A arte de decifrar senhas da internet

senha 11

Na internet, a cor mais popular é o azul – ao menos quando se trata de escolher senhas.

Uma das teorias para explicar isso é a de que muitos dos websites mais populares da rede (como Facebook, Twitter e Google) usam a cor azul em seus logotipos. Isso influenciaria, de forma subliminar, as escolhas dos internautas na hora de criar senhas quando se registram nos sites.

Essa é apenas uma entre várias peculiaridades identificadas por estudos sobre o comportamento humano no que diz respeito à escolha de senhas.

senha a1

Alguns, por exemplo, concluíram que mulheres ruivas tendem a escolher as melhores senhas e homens que usam barba ou são descuidados com o cabelo, as piores.

Mulheres optam por senhas longas, enquanto os homens apostam na diversidade.

Essas informações vieram à tona por causa do vasto número de senhas que está sendo roubado de websites e de outras empresas.

Em casos recentes, nomes de usuários e senhas foram surrupiados do site de softwares Adobe, do Linkedin e do site de jogos RockYou.

E qual foi a conclusão número 1 dos especialistas que analisaram esse material? Precisamos ser mais espertos e menos previsíveis na hora de criar nossas senhas.

Conexões Pessoais

Uma boa senha seria uma frase ou combinação de letras com pouca ou nenhuma conexão com a pessoa que a escolheu, aconselha o pesquisador de segurança cibernética Per Thorsheim.

senha 1

Aniversários, data do casamento, nomes dos irmãos ou dos filhos, dos bichos de estimação, número da casa, da rua onde mora ou do pop star favorito não são recomendados, diz ele.

No entanto, quando pesquisadores pediram a participantes de um estudo que escolhessem senhas de quatro dígitos, os números escolhidos foram reveladores.

Uma das primeiras descobertas foi de que as pessoas tendem a gravitar em torno de um pequeno número de opções. Em alguns casos, 80% das escolhas vêm de apenas 100 números diferentes.

senha 2

A constatação desse aspecto íntimo e pessoal na escolha das senhas possibilitou aos especialistas entender como funciona a atividade dos hackers, como são chamados os piratas cibernéticos.

Força Bruta

“Agora, a força bruta é a última tática a que recorreríamos”, diz Per Thorsheim.

Força bruta é como especialistas de tecnologia como Thorsheim chamam a técnica de concentrar toda a energia de um computador na tarefa de “quebrar” senhas.

O último recurso é o que especialistas como Per Thorsheim chamam de “Força Bruta”. Todo o poder de um computador é concentrado na tarefa de “quebrar” senhas. Ataques como esses começariam pela letra “a” e depois passariam por todas as combinações possíveis de números e letras até chegar a “zzzzzzzz”.

senha 3

A segurança de uma senha dependia de tornar impossível, a um computador, testar bilhões de combinações de senhas em um período razoável de tempo. Uma fórmula matemática (o tempo multiplicado pela quantidade de tentativas) derrotava os hackers.

“Porém” – explica outro pesquisador, Yiannis Chrysanthou, da empresa de segurança KPMG – “não é mais uma questão de matemática porque as pessoas selecionam suas próprias senhas.”

Muitos especialistas trabalhando nesse setor estão tentando melhorar seus métodos de decifrar senhas para poder orientar clientes na escolha de senhas mais seguras.

senha 4

Eles também tentam desvendar senhas de listas roubadas para ter uma ideia melhor sobre o que as pessoas estão escolhendo. Nessas situações, com frequência, o que está sendo desvendado é uma sequência de letras conhecidas como um “hash”.

Essas sequências com números fixos de caracteres não podem ser invertidas para revelar que caracteres lhes deram origem. Entretanto, como algoritmos que geram “hashs” obedecem a um conjunto de regras definidas, o número “123456″ vai gerar sempre a mesma (aparentemente aleatória) sequência de letras. Por exemplo, no sistema MD5 de geração de hashs?, a sequência de números “123456″ sempre produz “e10adc3949ba59abbe56e057f20f883e”.

senha 6

Se você gerar hashes para todas as palavras de uma longa lista que estejam relacionadas de alguma forma a um único alvo, aumentam as chances de você adivinhar a senha desse alvo, disse Chrysanthou – que desenvolveu novas regras para se desvendar senhas enquanto estudava no Royal Holloway, University of London, em Londres.

