Anonabox: roteador com Tor é a fraude do ano no Kickstarter

No último sábado, surgiu no Kickstarter um projeto chamado Anonabox, que basicamente é um pequeno roteador Wi-Fi com o Tor pré-instalado. O conceito é interessante e muitíssimo bem vindo: anonimizar/criptografar toda sua conexão com zero de configuração. Assim, qualquer um em busca de anonimato e privacidade online, e sem precisa instalar ou configurar nada, teria sua conexão completa e lindamente tunnelada pelo Tor.

anonabox

Porém, como eu já conhecia o PirateBox, imediatamente notei semelhança de conceito e aparência, mas sem tempo para comparar, dei o benefício da dúvida ao autor e considerei que pudesse ser mera coincidência. Se você não conhecia, o PirateBox é uma solução open-source surgida há alguns meses e que permite flashear alguns pequenos roteadores (como os modelos MR3020 e WR703N da TP-Link) com uma cópia customizada do OpenWrt que viria com o Tor pré-instalado.

Ontem, graças a enorme cobertura dos maiores sites de tecnologia do mundo, a campanha foi catapultada para estratosfera. Em questão de horas, o financiamento arrecadado saltou de $75k pra $350k (no momento que escrevo esse post a cifra já passou da marca do meio milhão de dólares).

“O autor do Anonabox acertou a mão ao se inspirar no PirateBox, honestamente levando pras massas algo que ajuda a suprir a enorme demanda atual por privacidade”, pensei.

Sabia de nada, inocente. Hoje descobri que menosprezei a capacidade de oportunismo do sujeito. Horas atrás surgiu um post no r/privacy expondo diversas evidências que mostram como o hardware do Anonabox é simplesmente um clone chinês do WR703N, disponível pra compra via AliExpress por menos de $20, a despeito do autor alegar que o protótipo seria criação sua.

Nessa altura, não há mais dúvidas de que o projeto está enganando milhares de compradores ao se passar por algo que não é o que alegou ser, o que certamente infringe o ToS do Kickstarter.

Vale acompanhar o caso pra descobrir se veremos a mais rápida arrecadação dos últimos tempos sendo sumariamente desativada, ou o site fará vista grossa pra não perder sua comissão, mesmo lhe custando mais uma picaretagem no seu histórico de scams.

 

 

10% das antigas senhas vazadas do twitter funcionam no Instagram

Vou me aprofundar nessa questão e estender esse post quando eu tiver a chance. Por hora, apenas uma observação curiosa: após codar um simples script que tenta logar no Instagram com senhas vazadas de usuários do twitter entre 2011 e 2013, cerca de 10% se mostraram válidas.

instagram

Esse rápido teste demonstrou claramente duas coisas:

  • O instagram até implementa alguma proteção contra um número excessivo de logins provenientes do mesmo IP (2 minutos de banimento do IP a cada 150 tentativas falhas de login), mas nesse ritmo um hacker conseguiria testar mais de 100.000 contas/senhas em um único dia. Acredito que o Instagram poderia restringir bem mais. Além disso, eles precisam o quanto antes oferecer uma opção de autenticação em dois fatores.
  • Uma boa parte dos usuários vão sempre reaproveitar suas senhas. Com tantos serviços e redes sociais para gerenciar, escolher uma senha diferente pra cada um e memorizar todas elas se tornou algo inviável. Daí a importância dos gerenciadores de senhas como 1Password ou o gratuito KeePass, que criam senhas randômicas a cada nova conta registrada e preenchem o formulário de login automaticamente. Tomara que essas ferramentas se propaguem cada vez mais rápido.

Return to Source: ‘Philosophy & The Matrix’ – legendas em português

tv-rts

tl;dr: Com ajuda de um entusiasmado grupo de colaboradores,  traduzi esse documentário que tenta decodificar os significados e origens conceituais explorados numa das trilogias mais fantásticas já criadas pelo cinema.

Para baixar o fime já com as legendas, no banner abaixo clique em ‘DOWNLOAD TORRENT’.
Na página que abrir, clique novamente em ‘DOWNLOAD TORRENT’ ou no ícone do ímã.

