Skip to content

Posts tagged ‘security’

8
Abr

How Secure is Your Password?

Where does your pass­word fit in the table and how secure is it?

27
Fev

Top 10 security tools

On the bright side, with the num­ber of attacks increas­ing, there are now a slew of tools to detect and stop mal­ware and crack­ing attempts. The open source world has many such util­i­ties (and dis­tros). Here, I must men­tion Back­Track Linux, which has gained inter­na­tional fame for its wide range of vul­ner­a­bil­ity assess­ment and dig­i­tal foren­sics soft­ware util­i­ties. The most recent ver­sion also con­tains pow­er­ful wire­less vul­ner­a­bil­ity test­ing tools.

 

The top Web secu­rity assess­ment tools

  • Nikto
  • Samu­rai framework
  • Safe3 scan­ner
  • Web­se­cu­rify
  • SQLmap

The top net­work secu­rity assess­ment tools

  • Wire­shark
  • Nmap
  • Metas­ploit
  • Open­VAS
  • Air­crack

More info

2
Jul

Recuperar a senha no Ubuntu

Recu­perar a senha no Ubuntu

Esque­ceu a senha do Ubuntu?

Pode recuperá-la da seguinte maneira :

Ao bootar o com­puta­dor apare­cerá a tela do Grub. Caso isso não acon­teça, pres­sione a tecla ESC logo após a BIOS ter carregado.

No menu do Grub, aparece a expressão “(recov­ery mode)” . Selec­cione essa opção.

A com­puta­dor começará o processo de boot, mostrado todos os pas­sos. Depois de um tempo apare­cerá uma tela com o título de “Recov­ery Menu”. Uti­lize as setas do teclado e sele­cione a opção “root – drop to root shell prompt”.

No prompt, para alterar a senha do root dig­ite:
passwd

Para alterar a senha de outro uti­lizador, dig­ite o comando passwd seguido do nome de utilizador.

Por exem­plo, para alterar a senha do uti­lizador Fil­ipe, uti­lize:
passwd Fil­ipe

Caso não se lem­bre do nome de uti­lizador uti­lize o comando  ls /home e aparece-lhe os nomes de uti­lizador existentes.

Após ter­mi­nar de recon­fig­u­rar as suas sen­has, dig­ite exit para voltar ao menu. Selec­cione a opção “Resume – Resume nor­mal boot” para con­tin­uar o boot e entrar no seu desktop.

5
Abr

Quanto tempo demora a quebrar uma password?

A propósito dos req­ui­si­tos mín­i­mos para definir uma boa pass­word, e na sequên­cia de um apon­ta­mento que li no Dar­ing Fire­ball, lembrei-me de apon­tar por aqui uma tabela, roubada sem ver­gonha de um estudo da Geod­Soft, que ilus­tra, para dois tipos de com­posições de pass­words, o tempo necessário para quebrá-las.

Os val­ores apre­sen­ta­dos pres­supõem que é uti­lizado um com­puta­dor com capaci­dade para exe­cu­tar, local­mente, 1.000.000 de oper­ações crip­tográ­fi­cas por segundo — val­ores triv­i­ais nas máquinas cor­rentes. Para além disso, e para não haver quais­quer dúvi­das sobre o sig­nifi­cado dos números desta tabela, o con­texto para este exer­cí­cio pres­supõe que a pass­word em análise já foi cap­turada, emb­ora esteja ainda cifrada. Isto é, o tempo apre­sen­tado cor­re­sponde ao tempo necessário para decifrar essa pass­word, assu­mindo que todas as com­bi­nações pos­síveis são tentadas.

Final­mente, para inter­pretarem cor­rec­ta­mente estes dados, resta-me acres­cen­tar que a primeira col­una con­tém o tamanho, em car­ac­teres, dessa pass­word; a segunda col­una apre­senta o caso em que a com­posição é real­izada exclu­si­va­mente com letras mínus­cu­las; e, por último, a ter­ceira col­una ilus­tra uma situ­ação em que são uti­liza­dos car­ac­teres de um con­junto de 95 pos­si­bil­i­dades, cor­re­spon­dentes aos car­ac­teres que podem ser impres­sos no código ASCII.