Ataques direcionados a um alvo tendem a rastrear a mídia social à procura de palavras, nomes e datas importantes para a vítima. Saber os nomes dos filhos, dos bichos de estimação, dos pais ou da rua onde ela mora pode ajudar alguém a adivinhar sua senha rapidamente.

Os “malvados” tentam adivinhar senhas – disse o pesquisador de segurança cibernética Bruce Marshall – porque eles sabem de uma outra verdade sobre nós, seres humanos: somos preguiçosos.

senha 5

Por conta disso, há grandes chances (segundo alguns estudos, 70%) de que uma senha associada a um endereço de e-mail ou um site seja usada também para acesso a outros serviços online.

Muitos ladrões roubam listas de senhas de sites pequenos e depois testam essas senhas em outros sites para ver se funcionam.

Conclusão final: se você quiser escolher uma senha mais segura, não use combinações simples de palavras e números, escolha palavras que são apenas levemente associadas a você e não use a senha que você utiliza para transações bancárias online em nenhum outro site.

senha 7

Experimento: Decifrando Senhas

Fiz uma experiência para saber quão fácil é decifrar a senha de alguém.

Armado com uma lista de hashes, senhas tiradas de um entre os vários sites onde listas de senhas roubadas são publicadas diariamente, procurei um software que me ajudasse a desvendá-las.

Optei por dois dos mais conhecidos, Hashcat e John The Ripper. Baixei minhas hashes, selecionei minhas listas de palavras, apliquei minhas regras e deixei os programas fazerem sua parte.

senha 9

Pouco tempo depois, eu já tinha uma lista de senhas desvendadas – não todas.

As palavras e frases que emergiram primeiro eram incrivelmente familiares. Não me surpreende nem um pouco que as contas das pessoas na internet sejam hackeadas com tanta regularidade se elas escolhem senhas como “aaa123″.

senha 10

 

Fotos: Luna Nera/Brunes, Blondes, Rousses
Fonte: BBC Brasil

Chega de choro: delete o app Lulu

lulu

Para os homens: saiba como deletar o seu perfil no aplicativo Lulu

Você se sentiu invadido com a história do app Lulu? Então desative a sua conta no serviço

Caso você não tenha ficado sabendo ainda, recentemente um aplicativo chamado Lulu (disponível para Android e iOS) virou febre entre algumas mulheres.

Com ele, a moça pode acessar o perfil no Facebook de algum amigo homem e, então, preencher um relato sobre o rapaz, avaliando várias das suas características pessoais e físicas.

Qual o problema? A questão é que, via de regra, todos da rede social podem receber uma avaliação, mesmo que nunca tenha nem sequer ouvido falar a respeito do aplicativo.

Embora, supostamente, o app não seja problemático porque apenas amigas podem escrever a seu respeito e pelo fato de ser possível somente responder a questionários (em vez de escrever um comentário), ainda assim pode ser que haja homens que não queiram essa “propaganda” gratuita. Fora isso, você deve conseguir imaginar quais as possíveis consequências negativas desse serviço.

Lulu 1

Contudo, existe uma solução! O Lulu oferece um meio para você “desativar” o seu perfil do serviço.

Pré-requisitos

Acessar a página do app Lulu (clique aqui).

Faça você mesmo

Ao clicar sobre o link acima, você é direcionado para a página responsável por desativar a sua conta no serviço. Clique em “Remove my profile now”.

Feito isso, uma mensagem tentando persuadir você de que o aplicativo é uma boa ideia será exibida. Apenas ignore-a e use o botão “Yes, remove my profile”.

Talvez uma nova janela seja aberta para que você concorde em compartilhar suas informações gerais do Facebook com o serviço. Aceitando, uma mensagem que indica o apagamento da conta é exibida.

Pronto, supostamente isso faz o serviço impedir que o seu perfil seja visualizado e comentado por meio do aplicativo Lulu. A última etapa do processo mostra um link para reativá-lo, caso você se arrependa – vale notar que há um atraso de 15 minutos para todas as suas informações serem removidas completamente.

