Review - Telegram para android

Alguns devem conhecer esse aplicativo por causa do Whatsapp, pois depois da polêmica envolvendo o app e um possível fim do mesmo, várias pessoas instalaram o Telegram, no entanto, ao fim da decisão judicial, várias pessoas se esqueceram do mesmo e provavelmente o deletaram.

Nesse post vou fazer um breve "review" do app Telegram e expor alguns motivos pelos quais ele deveria ser o substituto para o famoso Whatsapp.

O porque de usá-lo

Abaixo tentarei ser o mais breve possível na descrição dos pontos positivos e negativos do aplicativo Telegram.

Multi-plataforma

Agora diversos concorrentes possuem versões multiplataforma, no entanto, o Telegram foi pioneiro com o uso do Telegram Web afim de fazer com que ele estivesse disponível em qualquer lugar. Todos os recursos que ele possui na plataforma móvel, são também vistos em todas as outras plataformas, então não se preocupe.

Compartilhamento

O Telegram possui um compartilhamento de arquivos que tem suporte a quase qualquer tipo de arquivo, fotos, músicas, vídeos, comprimidos (.rar, .zip, etc), códigos em geral (.php, .html, .c, .cpp, .html, .jar, etc) o que está muito a frente dos concorrentes.

O lado da segurança

Todas as comunicações do app são criptografadas, desde seu aparelho até o servidor, a criptografia utiliza o protocolo MTProto que utiliza algoritmos sofisticados (ver esquema abaixo, em inglês, explicado no parágrafo abaixo).

O esquema ao lado representa o que acontece em seu aparelho, no momento anterior ao que envia uma mensagem, começa em "To be encrypted" (A ser encriptado); passa por quatro processos que resultam no encapsulamento da mensagem, transformando-a em pacote; realiza uma encriptação com SHA1 numa parte e com AES em outra; a parte com SHA1 recebe uma chave de 128bits; passa pelo algoritmo KDF; recebe uma chave AES; e depois de tudo reunido, se tem o pacote final que será enviado pelos protocolos de transporte.

Tudo isso ocorre em milésimos de segundo e sua mensagem é enviada aos servidores do Telegram, para depois serem mandadas ao destino.

Chat Secreto

O app possui um chat secreto, que pode ser acessado pelo perfil dos contatos, clicando em "Iniciar Chat Secreto". Após iniciar, podem ser colocados cronômetros para que as mensagens sejam destruídas ao fim da contagem. O chat secreto não fica nos servidores do Telegram e possui criptografia P2P (de ponta a ponta), logo, somente os dois aparelhos da conversa poderão visualizá-la corretamente.

Número de celular

Para que alguém lhe adicione no Telegram, somente é necessário que você passe o seu nome de usuário para ele(a), ninguém precisará do seu número de celular como nos concorrentes. O seu nome de usuário pode ser criado no próprio app ou em qualquer uma de suas plataformas.

Nada é 100% seguro

Se na internet, a máxima do título acima é válida, não poderia ser diferente no Telegram. De acordo com o link aqui (em inglês), aparelhos com "root", feitos com o "exploit" chamado "Zimperium", podem ter a segurança do app comprometida, pois supostamente seria possível pegar o texto plano das mensagens (ou seja, antes delas serem criptografadas).

Outra coisa que é possível fazer é pegar os arquivos do Telegram no celular e tentar um ataque de força bruta afim de tentar quebrar a "hash" do arquivo de backup e transformá-lo em um texto plano (possível de ser lido assim como você lê esse artigo agora).

Solução

As soluções são simples, para o caso do "root", não faça em seu aparelho, caso necessite usá-lo de qualquer maneira, procure por outro "exploit". Já no segundo caso, utilize um "App lock" em seu gerenciador de arquivos e somente conecte seu aparelho pelo USB em computadores confiáveis. Uma solução mais avançada seria criptografar todo o conteúdo da pasta do app, porém se decidir fazer isso, tenha calma e siga algum tutorial, já aviso que isso pode danificar o app e torná-lo lento.

Conclusão

O Telegram, certamente, é um grande avanço na comunicação mais segura e com mais liberdade. Possui seus problemas mas nada que o torne ruim, somente precisa de cuidados básicos e é fortemente recomendado pelo autor deste post.

