Ameaças com senha do VOL

SamL
(usa XUbuntu)

Enviado em 15/03/2021 - 04:06h

Hoje eu tava vendo minha caixa de spam do gmail, tenho esse costume, daí algo me chamou atenção: minha senha antiga que eu usava somente no VOL tava sendo usada como o assunto do spam. Até ai nada de mais, pra quem acessa o site sabe que foram roubadas todas as senhas de usuário do site:
https://www.vivaolinux.com.br/topico/Sugestoes-para-o-Viva-o-Linux/Senhas-do-Viva-o-Linux-comprometi...

Desde do dia de tal acontecimento eu andei pesquisando por conta própria um meio de evitar que tal coisa ocorresse novamente, porque pode acontecer de novo.
Então, eu encontrei um modo 100% seguro de evitar o armazenamento de senhas, seja em strings de texto puro ou em strings com criptografia fraca.

No caso, é usando inteligência artificial e é tão seguro que existe artigos científicos sobre o assunto:
https://ieeexplore.ieee.org/document/7483682

Eu implementei e testei uma IA baseada num artigo científico e garanto que funciona mesmo.
Também sugeri ao Fábio essa técnica pra manter seguro os passwords contra esses vazamentos de dados, só que até agora não recebi nenhum email de interesse no que eu sugeri, então, acho que ele não se interessou pelo assunto.

É uma pena a gente acessar um site e ser exposto dessa forma, tendo um meio eficiente de contra atacar tal problema.

No spam do hackudão lá, hackudão mesmo, desses que se acha o cara espertão como o que vazou os passwords e emails daqui. Ele tava me ameaçando dizendo que sabia tudo da minha vida e tinha vídeos meus, acesso a todo meu histórico e contas de emails que eu usava. Meu Deus do céu e agora? VOu morrer por isso hahaha

Mas sério, tem que ser tomada alguma atitude contra isso, eu dei uma opção ai falta só um pocuo mais de ação, não é pedir muito, é uma causa justa!
Com IA nem precisaria se preocupar com tanta segurança no armazenamento dos password, porque, o que seria de fato armazenado seria apenas números dos pesos sinápticos da rede neural, nada de texto, nem mesmo criptografia seria usada se usassem uma IA pra guardar os passwords.


____________________________________________
https://nerdki.blogspot.com/ acessa aí vai lá, é grátis!
Capeta (demo) do meu trabalho:
https://github.com/cpusam
"com o bug fix vem a perfeição"

leandropscardua
(usa Ubuntu)

Enviado em 15/03/2021 - 08:13h

Não li o artigo inteiro, mas parece que se baseia no padrão de digitação do usuário. Ela tem alguns problemas tb: a senha tem de ter tamanho fixo(nenhum problema pq nem mesmo precisa ser privada), mas na hora do cadastro o usuário tem de digitar muitos exemplos para o sistema estabelecer o padrão. Eu já conhecia essa técnica e nos artigos q li geralmente eram mais de vinte exemplos. Ia ser meio complicado digitar vinte vezes a mesma senha na hora do cadastro.
Também recebi um email desses. Estava em inglês e vinha do méxico aparentemente. Uma semana antes eu recebi um alerta da minha conta gmail de uma tentativa de acesso não autorizado. O gmail tem uma configuação q faz log de tentativa de invasão e manda um email. Se vc tiver conta integrada no celular recebe na hora. Recomendo a todos configurar a segurança dos apps q usa. Qto ao "hackudão" uma leitura atenta do email dá p perceber que é um blefe, é uma mensagem automática.

removido
(usa Nenhuma)

Enviado em 15/03/2021 - 09:21h

Em relação ao Spam com senha no assunto do email, já me ocorreu também. Relatei o ocorrido no tópico sobre gerenciadores de senhas:
https://www.vivaolinux.com.br/topico/vivaolinux/Gerenciador-de-senhas-Voces-usam

O conteúdo do spam é praticamente igual ao seu, só muda obviamente a senha no assunto do email. Por sorte, também era uma senha antiga a qual não utilizava mais.

