Dicas de Segurança no Mac OS X Lion e Snow Leopard

Tweet

Você sabe como anda a segurança do seu Mac? Ou você acha que pelo fato de não estar usando o Windows, seus riscos de segurança não existem mais? Estas são algumas ações simples que melhoram a segurança geral do seu ambiente, e devem ser modificadas de acordo com o seu perfil de uso:

1. Atualização de Software
• Checar por atualizações diariamente ou semanalmente
2. Geral
• Requisitar senha imediatamente após standby ou protetor de tela
• Desativar logins automaticos
• Requisitar senha para destravar cada painel de preferências de sistema
• Usar memória virtual segura
• Desativar serviços de localização
• Desativar receptor de controle remoto infravermelho (caso não use com frequência ou parei com seu controle remoto e trave nele)
3. FileVault
• Defina uma senha mestre
• Snow Leopard: Ative o FileVault (deve ser feito em cada conta de usuário)
• Lion: Ative o FileVault (é feito para todo o disco)
4. Firewall
• Inicie o Firewall
• Em avançado, ative o modo silencioso
• Em avançado, bloquear todas as conexões de entrada
5. Contas
• Crie uma conta geral para o uso diário (não use uma conta administrativa)
• Em opções de login, desative o login automático
• Em opções de login, mostrar janela de login como nome e senha
• Selecione a conta convidado e desmarque as opções de permitir que o convidado logue neste computador e permitir que o convidado acesse compartilhamentos
6. Safari
• Em preferências gerais, desmarque abrir arquivos seguros após o download

Para ir mais além, defina uma senha para o firmware do sistema, de forma a evitar que pessoas não autorizadas consigam facilmente iniciar por um disco externo, acessar utilitários ou modos de manutenção. Para tanto, siga o passo-a-passo publicado em HT1352.

Há medidas adicionais que podem ser tomadas, como a desativar o serviço Bonjour, desativar binários setuid (find / -perm -04000 -ls) e setgid (find / -perm -02000 -ls), usando o comando chmod ug-s binário e desativar serviços desnecessários em /System/Library/LaunchDaemons com launchctl unload -w serviço.

Existem muitas outras informações relacionadas à manutenção da segurança do Mac OS X Snow Leopard nos guias disponíveis no site de suporte da Apple.

Google Apps recebe suporte a DKIM

Tweet

O Google disponibilizou na última sexta-feira, 06 o suporte a autenticação de e-mails DKIM em sua plataforma Google Apps. Disponível a todos os usuários, a nova funcionalidade é simples de ser configurada para quem tem domínios registrados junto ao Google e seus parceiros.

Para quem tem domínios registrados com outros serviços, a configuração guiada auxilia no processo, tornando-o bem mais simples que a implementação in-house de uma solução equivalente.

Para maiores detalhes sobre a configuração e o funcionamento do novo recurso, visite:

Authenticate email with a domain key

Spam takes another hit: email authentication now available to millions of Google Apps customers

Protocolo de proteção digital HDCP comprometido

Tweet

O protocolo de proteção de conteúdo digital HDCP foi quebrado e sua chave-mestre postada na Internet, o que significa que é possível construir dispositivos (hardware ou software) capazes de decodificar o conteúdo protegido por este mecanismo e exibir em dispositivos não autorizados.

A chave consiste de uma matriz de 40x40 de 56 bits hexadecimais. No site CRYPTOME há mais detalhes sobre a falha, incluindo o link para a chave publicada e um estudo de criptoanálise do protocolo HDCP. Boa diversão.

Configuração de WiFi WPA2 TKIP+AES no Nokia N95 8GB

Tweet

Por algumas vezes, havia tentado configurar meu smartphone Nokia N95 8GB para conectar na minha rede sem fio que tem como mecanismo de autenticação o WPA2 com TKIP+AES no router D-Link DSL-2460B (WiFi Router + xDSL Modem + 4 portas LAN) sem sucesso, pois a autenticação sempre falhava.

