S3 Ep139: As regras de senha são como correr na chuva?

Nenhum reprodutor de áudio abaixo? Ouvir diretamente no Soundcloud.

DOUG.  Patch Tuesday, vingança contra crimes cibernéticos e diversão com senhas.

Tudo isso e muito mais no podcast Naked Security.

[MODEM MUSICAL]

Bem-vindos ao podcast, pessoal.

Eu sou Doug Aamoth; ele é Paul Ducklin.

Paulo, como você está hoje?

---

PATO.  Doug, eu não deveria dizer isso... mas porque eu sei o que está por vir Esta semana na história da tecnologia, porque você me deu uma prévia, estou muito animado!

---

DOUG.  Tudo bem, bem, vamos direto ao assunto!

Esta semana, em 15 de junho, em 1949, Jay Forrester, que era professor do Instituto de Tecnologia de Massachusetts, ou MIT, escreveu…

---

PATO.  [MOCADA DRAMA] Não diga isso como se você fosse de Boston e estivesse todo convencido sobre isso, Doug? [RISADA]

---

DOUG.  Ei, é um belo campus; Eu estive lá muitas vezes.

---

PATO.  É uma espécie de famosa escola de engenharia também, não é? [RISOS]

---

DOUG.  Com certeza é!

Jay Forrester escreveu uma proposta de “memória de núcleo” em seu notebook e mais tarde instalaria memória de núcleo magnético no computador Whirlwind do MIT.

Essa invenção tornou os computadores mais confiáveis ​​e rápidos.

A memória de núcleo permaneceu a escolha popular para armazenamento de computador até o desenvolvimento de semicondutores na década de 1970.

---

PATO.  É uma ideia fantasticamente simples quando você sabe como funciona.

Minúsculos núcleos magnéticos de ferrite, como se estivessem no centro de um transformador... como arruelas em miniatura.

Eles foram magnetizados, no sentido horário ou anti-horário, para significar zero ou um.

Literalmente era um armazenamento magnético.

E tinha uma característica esquisita, Douglas, porque a ferrita forma essencialmente um imã permanente...

…você pode remagnetizá-lo, mas quando você desliga a energia, ele permanece magnetizado.

Portanto, era não volátil!

Se você tivesse uma falha de energia, basicamente poderia reiniciar o computador e continuar de onde parou.

Surpreendente!

---

DOUG.  Excelente, sim... isso é muito legal.

---

PATO.  Aparentemente, o plano original do MIT era cobrar royalties de US$ 0.02 por bit sobre a ideia.

Você pode imaginar o quão caro isso tornaria, digamos, uma memória de iPhone de 64 gigabytes?

Seria na casa dos bilhões de dólares! [RISOS]

---

DOUG.  Unreal.

Bem, alguma história interessante, mas vamos trazê-la para os dias modernos.

Não muito tempo atrás… Microsoft Patch Tuesday.

Sem dias zero, mas ainda assim muitas correções, Paulo:

Patch Tuesday corrige 4 bugs RCE críticos e um monte de buracos do Office

---

PATO.  Bem, não há dias zero este mês se você ignorar o buraco de execução remota de código do Edge sobre o qual falamos na semana passada.

---

DOUG.  Hummmmm.

---

PATO.  Tecnicamente, isso não faz parte do Patch Tuesday…

…mas houve 26 erros de execução remota de código [RCE] no total e 17 erros de elevação de privilégio [EoP].

É aí que os bandidos já estão, mas eles não podem fazer muito ainda, então eles usam o bug EoP para obter superpoderes em sua rede e fazer coisas muito mais covardes.

Quatro desses bugs de execução remota de código foram apelidados de “Críticos” pela Microsoft, o que significa que, se você é uma daquelas pessoas que ainda gosta de fazer seus patches em uma ordem específica, sugerimos que comece com esses.

A boa notícia sobre os quatro patches críticos é que três deles estão relacionados ao mesmo componente do Windows.

Tanto quanto eu posso entender, foi um monte de bugs relacionados, presumivelmente encontrados durante algum tipo de revisão de código desse componente.

Que se relaciona com o Windows Messaging Service, se você o usar em sua rede.

---

DOUG.  E todos nós agradecemos coletivamente por nossa paciência com o desastre do SketchUp, que eu não sabia que existia até agora.

---

PATO.  Como você, Doug, nunca usei esse programa chamado SketchUp, que acredito ser um programa gráfico 3D de terceiros.

Quem diria que seria realmente ótimo poder soltar imagens 3D do SketchUp em seus documentos do Word, Excel, PowerPoint?

Como você pode imaginar, com um novo formato de arquivo para analisar, interpretar, processar, renderizar dentro do Office…

…A Microsoft introduziu um bug que foi corrigido como CVE-2023-33146.

