Anonabox: roteador com Tor é a fraude do ano no Kickstarter

No último sábado, surgiu no Kickstarter um projeto chamado Anonabox, que basicamente é um pequeno roteador Wi-Fi com o Tor pré-instalado. O conceito é interessante e muitíssimo bem vindo: anonimizar/criptografar toda sua conexão com zero de configuração. Assim, qualquer um em busca de anonimato e privacidade online, e sem precisa instalar ou configurar nada, teria sua conexão completa e lindamente tunnelada pelo Tor.

Porém, como eu já conhecia o PirateBox, imediatamente notei semelhança de conceito e aparência, mas sem tempo para comparar, dei o benefício da dúvida ao autor e considerei que pudesse ser mera coincidência. Se você não conhecia, o PirateBox é uma solução open-source surgida há alguns meses e que permite flashear alguns pequenos roteadores (como os modelos MR3020 e WR703N da TP-Link) com uma cópia customizada do OpenWrt que viria com o Tor pré-instalado.

Ontem, graças a enorme cobertura dos maiores sites de tecnologia do mundo, a campanha foi catapultada para estratosfera. Em questão de horas, o financiamento arrecadado saltou de $75k pra $350k (no momento que escrevo esse post a cifra já passou da marca do meio milhão de dólares).

“O autor do Anonabox acertou a mão ao se inspirar no PirateBox, honestamente levando pras massas algo que ajuda a suprir a enorme demanda atual por privacidade”, pensei.

Sabia de nada, inocente. Hoje descobri que menosprezei a capacidade de oportunismo do sujeito. Horas atrás surgiu um post no r/privacy expondo diversas evidências que mostram como o hardware do Anonabox é simplesmente um clone chinês do WR703N, disponível pra compra via AliExpress por menos de $20, a despeito do autor alegar que o protótipo seria criação sua.

Nessa altura, não há mais dúvidas de que o projeto está enganando milhares de compradores ao se passar por algo que não é o que alegou ser, o que certamente infringe o ToS do Kickstarter.

Vale acompanhar o caso pra descobrir se veremos a mais rápida arrecadação dos últimos tempos sendo sumariamente desativada, ou o site fará vista grossa pra não perder sua comissão, mesmo lhe custando mais uma picaretagem no seu histórico de scams.

10% das antigas senhas vazadas do twitter funcionam no Instagram

Vou me aprofundar nessa questão e estender esse post quando eu tiver a chance. Por hora, apenas uma observação curiosa: após codar um simples script que tenta logar no Instagram com senhas vazadas de usuários do twitter entre 2011 e 2013, cerca de 10% se mostraram válidas.

Esse rápido teste demonstrou claramente duas coisas:

  • O instagram até implementa alguma proteção contra um número excessivo de logins provenientes do mesmo IP (2 minutos de banimento do IP a cada 150 tentativas falhas de login), mas nesse ritmo um hacker conseguiria testar mais de 100.000 contas/senhas em um único dia. Acredito que o Instagram poderia restringir bem mais. Além disso, eles precisam o quanto antes oferecer uma opção de autenticação em dois fatores.
  • Uma boa parte dos usuários vão sempre reaproveitar suas senhas. Com tantos serviços e redes sociais para gerenciar, escolher uma senha diferente pra cada um e memorizar todas elas se tornou algo inviável. Daí a importância dos gerenciadores de senhas como 1Password ou o gratuito KeePass, que criam senhas randômicas a cada nova conta registrada e preenchem o formulário de login automaticamente. Tomara que essas ferramentas se propaguem cada vez mais rápido.

Return to Source: ‘Philosophy & The Matrix’ – legendas em português

tl;dr: Com ajuda de um entusiasmado grupo de colaboradores,  traduzi esse documentário que tenta decodificar os significados e origens conceituais explorados numa das trilogias mais fantásticas já criadas pelo cinema.

Para baixar o fime já com as legendas, no banner abaixo clique em ‘DOWNLOAD TORRENT’.
Na página que abrir, clique novamente em ‘DOWNLOAD TORRENT’ ou no ícone do ímã.

