Tag: segurança

Substitua as mensagens de erro de login do seu blog WordPress por mensagens aleatórias, à sua escolha.

O WordPress informa, na tela de autenticação, se você errou o nome de usuário ou a senha.

O problema é que esta informação pode ser valiosa a um agressor, uma vez que, se souber que uma das entradas está correta, metade do trabalho de invasão já estará completo.

Em princípio, eu recomendaria suprimir qualquer mensagem. Deixa tudo em branco e não informe absolutamente nada. Se você está realmente preocupado com a segurança do seu site, é melhor deixar o agressor no vácuo total.

O código que vou te apresentar, abaixo, foi criado por Sérgio Costa e pode ser facilmente alterado para exibir nenhuma mensagem (conforme recomendei acima) ou exibir frases aleatórias, de uma lista, que você mesmo vai fornecer.

Deve ser inserido dentro do arquivo functions.php, da seguinte forma:

<?php
// Insert into your functions.php and have fun creating login error msgs
function guwp_error_msgs() { 
    // insert how many msgs you want as an array item. it will be shown randomly 
    $custom_error_msgs = array(
        '<strong>YOU</strong> SHALL NOT PASS!',
        '<strong>HEY!</strong> GET OUT OF HERE!',
    );
    // get random array item to show
    return $custom_error_msgs[array_rand($custom_error_msgs)];;
}
add_filter( 'login_errors', 'guwp_error_msgs' );
?>

Outras sugestões de aplicação

Uma sugestão (minha) é evitar usar frases “provocativas” — por que elas podem acabar servindo de incentivo a uma pessoa maliciosa.

Alterar o functions.php tem, pelo menos, um ponto negativo: em caso de atualização do tema, o arquivo será suprimido para dar espaço para a nova versão. Para evitar isso, use temas filhos do WordPress.

Outra abordagem, é incluir o código sugerido pela Lilly Freitas em um plugin — que não é apagado nas atualizações.

Neste caso, crie o arquivo de plugin dentro da pasta /wp-content/plugins/ e o ative no painel de controle do WordPress.

O código original do Sérgio Costa: https://gist.github.com/zergiocosta/72f87176b236ed0c6e13

O código do plugin da Lilly Freitas: https://gist.github.com/lillyfreitas/fb5744f776af11f9958f2c8744139dfb

Configure o DuckDuckGo como buscador padrão do Google Chrome

O DuckDuckGo.com é conhecido por ser um aplicativo online de buscas que respeita a sua privacidade.
É financiado com publicidade dentro do serviço, mas não rastreia o usuário e nem colhe informações pessoais.

A publicidade exibida se restringe às palavras-chave usadas na caixa de busca.
Na minha opinião, como usuário do serviço há mais de um ano, seus resultados não ficam a dever para nenhum outro concorrente.
Sempre obtenho resultados relevantes e rápidos.

Contudo, a sua opinião é a que importa, neste ponto.
Faça a experiência e me diga o que achou nos comentários.

Neste post, vou mostrar o passo a passo para configurar o DuckDuckGo como mecanismo de pesquisa padrão do navegador Google Chrome — tanto na versão desktop quanto na versão móvel (no seu celular).

Como configurar o DuckDuckGo no Chrome para desktop

No seu PC ou notebook, abra o navegador Google Chrome e, em seguida, clique no botão de menu, no canto superior direito.
Clique no item “Configurações”, ao final do menu.
google chrome confiigurações

No painel de configurações, role até a seção “Mecanismo de pesquisa” e selecione o DuckDuckGo, conforme a imagem abaixo.
Google Chrome duckDuckGo

Já pode fechar a aba. O ajuste já está feito.
Se quiser desfazer, futuramente, basta voltar a este mesmo painel.

Como alterar o mecanismo de pesquisa no Google Chrome para Android

No Android, o processo é semelhante, mas pode ser necessário fazer um acesso ao site https://duckduckgo.com antes, para que ele fique registrado no histórico do navegador e apareça na lista de opções dos sites busca “Visitados recentemente“.

Leia mais sobre o DuckDuckGo ou sobre privacidade.

Instale o navegador DuckDuckGo no seu celular e tenha muito mais privacidade.

O aplicativo de navegação na Internet, — ou Duckduckgo privacy browser — tem a proposta de oferecer novos padrões de confiança para seus usuários online.

