Tag: segurança

Configure o DuckDuckGo como buscador padrão do Google Chrome

O DuckDuckGo.com é conhecido por ser um aplicativo online de buscas que respeita a sua privacidade.
É financiado com publicidade dentro do serviço, mas não rastreia o usuário e nem colhe informações pessoais.

A publicidade exibida se restringe às palavras-chave usadas na caixa de busca.
Na minha opinião, como usuário do serviço há mais de um ano, seus resultados não ficam a dever para nenhum outro concorrente.
Sempre obtenho resultados relevantes e rápidos.

Contudo, a sua opinião é a que importa, neste ponto.
Faça a experiência e me diga o que achou nos comentários.

Neste post, vou mostrar o passo a passo para configurar o DuckDuckGo como mecanismo de pesquisa padrão do navegador Google Chrome — tanto na versão desktop quanto na versão móvel (no seu celular).

Como configurar o DuckDuckGo no Chrome para desktop

No seu PC ou notebook, abra o navegador Google Chrome e, em seguida, clique no botão de menu, no canto superior direito.
Clique no item “Configurações”, ao final do menu.
google chrome confiigurações

No painel de configurações, role até a seção “Mecanismo de pesquisa” e selecione o DuckDuckGo, conforme a imagem abaixo.
Google Chrome duckDuckGo

Já pode fechar a aba. O ajuste já está feito.
Se quiser desfazer, futuramente, basta voltar a este mesmo painel.

Como alterar o mecanismo de pesquisa no Google Chrome para Android

No Android, o processo é semelhante, mas pode ser necessário fazer um acesso ao site https://duckduckgo.com antes, para que ele fique registrado no histórico do navegador e apareça na lista de opções dos sites busca “Visitados recentemente“.

Leia mais sobre o DuckDuckGo ou sobre privacidade.

Instale o navegador DuckDuckGo no seu celular e tenha muito mais privacidade.

O aplicativo de navegação na Internet, — ou Duckduckgo privacy browser — tem a proposta de oferecer novos padrões de confiança para seus usuários online.

O básico e o essencial da segurança online, ao fazer buscas e visitar sites na internet, são oferecidos pelo navegador, na forma de bloqueios de trackers (rastreadores), criptografia mais eficiente e um mecanismo de busca próprio.

A ideia é que a obtenção da privacidade, na Internet, seja tão simples quanto fechar as cortinas da sua casa.

Neste post vou abordar a instalação e alguns itens da configuração inicial do navegador DuckDuckGo para Android.

Não se iluda, contudo.

Atualmente, o estado da arte da privacidade só pode ser obtido ou alcançado mantendo distância dos dispositivos móveis.

Como instalar o navegador DuckDuckGo

há vários meios para obter e instalar o seu navegador seguro.

O próprio site possui a APK disponível para sistemas Android (links no final).

Se você tem a intenção de instalar a APK oficial, leia mais sobre o procedimento aqui.

Você também pode obter o app do site/F-Droid.

Configurações iniciais do DuckDuckGo.

Os itens descritos nesta seção são apenas opcionais.

Se quiser, pode começar usar o seu novo navegador sem nada disso.

Pessoalmente, gosto de instalar o widget de busca do DuckDuckGo direto na minha tela inicial.

Para isso, mantenha o dedo pressionado sobre uma área vazia da tela do seu Smartphone e selecione “Widgets”, embaixo.

Em seguida selecione o buscador do DuckDuckGo.

A minha segunda sugestão é configurar como seu navegador padrão.

Para isso, toque no botão de menu, canto superior direito do DuckDuckGo, para a lista do menu aparecer.

Em seguida, selecione “Settings”.

Agora ligue a opção “Set as default browser”.

Você será levado a uma tela de configuração do Android.

Nesta tela você deverá selecionar a opção de navegador padrão, em “App de navegador”.

Uma lista de aplicativos de navegação disponíveis no seu sistema será exibida.

Escolha o DuckDuckGo e… pronto.

Conclusão

A instalação e o uso do DuckDuckGo representa apenas um passo na direção da sua segurança e privacidade online.

Muitos outros passos precisarão ser dados, ainda.

Se você precisa se preocupar com a privacidade e a segurança em nível bem mais alto, o ideal é se afastar do celular, pelo menos nos momentos mais críticos (por exemplo, reunião com setores estratégicos da sua empresa).

