Segurança Importa ? - Who Cares ?

Segurança da Informação, Hacking, PenTest, malware, analise forense. Um blog para quem acha que segurança importa.

terça-feira, 17 de agosto de 2010

Passa a senha ai MANO ?

Recentemente a midia noticiou que uma pessoa, personalidade, teve seu perfil do Twiter invadido.
Não entendo nada de futebol, (a não ser que bola na rede é gol) mas conheço muito bem esse tipo de problema .
Recebi a mensagem de um amigo chamado Ricardo, querendo saber como pode acontecer de alguem "ter seu perfil do Twiter invadido".
Para mim, Invadido é um termo pesado, mal utilizado pela media em geral, mas vamos ao que interessa.

Para a fraude que aconteceu, temos algumas alternativas.
1. Brute force, significa tentativa e erro. Varias possiveis senhas, são testadas, até que a senha certa apareça.
1.1 Essa lista de possiveis senhas pode ser conseguida, baseado nas pessoas e em seus gostos, comportamentos, etc.
2. Golpe de engenharia social. A pessoa pode receber um email, pedindo para ser adicionada a sua rede de relacionamentos. Voce clica no link, vai aparecer uma pagina IDENTICA a do serviço original, voce preenche os dados e.... mais alguem ja tem sua senha.
3. Uso da mesma senha em mais de um serviço, e esse outro serviço ser vulneravel, e/ou atacado.
4. Existem possibilidades vinculadas a Malwares ( vulgamente conhecidoso como Virus ou Cavalos de troia ) especificos para captura de senhas.
5. Uso de redes NÃO CONFIÁVEIS e/ou computadores (muito) compartilhados (como LanHouses)
6. Abuso Fisico, alguem teve acesso a sua maquina e instalou um programa de captura de senhas ( tambem possivel se voce deixa a senha gravada no navegador )
7. Pura engenharia social. ... Alguem te pergunta qual é a sua senha e voce responde ...

Vale LEMBRAR, que Quando mais uma pessoa sabe uma senha, isso deixa de ser segredo e as possibilidades de vazamento da mesma crescem baseado na quantidade de pessoas que sabem essa senha.

( acho que esqueci algo mas não me lembro o que ... )

Alguns detalhes sobre o serviço mencionado.
1. A tela de Login, não possui mecanismos de Captcha ( aquelas letras embaralhadas que vc tem que digitar ), facilitando o uso de ferramentas que fazem testes de senha.
2. Ano passado o serviço divulgou uma lista de 370 senhas Banidas, ( senhas que não podem ser utilizadas no momento do cadastro ), porem essa restrição está no codigo HTML da pagina, escrito em JavaScript. ( sem maiores detalhes )

Mesmo com diversas ações de segurança, sempre algo é deixado para tras, em nome dos negocios e da usabilidade.

Não estou culpando e nem protegendo ninguem.

Ricardo, troque sua senha meu amigo.
Se não acreditar nisso ou se não quiser, deixa prá lá.
Quem se importa ?

Abraços
Postado por às

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)