O básico e o essencial da segurança online, ao fazer buscas e visitar sites na internet, são oferecidos pelo navegador, na forma de bloqueios de trackers (rastreadores), criptografia mais eficiente e um mecanismo de busca próprio.

A ideia é que a obtenção da privacidade, na Internet, seja tão simples quanto fechar as cortinas da sua casa.

Neste post vou abordar a instalação e alguns itens da configuração inicial do navegador DuckDuckGo para Android.

Não se iluda, contudo.

Atualmente, o estado da arte da privacidade só pode ser obtido ou alcançado mantendo distância dos dispositivos móveis.

Como instalar o navegador DuckDuckGo

há vários meios para obter e instalar o seu navegador seguro.

O próprio site possui a APK disponível para sistemas Android (links no final).

Se você tem a intenção de instalar a APK oficial, leia mais sobre o procedimento aqui.

Você também pode obter o app do site/F-Droid.

Configurações iniciais do DuckDuckGo.

Os itens descritos nesta seção são apenas opcionais.

Se quiser, pode começar usar o seu novo navegador sem nada disso.

Pessoalmente, gosto de instalar o widget de busca do DuckDuckGo direto na minha tela inicial.

Para isso, mantenha o dedo pressionado sobre uma área vazia da tela do seu Smartphone e selecione “Widgets”, embaixo.

Em seguida selecione o buscador do DuckDuckGo.

A minha segunda sugestão é configurar como seu navegador padrão.

Para isso, toque no botão de menu, canto superior direito do DuckDuckGo, para a lista do menu aparecer.

Em seguida, selecione “Settings”.

Agora ligue a opção “Set as default browser”.

Você será levado a uma tela de configuração do Android.

Nesta tela você deverá selecionar a opção de navegador padrão, em “App de navegador”.

Uma lista de aplicativos de navegação disponíveis no seu sistema será exibida.

Escolha o DuckDuckGo e… pronto.

Conclusão

A instalação e o uso do DuckDuckGo representa apenas um passo na direção da sua segurança e privacidade online.

Muitos outros passos precisarão ser dados, ainda.

Se você precisa se preocupar com a privacidade e a segurança em nível bem mais alto, o ideal é se afastar do celular, pelo menos nos momentos mais críticos (por exemplo, reunião com setores estratégicos da sua empresa).

Referências

Download da APK: https://github.com/duckduckgo/Android/releases

Download da Play Store: https://play.google.com/store/apps/details?id=com.duckduckgo.mobile.android

Download da Apple Store: https://itunes.apple.com/us/app/duckduckgo-search-stories/id663592361?mt=8

Download da F-Droid: https://f-droid.org/packages/com.duckduckgo.mobile.android/

Passo a passo para formatar um drive no Linux usando criptografia forte.

Qualquer drive, seja um pendrive, um cartão de memória ou um HD externo pode ser formatado facilmente no Linux, com as ferramentas de gestão de discos.
O programa pode ser disparado a partir do próprio Nautilus, se você usa alguma distro com o GNOME (Debian, Ubuntu etc.)

Se você tem interesse em conhecer melhor o utilitário, leia Como formatar um drive no Linux, onde o assunto é abordado de maneira mais extensa (e genérica).

Neste post, vou mostrar como realizar o procedimento de maneira rápida, usando o sistema de arquivos EXT4 com o LUKS.

Como formatar uma unidade com criptografia LUKS

Localize a unidade a ser criptografada no painel esquerdo do Nautilus.
seleção de volume no Nautilus

Em seguida, clique com o botão direito do mouse sobre a unidade escolhida e selecione formatar.
Formatar no Nautilus para Linux

Dê um nome ao volume a ser inicializado.
Opções de formatação

Se estiver com tempo para esperar, vale a pena selecionar a opção “Apagar”, que irá remover todos os dados do drive selecionado, em segurança. Fica o aviso de que esta opção é de execução demorada — a desculpa perfeita para ir tomar um café, se quiser.
Opções de formatação

A criptografia LUKS só pode ser selecionada para sistemas de arquivos EXT4, do Linux.

Se executar este processo em um drive externo USB, por exemplo, vai precisar instalar suporte a EXT4 e criptografia LUKS, para conseguir ler seu conteúdo no Windows.

Quando terminar de fazer seus ajustes nesta janela, clique em “Próximo”.

