Aplicativos, Empresas, geek, internet, Segurança e Privacidade

Aviso aos Playstationzeiros: Ative verificação em duas etapas

psn

Três coisas que acontecem todo ano ou quase:

  • Greve dos correios no Brasil
  • Greve dos bancários no Brasil
  • PSN hackeada

E já chegou o hack do ano…Cortesia do mesmo pessoal que vazou os episódios de Game of Thrones. E você achando eles os caras mais legais do universo….

http://adrenaline.uol.com.br/2017/08/21/51399/playstation-e-hackeada-pelo-mesmo-grupo-que-atacou-hbo/

Se você quiser proteger a sua conta, isso não custa nada: Ative a verificação em duas etapas na sua conta da PSN. Como funciona? Simples, registre o seu número de celular na sua conta PSN e ative a verificação em duas etapas, e toda vez que você (ou alguém se passando por você) tentar entrar pela primeira vez num dispositivo com a conta, além da senha padrão, terá de informar uma senha descartável enviada para o seu celular por SMS. Infelizmente, a PSN não é compatível com Google Authenticator e outros aplicativos similares, só SMS, mas já é muito melhor que nada e fornece segurança caso a conta seja roubada por qualquer motivo, sem ter o seu celular, não dá pra acessar. Veja abaixo o link para configurar:

https://www.playstation.com/pt-br/account-security/2-step-verification/


Ver também:

Segurança em Celular e Autenticação em Duas Etapas

Anúncios
Padrão
geek, Segurança e Privacidade

Segurança em Celular e Autenticação em Duas Etapas

sms-of-surveillance-system_318-52685

https://blog.kaspersky.com.br/gsm-hijacking/6150/

Este post do blog do Kaspersky é interessante, mas os nomes e detalhes técnicos são bastante espinhosos, provavelmente não vão fazer muito sentido para quem não é especialista em criptografia, eu por exemplo não sou especialista, no máximo um autodidata dedicado.

Mas a conclusão final não é difícil de entender: Não é seguro, as suas chamadas e mensagens não são protegidas com chaves às quais o servidor (ou melhor, a operadora) não tem acesso. Apesar de ser relativamente caro e difícil, requerendo uma espécie de torre de celular falsa perto do local onde está o dono do celular, não é impossível interceptar o sinal de um celular (ataque man-in-the-middle), descobrir a chave de autenticação do usuário com criptoanálise, e realizar ataques, tais como se passar pelo dono do celular, ouvir conversas ou ler mensagens trocadas por aquele número.

Isto não é exatamente um defeito do sistema: A falha é um backdoor proposital dos engenheiros que elaboraram o sistema GSM, para que as operadoras pudessem obedecer pedidos de grampo por autoridades. Todo backdoor feito para ser usado legalmente também pode ser usado ilegalmente, e se o governo tem acesso por motivos que todos julgaríamos legítimos, também tem acesso para qualquer coisa. Se for com a ajuda da operadora, é trivialmente fácil: Ela pode literalmente mandar um sinal mandando o celular desligar a criptografia, e o usuário nem fica sabendo, não em modelos novos.

Quando Glenn Greenwald foi falar pela primeira vez com Laura Poitras, no restaurante de um hotel, sobre a fonte misteriosa que tinha entrado em contato com eles oferecendo um vazamento bombástico de segredos de governo (que depois ele descobriria ser Edward Snowden), Laura, melhor informada, pediu para que ele desligasse o celular e tirasse a bateria, ou o deixasse no quarto de hotel. Não era paranoia.

Todas as vezes que foi anunciado que o Telegram foi hackeado, principalmente em países ditatoriais, como o Irã, o que aconteceu na verdade foi que o número do celular, por padrão a única forma de autenticação do Telegram, foi clonado. É uma ótima ideia criar uma senha para o Telegram também, a chamada autenticação em duas etapas. Não use uma senha ridícula, e se estiver trocando informações extremamente sigilosas e comprometedoras, dispense a nuvem, use apenas o chat secreto, ou outro aplicativo como o Signal. O WhatsApp, e qualquer aplicativo de mensagem que também exige apenas sms de confirmação, também pode sofrer um ataque deste tipo sem problema algum.

Falando em autenticação em duas etapas, vários serviços, incluindo Google, Facebook, Microsoft e WordPress, oferecem este incremento de segurança, as duas etapas seriam a senha e um sms para o seu celular… Que como vimos não é exatamente a coisa mais segura do mundo. Sem falar que muitas vezes as mensagens demoram pra chegar, ou nem chegam. O melhor é você trocar a opção de segunda etapa com SMS por segunda etapa com Google Authenticator. É um aplicativo grátis, tem para todos os sistemas operacionais, veja como instalar e usar o Google Authenticator, ou outro autenticador de sua escolha. Pode ser no celular mesmo, no PC ou Notebook, ou, melhor ainda, se puder, em algum dispositivo que não saia da sua casa e que você não usa muito (um celular ou tablet velho é uma ótima pedida). Ele funciona gerando um código de 6 dígitos como senha descartável para cada acesso do serviço em um novo dispositivo, similar ao token que alguns bancos oferecem ao usuário. Por exemplo, se você comprar um celular novo e for entrar no Facebook nele pela primeira vez, vai pedir a senha do Authenticator.

A Apple também oferece este tipo de verificação em duas etapas, via Google Authenticator, sms, e, apenas para sistemas compatíveis com iOS 9, OS X El Capitan ou superior, um sistema de autenticação em duas etapas próprio, que eles chama de autenticação de dois fatores, em que a senha secundária é informada em dispositivos da Apple que você já tenha.