***

Concebido no ápice da cultura cyberpunk do final dos 90s, Matrix deixou deliciosas seqüelas em minha geração. Ao introduzir de forma extraordinária e quase irrecusável profundos conceitos existenciais, me intrigou e incentivou em pesquisas metafísicas que duram até hoje. A impressão que tenho é a de que nenhum outro filme tão popular despertou tamanha paixão de públicos tão variados: de programadores a teólogos, de agnósticos a espiritualistas esotéricos. Cada pessoa que conheço e que procura enxergar além da cortina do óbvio simplesmente adora esse filme.

E só agora, uma década após o fim da trilogia, encontro um documentário à sua altura (e oficial), que imediatamente decidi traduzir e legendar com ajuda de amigos e conhecidos.

Raridade semi-desconhecida

Return to Source: Philosophy & ‘The Matrix’ foi produzido logo após o lançamento do último filme da trilogia e faz parte do disco 8 do box  The Utimate Matrix DVD Collection, lançado em 2004 e relançado em Blu-ray em 2009. Foi dirigido por Josh Oreck, o mesmo produtor de The Matrix Revisited (2001), documentário que cobriu o making of do primeiro filme a pedido do próprios irmãos Wachowskis. Ou seja, parece ser uma análise com apoio dos criadores da trilogia.

Mas, mesmo após uma década, infelizmente Return to Source permanece obscuro. Aparentemente a Warner decidiu que não valeria o esforço legendá-lo para nenhum idioma além do francês. Uma pena. Essa triste decisão foi o suficiente para tranformá-lo em um material raro, desses que só se encontra em discussões de estudiosos em fórum underground e blogs marginais (como esse :D), já que o documentário nem mesmo é citado na Wikipedia.

Graças a esse desconhecimento, não há qualquer legenda online – com exceção de uma em romeno, feita por um fã, e que foi de grande ajuda para a sincronia desta que fizemos em português.

Referências metafísicas, mitológicas e religiosas

That aura scene

That aura

O documentário entrevista filósofos, professores, estudiosos e fãs, que falam sobre as possíveis fontes emprestadas pelos irmãos Wachowski, passando por concepções budistas, gnósticas, o Véu de Maya dos hindus, as escrituras Upanishades de 800 aC, o Mito da Caverna de Platão, o demônio de Descartes, o cérebro numa cuba do Hilary Putnam, entre outras. Essa busca pela essência primária da realidade nos faz questionar se que experimentamos é o mais “real” possível, ou se não passaria de uma ilusão (ou versão) bem elaborada por um arquiteto maior, escondida pela limitação do alcance das nossas capacidades perceptivas atuais.

Citação chave neste documentário: “É o filme perfeito para construir um curso de filosofia em torno”.

A sensação que fica após assistí-lo é de ainda mais admiração pela ambição dos irmãos Wachowski de idealizarem um projeto com tamanha abrangência intelectual e fazê-lo incrivelmente popular e bem sucedido através do entretenimento.

Curiosidade: há uma rápida citação a Philip K Dick, que em 1977,  22 anos antes da filmagem de Matrix, expôs publicamente o mesmo conceito central da história em uma palestra, defendendo o que seria uma descrição da realidade percebida através de suposta interação com outra dimensão (esse vídeo só veio a tona em 2010, 6 anos após a produção de Return to Source).

Tradução e legendagem

Assim que descobri o documentário em minhas buscas desgovernadas pelo Google, compartilhei no twitter a vontade de legendá-lo para o português e a necessidade de ajuda, sabendo que meu inglês não daria conta sozinho. No mesmo minuto recebi mensagens de pessoas se voluntariando e outras indicando amigos, o que foi suficiente pra engatar uma troca de emails que acabaria por trazer 6 pessoas para o processo de tradução, revisão e sincronia.

vlcAgora, duas semanas depois, concluímos a missão.