Mas a história escondida por trás da história, se preferir, é que em 01 de junho de 2023, a Microsoft anunciou que:

A capacidade de inserir gráficos do SketchUp foi temporariamente desativada no Word, Excel, PowerPoint e Outlook para Windows e Mac.

Agradecemos sua paciência enquanto trabalhamos para garantir a segurança e a funcionalidade desse recurso.

Fico feliz que a Microsoft aprecie minha paciência, mas talvez desejasse que a própria Microsoft tivesse sido um pouco mais paciente antes de introduzir esse recurso no Office em primeiro lugar.

Eu gostaria que eles tivessem colocado lá *depois* que estava seguro, em vez de colocá-lo para ver se estava seguro e descobrir, como você diz (surpresa! surpresa!), Que não estava.

---

DOUG.  Ótimo.

Vamos nos ater ao assunto da paciência.

Eu disse que iríamos “ficar de olho nisso”, e esperava que não precisássemos ficar de olho nisso.

Mas temos que aliterar um pouco, como você fez no título.

Mais mitigações do MOVEit: novos patches publicados para maior proteção, Paulo.

Mais mitigações do MOVEit: novos patches publicados para maior proteção

---

PATO.  É aquele bom e velho problema do MOVEit novamente: o Erro de injeção de SQL.

Isso significa que, se você estiver usando o programa MOVEit Transfer e não o tiver corrigido, os criminosos que podem acessar o front-end baseado na Web podem induzir seu servidor a fazer coisas ruins…

…até e incluindo a incorporação de um webshell que permitirá que eles entrem mais tarde e façam o que quiserem.

Como você sabe, foi emitido um CVE, e a Progress Software, os criadores do MOVEit, lançou um patch para lidar com o exploit conhecido na natureza.

Eles agora têm outro patch para lidar com bugs semelhantes que, até onde eles sabem, os bandidos ainda não encontraram (mas se eles procurarem bem, eles podem).

E, por mais estranho que pareça, quando você descobre que uma parte específica do seu software tem um bug de um tipo específico, não deve se surpreender se, quando se aprofundar…

…você descobre que o programador (ou a equipe de programação que trabalhou nele na época em que o bug que você já conhece foi introduzido) cometeu erros semelhantes na mesma época.

Muito bem, neste caso, eu diria, à Progress Software por tentar lidar com isso de forma proativa.

A Progress Software acabou de dizer, “Todos os clientes do Move It devem aplicar o novo patch lançado em 09 de junho de 2023.

---

DOUG.  OK, acho que vamos... ficar de olho nisso!

Paulo, me ajude aqui.

Estou no ano de 2023, lendo em um Manchete de segurança nua algo sobre “Mt. Gox.

O que está acontecendo comigo?

História revisitada: Departamento de Justiça dos EUA abre acusações de cibercrime em Mt. Gox

---

PATO.  Monte Gox!

“Magic The Gathering Online Exchange”, Doug, como era…

---

DOUG.  [RISOS] Claro!

---

PATO.  …onde você pode trocar cartas de Magic The Gathering.

Esse domínio foi vendido, e aqueles com longa memória saberão que se tornou a mais popular e, de longe, a maior troca de Bitcoin do planeta.

Era dirigido por um expatriado francês, Mark Karpelès, fora do Japão.

Tudo estava indo bem, aparentemente, até que implodiu em uma nuvem de poeira de criptomoeda em 2014, quando eles perceberam que, grosso modo, todos os seus Bitcoins haviam desaparecido.

---

DOUG.  [RISOS] Eu não deveria rir!

---

PATO.  647,000 deles, ou algo assim.

E mesmo naquela época, eles já valiam cerca de US$ 800 cada, o que representava meio bilhão de dólares americanos em “puff”.

Curiosamente, na época, muitos dedos apontaram para a própria equipe do Mt. Gox, dizendo: “Oh, isso deve ser um trabalho interno”.

E, de fato, no dia de Ano Novo, acho que em 2015, um jornal japonês chamado Yomiuri Shimbun publicou um artigo dizendo: “Nós investigamos isso e 1% das perdas podem ser explicadas pela desculpa que eles inventei; quanto ao resto, vamos deixar registrado que foi um trabalho interno.

Agora, aquele artigo que eles publicaram, que causou muito drama porque é uma acusação bastante dramática, agora dá um erro 404 [página HTTP não encontrada] quando você o visita hoje.

---

DOUG.  Muito interessante!

---

PATO.  Então eu acho que eles não aguentam mais.

E, de fato, o Departamento de Justiça [DOJ] nos Estados Unidos finalmente, todos esses anos depois, acusou dois cidadãos russos de basicamente roubar todos os Bitcoins.