Fonte: Tecmundo/Allan Valon

lulu-app

 

Privacidade na sua internet

cryptoparty A primeira edição da CryptoParty São Paulo ocorrerá no último sábado deste mês, dia 30 de novembro, das 9h30 às 19 horas. A CryptoParty (ou CriptoFesta) é um evento gratuito e aberto ao público para aprender como usar ferramentas básicas de criptografia para dar maior segurança à sua comunicação. O objetivo dos organizadores é incentivar a criação e disseminação de uma cultura de defesa da privacidade entre as pessoas que utilizam a Internet.

Os participantes poderão, em um formato (meio) descontraído, assistir palestras sobre segurança da informação e privacidade, discutir o tema e também conhecer as ferramentas de proteção contra a vigilância praticada por empresas e governos.

a3

A cada nova revelação do WikiLeaks e de Edward Snowden ficamos apavorados e preocupados com a ameaça do controle e da vigilância. Então é necessário não só lutar politicamente contra novas leis e práticas de vigilância, mas também torná-la tecnicamente impossível. “O universo acredita na criptografia”, escreveu Julian Assange, fundador do Wikileaks, da embaixada do Equador em Londres, uma vez que “é mais fácil criptografar informações do que descriptografá-las”[ Julian Assange, Cypherpunks: Liberdade e o Futuro da Internet]. Se a política falhar (e não estamos num momento muito otimista), a criptografia poderá ser a nossa última esperança contra o domínio das grandes empresas e governos.

A CryptoParty é uma iniciativa global[cryptoparty.in] e descentralizada para apresentar softwares de criptografia e explicar seus conceitos para o público em geral. Portanto, não é necessário conhecimento prévio sobre o assunto para participar. A CryptoParty São Paulo está sendo organizada, desde o início de outubro, pela Actantes, entidade de defesa da privacidade e liberdade na rede [actantes.org.br / actantes.inf.br], pelo Grupo de Trabalho “Segurança e Privacidade” da rede social livre Saravea[GT Segurança e Privacidade e CryptoParty - necessitamos de colaboração em diversos subgrupos de trabalho!] e por colaboradores individuais.

a2

A programação do dia começará às 9h30 e terminará às 19h e contará com a realização de oficinas (tutoriais), mesas de debate e desconferências (palestras relâmpago). O anonimato da rede Tor[torproject.org], chave pública de criptografia [ GPG - https://pt.wikipedia.org/wiki/GNU_Privacy_Guard] e Off The Record [ OTR - https://en.wikipedia.org/wiki/Off-the-Record_Messaging] são algumas das ferramentas a serem apresentadas e discutidas durante a festa.

No final da tarde, às 17h, o criptógrafo e professor da UnB, Pedro Rezende fará uma palestra mostrando os riscos da biometria para as sociedades democráticas. Falará também da urna eletrônica brasileira, desmistificando o discurso de segurança impecável e mostrando seus pontos obscuros e falhas.

Além disso, durante o dia inteiro teremos um Install Fest (festival de instalação) do sistema operacional GNU/Linux Debian [Debian - http://debian.org/]. A CryptoParty adota o software livre como marco zero na discussão de segurança. Nós não confiamos em softwares proprietários, isto é, em programas que não nós permitem observar, auditar, modificar e compartilhar o código fonte [Essas são basicamente as 4 liberdades definidas no Projeto GNU que definem um software livre].

a1

A programação completa pode ser vista no site [https://cryptoparty.inf.br/#programacao] ou através do hidden service do Tor [http://7rpom2smywmsynlu.onion]. Pedimos para todos os participantes que leiam antes a seção “dúvidas e perguntas mais frequentes”(FAQ) da CryptoParty [https://cryptoparty.inf.br/#faq].

Fotos: Chuchotements et Plaisir des yeux
Fonte: midiaindependente.org/pt/blue/

a4

Tempos de espionagem mundial


a9

Conheça os métodos usados para espionagem atualmente.