Em outro local, com um router NetGear WGR614 (WiFi xDSL/Cable Router + 4 portas LAN) configurado para WPA2 + AES a autenticação sempre funcionava, permitindo assim a navegação e uso de aplicações, pois viver de acesso discado de terceiro mundo (3G) é sofrido.

Explicada a situação, vamos ao que interessa: abra o Menu, vá em Ferramentas e depois em Configs. Lá escolha Conexão e em seguida Pontos acesso. Em Opções, vá em Novo ponto de acesso e informe os dados segundo abaixo:

• Nome da conexão: nome do ponto de acesso
• Portadora de dados: Wireless LAN
• Nome da rede WLAN: nome da rede sem fio
• Status da rede: Pública ou Oculta
• Modo de rede WLAN: Infra-estrutura
• Modo seg. WLAN: WPA/WPA2
• Configs. seg. WLAN
• WPA/WPA2: Chave pré-compart. ou EAP se sua rede pede login/senha/certificado digital
• Chave pré-compart: senha da rede sem fio
• Modo somente WPA2: Ativo para redes WPA2 e Desativado para redes WPA/WPA2

Feito isso, será possível conectar na Internet através da rede sem fio com WPA2, que atualmente ainda é o mecanismo mais seguro, apesar de já haver um ataque conhecido.

Segurança em seu smartphone

Tweet

Nos últimos meses, ouvi diversos relatos de pessoas próximas que tiveram seus telefones celulares e smartphones roubados, uma ocorrência comum nos dias de hoje, devido a incompetência do estado e seus mecanismos legais para barrar a criminalidade.

Em todos os relatos, havia algo em comum que me preocupava: nenhum dos telefones e smartphones estavam com medidas de segurança ativas, de forma a proteger o conteúdo do dispositivo de usos não autorizados.

Que vergonha, o Brasil assumiu a liderança

Tweet

Segundo a Cisco, o Brasil agora é o líder mundial no envio de SPAM, ultrapassando os Estados Unidos por meros 1,1 trilhões de mensagens.

Para a Cisco, os Estados Unidos cairam no ranking graças ao fechamento do ISP McColo, fonte conhecida de SPAM originado naquele país.

O novo ranking tem o Brasil como primeiro com 7,7 trilhões de mensagens (+193% em relação a 2008), Estados Unidos em segundo lugar com 6,6 trilhões de mensagens (-20.3% em relação a 2008).

O artigo completo pode ser lido no site eSecurity Planet.

Google lança serviço de DNS público

Tweet

Hoje, o Google lançou mais um serviço em sua iniciativa de tornar a web mais rápida. O serviço consiste em servidores de DNS de acesso público com melhorias experimentais que melhoram o desempenho das resoluções de nomes.

Além de melhorias no desempenho através de cache inteligente, melhoramentos de segurança (até que tenhamos DNSSEC disponível em larga escala), não haverá redirecionamentos caso o usuário digite um endereço incorreto.

O anúncio completo está disponível no blog do Google Code e as instruções de como configurar estão na página do serviço.

Bandido burro é preso dormindo graças a GPS roubado

Tweet

Os bandidos pé-de-chinelo são realmente fonte de muitas piadas, mas não há como não serem. Vocês lembram do caso do bandido que deixou sua conta do Facebook logada no computador da casa de uma de suas vítimas?

No Brasil, uma quadrilha realizou um roubo de veículos e eletrônicos e um dos seus integrantes foi preso, estava dormindo ao lado do localizador GPS.

Crie sua loja virtual com o Google Checkout

Tweet

O Google lançou mais um produto super interessante, é um gadget que permite que você crie uma loja virtual usando o Google Checkout (para processamento das transações) e com o Google Docs (para gerenciamento dos produtos disponíveis na loja).

Com o Google Checkout store, não há a necessidade de conhecimentos técnicos ou tarefas programação complicada. Você pode ter a loja virtual pronta em alguns minutos. De momento, o serviço Google Checkout store não está disponível para o Brasil, apenas para Estados Unidos e Reino Unido.