Referência

https://telegram.org/

Agradeço a leitura e até a próxima.

Read More

Dica - Roteadores, por que fechar portas?

Os roteadores são uma maravilha para as redes modernas, principalmente os que permitem as conexões sem fio (wireless/wi-fi) afinal é muito mais simples de conectar qualquer dispositivo suportado, no entanto, como você já deve ter acompanhado no meu outro artigo, nem tudo são flores e medidas de segurança são necessárias para que a navegação não se torne dor de cabeça.

Neste artigo estarei falando sobre as portas de seu roteador, pois ao mesmo tempo que você possui serviços necessários (que, é claro, precisam de algumas portas abertas) existem muitas que ficam abertas sendo que não há nenhum uso.

Por que não deixar várias portas abertas?

Para responder isso, imagine uma casa. Aquela típica rústica de uma sede de fazenda, ela certamente possui uma porta de entrada (necessária) vigiada por um cão-de-guarda, agora imagine que deixemos outra porta nos fundos da mesma, destrancada, mesmo que ninguém passe por ela, estará lá. Agora se um ladrão quiser entrar nessa casa, ele certamente escolherá a mais fácil (a porta dos fundos), o resto você já sabe.

A "história" acima é uma analogia sobre o que acontece com seu roteador quando deixamos diversas portas (além da 80, vital à conexão com o provedor) abertas, e por muitas vezes, esquecidas (pois não são tão usadas), logo, a chance de um ataque só aumenta de acordo com a quantidade de entradas disponíveis e seus respectivos serviços (que também sofrem de falhas).

Aviso

Antes de começarmos, gostaria de dizer que para seguir este "tutorial" você esteja munido com o manual do usuário de seu respectivo roteador. Se não o possuir mais, vá ao site do fabricante e faça o download grátis do mesmo em PDF, isso ajudará muito pois aqui estarei falando de forma genérica afinal existem milhares de modelos disponíveis no mercado e falar sobre um em específico seria mais difícil.

Verificando a marca e modelo de seu roteador

Uma maneira fácil de verificar qual o roteador em questão é observar o equipamento, que certamente deve ter impresso a marca em destaque, o modelo pode estar mais escondido, porém não deve ser difícil de encontrá-lo. Pode ser que essas informações estejam na página local (interface web) de seu roteador.

Outra forma mais fácil ainda é verificar no manual do usuário, se essas informações não estiverem na capa, estarão nas primeiras páginas, leia atentamente pois podem estar em letras pequenas em algum rodapé.

Verificando quais portas estão abertas

Com sites online

Procure no google sobre "port scanner online" e terá diversas opções, escolha a que mais lhe agradar.

Uma opção interessante que encontrei é esse site (t1shopper.com). Ao abrir ele clicando no link que passei, ele irá direto ao scanner, a página deverá se parecer com a mostrada abaixo.

Em "Host name of IPv4 address" o seu IP externo (pertencente ao seu roteador) irá aparecer automaticamente no lugar de 0.0.0.0, só aguardar um pouco.

Caso não apareça, acesse meuip.com.br, copie e cole o endereço que aparecer.

Então com o endereço pronto, clique em "Check All" que está logo antes do botão "Scan Ports", todas as caixas de seleção da lista deverão estar marcadas. Agora clique em "Scan Ports" e aguarde os resultados.

OBS.: Esse scanner só verifica as portas mais comuns (as que estão na lista), mas o roteador possui pelo menos 1000, caso queira um diagnóstico completo, recomendo o próximo método.

Com o NMap (no linux)

Caso não tenha o NMap (Network Mapper) instalado em seu computador com linux, o processo é bem simples. Abra o terminal e digite:

sudo apt-get install nmap

Dê enter e espere que termine o download e instalação.