Após o escândalo e descoberta da espionagem que os Estados Unidos praticam em vários países – inclusive no Brasil -, o tema ficou em destaque. As técnicas de espionagem utilizadas atualmente são bem diferentes e mais modernas do que na época de 007, apesar da maioria ainda ser bem obscuro. O fato é que a espionagem é algo muito antigo e sempre despertou curiosidade nas pessoas. Conheça algumas das novas armas da espionagem mundial.

a2

Espionagem na internet 
A espionagem na internet, também conhecida como cyber espionagem, é o ato de obter informações sem o conhecimento da outra pessoa ou empresa. Sem dúvida, a internet trouxe diversas inovações e benefícios ao mundo, e a espionagem também foi beneficiada por ela. Governos usam o poder da internet para espionar inimigos políticos e econômicos ou para ter vantagem militar. Para isso, é possível se utilizar de softwares maliciosos e acessar um computador do mais remoto país com relativa facilidade. Esse tipo de espionagem envolve até a análise da atividade em redes sociais como Twitter e Facebook.

a4

Programa de vigilância Prism 
O programa de vigilância de alta tecnologia Prism é um dos utilizados pelos Estados Unidos para monitorar atividades de diversos países. A empresa NSA, denunciada como a principal de ações de espionagem do país, tinha acesso aos servidores de nove diferentes empresas, incluindo atividades no Google, Microsoft, transferências de arquivos, chats, chamadas de voz, e-mail e outras comunicações online.

a3

Cabos de fibra ótica 
Foi descoberto que o serviço de inteligência britânica se utilizada de cabos de fibra ótica para espionar e compartilhar as informações obtidas com a NSA. Por meio deles, é possível copiar dados enviados e ligações telefônicas através dos cabos submarinos que ligam os principais países de interesse. A Agência Federal, entretanto, se defende afirmando que só é possível visualizar quem envia e recebe as informações, sem maiores detalhes.

a8

Escutas telefônica 
Um dos métodos mais famosos de espionagem, a escuta em telefone é muito utilizada até hoje. A escuta telefônica se dá por meio do grampo e acredita-se que já existe há décadas para obter informações de países inimigos (e até de países amigos). Estima-se que 80 cidades pelo mundo sofrem esse tipo de espionagem. As conversas seriam enviadas por meio de sinais de rádio até os equipamentos de coleta para posterior análise.

a6

Espionagem dirigida 
Uma das principais novidades da espionagem é a técnica dirigida. Ela consiste em realizar operações de escuta em edifícios específicos, como foi o caso de computadores da União Europeia e o escritório da ONU. Os documentos foram revelados pela Snowden, que mostrou que os Estados Unidos tinha acesso a edifícios específicos que fossem de seu interesse.

a5

Informações por meio de terceiros 
Apesar de não ser um método tecnológico propriamente dito, a espionagem também é comumente feita por meio de informações passadas por terceiros. Essas pessoas podem ser ex-funcionários (ou até mesmo atuais) que passam informações após chantagem ou por interesse próprio. Esses agentes infiltrados podem passar importantes informações e interceptar comunicações em e-mail, fax ou telefone.

a1

Outras possibilidades 
Muitos dos métodos atuais de espionagem não são conhecidos. Mas acredita-se que sua modernização tenha se dado por técnicos que encontraram falhas em softwares criptografados, até então tidos como extremamente seguros. Ao encontrar falhas, o acesso às informações transmitidas e recebidas se torna muito mais simplificado. Também há a teoria que ainda não foi confirmada de que a NSA teria desenvolvido um computador quântico. A sua característica principal seria a possibilidade de um número quase que infinito de operações matemáticas, tornando possível decodificar qualquer aparelho ou país com as informações coletadas.

a7

Fotos: Chuchotements et plaisir de yeux/Fifty Grey Shades of us reloaded Again/La Dama Nera
Fonte: Jornal GGN/Yahoo Contributor Network/Natália Marinho

a11

Um mundo sem paz

Vivemos em um mundo ainda na era ‘pré’ medieval.

Nossos líderes são corruptores, criminosos e charlatões.

Nossa ‘elite’ é preguiçosa, mesquinha e corrupta.

O bem viver virou direito de poucos (1%) sobre o cadáver de muitos (99%).

Estamos no ano de 2013 (mais de um bilhão de anos depois) e ainda não estamos em paz. Estamos em guerra.