Concebido no ápice da cultura cyberpunk do final dos 90s, Matrix deixou deliciosas seqüelas em minha geração. Ao introduzir de forma extraordinária e quase irrecusável profundos conceitos existenciais, me intrigou e incentivou em pesquisas metafísicas que duram até hoje. A impressão que tenho é a de que nenhum outro filme tão popular despertou tamanha paixão de públicos tão variados: de programadores a teólogos, de agnósticos a espiritualistas esotéricos. Cada pessoa que conheço e que procura enxergar além da cortina do óbvio simplesmente adora esse filme.

E só agora, uma década após o fim da trilogia, encontro um documentário à sua altura (e oficial), que imediatamente decidi traduzir e legendar com ajuda de amigos e conhecidos.

Raridade semi-desconhecida

Return to Source: Philosophy & ‘The Matrix’ foi produzido logo após o lançamento do último filme da trilogia e faz parte do disco 8 do box The Utimate Matrix DVD Collection, lançado em 2004 e relançado em Blu-ray em 2009. Foi dirigido por Josh Oreck, o mesmo produtor de The Matrix Revisited (2001), documentário que cobriu o making of do primeiro filme a pedido do próprios irmãos Wachowskis. Ou seja, parece ser uma análise com apoio dos criadores da trilogia.

Mas, mesmo após uma década, infelizmente Return to Source permanece obscuro. Aparentemente a Warner decidiu que não valeria o esforço legendá-lo para nenhum idioma além do francês. Uma pena. Essa triste decisão foi o suficiente para tranformá-lo em um material raro, desses que só se encontra em discussões de estudiosos em fórum underground e blogs marginais (como esse :D), já que o documentário nem mesmo é citado na Wikipedia.

Graças a esse desconhecimento, não há qualquer legenda online – com exceção de uma em romeno, feita por um fã, e que foi de grande ajuda para a sincronia desta que fizemos em português.

Referências metafísicas, mitológicas e religiosas

The aura scene

O documentário entrevista filósofos, professores, estudiosos e fãs, que falam sobre as possíveis fontes emprestadas pelos irmãos Wachowski, passando por concepções budistas, gnósticas, o Véu de Maya dos hindus, as escrituras Upanishades de 800 aC, o Mito da Caverna de Platão, o demônio de Descartes, o cérebro numa cuba do Hilary Putnam, entre outras. Essa busca pela essência primária da realidade nos faz questionar se que experimentamos é o mais “real” possível, ou se não passaria de uma ilusão (ou versão) bem elaborada por um arquiteto maior, escondida pela limitação do alcance das nossas capacidades perceptivas atuais.

Citação chave neste documentário: “É o filme perfeito para construir um curso de filosofia em torno”.

A sensação que fica após assistí-lo é de ainda mais admiração pela ambição dos irmãos Wachowski de idealizarem um projeto com tamanha abrangência intelectual e fazê-lo incrivelmente popular e bem sucedido através do entretenimento.

Curiosidade: há uma rápida citação a Philip K Dick, que em 1977, 22 anos antes da filmagem de Matrix, expôs publicamente o mesmo conceito central da história em uma palestra, defendendo o que seria uma descrição da realidade percebida através de suposta interação com outra dimensão (esse vídeo só veio a tona em 2010, 6 anos após a produção de Return to Source).

Tradução e legendagem

Assim que descobri o documentário em minhas buscas desgovernadas pelo Google, compartilhei no twitter a vontade de legendá-lo para o português e a necessidade de ajuda, sabendo que meu inglês não daria conta sozinho. No mesmo minuto recebi mensagens de pessoas se voluntariando e outras indicando amigos, o que foi suficiente pra engatar uma troca de emails que acabaria por trazer 6 pessoas para o processo de tradução, revisão e sincronia.

Agora, duas semanas depois, concluímos a missão.

Muito obrigado a todos que se envolveram de alguma forma, em especial:

@primataxdeus,
@L1P,
@gasparian
@leandrotavares
Letícia Borém
Débora Souza, incrível professora da inglês da SeeKnowledge.




bug no iCloud que causou vazamento de fotos: simples HTTP auth brute force?