Muito obrigado a todos que se envolveram de alguma forma, em especial:

 

3 outras razões pra você instalar agora o Adblock Plus no seu navegador

adblockplusO Adblock Plus é um add-on (também conhecido como plugin, complemento ou extensão) compatível com os principais navegadores, disponível para Android, e segundo uma pesquisa recente, usado por 144 milhões de pessoas ao redor do mundo.

Sua principal utilidade é bloquear dispensáveis e intrusivos anúncios publicitários, ou advertisements, mas acabou se revelando uma poderosa ferramenta de prevenção e combate contra diversos outros problemas e eventos indesejáveis em nossa navegação online.

Proteção adicional contra vírus e malwares

Nenhum antivirus sequer chega perto de oferecer uma proteção infalível contra vírus. Por isso é importante se proteger em diferentes frentes e de diferentes formas. O ABP tem a capacidade de, em muitos casos, evitar que um virus atinja seu navegador, bloqueando a ameaça em uma fase anterior àquela onde o antivirus costuma agir, criando uma camada adicional de proteção no sistema.

Através de um ataque conhecido como Malvertising, criminosos criam anúncios maliciosos que geralmente redirecionam para páginas que forçam o download do vírus, ou pior, exploram alguma vulnerabilidade no navegador fazendo com o que o sistema automaticamente se infecte, dispensando a interação do usuário. Essa prática vem se tornando cada mais comum por uma simples razão: para os criminosos, mesmo tendo um custo, é muito mais eficaz infectar pessoas plantando um anúncio em um site popular e legítimo do que atraindo visitantes para seu site falso.

Um artigo recente revelou uma onda de ataques explorando anúncios dentro do site java.com, empresa criadora do infame plugin com o mesmo nome. Meses antes, até o YouTube permitiu anúncios maliciosos em sua rede de anúncios, o que pode ter causado infecção de muitos milhares de pessoas. Esses incidentes mostram que não são apenas os sites de torrent e pornografia os únicos afetados por banners maliciosos, e que é indispensável uma proteção por parte do usuário.

Ganho de performance por economia de recursos

Exibir todos os anúncios de todos os sites visitados significa um aumento considerável na quantidade de elementos gráficos exibidos e processados pelo navegador. Isso exige mais processamento do sistema, mais memória consumida, mais dados trafegados e consequentemente um maior consumo de bateria em laptops, tablets e celulares. Com ABP você ganha a capacidade de bloquear qualquer coisa, desde anúncios de texto até vídeos e animação em Flash, formato de conteúdo multimídia que vem caindo em desuso também por ser um devorador de recursos do sistema.

PROTIP: caso você decida bloquear o Flash, certifique-se de alterar o modo de exibição padrão de vídeos no YouTube para HTML5, o que pode ser feito nessa página.

Aumento de privacidade online

Assim como a proteção contra vírus, a conquista por uma razoável privacidade online passa por um processo que envolve a adoção de bons hábitos e o uso de boas ferramentas, e o Adblock Plus certamente é uma delas.

A cada sessão de navegação em um site popular, várias empresas começam a monitorar sua atividade online e salvar um histórico sobre sua navegação. Essa prática é conhecida como Ad Tracking, e é geralmente explorada por agências de rastreamento publicitário possibilitando o retargeting de consumidores, tática que insistentemente oferece produtos e serviços com base em seu histórico de pesquisas e navegação. Com Adblock Plus você pode facilmente neutralizar esse tipo de rastreamento, aumentando sua privacidade sem precisar recorrer ao modo privado do navegador.

Segurança no WordPress: 5 medidas matadoras pra proteger o login do seu blog

“O que devo fazer pra tornar meu blog seguro e protegido contra ataques no login?”. Essa é a pergunta que todo administrador de WordPress preocupado com segurança já se fez. Trabalhando durante anos como analista e pentester, tive a oportunidade  de explorar a insegurança de diversos blogs famosos, e a verdade é que cada simples ataque poderia ser evitado com alguma das recomendações abaixo. Portanto, se você implementar pelo menos duas delas, te garanto que você terá todos os motivos pra acreditar que seu WordPress se tornou mais seguro do que a maioria costuma estar.