Após isso, digite no terminal:

nmap 0.0.0.0

Substitua 0.0.0.0 pelo IP local de seu roteador (caso não saiba, recomendo a leitura do manual do mesmo ou do meu outro artigo). A saída deverá ser algo como visto na imagem abaixo:

Na tabela mostrada pelo NMap estarão as informações:

"Not shown" - São as portas que estão fechadas e sem nenhum serviço rodando.
"PORT" - Coluna que mostra números de portas e seus protocolos (porta/protocolo)
"STATE" - Coluna com o 'status' de cada porta
"SERVICE" - Coluna com o nome do serviço rodando


Note que as portas 80/tcp, 443/tcp e 8080/tcp são as únicas abertas. Não devemos fechá-las pois estas são vitais para conexão com a internet, o jeito de mantê-las mais seguras é manter o firmware roteador atualizado e aplicar políticas de filtro no firewall (descritas no outro artigo).

Pelo próprio roteador

Acesse a interface web pelo IP local de seu roteador e de acordo com o manual do mesmo vá até a lista de serviços disponíveis, procure por "Port Forwarding" ou "Redirecionamento de Portas" ou ainda "Serviços extras" no menu da interface web do roteador. É provável que haja uma lista bem parecida com a mostrada no método anterior.

Fechando as portas

Cuidado, antes de continuar, tenha certeza do que está fazendo pois caso ocorra uma configuração errada, você poderá danificar seu roteador e/ou perder o acesso à internet.

Em caso de dúvidas, veja junto ao fabricante/manual e/ou com o provedor para saber o que deve ser mantido (configuração básica para acesso à web).

Vamos continuar.

Após logar no roteador, vá até a opção "Port Forwarding" ou "Redirecionamento de Portas" ou ainda "Port Filtering" e ao visualizar a lista de portas clique em "Close" ou "Fechar" ou "Excluir" ou ainda "Erase" na porta que deseja fechar.

Recomendo que as portas 80, 443 e 8080, não sejam alteradas, somente no caso de estar com problemas de conexão com a internet.

Verificando as mudanças

Verificar é bem simples, repita o passo que foi feito na seção "Verificando quais portas estão abertas", seja ele pelo NMap, online ou outro qualquer e verifique se houve mudança.

Solução de Problemas

Fiz as alterações e não mudou nada

Após fazer as alterações na interface do roteador, certifique-se de tê-las salvado com sucesso, clicando em "Salvar", "Aplicar", "Save", "Apply", "Reboot", ou outra parecida.

Caso salvar as alterações o roteador não solicitar sua reinicialização, recomendo que faça manualmente para que as novas configurações sejam aplicadas.

Para reiniciar manualmente, vá em "Reboot", "Reiniciar", ou algo parecido na interface do roteador ou então desligue o mesmo da tomada e aguarde pelo menos 30 segundos para religar. Em caso de bateria presente, normalmente com uma caneta fina e com a tomada desligada dar um "clique" rápido na entrada do "reset" do roteador o fará reiniciar, leia o manual antes de fazer este procedimento.

Já reiniciei e nada ainda

Às vezes, alguns roteadores, principalmente aqueles fornecidos por operadoras de intetnet, possuem além do login passado à você, um login administrativo. Ele é feito pelo técnico caso este necessite realizar manutenção na sua rede ou pela própria operadora em caso de atualizações automáticas e re configurações, se esse é o seu caso, pode ser que não consiga alterar as portas.

Pode ser que demore algum tempo, caso seja um roteador antigo, para que as configurações novas entrem em ação.

Não deixar fora da tomada os 30 segundos ou esquecer de reiniciar corretamente os roteadores com bateria podem ser motivos pelos quais ainda não entraram em vigor as mudanças.

Links Úteis

Suporte D-link

Suporte TP-link

Suporte Arris (em inglês)

Suporte ASUS

Site Thomson (use Internet Explorer)

Suporte Multilaser (após clicar, role p/ baixo na lista da esquerda e escolha "Roteadores")

Suporte IntelBras

Até a próxima leitores, agradeço a leitura, divulgue se puder pois segurança é coisa séria.

"Conhecimento não é crime, crime é o que você faz com ele."

Read More

Guia - Apache - Aumentando a segurança do seu site usando o .htacess

Nesse post estarei "dando uma luz" para quem usa o Apache como servidor web.

Ao instalar seus serviços web, o apache não cria o arquivo .htaccess em seu servidor, exceto se você está usando uma CMS (Sistema de Controle de Conteúdo, sigla em inglês) como por exemplo o WordPress ou o Joomla!.