Número car­ac­teres Pass­word com­posta
por letras minúsculas		 Pass­word com­posta por múlti­p­los caracteres
3 0,02 segun­dos 0,86 segun­dos
4 0,46 segun­dos 1,36 min­u­tos
5 11,90 segun­dos 2,15 horas
6 5,15 min­u­tos 8,51 dias
7 2,23 horas 2,21 anos
8 2,42 dias 2,10 sécu­los
9 2,07 meses 20,00 milénios
10 4,48 anos 1.899,00 milénios
11 1,16 sécu­los 180.365,00 milénios
12 3,03 milénios 17.187.705,00 milénios
13 78,70 milénios 1.627.797.068,00 milénios
14 2.046,00 milénios 154.640.721.434,00 milénios

Pela sim­ples leitura destes dados, sem quais­quer out­ras análises, podemos con­cluir ime­di­ata­mente que (i) pass­words com­postas por letras mínus­cu­las devem ter, no mín­imo, 10 car­ac­teres; (ii) para usar­mos pass­words com um com­pri­mento infe­rior, na casa dos 7 car­ac­teres, temos que usar uma com­posição com­plexa, que inclua vários tipos de car­ac­teres, entre letras maiús­cu­las e minús­cu­las, algar­is­mos, e out­ros car­ac­teres espe­ci­ais, e.g. pontuação.

Para fechar esta nota, é impor­tante referir que este estudo assume que as pass­words não são com­postas por palavras que podem ser encon­tradas num dicionário. Para encon­trar essas chaves, os tem­pos apre­sen­ta­dos já não têm val­i­dade. O tempo para encon­trar essas chaves, actual­mente, é próx­imo de zero; é ime­di­ato. E é por isso que, como se torna óbvio pela evidên­cia dos fac­tos, as pes­soas têm que escol­her umas pass­words mais elab­o­radas. Definitivamente.

(post-scriptum: lembrei-me agora que escrevi, há já algum tempo, uma nota sobre uma for­mula sim­ples para criar pass­words mais com­plexas. Pode ser útil para sen­si­bi­lizar os mais resistentes. Está por AQUI)

Fonte: Miguel Almeida

23
Fev

25 dos principais e perigosos erros de programação

A SANS Insti­tute e a MITRE, à semel­hança do que acon­tece com a OWASP com o seu Top 10, lançou uma lista onde apare­cem os  25 dos prin­ci­pais e mais perigosos erros de programação.

E ainda pode encon­trar o relatório rel­a­tivo aos salários e cer­ti­fi­cações de 2008.

http://www.sans.org/security-resources/salary_survey_2008.pdf

14
Jan

PGP Whole Disk Encryption

Proac­tively secure con­fi­den­tial data on disks and remov­able media

Mobile com­put­ers are quickly emerg­ing as the indus­try stan­dard for increas­ing user pro­duc­tiv­ity. How­ever, the portable nature of these devices increases the pos­si­bil­ity of loss or theft. Con­se­quent expo­sure of sen­si­tive data can result in finan­cial loss, legal ram­i­fi­ca­tions, and brand damage.

PGP® Whole Disk Encryp­tion pro­vides enter­prises with com­pre­hen­sive, non­stop disk encryp­tion for Microsoft and Apple Mac OS X, enabling quick, cost-effective pro­tec­tion for data on desk­tops, lap­tops, and remov­able media. The encrypted data is con­tin­u­ously safe­guarded from unau­tho­rized access, pro­vid­ing strong secu­rity for intel­lec­tual prop­erty, cus­tomer and part­ner data, and cor­po­rate brand equity.

  • Easy, auto­matic oper­a­tion–Pro­tects data with­out chang­ing the user experience.
  • Enforced secu­rity poli­cies–Auto­mat­i­cally enforce data pro­tec­tion with cen­trally man­aged policies.
  • Accel­er­ated deploy­ment–Achieves full disk encryp­tion using the exist­ing infrastructure.
  • Reduced oper­a­tional costs–Result from cen­trally automat­ing encryp­tion policies.

Tech­ni­cal Specifications

Sup­ported Oper­at­ing Systems

  • Microsoft Win­dows Vista (all 32-bit and 64-bit ver­sions, includ­ing Ser­vice Pack 1)
  • Microsoft Win­dows XP Pro­fes­sional 32-bit (Ser­vice Pack 1, 2 and 3)
  • Microsoft Win­dows XP Pro­fes­sional 64-bit (Ser­vice Pack 1 and 2)
  • Microsoft Win­dows XP Tablet PC Edi­tion 2005 (requires attached keyboard)
  • Microosft Win­dows XP Home
  • Microsoft Win­dows 2003 Server (Ser­vice Pack 1 and 2)*
  • Microsoft Win­dows 2000 Pro­fes­sional (Ser­vice Pack 4)
  • Mac OS X 10.4.10 and later (Intel-based Macs, sys­tem vol­umes only)
  • Mac OS X 10.4.X and Mac OS X 10.5.X (Intel and PPC plat­forms, non-system vol­umes only)

* Full disk encryp­tion func­tion­al­ity is not sup­ported on Win­dows 2000 Server or 2003 Server.