Referências

Download da APK: https://github.com/duckduckgo/Android/releases

Download da Play Store: https://play.google.com/store/apps/details?id=com.duckduckgo.mobile.android

Download da Apple Store: https://itunes.apple.com/us/app/duckduckgo-search-stories/id663592361?mt=8

Download da F-Droid: https://f-droid.org/packages/com.duckduckgo.mobile.android/

Passo a passo para formatar um drive no Linux usando criptografia forte.

Qualquer drive, seja um pendrive, um cartão de memória ou um HD externo pode ser formatado facilmente no Linux, com as ferramentas de gestão de discos.
O programa pode ser disparado a partir do próprio Nautilus, se você usa alguma distro com o GNOME (Debian, Ubuntu etc.)

Se você tem interesse em conhecer melhor o utilitário, leia Como formatar um drive no Linux, onde o assunto é abordado de maneira mais extensa (e genérica).

Neste post, vou mostrar como realizar o procedimento de maneira rápida, usando o sistema de arquivos EXT4 com o LUKS.

Como formatar uma unidade com criptografia LUKS

Localize a unidade a ser criptografada no painel esquerdo do Nautilus.
seleção de volume no Nautilus

Em seguida, clique com o botão direito do mouse sobre a unidade escolhida e selecione formatar.
Formatar no Nautilus para Linux

Dê um nome ao volume a ser inicializado.
Opções de formatação

Se estiver com tempo para esperar, vale a pena selecionar a opção “Apagar”, que irá remover todos os dados do drive selecionado, em segurança. Fica o aviso de que esta opção é de execução demorada — a desculpa perfeita para ir tomar um café, se quiser.
Opções de formatação

A criptografia LUKS só pode ser selecionada para sistemas de arquivos EXT4, do Linux.

Se executar este processo em um drive externo USB, por exemplo, vai precisar instalar suporte a EXT4 e criptografia LUKS, para conseguir ler seu conteúdo no Windows.

Quando terminar de fazer seus ajustes nesta janela, clique em “Próximo”.

Na próxima tela, você terá que definir e confirmar a sua senha.
Se deixou a opção “Apagar” desligada, então o processo será bem rápido.
Senha para formatação com criptografia

Daqui para frente, toda vez que for usar o drive, a senha cadastrada será pedida.
Nautilus volume criptografado

Na imagem, acima, é possível notar que, antes de dar a senha e montar a unidade, nem o nome do volume será exibido no Nautilus.
A criptografia LUKS em unidades EXT4 é uma maneira segura e conveniente (fácil) de armazenar arquivos com informações sensíveis e confidenciais.

Obtenha informações sobre vulnerabilidades e exploits em seus sistemas através do Pompem

O Pompem é uma ferramenta de busca de informações sobre vulnerabilidades relacionadas a diversos sistemas de gestão de conteúdo e softwares de sistema e rede.
Escrito em Python, o programa foi desenvolvido para listar artigos em sites e informações de bancos de dados sobre falhas de segurança conhecidas.

Com base nestas informações, o administrador pode tomar as “medidas cabíveis” para resolver eventuais problemas relacionados à sua plataforma.

O usuário alvo deste tipo de aplicação é o pentester, ou seja, profissionais ligados à área de segurança, cuja atribuição é determinar a força da segurança de sistemas que estejam sob seus cuidados. Ou seja, trata-se de um perfil específico de usuário avançado.

Neste post, vou abordar a instalação mais simplificada, dentro do sistema operacional Debian 10.

Nesta distribuição do GNU/Linux, o Pompem, consta como um pacote na categoria pentest tools e é mantida pelo Debian Forensics.


apt show pompem

Package: pompem
Version: 0.2.0-3
Priority: optional
Section: utils
Maintainer: Debian Forensics 
Installed-Size: 51,2 kB
Depends: python3, python3-requests
Homepage: https://github.com/rfunix/Pompem
Download-Size: 9.928 B
APT-Sources: http://deb.debian.org/debian testing/main amd64 Packages
Description: Exploit and Vulnerability Finder
 Find exploit with a system of advanced search, designed to automate the search
 for Exploits and Vulnerability in the most important databases facilitating
 the work of pentesters, ethical hackers and forensics expert. Performs searches
 in databases: PacketStorm security, CXSecurity, ZeroDay, Vulners, National
 Vulnerability Database, WPScan Vulnerability Database. This tool is essential
 in the security of networks and systems.
 .
 The search results can be exported to HTML or text format.