Instale o Chromium no Debian Lenny

Tweet

O Chrome é um novo browser desenvolvido pela Google Inc com auxilio da comunidade. Infelizmente, não existe uma versão plenamente funcional para GNU/Linux, apesar de a versão beta está evoluíndo satisfatóriamente.

Existe um projeto chamado Chromium que está desenvolvendo um outro browser baseado na árvore de código do Chrome, mas com alguns dos recursos ainda ausêntes no projeto original para GNU/Linux.

Para instalar o Chromium no Debian Lenny, é preciso adicione o repositório do Chromium para Ubuntu a seu gerenciador de pacotes. Para isto, abra o Synaptic (Sistema >> Gerenciador de Pacotes Synaptic >> Configurações >> Software de Terceiros >> Adicionar)

Uma vez adicionado o repositório (caso deseje adicionar o repositóri de fontes, repita mudando o tipo para fonte), importe a chave usada para assinar os pacotes, digitando o comando abaixo em um terminal:

sudo apt-key adv --recv-keys --keyserver keyserver.ubuntu.com 0xfbef0d696de1c72ba5a835fe5a9bf3bb4e5e17b5

Atualize a lista de pacotes clicando em Recarregar e em seguida, procure por chromium-browser, selecione-o para instalar e em seguida clique em Aplicar.

O browser estará disponível em Aplicações >> Internet >> Chromium Web Browser. Divirta-se navegando na web com este excelente software.

Quantas Cyberwars estão sendo travadas hoje?

Tweet

Nos últimos anos, as notícias sobre pragas digitais (vírus, worms, spams, botnets) estiveram sempre presentes na mídia tradicional. Recentemente, o episódio do Confircker recebeu atenção especial nas emissoras nacionais.

Apesar de toda esta cobertura para estas ameaças 'simples', outras ameaças bem mais complexas e perigosas se desenrolam na Internet. Com os mais diversos interesses, os governos de diversos países utilizam a Internet para devassar a vida das pessoas (não importando suas nacionalidades) usando como desculpa a defesa da soberania e segurança nacional.

Recentemente, os EUA divulgaram que responderá de forma tracional a ataques realizados no campo de batalha digital. De certa forma, isto foi uma forma encontrada por aquele governo para tentar intimidar seus agressores através de seu poder militar tradicional, uma vez que não consegue vencer a guerra digital.

OTAN, EUA e China possuem programas dentro de suas forças militares especificamente para lidar com guerras digitais. É comum encontrar campanhas na Internet patrocinadas pelos governos recrutando talentos para lutarem neste novo front.

O crescimento das botnet's é assustador. Em abril/2009 a Finjan rastreou uma rede controlada da Ucrânia que já possuia mais de 1.900.000 computadores de diversas partes do mundo. Os computadores controlados pela botnet incluíam além de máquinas domésticas e coorporativas, um elevado número de sistemas em redes dos governos.

Para as empresas, manter seus sistemas conectados a Internet é essencial, mas a cada dia torna-se mais caro e arriscado, sendo necessário um bom investimento em governaça da segurança da informação, bem como em sistemas que auxiliem na proteção dos sistemas conectados e a sensibilização dos seus funcionários.

O que é Conficker?

Tweet

O Conficker é um novo vírus-worm que pode espalhar-se através de redes de computadores sem a interação do usuário, obtendo assim controle remoto dos computadores infectados.

O vírus-worm pode infectar computadores com senhas fracas, pastas compartilhadas e outros recursos de rede abertos. O vírus-worm pode infectar também discos, mídias removíveis e demais dispositivos de armazenamento conectados a computadores infectados.

Especialistas em segurança relataram que um ataque deste vírus-worm (que já possui três variaçôes conhecidas) está programado para o dia 1 de Abril de 2009 - embora não saibam o que ele fará.

Caso você seja um usuário(a) do sistema operacional Microsoft Windows, a melhor política de proteção para esta e outras ameaças de vírus/worms é certificar-se que você está usando senhas fortes, e que as últimas atualizações de segurança e correções para seu anti-vírus e sistema operacional estejam devidamente instaladas.

Os sistemas operacionais GNU/Linux, GNU/Hurd, FreeBSD, Mac e demais variantes de Unix não são afetadas por mais esta ameaça digital.