Visualizando o arquivo no navegador

Para achar seu arquivo pelo navegador, digite na barra de endereços a URL:

http://seusite/.htacess

Substituindo "seusite" pelo link (URL) do seu site.

Dependendo das configurações do servidor, podem aparecer de muitas formas diferentes o seu conteúdo.

Acessando o .htaccess em servidores linux

Por padrão ele vem oculto dentro de /var/www/ do seu servidor, para ativá-lo entre no terminal e digite

sudo nano /etc/apache2/site-a-editar/default

Substitua "site-a-editar" pelo nome do diretório do seu site.

Se tudo correr bem, você deverá ver algo assim:

<Directory /var/www/>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride All
                Order allow,deny
                allow from all
 </Directory>

Salve o arquivo e depois reinicie o serviço web do seu apache digitando:

sudo service apache2 restart

Pronto, agora ele já está funcionando.

Editando o .htaccess em servidores linux

Você pode criá-lo por um editor de textos gráfico e salvá-lo como ".htaccess", tendo cuidado para que seja somente esse o nome do arquivo, sem extensões ou outras palavras e colocá-lo no servidor por meio de um upload.

Ou então no terminal digite

sudo nano /var/www/exemplo.com/.htaccess

Substitua "exemplo.com" para o nome do seu site no apache.

Alterando as permissões de autenticação

Usando o atributo "Authentication" podemos restringir o acesso a certas áreas do site. Usar o htaccess é mais efetivo que o apache2.conf pois este necessita de permissões especiais e muito mais conhecimento técnico.

Para que isso funcione bem, existe a necessidade de criar um arquivo chamado .htpasswd para que este seja o banco de usuários e senhas aceitas na autenticação. Para criá-lo recomendo que use um editor gráfico de texto.

A criação e edição do .htpasswd é muito fácil, após ter criado o arquivo, abra-o e coloque nele os usuários e suas respectivas senhas como exemplo:

joao:senhadeleaqui
maria:amo!minhamae
lucas:sacul2015

Não escreva mais nada nele e tenha cuidado para que cada usuário esteja em uma linha sozinho com sua senha e com entradas duplicadas (que podem causar "bugs" no sistema).

Caso necessite de criptografia para essas senhas, acesse este site aqui (em inglês) para que não ocorram erros nas configurações do arquivo de senhas.

Por razões de segurança, não coloque o arquivo .htpasswd no mesmo diretório do .htaccess.

Voltando ao .htaccess, adicione o código abaixo em seu arquivo para que o .htpasswd seja encontrado pelo servidor.

AuthUserFile /usr/local/nome-usuario-local/pasta-diferente-qualquer/.htpasswd
AuthGroupFile /dev/null
AuthName "Mensagem a ser exibida solicitando a senha"
AuthType Basic
Require valid-user

Substitua "nome-usuario-local" pelo nome do usuário do servidor local e "pasta-diferente-qualquer" pelo nome da pasta que escolheste para o arquivo .htpasswd . Ao lado de "AuthName" coloque a mensagem entre aspas que vai ser vista no navegador pelo usuário. Somente altere a segunda linha se for necessário, caso contrário deixe-a como está.

Não altere as duas últimas linhas, pois elas que vão tratar e filtrar os dados inseridos pelo usuário no navegador.

Pronto, agora o .htaccess está funcional e com um sistema básico de credenciais para acesso.

Alterando as páginas de erro padrão

Página de erro 404 padrão do apache

Você pode perguntar-se, "Por que eu faria isso? Elas não estão funcionando bem?". Sim, porém quando não muda-se as páginas padrão, elas exibem informações como a porta do seu servidor que está com o serviço httpd rodando, além de qual sistema operacional está rodando o apache (veja a imagem acima), então não é recomendável deixá-las padrão.

Para alterá-la é bem simples, vá até o .htaccess e adicione a seguinte linha

ErrorDocument 404 /new404.html

Substitua "404" pelo erro que deseja mudar e "/new404.html" pela página a qual deva ser exibida caso o erro ocorra. Não esqueça que cada redirecionamento tem de estar em uma linha sozinho.

Outro exemplo fictício:

ErrorDocument 404 /index.php
ErrorDocument 500 /index.php
ErrorDocument 401 /index.php
ErrorDocument 402 /index.php
ErrorDocument 403 /index.php

No exemplo acima, os erros foram redirecionados para a página principal do site.