Portanto, parece que Mark Karpelès conseguiu pelo menos uma exoneração parcial, cortesia do Departamento de Justiça dos EUA, porque eles definitivamente colocaram esses dois sujeitos russos no quadro por esse crime tantos anos atrás.

---

DOUG.  É uma leitura fascinante.

Então confira no Naked Security.

Tudo o que você precisa fazer é procurar, você adivinhou, “Mt. Gox”.

Vamos continuar no assunto do cibercrime, já que um dos principais criminosos por trás do malware bancário Gozi pousou na prisão depois de dez longos anos, Paulo:

O “chefe de TI” do malware bancário Gozi finalmente foi preso depois de mais de 10 anos

---

PATO.  Sim… foi um pouco como esperar o ônibus.

Duas histórias surpreendentes do tipo “uau, isso aconteceu há dez anos, mas vamos pegá-lo no final” chegaram de uma só vez. [RISADA]

E este, pensei, era importante escrever novamente, apenas para dizer: “Aqui é o Departamento de Justiça; eles não se esqueceram dele.”

Na verdade. Ele foi preso na Colômbia.

Acredito que ele fez uma visita e estava no aeroporto de Bogotá, e acho que os funcionários da fronteira pensaram: “Ah, esse nome está na lista de observação”!

E assim, aparentemente, as autoridades colombianas pensaram: “Vamos entrar em contato com o Serviço Diplomático dos EUA”.

Eles disseram: “Ei, estamos prendendo um sujeito aqui chamado (não vou mencionar o nome dele – está no artigo).. você costumava se interessar por ele, relacionado a crimes de malware multimilionários muito sérios . Você ainda está interessado, por acaso?

E, que surpresa, Doug, os EUA estavam realmente muito interessados.

Então, ele foi extraditado, enfrentou o tribunal, se declarou culpado e agora foi condenado.

Ele só pegará três anos de prisão, o que pode parecer uma sentença leve, e terá que devolver mais de $ 3,000,000.

Não sei o que acontece se ele não o fizer, mas acho que é apenas um lembrete de que, ao executar e se esconder da criminalidade relacionada a malware…

… bem, se há acusações contra você e os EUA estão procurando por você, eles não dizem apenas: “Ah, são dez anos, podemos muito bem deixar isso”.

E a criminalidade desse cara estava comandando o que é conhecido no jargão como “hosts à prova de balas”, Doug.

É basicamente aí que você é uma espécie de ISP, mas, ao contrário de um ISP comum, você sai do seu caminho para ser um alvo móvel para a aplicação da lei, para listas de bloqueio e para avisos de remoção de ISPs comuns.

Então, você fornece serviços, mas os mantém, se quiser, mudando de lugar e em movimento na internet, para que os bandidos paguem uma taxa e saibam que os domínios que você hospeda para eles continuarão trabalhando, mesmo que a polícia esteja atrás de você.

---

DOUG.  Tudo bem, ótimas notícias novamente.

Paul, à medida que encerramos nossas histórias do dia, você se deparou com um problema muito difícil, cheio de nuances, mas questão importante sobre senhas.

Ou seja, devemos trocá-los constantemente em uma rotação, talvez uma vez por mês?

Ou bloquear aqueles realmente complexos para começar e depois deixar bem o suficiente?

Considerações sobre alterações de senha agendadas (não as chame de rotações!)

---

PATO.  Embora pareça uma espécie de história antiga e, de fato, é uma que já visitamos muitas vezes antes, a razão pela qual a escrevi é que um leitor me contatou para perguntar exatamente sobre isso.

Ele disse: “Não quero lutar pelo 2FA; Não quero entrar em conflito com gerenciadores de senhas. Essas são questões separadas. Eu só quero saber como resolver, se você quiser, a guerra territorial entre duas facções dentro da minha empresa, onde algumas pessoas estão dizendo que precisamos fazer senhas corretamente, e outras estão apenas dizendo: 'Esse barco navegou, é muito difícil, vamos apenas forçar as pessoas a mudá-los e isso será bom o suficiente'.”

Então eu pensei que realmente valia a pena escrever sobre isso.

A julgar pelo número de comentários no Naked Security e nas mídias sociais, muitas equipes de TI ainda estão lutando com isso.

Se você apenas forçar as pessoas a mudarem suas senhas a cada 30 ou 60 dias, realmente importa se elas escolherem uma que seja eminentemente crackável se seu hash for roubado?

Desde que eles não escolham password or secret ou um dos nomes dos dez maiores gatos do mundo, talvez esteja tudo bem se os forçarmos a alterá-la para outra senha não muito boa antes que os bandidos possam decifrá-la?

Talvez isso seja bom o suficiente?

Mas tenho três razões pelas quais você não pode consertar um mau hábito apenas seguindo outro mau hábito.

---

DOUG.  O primeiro a sair do portão: Alterar senhas regularmente não é uma alternativa para escolher e usar senhas fortes, Paul.