Para obter uma cópia do Debian GNU/Linux acesse
http://www.debian.org/

Para obter uma cópia do FreeBSD acesse
http://www.freebsd.org/

A Microsoft mantém uma página com mais detalhes sobre o vírus-worm Conficker no endereço
http://www.microsoft.com/protect/computer/viruses/worms/conficker.mspx

Veja como detectar se os computadores de sua rede estão infectados

Scanner para Conficker

Tweet

Os pesquisadores Felix Leder e Tillmann Werner juntamente com o Dan Kaminsky disponibilizaram um scanner simples para detectar se um sistema está infectado com o Conficker. O scanner é escrito em Python e pode ser baixado daqui

Basta descompactar o arquivo e executar o scs.py. É necessário instalar os pacotes Python crypto e e impacket (para Debian, basta digitar aptitude install python-{crypto,impacket} para realizar a instalação dos pacotes e suas dependências).

Utilizando Certificados Digitais da ICP-Brasil - Banco do Brasil

Tweet

A ICP-Brasil - Infra-estrutura de Chaves Públicas Brasileira - é um conjunto de entidades, padrões técnicos e regulamentos, elaborados para suportar um sistema criptográfico com base em certificados digitais. Criada a partir da percepção do Governo Federal na importância de se regulamentar as atividades de certificação digital no País, denota maior segurança nas transações eletrônicas e incentiva a utilização da Internet como meio para a realização de negócios.

A utilização de certificados está cada vez mais comum. Alguns bancos já utilizam certificados emitidos pela ICP-Brasil para substituir os tradicionais logins/senhas, outros emitem seus próprios certificados para acesso seguro por seus clientes. Na Secretaria da Fazenda, há diversos processos que só podem ser realizados com certificados digitais.

Para utilizar os certificados emitidos pela ICP-Brasil no Fedora GNU/Linux, instale os pacotes de software esc, pam_pkcs11, coolkey, ifd-egate, ccid, gdm, authconfig, authconfig-gtk, nss-tools, pcsc-lite, openct, opensc, mozilla-opensc-signer, pcsc-tools, pcsc-perl, pcsc-lite-openct através do Adicionar/Remover programas ou utilizando o comando abaixo:

# yum install esc pam_pkcs11 coolkey ifd-egate ccid gdm authconfig authconfig-gtk nss-tools pcsc-lite openct opensc mozilla-opensc-signer pcsc-tools pcsc-perl pcsc-lite-openct

Com estes softwares instalados, você utilizar seu smart card/token e acessar seu certificado para assinar/criptografar e-mail e/ou documentos, acessar sites de governo, dentre diversas outras coisas. Para utilizar seu certificado digital com algumas aplicações Java, será necessário criar um link simbólico com o comando abaixo:

GNU/Linux 32 bits
# ln -s /usr/lib/opensc-pkcs11.so /usr/lib/pkcs11/opensc-pkcs11.so

GNU/Linux 32 bits
# ln -s /usr/lib64/opensc-pkcs11.so /usr/lib64/pkcs11/opensc-pkcs11.so

Uma vez que os procedimentos anteriores tenham sido efetuados com sucesso, para acessar sua conta no Banco do Brasil via Token/Smart Card no GNU/Linux, siga os passos abaixo:

1. Logue na sua conta do BB normalmente
2. Vá em "Outras Opções" -> "Certificação Digital" -> "Cadastramento"
3. Será solicitado a inserção do Token/Smart Card, faça-o
4. Deverá ser exibido o seu certificado, confirme as informações e clique em OK
5. Será apresentada a tela com suas contas no BB, selecione as que deseja e clique OK
6. Pronto, o serviço estará configurado

Diferenças

1. Computadores não cadastrados... limites nas operações
2. Computadores cadastrados... limites brandos nas operações
3. Certificado Digital A3 (token/sc)... praticamente sem limites

Assim, quando precisar novamente acessar sua conta no BB, clique sempre em Certificado Digital A3 e forneça a senha do seu certificado quando solicitado.