Recomendar manter os usuários do blog com senhas fortes não conta; é óbvio, todo mundo sabe (apesar de nem todos fazerem). A idéia aqui é ir além, e apresentar outras medidas que são matadoras ao ponto de não sobrar o mínimo espaço para um atacante convencional explorar o login do seu blog. Caso precise de ajuda para implementá-las, grite nos comentários ou me mande um tweet.

Renomeie a conta administrativa padrão

Versões mais recentes do WordPress não mais criam automaticamente a conta admin. Finalmente! Agora ao instalar o CMS,  é pedido ao administrador que crie um nome de conta. Mas e os blogs instalados em versões anteriores? Bem, esses vão continuar tendo uma conta admin até que o administrador a renomeie, o que só pode ser feito diretamente pelo banco de dados:

UPDATE wp_users SET user_login = 'outronome' WHERE user_login = 'admin';

Esconda todos os usernames

Se por um lado o WordPress progrediu quando não mais criou por padrão o usuário admin, forçando assim a criação de um outro username, por outro ele continua vacilando ao expor todos os usernames para potenciais atacantes (ainda um problema na versão 3.9.2, a mais atual no momento que escrevo esse post). Ferramentas como WPScan listam todos os usernames do sistema através de força bruta em /?author=, que como o código da ferramenta mostra, busca por IDs válidos que redirecionam pra uma url com o username. Saber os usernames facilita ataques e os tornam possíveis até mesmo onde a conta padrão foi renomeada.

Felizmente, há uma simples solução pelo .htaccess que bloqueia esse abuso:

RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]

Instale um plugin de autenticação em duas etapas

Cada simples hackeamento que acontece em blogs WordPress pelo roubo ou adivinhação do login/senha poderia ser evitado com essa medida. E não há a menor desculpa para não fazê-lo. O plugin Google Authenticator é gratuito, incrivelmente eficiente e deliciosamente fácil de usar. Como o nome sugere, ele é compatível com o app Google Authenticator do Google, o mesmo app que usuários do Dropbox e Evernote que ativaram autenticação em duas etapas já costumam usar.

Eu poderia recomendar ainda a solução da Duo Security, já que eles são famosos pelo impressionante nível de conhecimento na área e oferecem uma versão gratuita para até 10 usuários. Mas o plugin anterior é tão eficaz que não vejo razão pra se depender de uma solução que passe por servidores de terceiros.

Implemente HTTPS sem custo

Sim, é grátis. A maioria dos administradores parece ainda não saber, mas a startSSL oferece certificados SSL de graça e sem burocracia, e o processo todo de solicitar e configurar me levou 20 minutos. Acessar a interface administrativa pela url com protocolo https:// é  única forma de proteger administradores e colaboradores do blog contra roubo de senhas por sniffing, além de protegê-los contra ataques side-jacking, uma técnica que consiste no sequestro de cookies que trafegam descriptografados por HTTP e permite ao atacante o acesso na interface administrativa mesmo sem a necessidade da senha. Um perigo principalmente quando se usa WiFi público.

Bana IPs maliciosos sem dó

Apenas instalar um plugin de autenticação dupla já é o suficiente para neutralizar ataques de força bruta. Mas um atacante insistente, mesmo sem obter sucesso em sua investida, pode consumir valiosos recursos do sistema, o que em alguns casos pode afetar a performance do seu site, além de comer sua preciosa banda. Uma boa forma de evitar isso é simplesmente banir IPs que tentem se logar na interface administrativa e falhem X vezes dentro de um período Y. Há alguns plugins que prometem fazer isso sem precisar instalar mais nada no servidor, ideal para quem usa o WordPress em shared-hosting, não tem acesso root e nem experiência como sysadmin; mas confesso que não testei nenhum desses e preferi usar direto o WP fail2ban, compatível com o querido fail2ban (que já uso pra proteger outros ataques no próprio Apache e em outro serviços). Com esse plugin instalado e configurado, qualquer ataque é bloqueado via iptables já nos seus primeiros segundos de ação.