Mais detalhes:

O que é a autenticação de dois fatores e como usá-la? | Nós …

Verificação em duas etapas do Google

Autenticação de dois fatores do ID Apple – Suporte da Apple

Verificação de duas etapas para o ID Apple – Suporte da Apple

Verificação em Duas Etapas – Microsoft Community

 

 

Padrão
geek, Internet, Segurança e Privacidade

Por que os geeks são tão “paranoicos”?

paranoia

Um título mais correto para o post seria “por que as pessoas pensam que os geeks são paranoicos”?

Eu mesmo às vezes brinco com o termo, como na descrição do blog, então vamos deixar claro que, para a medicina e psicologia, paranoia – um sintoma comum da esquizofrenia, transtorno de personalidade paranoide, e também do uso crônico de drogas como a cocaína – é uma ansiedade ou medo frequente, de algo que não é real. Achar que os seus pensamentos estão sendo monitorados por uma sonda implantada em seu cérebro por marcianos é um delírio paranoico. Achar que é extremamente fácil sofrer um ataque virtual por um cracker, não.

As pessoas acham que a segurança de um computador, um celular ou uma conta em email ou rede social é uma coisa simples, como a segurança de uma casa, mas não é. Na verdade, o motivo pelo qual muitos geeks como eu são tão preocupados com segurança (e privacidade é uma faceta da segurança) é porque sabemos como é relativamente fácil, barato e seguro atacar um dispositivo ou conta de alguém, se comparado a um ataque físico, que precisa de alguma recompensa muito boa para compensar.

Pense, por exemplo, numa fechadura de porta. Apesar de arrombar fechaduras – famigerado lockpick – não ser tão fácil de fazer quanto nos games, não é uma habilidade tão difícil que não se consiga com um pouco de prática, e o conhecimento para isso é trivialmente fácil para conseguir, até mesmo por vias legais, num curso técnico de chaveiro, por exemplo. Seria uma segurança patética, praticamente um placebo, não fosse o fato de que invadir uma casa é arriscado e custoso.

Pular o muro ou arrombar a porta de uma casa requer, no mínimo, que o invasor se mova até a casa, o que implica um custo, ninguém iria viajar para outro país simplesmente para roubar uma casa (que não fosse de um magnata). Como o invasor não é invisível, ele pode ser avistado por um vizinho ou vigia, que pode chamar a polícia, o invasor também pode ser abocanhado por um cão de guarda, se cortar com cacos de vidro sobre o muro, se tentar pulá-lo, ou mesmo ser rendido ou baleado pelo morador, caso ele tenha uma arma. Sem falar que muita gente tem câmeras de segurança e alarme em casa, em condomínios é praticamente regra. As ameaças à integridade física e liberdade do invasor são grandes, por isso as trancas de porta ainda fazem sentido, elas simplesmente não deixam que invadir uma casa seja fácil demais.

Mas e se o invasor, como no conto do anel de Gyges, pudesse ser invisível? E mais, e se ele pudesse invadir várias casas ao mesmo tempo, sem custo nenhum nem para se locomover até elas? Entra a era da informação, e é basicamente isso que temos.

Educar-se sobre informática até ser capaz de fazer um ataque virtual lucrativo é muito mais difícil que aprender a arrombar uma fechadura, mas muito mais seguro e barato para o invasor, uma vez que ele aprenda. Quanto custa mandar um email? Pense em quantas pessoas não caem ainda hoje em golpes de phishing, nos quais um cracker dissemina milhões de emails falsos de banco pedindo para clientes entrarem com a senha. É muito difícil rastrear a origem do ataque do que em um ataque físico que deixa vários tipos de evidências, difíceis de evitar, e se meia dúzia de pessoas caírem, já valeu a pena para o ladrão, e sempre tem meia dúzia que cai.

Que dizer de roubar dados pessoais? O escândalo de Watergate for desencadeado porque acharam um pedaço de fita adesiva suspeito no escritório do partido democrata no qual foram instaladas as escutas ilegais. Fosse o ataque com um spyware, ou um rootkit, possivelmente jamais teriam descoberto, ou mesmo teriam descoberto mas jamais poderiam apontar o culpado. Aquela história de que o vazamento dos emails de Hillary foi feito por hackers russos? Mera acusação, prova que é bom, nada. Estamos falando de invasores invisíveis, e com habilidade de se mover pelo mundo em uma fração de segundos.

O repórter da revista Wired Mat Honan sentiu na pele o quão trivial é atacar alguém virtualmente quando um cracker roubou sua conta do Twitter (@mat) e apagou todos os dados de todos os seus dispositivos, inclusive as fotos de sua filha pequena, que ele não tinha salvas em nenhum outro lugar. O motivo: O cracker achou o handle @mat bonitinho e o quis para si. Uma vez que o sujeito conseguiu a senha da Amazon (que Mat achava ser uma senha difícil), foi um pulo ligar para o suporte técnico da Apple e conseguir acesso à conta da Apple de Mat, e com isso chegou ao seu Twitter, e apagou os dispositivos com o recurso anti-furto dos Macs e iPhones. A deleção dos dados foi “brinde”. Alguém realmente arriscaria ser ferido, morto ou preso por um motivo tão bobo?

Então, por favor, não ria da cara do seu amigo geek quando ele disser que você deveria ativar verificação em duas etapas.

Padrão