---

PATO.  Não!

Você pode optar por fazer as duas coisas (e darei duas razões em um minuto porque acho que forçar as pessoas a mudá-las regularmente traz outro conjunto de problemas).

Mas a observação simples é que alterar uma senha incorreta regularmente não a torna uma senha melhor.

Se você deseja uma senha melhor, escolha uma senha melhor para começar!

---

DOUG.  E você diz: Forçar as pessoas a alterar suas senhas rotineiramente pode levá-las a maus hábitos.

---

PATO.  A julgar pelos comentários, esse é exatamente o problema que muitas equipes de TI enfrentam.

Se você disser às pessoas: “Ei, você precisa alterar sua senha a cada 30 dias e é melhor escolher uma boa”, tudo o que elas farão é…

…eles escolherão um bom.

Eles passarão uma semana guardando na memória para o resto da vida.

E então todo mês eles vão adicionar -01, -02, E assim por diante.

Portanto, se os bandidos quebrarem ou comprometerem uma das senhas e virem um padrão como esse, eles podem descobrir qual é sua senha hoje se souberem sua senha de seis meses atrás.

É aí que forçar a mudança quando não é necessário pode levar as pessoas a tomar atalhos de segurança cibernética que você não quer que elas façam.

---

DOUG.  E este é interessante.

Já falamos sobre isso antes, mas é algo que algumas pessoas podem não ter pensado: Agendar alterações de senha pode atrasar as respostas de emergência.

O que você quer dizer com isso?

---

PATO.  O ponto é que, se você tiver um cronograma fixo e formalizado para alterações de senha, para que todos saibam que, quando chegar o último dia deste mês, eles serão forçados a alterar suas senhas de qualquer maneira…

… e então eles pensam: “Sabe de uma coisa? É dia 12 do mês e eu fui a um site que não tenho certeza de que poderia ser um site de phishing. Bem, vou mudar minha senha em duas semanas de qualquer maneira, então não vou mudar agora.

Portanto, ao alterar suas senhas *regularmente*, você pode acabar adquirindo o hábito de, às vezes, quando é muito, muito importante, não alterar sua senha *com frequência* suficiente.

Se e quando você achar que há um bom motivo para alterar sua senha, FAÇA ISSO AGORA!

---

DOUG.  Eu amo isso!

Tudo bem, vamos ouvir um de nossos leitores sobre a senha.

O leitor da Naked Security, Philip, escreve, em parte:

Alterar suas senhas com frequência para não ser comprometido é como pensar que, se você correr rápido o suficiente, poderá desviar de todas as gotas de chuva.

OK, você vai se esquivar das gotas de chuva que caem atrás de você, mas haverá tantas para onde você está indo.

E, forçadas a alterar regularmente suas senhas, um número muito grande de pessoas simplesmente acrescenta um número que pode ser incrementado conforme necessário.

Como você disse, Paulo!

---

PATO.  Seu amigo e meu, Chester [Wisniewski] disse, alguns anos atrás, quando estávamos conversando sobre mitos de senha, “Tudo o que eles precisam fazer [RISOS], para descobrir qual é o número no final, é acessar sua página do LinkedIn. 'Comecei nesta empresa em agosto de 2017'... conte o número de meses desde então.”

Esse é o número que você precisa no final.

Sophos Techknow – Destruindo os mitos das senhas

---

DOUG.  Exatamente! [RISADA]

---

PATO.  E o problema surge quando você tenta agendar, ou algoritmizar... isso é uma palavra?

(Provavelmente não deveria ser, mas vou usá-lo de qualquer maneira.)

Quando você tenta pegar a ideia de aleatoriedade, entropia e imprevisibilidade e encurralá-la em algum algoritmo superestrito, como o algoritmo que descreve como os caracteres e números são dispostos nas etiquetas de veículos, por exemplo…

… então você acaba com *menos* aleatoriedade, não *mais*, e você precisa estar ciente disso.

Assim, forçar as pessoas a fazer qualquer coisa que as faça cair em um padrão é, como Chester disse na época, simplesmente induzi-las ao hábito de um mau hábito.

E eu amo essa maneira de colocar isso.

---

DOUG.  Tudo bem, muito obrigado por enviar isso, Philip.

E se você tiver uma história, comentário ou pergunta interessante que gostaria de enviar, adoraríamos lê-la no podcast.

Você pode enviar um e-mail para tips@sophos.com, comentar sobre qualquer um de nossos artigos ou entrar em contato conosco nas redes sociais: @nakedsecurity.

Esse é o nosso show de hoje.

Muito obrigado por ouvir.

Para Paul Ducklin, sou Doug Aamoth, lembrando a vocês, até a próxima, para…

---

AMBAS.  Fique seguro!

[MODEM MUSICAL]