Sup­ported Disks

  • Desk­top or lap­top disks (par­ti­tions in the case of Win­dows, or the entire disk for Win­dows and Mac OS X)
  • Exter­nal disks, exclud­ing music devices and dig­i­tal cameras
  • USB flash disks
  • Solid-state dri­ves

Local­iza­tion

  • Eng­lish
  • Ger­man
  • Japan­ese

Authen­ti­ca­tion Options

  • OpenPGP RFC 4880 keys
  • X.509 keys

Sym­met­ric Key Algorithms-PGP® Whole Disk Encryption

  • AES 256-bit keys

Cen­tral­ized Man­age­ment Requirements

  • PGP Whole Disk Encryp­tion is cen­trally man­aged by PGP Uni­ver­sal Server which requires a ded­i­cated hard­ware server. For sup­ported hard­ware and other infor­ma­tion, please refer to the PGP Uni­ver­sal Server tech­ni­cal specifications.

Two-Factor Authentication(PGP Whole Disk Encryp­tion for Win­dows Only)

Sup­ported Pre-Boot Authen­ti­ca­tion Smart Cards and USB Tokens

The fol­low­ing smart card read­ers are sup­ported for com­mu­ni­cat­ing to a smart card at pre-boot time. These read­ers can be used with any sup­ported remov­able smart card (it is not nec­es­sary to use the same brand of smart card and reader). Any Chip/Smart Card Inter­face Device (CCID) smart card reader is sup­ported. The fol­low­ing read­ers have been tested by PGP Corporation:

  • OMNIKEY Card­Man 3121 USB for desk­top systems
  • OMNIKEY Card­Man 6121 USB for mobile systems
  • Activ­I­den­tity USB 2.0 reader
  • Reiner SCT Cyber­Jack pinpad
  • Athena ASEDrive IIIe USB reader

PGP Whole Disk Encryp­tion sup­ports the fol­low­ing smart cards for pre-boot authentication:

  • Activ­I­den­tity Activ­Client CAC cards, 2005 models
  • Aladdin eTo­ken 64K, 2048-bit RSA-capable1
  • Aladdin eTo­ken PRO USB Key 32K, 2048-bit RSA-capable1
  • Aladdin eTo­ken PRO with­out 2048-bit capa­bil­ity (older smart cards)1
  • Athena ASEKey Crypto USB Token for Microsoft ILM2
  • Athena ASE­Card Crypto Smart Card for Microsoft ILM2
  • EMC RSA SecurID SID800 Token3
  • Charis­math­ics Cryp­toIden­tity plug ‘n’ crypt Smart Card only stick
  • S-Trust Star­COS smart card4
  • SafeNet iKey 3000

1 Other Aladdin eTo­kens, such as tokens with flash, should work pro­vided they are APDU com­pat­i­ble with the sup­ported tokens. OEM ver­sions of Aladdin eTo­kens, such as those issued by VeriSign, should work pro­vided they are APDU com­pat­i­ble with the sup­ported tokens.
2 Athena tokens are sup­ported only for cre­den­tial stor­age.
3 This token is sup­ported only for cre­den­tial stor­age. SecurID is not sup­ported.
4 S-Trust SECCOS cards are not supported.

Sup­ported Smart Cards and USB Tokens-PGP® Vir­tual Disk and PGP Zip

PGP Whole Disk Encryp­tion rec­og­nizes and works with the following:

  • DoD Com­mon Access Cards (CACs) with the Activ­Card Gold 2.0 profile
  • Athena Smart Card Solu­tions smart cards, includ­ing the ASEKey USB token
  • AET Safe­Sign smart cards, includ­ing ASEKey 1.0
  • Axalto (for­merly Schlum­berger) smart cards, includ­ing the Cryptoflex 32K
  • SafeNet smart cards, includ­ing iKey 2032
  • Aladdin smart cards, includ­ing eTo­ken PRO USB 16K, 32K, and 64K
  • Gem­Plus smart cards, includ­ing Safe­sITe and GemX­presso Pro, using Gem­Safe Libraries 4.2.0–015 (Gold)

PGP Whole Disk Encryp­tion also rec­og­nizes and works with smart cards from other ven­dors if the ven­dor includes a standards-based PKCS-11 library in its soft­ware drivers.

Bad Behavior has blocked 57 access attempts in the last 7 days.