
  • 1 XOR 1 = 0

Os zero e um em um fluxo de dados pode representar qualquer dado sendo enviad através da rede. Veja um exemplo de texto claro sendo cifrado com XOR e uma chave para criar um texto cifrado: (mais…)

Dropbox está pedindo para usuários antigos trocarem suas senhas por precaução

A plataforma de nuvem Dropbox está pedindo para que seus usuários mais antigos troquem suas senhas para prevenir possíveis problemas de segurança. A empresa não sofreu nenhum ataque recentemente, mas pede para que seus usuários que não atualizam sua password desde 2012 façam isso.

Há quatro anos, a empresa sofreu com um vazamento de credenciais devido a falhas cometidas por uma empresa de terceiros que prestava serviços a plataforma de armazenamento em nuvem. Na época, o Dropbox notificou os usuários e disse que poucas contas foram comprometidas.

Caso você seja usuário do serviço desde a época e não tenha trocado sua senha, é recomendado seguir as instruções do serviço, principalmente se você costuma reaproveitar passwords. (mais…)

Falha de segurança da Apple permite resetar senhas dos outros

Apple mal lançou um recurso de verificação em duas etapas para o Apple ID e oiCloud e uma falha grave de segurança foi descoberta que afeta diretamente quem aindanão fez a migração. O problema permitia a usuários mal-intencionados o ‘reset’ da senha dos outros apenas com o endereço de e-mail e a data de nascimento da vítima, utilizando as próprias ferramentas da empresa.

A vulnerabilidade é explorada colando na barra de endereços uma URL modificada enquanto responde a data de nascimento na página do iForgot. Segundo o The Verge, que recebeu a denúncia, testou e confirmou, se trata de um processo muito simples e que qualquer um poderia realizar. (mais…)

Pesquisa da AVG mostra que 86% dos brasileiros não protegem seu smartphone com senha

AVG Tecnologies  divulgou nesta semana os resultados de uma pesquisa que analisa o comportamento dos brasileiros no que diz respeito à segurança em dispositivos móveis. O levantamento deixou claro que a maioria dos usuários está ciente dos riscos neste meio, embora muitos ainda não  tomem as medidas preventivasnecessárias.

Uma das constatações é a de que 86% dos usuários entrevistados não utilizam senhas para bloquear seus smartphones. Com isso, dados pessoais armazenados noaparelho podem facilmente cair em mãos erradas caso o dispositivo seja furtado ou perdido, por exemplo. No que diz respeito a tablets, este número cai consideravelmente, mas ainda é alto: 46%. (mais…)

Será que a senha do Windows protege mesmo seus arquivos?

Na prática, recurso não serve para impedir que seus dados caiam em mãos erradas. Um sistema de criptografia é a melhor solução.

Já faz algum tempo que o Windows tem o conceito de múltiplas contas de usuário, cada uma com suas próprias preferências e pastas com arquivos pessoais. E cada conta pode ser protegida com uma senha.

Mas ao contrário do que se pensa, essa senha não protege seus arquivos mais importantes contra acesso não autorizado. Um administrador tem acesso a todos os arquivos da máquina, há formas de burlar a senha e um malfeitor mais determinado poderia simplesmente arrancar o HD do computador e lê-lo em outro PC. A senha do Windows apenas impede que outras pessoas usem seu computador como se fossem você. (mais…)

Lançado Hashkill 0.3.0 PRE2

Hashkill é uma ferramenta open source, projetada para realizar recuperação de senhas. A ferramenta é multi-threaded, de modo que possa se beneficiar de sistemas multi-core/multi-CPU. Além disso, há algoritmos SSE2 acelerados para atingir altas velocidades em modernas CPUs x86, quatro modos de ataque: dicionário / bruteforce / hybrid/ markov; 35 plugins para diferentes tipos de senhas, que vão desde senhas simples como hashes MD5 e SHA1 para arquivos .ZIP e SSL passphrases-chave. (mais…)

GCrack: Identificação e Quebra de Senhas Através do Google

Exatamente como o nome sugere, GCrack é um crack de hash que utiliza o motor de buscas do Google para quebrar hashes múltiplos. Outra ferramenta que funciona de forma semelhante é o -findmyhash, embora o GCrack tenha sido originalmente inspirado pelo BozoCrack. De fato, ele traz melhorias relacionadas ao BozoCrack, que quebra hashes MD5 buscando por esses hashes e utilizando a consulta resultante como uma wordlist. O utilitário tenta, automaticamente, criar [file_with_hashes], em execução para hashes que têm sido experimentados ou mesmo quebrados.  (mais…)

Mau hábito: Senhas são reutilizadas por seis em cada dez usuários

Apesar dos ataques rotineiros, utilizar informações comuns em diversos sites se tornou um hábito que faz com que uma única brecha ganhe enorme força.

As senhas continuam a ser um fator frágil na segurança da rede. Apesar de violações rotineiras na web, seis em cada dez consumidores continuam a reutilizar as mesmas poucas combinações, segundo pesquisa realizada pela empresa de detecção de fraudes CSID.

Os resultados do estudo não deveriam ser nenhuma surpresa. Bem como é arriscada a reutilização de senha, que faz com que vários sites fiquem vulneráveis a partir de uma única brecha, 54% dos entrevistados tinha apenas 5 senhas ou menos, enquanto 44% deles mudaram uma única vez por ano – ou menos – as combinações. O relatório também apontou que o uso mais imprudente das senhas estava entre usuários com menos de 24 anos. (mais…)

Senha do Banco Central da França era “123456”

Certamente, a senha que você utiliza em sua conta de email é muito mais eficiente do que a que era utilizada pelo Banco Central da França. A instituição entrou em alerta nesta semana, imaginando que pudesse ter sido hackeada.

Após uma rápida busca, as autoridades descobriram com facilidade quem é que havia sido o autor da façanha de acessar o seu sistema via telefone. Contudo, ao encontrar o suspeito, perceberam que, na verdade, o problema era muito pior. (mais…)

Possíveis Ataques de Força Bruta em Senhas da Oracle

Um renomado pesquisador de segurança disponibilizou detalhes importantes sobre as vulnerabilidades detectadas no protocolo de autenticação do banco de dados Oracle, que ele originalmente descobriu existir em 2010. O pesquisador Esteban Martinez Fayó, especialista em segurança da AppSec, apresentou suas descobertas e os métodos pelos quais elas podem ser exploradas durante a Conferência de Segurança de Ekoparty, que atualmente está acontecendo em Buenos Aires.

Embora a Oracle tenha fechado a brecha de segurança com o lançamento  de um conjunto de patches 11.2.0.3, que introduziu a nova versão 12 do protocolo (em meados de 2011), Fayó disse que não houve nenhuma correção para as versões 11.1 e 11.2 do banco de dados porque a atualização não foi incluída em qualquer um dos regulares comunicados da Oracle em relação aos “patches de correção críticos”. O pesquisador explicou que a menos que os administradores ativem o novo protocolo manualmente, o banco vai continuar a usar a versão vulnerável, a 11.2. (mais…)

Quer ficar atualizado?

Inscreva-se em minha newsletter e seja notificado quando eu publicar novos artigos de graça!