10% das antigas senhas vazadas do twitter funcionam no Instagram

Vou me aprofundar nessa questão e estender esse post quando eu tiver a chance. Por hora, apenas uma observação curiosa: após codar um simples script que tenta logar no Instagram com senhas vazadas de usuários do twitter entre 2011 e 2013, cerca de 10% se mostraram válidas.

Esse rápido teste demonstrou claramente duas coisas:

  • O instagram até implementa alguma proteção contra um número excessivo de logins provenientes do mesmo IP (2 minutos de banimento do IP a cada 150 tentativas falhas de login), mas nesse ritmo um hacker conseguiria testar mais de 100.000 contas/senhas em um único dia. Acredito que o Instagram poderia restringir bem mais. Além disso, eles precisam o quanto antes oferecer uma opção de autenticação em dois fatores.
  • Uma boa parte dos usuários vão sempre reaproveitar suas senhas. Com tantos serviços e redes sociais para gerenciar, escolher uma senha diferente pra cada um e memorizar todas elas se tornou algo inviável. Daí a importância dos gerenciadores de senhas como 1Password ou o gratuito KeePass, que criam senhas randômicas a cada nova conta registrada e preenchem o formulário de login automaticamente. Tomara que essas ferramentas se propaguem cada vez mais rápido.

Return to Source: ‘Philosophy & The Matrix’ – legendas em português

tl;dr: Com ajuda de um entusiasmado grupo de colaboradores,  traduzi esse documentário que tenta decodificar os significados e origens conceituais explorados numa das trilogias mais fantásticas já criadas pelo cinema.

Para baixar o fime já com as legendas, no banner abaixo clique em ‘DOWNLOAD TORRENT’.
Na página que abrir, clique novamente em ‘DOWNLOAD TORRENT’ ou no ícone do ímã.

Concebido no ápice da cultura cyberpunk do final dos 90s, Matrix deixou deliciosas seqüelas em minha geração. Ao introduzir de forma extraordinária e quase irrecusável profundos conceitos existenciais, me intrigou e incentivou em pesquisas metafísicas que duram até hoje. A impressão que tenho é a de que nenhum outro filme tão popular despertou tamanha paixão de públicos tão variados: de programadores a teólogos, de agnósticos a espiritualistas esotéricos. Cada pessoa que conheço e que procura enxergar além da cortina do óbvio simplesmente adora esse filme.

E só agora, uma década após o fim da trilogia, encontro um documentário à sua altura (e oficial), que imediatamente decidi traduzir e legendar com ajuda de amigos e conhecidos.

Raridade semi-desconhecida

Return to Source: Philosophy & ‘The Matrix’ foi produzido logo após o lançamento do último filme da trilogia e faz parte do disco 8 do box The Utimate Matrix DVD Collection, lançado em 2004 e relançado em Blu-ray em 2009. Foi dirigido por Josh Oreck, o mesmo produtor de The Matrix Revisited (2001), documentário que cobriu o making of do primeiro filme a pedido do próprios irmãos Wachowskis. Ou seja, parece ser uma análise com apoio dos criadores da trilogia.

Mas, mesmo após uma década, infelizmente Return to Source permanece obscuro. Aparentemente a Warner decidiu que não valeria o esforço legendá-lo para nenhum idioma além do francês. Uma pena. Essa triste decisão foi o suficiente para tranformá-lo em um material raro, desses que só se encontra em discussões de estudiosos em fórum underground e blogs marginais (como esse :D), já que o documentário nem mesmo é citado na Wikipedia.

Graças a esse desconhecimento, não há qualquer legenda online – com exceção de uma em romeno, feita por um fã, e que foi de grande ajuda para a sincronia desta que fizemos em português.

Referências metafísicas, mitológicas e religiosas

The aura scene

O documentário entrevista filósofos, professores, estudiosos e fãs, que falam sobre as possíveis fontes emprestadas pelos irmãos Wachowski, passando por concepções budistas, gnósticas, o Véu de Maya dos hindus, as escrituras Upanishades de 800 aC, o Mito da Caverna de Platão, o demônio de Descartes, o cérebro numa cuba do Hilary Putnam, entre outras. Essa busca pela essência primária da realidade nos faz questionar se que experimentamos é o mais “real” possível, ou se não passaria de uma ilusão (ou versão) bem elaborada por um arquiteto maior, escondida pela limitação do alcance das nossas capacidades perceptivas atuais.

Citação chave neste documentário: “É o filme perfeito para construir um curso de filosofia em torno”.

A sensação que fica após assistí-lo é de ainda mais admiração pela ambição dos irmãos Wachowski de idealizarem um projeto com tamanha abrangência intelectual e fazê-lo incrivelmente popular e bem sucedido através do entretenimento.

Curiosidade: há uma rápida citação a Philip K Dick, que em 1977, 22 anos antes da filmagem de Matrix, expôs publicamente o mesmo conceito central da história em uma palestra, defendendo o que seria uma descrição da realidade percebida através de suposta interação com outra dimensão (esse vídeo só veio a tona em 2010, 6 anos após a produção de Return to Source).

Tradução e legendagem

Assim que descobri o documentário em minhas buscas desgovernadas pelo Google, compartilhei no twitter a vontade de legendá-lo para o português e a necessidade de ajuda, sabendo que meu inglês não daria conta sozinho. No mesmo minuto recebi mensagens de pessoas se voluntariando e outras indicando amigos, o que foi suficiente pra engatar uma troca de emails que acabaria por trazer 6 pessoas para o processo de tradução, revisão e sincronia.

Agora, duas semanas depois, concluímos a missão.

Muito obrigado a todos que se envolveram de alguma forma, em especial:

@primataxdeus,
@L1P,
@gasparian
@leandrotavares
Letícia Borém
Débora Souza, incrível professora da inglês da SeeKnowledge.




bug no iCloud que causou vazamento de fotos: simples HTTP auth brute force?

Na noite de ontem a internet inteira acompanhou boquiaberta o vazamento de fotos íntimas afetando uma dúzia de celebridades – apesar de eu só ter visto umas 4.

Como os detalhes de hackeamentos estupidamente simples não costumam demorar a aparecer, os caras da hackapp.com postaram no GitHub um código explorando supostamente o mesmo bug usado no hack, que eu imediatamente testei e confirmei que funciona como esperado:

A exploit nada mais é do que um simples brute force via HTTP basic auth numa API provavelmente obscura usada pelo iCloud, que pelo user-agent usado no código, parece fazer parte de alguma funcionalidade do recurso FindMyiPhone do iOS.

O erro da Apple foi não banir o IP do atacante ou bloquear a conta da vítima após X tentativas de login, vacilo clássico que sempre permite ataques de força bruta.

Ainda não há confirmação de que essa tenha sido de fato a brecha que causou o vazamento das fotos, mas esse bug em particular é real e não há desculpa para uma empresa com o tamanho da Apple deixar passar uma vulnerabilidade que, de acordo com a OWASP, está entre as 3 mais frequentes em aplicações web.

Como se proteger

Após a Apple corrigir esse bug em particular, outros poderão surgir a qualquer momento, então simplesmente considere não usar o iCloud pra sincronizar/backupear as fotos tiradas no iDevice. Mas se você quiser correr o risco mesmo assim, tenha certeza de usar uma senha forte e que não se repita em nenhum outro site ou serviço.-

Se estiver procurando uma consultoria de Segurança da Informação capaz de validar seus códigos, sistemas e aplicações, contate a Midri.