Se quiser um guia completo de quais códigos numéricos de erro colocar no seu arquivo entre aqui na Wikipedia.

Bloqueando acesso a todas as pastas do servidor

Porque fazer isso? Para que evite que o usuário caia em páginas do tipo "index of /". Partindo do pressuposto de que seu servidor só precisa exibir páginas web, não é necessário deixar as pastas acessáveis externamente.

Fazer isso é bem simples, é só adicionar o código abaixo no arquivo .htaccess

Options All -Indexes

Pronto, as páginas do tipo "index of /" estarão inacessíveis pelo navegador.

Restringindo acesso a qualquer outro arquivo pelo navegador

Com o código abaixo colocado no seu arquivo .htaccess

<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>

Substitua ".htaccess" na primeira linha pelo caminho do arquivo que quer bloquear.

Caso necessário, substitua a última linha por "Allow nome-usuario" (para liberar um usuário específico) ou "Allow valid-user" (para liberar qualquer usuário logado).

Dica extra

Uma ideia para bloquear o acesso remoto é bloquear qualquer arquivo de log, de backup e, caso seja da política da sua empresa, qualquer outro que não é para ser visto por ninguém, usando o código acima.

Já aviso que para cada arquivo vai ser necessário um novo bloco de código com o seu caminho, etc.

Conclusão

É possível que somente configurando corretamente o arquivo .htaccess a segurança do seu servidor seja aumentada drasticamente, principalmente contra as chamadas "dorks" e os script kiddies da vida.

Referências (em inglês)

http://stackoverflow.com/questions/11728976/how-to-deny-access-to-a-file-in-htaccess
http://httpd.apache.org/docs/current/howto/htaccess.html
https://www.digitalocean.com/community/tutorials/how-to-use-the-htaccess-file

Espero que tenha ficado claro e até a próxima pessoal.

"Grandes conhecimentos trazem grandes responsabilidades"

Read More

Google Play hospeda falsos aplicativos de Bancos brasileiros

Demorou, mas aconteceu. Cibercriminosos brasileiros já miram seus ataques aos usuários de internet banking móvel, e como esperado, o Android foi a plataforma escolhida. Depois de páginas de phishing em formato móvel, chegou a vez de aplicativos maliciosos publicados na loja do Google Play. Depois da denúncia de um usuário encontramos 2 delas na Play Store, ambas usando o nome de Bancos locais, com funções de roubar credenciais de acesso dos usuários que instalassem esses aplicativos. Esses são tecnicamente os primeiros trojans desenvolvidos por cibercriminosos brasileiros atacando a plataforma Android.

Os aplicativos podiam ser encontradas junto aos aplicativos legítimos - um deles estava hospedado na loja desde o dia 31 de Outubro e registrou mais de 80 instalações, já o segundo estava publicado desde o dia 10 de Novembro e registrava apenas 1 instalação.

Ambos os apps estavam publicados em nome do usuário “Governo Federal”:



Ambos os aplicativos foram desenvolvidos usando o framework "App Inventor", que permite facilmente a qualquer usuário, mesmo os que não possuem conhecimento em programação Java de criar uma aplicação ativa. O resultado geralmente são apps de tamanho grande, com muito "código lixo". Os apps desenvolvido nesse framework contém diversas funções suspeitas, mas para os 2 aplicativos maliciosos encontrados ambos possuiam apenas as funções de carregar figuras e uma URL.

Depois de instalados ambos aplicativos ativam funções de acesso TELNET ao dispositivo, além de realizar o comando de se conectar a um site legítimo de uma empresa, mas que foi alterado para hospedar as páginas de phishing em formato móvel.


A página de phishing em questão seriam abertas pelos aplicativos maliciosos como um iframe, porém algum bom samaritano as removeu do ar, deixando um aviso bastante interessante no site, que era exibido dentro dos apps quando abertos:








Tal fato obviamente tornou o golpe não funcional, mas o fato da publicação de apps maliciosas usando o nome de bancos conhecidos, na loja oficial do Google demonstra a facilidade com que cibercriminosos possuem para publicar conteúdos maliciosos por lá.

Fonte: Kaspersky

Read More