Na próxima tela, você terá que definir e confirmar a sua senha.
Se deixou a opção “Apagar” desligada, então o processo será bem rápido.
Senha para formatação com criptografia

Daqui para frente, toda vez que for usar o drive, a senha cadastrada será pedida.
Nautilus volume criptografado

Na imagem, acima, é possível notar que, antes de dar a senha e montar a unidade, nem o nome do volume será exibido no Nautilus.
A criptografia LUKS em unidades EXT4 é uma maneira segura e conveniente (fácil) de armazenar arquivos com informações sensíveis e confidenciais.

Obtenha informações sobre vulnerabilidades e exploits em seus sistemas através do Pompem

O Pompem é uma ferramenta de busca de informações sobre vulnerabilidades relacionadas a diversos sistemas de gestão de conteúdo e softwares de sistema e rede.
Escrito em Python, o programa foi desenvolvido para listar artigos em sites e informações de bancos de dados sobre falhas de segurança conhecidas.

Com base nestas informações, o administrador pode tomar as “medidas cabíveis” para resolver eventuais problemas relacionados à sua plataforma.

O usuário alvo deste tipo de aplicação é o pentester, ou seja, profissionais ligados à área de segurança, cuja atribuição é determinar a força da segurança de sistemas que estejam sob seus cuidados. Ou seja, trata-se de um perfil específico de usuário avançado.

Neste post, vou abordar a instalação mais simplificada, dentro do sistema operacional Debian 10.

Nesta distribuição do GNU/Linux, o Pompem, consta como um pacote na categoria pentest tools e é mantida pelo Debian Forensics.


apt show pompem

Package: pompem
Version: 0.2.0-3
Priority: optional
Section: utils
Maintainer: Debian Forensics 
Installed-Size: 51,2 kB
Depends: python3, python3-requests
Homepage: https://github.com/rfunix/Pompem
Download-Size: 9.928 B
APT-Sources: http://deb.debian.org/debian testing/main amd64 Packages
Description: Exploit and Vulnerability Finder
 Find exploit with a system of advanced search, designed to automate the search
 for Exploits and Vulnerability in the most important databases facilitating
 the work of pentesters, ethical hackers and forensics expert. Performs searches
 in databases: PacketStorm security, CXSecurity, ZeroDay, Vulners, National
 Vulnerability Database, WPScan Vulnerability Database. This tool is essential
 in the security of networks and systems.
 .
 The search results can be exported to HTML or text format.

Como você pode ver, o Pompem é essencial na busca e detecção de exploits e vulnerabilidades — bem como a obtenção de ajuda para solucionar os problemas — em várias categorias de sistemas.

Para iniciar a instalação, use o apt (de novo…):


sudo apt install pompem

Como usar o Pompem

O Pompem é uma forma rápida de obter informações sobre problemas de segurança, já disponibilizadas em sites especializados.
Se você administra um grande servidor ou um blog WordPress, pode obter rapidamente informações voltadas para a sua situação.
Abra um terminal, para fazer algumas experiências.
Use o recurso search (busca) para encontrar dados sobre uma determinada plataforma (Joomla, no exemplo abaixo):


pompem -s "joomla"


+Results joomla
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
+Date            Description                                     Url                                    
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
+ 2018-06-18 | Joomla Jomres 9.11.2 Cross Site Request Forgery | https://packetstormsecurity.com/files/148223/Joomla-Jomres-9.11.2-Cross-Site-Request-Forgery.html 
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
+ 2018-06-14 | Joomla Ek Rishta 2.10 SQL Injection | https://packetstormsecurity.com/files/148189/Joomla-Ek-Rishta-2.10-SQL-Injection.html 
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

...

+ 2018-04-13 | Joomla Convert Forms 2.0.3 CSV Injection | https://cxsecurity.com/issue/WLB-2018040100 
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
+ 2018-04-09 | Joomla com_foxcontact Shell Upload Vulnerability E | https://cxsecurity.com/issue/WLB-2018040066 
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
+ 2018-06-14 | Joomla Ek Rishta 2.10 SQL Injection | https://packetstormsecurity.com/files/148189/Joomla-Ek-Rishta-2.10-SQL-Injection.html 
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

Minha lista, acima, está com “algumas” linhas cortadas. Se prepare para obter uma relação bem mais extensa, aí.
Como você pode ver, o resultado compreende 3 colunas:

  1. Data da divulgação da vulnerabilidade
  2. Título do post
  3. URL do site, aonde você pode obter mais informações sobre o problema

Ter conhecimento (leitura) de inglês, neste caso, pode ajudar bastante.