Segurança da Informação, Hacking, PenTest, malware, analise forense. Um blog para quem acha que segurança importa.

segunda-feira, 30 de agosto de 2010

Hacker vs Cracker

Li recentemente um artigo em um determinado jornal local definindo Hacker como "Pirata Cybernetico" ou "Pirata Informatico", decidi questionar o jornalista responsável sobre tal termo utilizado e recebi uma resposta me informando que o termo estava adequado ao senso comum e era suficiente para o leitor compreender o contexto.

Pergunto: E quando o senso comum falha? E quando a mídia ENSINA errado?

Adequado ao senso comum ou não, eu me sinto na obrigação ética e moral de informar tanto ao leitor comum como aos jornalistas e outros interessados sobre esses termos.

Primeira coisa, a definição desses termos dá confusão.
Por definição, Hacker é alguem que faz móveis com um machado. (Agora voce deve estar se perguntando ... o que isso tem haver com informatica ? Já chego lá.) Quem faz móveis com um machado é um especialista. Assim, o termo Hacker é utilizado para definir um especilista, hoje dá área de informatica. Teoricamente voce pode ter um cozinheiro hacker, um mecanico hacker, etc. Hoje em dia generalizou-se usar hacker para pessoas vinculadas a área de informática.

Cracker, vem de quebrar. Era o termo utilizado para quem "quebrava códigos" ou "crackeava programas" e não existe nada de mais nisso. Eu mesmo "crackeava jogos" com o intuito de colocar "vidas infinitas". Com isso, aprendi muito sobre arquitetura de computadores, linguagems de programação (Assembly), Segurança de Computadores e Software em geral.

Na área de segurança é comum ouvir o termo "Password Cracker", programa desenvolvido para testar (e descobrir) senhas, que assim como muitas outras coisas, pode ser utilizado para o bem ou para o mal.
Em algum momento da história alguém quis separar quem é bom de quem é ruim.
Colocaram Hacker para quem é bom e Cracker para quem faz atividades maliciosas. Tudo errado.

Vale saber que a palavra cracker, não é muito bem vista na comunidade de segurança, pois nos Estados Unidos é tido como uma palavra vinculada a racismo, igual a dizer "branquelo" no Brasil.

Pirata é um marginal, pessoa ou grupo com o intuito de promover saques e pilhagem para obter riquezas e poder.
Pirata é MAU. E o que pirata tem haver com Hacker? Alguém pode me explicar????

Um Hacker pode ser um pirata, porém um hacker tambem pode ser a pessoa que te ajuda quando você mais necessita para evitar que seus dados sejam roubados por piratas reais.

Assim, antes de rotular ou prejulgar, pense novamente, principalmente as pessoas (jornalistas) que têm em suas mãos o poder de INFORMAR.

Como definir quem é bom e quem é mau? Simples, BOM e MAU. Não tente inventar termos ou rótulos, quanto mais simples melhor.


Quem se importa? O Senso comum esta aí mesmo.

terça-feira, 17 de agosto de 2010

Passa a senha ai MANO ?

Recentemente a midia noticiou que uma pessoa, personalidade, teve seu perfil do Twiter invadido.
Não entendo nada de futebol, (a não ser que bola na rede é gol) mas conheço muito bem esse tipo de problema .
Recebi a mensagem de um amigo chamado Ricardo, querendo saber como pode acontecer de alguem "ter seu perfil do Twiter invadido".
Para mim, Invadido é um termo pesado, mal utilizado pela media em geral, mas vamos ao que interessa.

Para a fraude que aconteceu, temos algumas alternativas.
1. Brute force, significa tentativa e erro. Varias possiveis senhas, são testadas, até que a senha certa apareça.
1.1 Essa lista de possiveis senhas pode ser conseguida, baseado nas pessoas e em seus gostos, comportamentos, etc.
2. Golpe de engenharia social. A pessoa pode receber um email, pedindo para ser adicionada a sua rede de relacionamentos. Voce clica no link, vai aparecer uma pagina IDENTICA a do serviço original, voce preenche os dados e.... mais alguem ja tem sua senha.
3. Uso da mesma senha em mais de um serviço, e esse outro serviço ser vulneravel, e/ou atacado.
4. Existem possibilidades vinculadas a Malwares ( vulgamente conhecidoso como Virus ou Cavalos de troia ) especificos para captura de senhas.
5. Uso de redes NÃO CONFIÁVEIS e/ou computadores (muito) compartilhados (como LanHouses)
6. Abuso Fisico, alguem teve acesso a sua maquina e instalou um programa de captura de senhas ( tambem possivel se voce deixa a senha gravada no navegador )
7. Pura engenharia social. ... Alguem te pergunta qual é a sua senha e voce responde ...

Vale LEMBRAR, que Quando mais uma pessoa sabe uma senha, isso deixa de ser segredo e as possibilidades de vazamento da mesma crescem baseado na quantidade de pessoas que sabem essa senha.

( acho que esqueci algo mas não me lembro o que ... )

Alguns detalhes sobre o serviço mencionado.
1. A tela de Login, não possui mecanismos de Captcha ( aquelas letras embaralhadas que vc tem que digitar ), facilitando o uso de ferramentas que fazem testes de senha.
2. Ano passado o serviço divulgou uma lista de 370 senhas Banidas, ( senhas que não podem ser utilizadas no momento do cadastro ), porem essa restrição está no codigo HTML da pagina, escrito em JavaScript. ( sem maiores detalhes )

Mesmo com diversas ações de segurança, sempre algo é deixado para tras, em nome dos negocios e da usabilidade.

Não estou culpando e nem protegendo ninguem.

Ricardo, troque sua senha meu amigo.
Se não acreditar nisso ou se não quiser, deixa prá lá.
Quem se importa ?

Abraços