Como você pode ver, o Pompem é essencial na busca e detecção de exploits e vulnerabilidades — bem como a obtenção de ajuda para solucionar os problemas — em várias categorias de sistemas.

Para iniciar a instalação, use o apt (de novo…):


sudo apt install pompem

Como usar o Pompem

O Pompem é uma forma rápida de obter informações sobre problemas de segurança, já disponibilizadas em sites especializados.
Se você administra um grande servidor ou um blog WordPress, pode obter rapidamente informações voltadas para a sua situação.
Abra um terminal, para fazer algumas experiências.
Use o recurso search (busca) para encontrar dados sobre uma determinada plataforma (Joomla, no exemplo abaixo):


pompem -s "joomla"


+Results joomla
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
+Date            Description                                     Url                                    
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
+ 2018-06-18 | Joomla Jomres 9.11.2 Cross Site Request Forgery | https://packetstormsecurity.com/files/148223/Joomla-Jomres-9.11.2-Cross-Site-Request-Forgery.html 
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
+ 2018-06-14 | Joomla Ek Rishta 2.10 SQL Injection | https://packetstormsecurity.com/files/148189/Joomla-Ek-Rishta-2.10-SQL-Injection.html 
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

...

+ 2018-04-13 | Joomla Convert Forms 2.0.3 CSV Injection | https://cxsecurity.com/issue/WLB-2018040100 
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
+ 2018-04-09 | Joomla com_foxcontact Shell Upload Vulnerability E | https://cxsecurity.com/issue/WLB-2018040066 
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
+ 2018-06-14 | Joomla Ek Rishta 2.10 SQL Injection | https://packetstormsecurity.com/files/148189/Joomla-Ek-Rishta-2.10-SQL-Injection.html 
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

Minha lista, acima, está com “algumas” linhas cortadas. Se prepare para obter uma relação bem mais extensa, aí.
Como você pode ver, o resultado compreende 3 colunas:

  1. Data da divulgação da vulnerabilidade
  2. Título do post
  3. URL do site, aonde você pode obter mais informações sobre o problema

Ter conhecimento (leitura) de inglês, neste caso, pode ajudar bastante.

Use login e senha mais seguros no seu blog WordPress

Todo mundo sabe que deve usar senhas mais seguras, blá-blá-blá…
Mas, sério, isto é muito importante e, recentemente, vi um blogueiro chamando a atenção de outro, bastante conhecido, justamente por isto: “você está usando uma senha fraca, amigo!”

Usar senhas fortes irão dificultar ataques por força bruta. A diferença entre uma senha forte e outra muito forte é uma questão de dias.
Uma senha boa pode ser quebrada em 3 dias, com 1000 tentativas por segundo.
A outra, com tecnologia média atual, pode impor anos de tentativas a um cracker.

Ao criar um site WordPress, é fornecido um nome padrão para o administrador: ‘admin’.
A documentação recomenda trocar este nome por outro, mas… há várias maneiras de descobrir qual o login do administrador em um site WordPress — de forma que é melhor se concentrar, mesmo, na força da senha e manter o nome padrão.

É a sua senha que é crucialmente importante e você precisa dar um jeito de escolher a mais forte possível:

  1. 10 dicas para criar senhas à prova de invasores.
  2. Crie senhas com o método 8 por 4 — que são mais fáceis de memorizar.

Atualmente, contudo, se recomenda usar senhas em palavras, tipo tensão locker gordo cobra — que são fáceis de memorizar e difíceis de adivinhar (mais ainda) por força bruta.
Pode usar um gerador de palavras aleatórias, por exemplo.

Outra dica é usar a sugestão de senha do próprio WordPress, no momento da criação do novo usuário.
A sugestão ocorre também quando você vai trocar a senha do user no CMS.
O processo de criação desta senha ocorre no backend do programa e gera algo terrivelmente difícil para uma máquina adivinhar.
Sei que será difícil para você memorizar, mas é sempre possível recorrer a um bom programa de gestão de senhas, para ajudar a guardar seus segredos.

Segurança, em primeiro lugar. 😉