Há outras medidas recomendadas de hardening no site do WordPress e que cobrem outros pontos da aplicação e valem a leitura. Falarei sobre outras em um futuro post.

bug no iCloud que causou vazamento de fotos: simples HTTP auth brute force?

Na noite de ontem a internet inteira acompanhou boquiaberta o vazamento de fotos íntimas afetando uma dúzia de celebridades – apesar de eu só ter visto umas 4 :’-(.

Como os detalhes de hackeamentos estupidamente simples não costumam demorar a aparecer, os caras da hackapp.com postaram no GitHub um código explorando supostamente o mesmo bug usado no hack, que eu imediatamente testei e confirmei que funciona como esperado:

ibruteA exploit nada mais é do que um simples brute force via HTTP basic auth numa API provavelmente obscura usada pelo iCloud, que pelo user-agent usado no código, parece fazer parte de alguma funcionalidade do recurso FindMyiPhone do iOS.

O erro da Apple foi não banir o IP do atacante ou bloquear a conta da vítima após X tentativas de login, vacilo clássico que sempre permite ataques de força bruta.

Ainda não há confirmação de que essa tenha sido de fato a brecha que causou o vazamento das fotos, mas esse bug em particular é real e não há desculpa para uma empresa com o tamanho da Apple deixar passar uma vulnerabilidade que, de acordo com a OWASP, está entre as 3 mais frequentes em aplicações web.

Como se proteger

Após a Apple corrigir esse bug em particular, outros poderão surgir a qualquer momento, então simplesmente considere não usar o iCloud pra sincronizar/backupear as fotos tiradas no iDevice. Mas se você quiser correr o risco mesmo assim, tenha certeza de usar uma senha forte e que não se repita em nenhum outro site ou serviço.

Segurança no WordPress: url /wp-admin, esconder ou não esconder?

tl;dr: Acho desnecessário e não vale a incompatibilidade causada entre plugins. Se foque em medidas realmente eficazes (veja mais abaixo).

***

Durante anos, como medida de hardening recomendei a administradores de WordPress a instalação de alguns plugins capazes de ocultar a página de login (/wp-admin e /wp-login.php), e costumava fazê-lo por uma simples razão: a url padrão sempre facilitou o acesso a uma infinidade de blogs vulneráveis a outros problemas, como senhas frágeis e roubo de cookies.

Mas nem todos concordavam. O que alegavam é que essa seria uma desaconselhável forma de segurança por obscuridade. Argumentavam que ninguém considera o Gmail inseguro porque sua interface de login é acessível a qualquer um com posse das credenciais de acesso, e que portanto os esforços devem se voltar em fortalecer a chave do portão, e não em torná-lo invisível ao inimigo. O contra-argumento que sempre defendi lembrava que o problema seria considerar essa tática como uma substituição a outras medidas fundamentais de proteção. Se renomear a url da interface administrativa é apenas uma entre diversas precauções, então podemos considerá-la como uma bem vinda estratégia de defesa em profundidade, que se vale de vários níveis de proteção, exigindo cada vez mais habilidade dos invasores e desmotivando muitos deles durante o processo.

Mas mesmo com esse entendimento e após todo esse tempo, eu mudei de opinião. O nível de incompatibilidade com plugins famosos acarretado por essa mudança é alto, além de ser desaconselhada pelos desenvolvedores do WordPress por uma única razão: é uma mudança que, querendo ou não, na prática tende a gerar uma falsa sensação de segurança tão grande ao ponto de inibir a adoção de medidas ideais e realmente eficazes.

Ao longo de anos ajudando a proteger blogs e investigando os motivos que levaram alguns a serem hackeados, conheci alguns casos onde foi exatamente isso que aconteceu. O administrador mudava a url pra algo ingênuo como /admin2 ou /gerencia (facilmente identificáveis em minutos de força bruta), se convencia de que era o suficiente e relaxava em outras estratégias de defesa.

E quais são as medidas realmente eficazes? No post a seguir, listei 5 medidas que vão além e são matadoras ao ponto de não sobrar o menor espaço para um atacante convencional explorar o login do seu blog: 5 medidas matadoras pra proteger o login do seu blog.