Víctor Mayoral-Vilches Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Não importa o tamanho de sua senha, ela será hackeada.ElevenPaths 30 junio, 2016 Nas últimas semanas tivemos mais um grande vazamento de senhas de uma importante rede social, no qual 167 milhões de credenciais foram expostas na internet. Assim como a maior rede de relacionamentos profissionais outros serviços famosos já sofreram com o mesmo problema. Muitos usuários ao saberem que sua credencial foi comprometida, correram para alterá-la e muitos tiveram que trocar a senha em diversos outros serviços, como por exemplo a do webmail corporativo, pois era a mesma senha utilizada. Quem nunca cadastrou a mesma senha em vários sites? Ou que adotou um padrão/método de criação, mudando apenas um número ou palavra na combinação escolhida? Recentemente um grande profissional de tecnologia e CEO da maior rede social do mundo virou notícia após ter sua senha divulgada e que a utilizava em diversos sites, além de não seguir as melhores práticas de criação de passwords. Adotar o uso de senhas longas e complexas com diferentes tipos de caracteres e não re-utiliza-las para diferentes serviços, será que isso irá mesmo proteger nossas credenciais? Muitos atacantes comprometem a segurança dos sites, no qual muitas vezes, conseguem acesso a base de senhas e mesmo que estejam salvas criptografadas é possível quebrar esta proteção utilizando técnicas específicas e o poder computacional atual. Alguns também utilizam de malwares ou programas maliciosos para infectar o computador da vítima, além de interceptar as conexões entre o computador do usuário e o site de acesso, que por vezes estão desprotegidas ou mal configuradas, para conseguir furtar as credencias. Qualquer usuário que já realizou um pagamento ou transferência pelo site de seu banco, já deve ter tido a experiência de usar além da senha o seu token com uma sequência de números que é trocada a cada 30 segundos. Ou até mesmo usar o smartphone com um App instalado que faz exatamente a mesma coisa. Este segundo fator de autenticação é uma camada adicional para proteger sua credencial mesmo que a sua senha tenha sido comprometida. É como alguém ter conseguido uma cópia da chave de sua casa e ao tentar entrar, não conseguir, pois a porta está fechada também por um trinco. Com essa mesma analogia de trincos eu faço uma pequena demonstração no vídeo a seguir de um ataque de força bruta (brute-force) a um blog WordPress, no qual as vezes é possível descobrir o login e a senha do usuário. Ao final utilizo uma ferramenta que protege minha credencial com um segundo fator de autenticação instalado em meu smartphone, utilizando o aplicativo “Latch” da Eleven Paths, que pode ser integrado em diversas linguagens, portais, VPN, Sistemas Operacionais, webmails, Open-SSH, e-commerce, entre outros. O teste foi realizado em meu próprio site de blog pessoal em WordPress, apenas para realização desta demonstração: O WordPress é um CMS, gerenciador de conteúdo, muito utilizado por usuários e empresas, não só para criação de simples blogs, mas também para a construção de sites complexos e até para a criação de e-commerce, o que requer ainda mais atenção, principalmente para o administrador do site que possui privilégios de alteração de conteúdo, criação de usuários, instalação de plugins, etc. A autenticação usando um aplicativo instalado no smartphone pode ser usado até mesmo em caixas eletrônicos ATMs para proteger os usuários de técnicas chamadas de “skimmers”, que são falsos teclados sobrepostos fisicamente ao teclado original do ATM para capturar as senhas bancárias, ou até mesmo, para uma compra com cartão de crédito em uma loja de varejo ou postos de gasolina, permitindo que o próprio cliente negue ou aprove as compras com o seu cartão. Em breve, a tecnologia irá substituir as senhas comuns por uma autenticação mais robusta que agregue as contas pessoais do usuário por algo que o identifique melhor. Como por exemplo, o número de telefone, visto que a grande maioria de usuários possuem um aparelho celular e que a operadora faz diversos procedimentos de checagem de identidade ao conceder um número ao cliente. Os celulares vêm equipados com um smartcard (SIMcard) que assim como os cartões bancários são protegidos por senha(PIN) e conseguem armazenar certificados digitais que garantem a autenticidade, integridade, confidencialidade e não repúdio em uma transação e podem usar a rede da operadora, mesmo que sem acesso a internet. Não importa o quanto sua senha seja complexa e difícil de adivinhar, se o serviço ou site que você deseja acessar possui a possibilidade de um segundo fator de autenticação, ative-o para aumentar ainda mais sua proteção. Também pode interessar: Guías detalladas de instalación de Latch en WordPress, Joomla, Drupal, PrestaShop y RoundCube Eleven Paths Talks: WordPress in Paranoid Mode Luiz Henrique Barbosa (Cabuloso) Product Manager Cybersecurity B2B Saiba mais em: latch.elevenpaths.com ElevenPaths Talks: WordPress in Paranoid ModeEstratégia Cibernética Europea: Apoio da Telefónica
Telefónica Tech Boletim semanal de cibersegurança, 30 abril — 6 maio TLStorm 2 – Vulnerabilidades em Switches Aruba e Avaya Pesquisadores da Armis descobriram cinco vulnerabilidades na implementação de comunicações TLS em vários modelos de switch Aruba e Avaya. Especificamente, as...
Roberto Velasco DevSecOps: 7 fatores-chave para implementar segurança em DevOps DevSecOps, também conhecido como SecDevOps, é uma filosofia de desenvolvimento de software que promove a adoção de segurança em todo o ciclo de vida de desenvolvimento de software (SDLC)....
ElevenPaths Boletim semanal de cibersegurança 5-11 junho Boletim Mensal da Microsoft A Microsoft lançou seu boletim de segurança de junho que aborda 50 vulnerabilidades, incluindo falhas de execução remota de código (RCE), problemas de negação de serviço,...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Gonzalo Álvarez Marañón Recupere o controle de seus dados pessoais graças à identidade descentralizada no Blockchain Aposto que, quando você tinha 18 anos, em alguma ocasião eles lhe pediram sua carteira de identidade em uma boate ou na compra de bebidas alcoólicas para verificar se você era...
Sergio de los Santos E o presidente disse «tudo bem agora.» As novas propostas em cibersegurança da Casa Branca Joe Biden assinou uma Ordem Executiva para melhorar a segurança cibernética nacional e proteger com mais eficiência as redes do governo federal . O ataque à operadora de oleoduto Colonial Pipeline, notícia...