Na noite de ontem a internet inteira acompanhou boquiaberta o vazamento de fotos íntimas afetando uma dúzia de celebridades – apesar de eu só ter visto umas 4.

Como os detalhes de hackeamentos estupidamente simples não costumam demorar a aparecer, os caras da hackapp.com postaram no GitHub um código explorando supostamente o mesmo bug usado no hack, que eu imediatamente testei e confirmei que funciona como esperado:

A exploit nada mais é do que um simples brute force via HTTP basic auth numa API provavelmente obscura usada pelo iCloud, que pelo user-agent usado no código, parece fazer parte de alguma funcionalidade do recurso FindMyiPhone do iOS.

O erro da Apple foi não banir o IP do atacante ou bloquear a conta da vítima após X tentativas de login, vacilo clássico que sempre permite ataques de força bruta.

Ainda não há confirmação de que essa tenha sido de fato a brecha que causou o vazamento das fotos, mas esse bug em particular é real e não há desculpa para uma empresa com o tamanho da Apple deixar passar uma vulnerabilidade que, de acordo com a OWASP, está entre as 3 mais frequentes em aplicações web.

Como se proteger

Após a Apple corrigir esse bug em particular, outros poderão surgir a qualquer momento, então simplesmente considere não usar o iCloud pra sincronizar/backupear as fotos tiradas no iDevice. Mas se você quiser correr o risco mesmo assim, tenha certeza de usar uma senha forte e que não se repita em nenhum outro site ou serviço.-

Se estiver procurando uma consultoria de Segurança da Informação capaz de validar seus códigos, sistemas e aplicações, contate a Midri.

Segurança no WordPress: url /wp-admin, esconder ou não esconder?

tl;dr: Acho desnecessário e não vale a incompatibilidade causada entre plugins. Se foque em medidas realmente eficazes (veja mais abaixo).

***

Durante anos, como medida de hardening recomendei a administradores de WordPress a instalação de alguns plugins capazes de ocultar a página de login (/wp-admin e /wp-login.php), e costumava fazê-lo por uma simples razão: a url padrão sempre facilitou o acesso a uma infinidade de blogs vulneráveis a outros problemas, como senhas frágeis e roubo de cookies.

Mas nem todos concordavam. O que alegavam é que essa seria uma desaconselhável forma de segurança por obscuridade. Argumentavam que ninguém considera o Gmail inseguro porque sua interface de login é acessível a qualquer um com posse das credenciais de acesso, e que portanto os esforços devem se voltar em fortalecer a chave do portão, e não em torná-lo invisível ao inimigo. O contra-argumento que sempre defendi lembrava que o problema seria considerar essa tática como uma substituição a outras medidas fundamentais de proteção. Se renomear a url da interface administrativa é apenas uma entre diversas precauções, então podemos considerá-la como uma bem vinda estratégia de defesa em profundidade, que se vale de vários níveis de proteção, exigindo cada vez mais habilidade dos invasores e desmotivando muitos deles durante o processo.

Mas mesmo com esse entendimento e após todo esse tempo, eu mudei de opinião. O nível de incompatibilidade com plugins famosos acarretado por essa mudança é alto, além de ser desaconselhada pelos desenvolvedores do WordPress por uma única razão: é uma mudança que, querendo ou não, na prática tende a gerar uma falsa sensação de segurança tão grande ao ponto de inibir a adoção de medidas ideais e realmente eficazes.

Ao longo de anos ajudando a proteger blogs e investigando os motivos que levaram alguns a serem hackeados, conheci alguns casos onde foi exatamente isso que aconteceu. O administrador mudava a url pra algo ingênuo como /admin2 ou /gerencia (facilmente identificáveis em minutos de força bruta), se convencia de que era o suficiente e relaxava em outras estratégias de defesa.

E quais são as medidas realmente eficazes? No post a seguir, listei 5 medidas que vão além e são matadoras ao ponto de não sobrar o menor espaço para um atacante convencional explorar o login do seu blog: 5 medidas matadoras pra proteger o login do seu blog.