Essas senhas antigas, são resultados de vazamentos ocorridos em outros serviços onde possuímos cadastro, e por costume, usamos a mesma senha. Pode não ser necessariamente no VOL (não me lembro se já houve vazamento de senhas aqui).

O que eu fiz: troquei todas as senhas que utilizo para senhas aleatórias. Utilizo também o bitwarden para armazenar e fazer o gerenciamento dessas senhas.

Só sei de cabeça uma única senha, que utilizo para a minha conta Google, redes sociais, e para acessar o próprio bitwarden. O resto, é senha randômica de 12 caracteres.

Futuramente, vou adquirir uma YubiKey para proteger meu Gmail e serviços do google, além do próprio login no GDM:
https://www.yubico.com/

SamL
(usa XUbuntu)

Enviado em 15/03/2021 - 09:38h

Não foi esse artigo em especifico que usei pra testar, na verdade foi de outro que usava um MLP pra treinar a rede somente com um único password e então salvar os pesos no banco. Eu testei com strings aleatórias de MD5, ou seja, resolvi o problema da variação no tamanho do texto usando md5. Então como o tamanho do hash é fixo, a entrada do MLP também será fixa e daí bastaria treinar a rede com uma saída tipo +1.0 pra somente o hash do password em questão. Testei com 32 mil strings md5 aleatórias pra ver se algumas delas mostraria uma saída > 0 (já que treinei a rede com +1.0). O resultado é mais ou menos o seguinte:
-das 32 mil strings md5 aleatórias, NENHUMA delas faz a rede retornar > 0
-a única string que retorna > 0 é a própria string do password usada para treinar a rede, e nada mais.


Eu to ligado, eu nem me assusto com isso não, sei que não passa de mentira. Até porque, se quisesse me ameaçar de verdade que mostrasse algum material comprometedor ou mesmo pessoal meu a mim, sem isso quero mais é que se fo**.


____________________________________________
https://nerdki.blogspot.com/ acessa aí vai lá, é grátis!
Capeta (demo) do meu trabalho:
https://github.com/cpusam
"com o bug fix vem a perfeição"

leandropscardua
(usa Ubuntu)

Enviado em 15/03/2021 - 16:58h

Realmente, os artigos q eu tinha olhado eram antigos, eu pesquisei aobre isso em 2017 e deixei de lado depois. Realmente é interessante adicionar senhas sw comprimento variável, mas o problema eu acho q seria implantar, quer dizer, quem vai colocar o pescoço em risco p testar essa tecnologia. Aqui tem um video demonstrativo (de um sistema toscão kkk) https://youtu.be/jJy559ze6dA
Uma outra direção seria apostar na identificação de usuários e uma possibilidade é fingerprint de navegador ou tentar evercookies
https://github.com/samyk/evercookie
E monitorar maus usuários.
Se o vol tiver histórico de acessos indevidos, pode montar uma base de exemplo e cadastrar no kaggle e receber sugestões de algoritmos ou mesmo implementações p controle de ameaças.

SamL
(usa XUbuntu)

Enviado em 16/03/2021 - 02:14h

Cara, o MLP é uma rede muito robusta, a chance de ele por exemplo, não logar um user por alguma falha é muito, muito baixa mesmo. É tipo algo como uma chance em 100 milhões ou mesmo mais. Como a rede é treinada apenas com um único input, ela não pode errar a próxima vez que esse input aparecer, já que ela é treinada somente nesse input. Fora que o MLP é provavelmente a rede neural mais bem conhecida e usada, se não fosse algo confiável, não faria sentido ter tantos usos.

____________________________________________
https://nerdki.blogspot.com/ acessa aí vai lá, é grátis!
Capeta (demo) do meu trabalho:
https://github.com/cpusam
"com o bug fix vem a perfeição"

SamL
(usa XUbuntu)

Enviado em 16/03/2021 - 02:33h

Sim, mas no meu caso a senha era exclusiva daqui, era ainda a primeira senha que usei no VOL. No mais eu nemm ligo porque sei que essas ameaças são apenas mentiras. E mesmo que fosse verdade, eu não ligo se meus amigos ou mesmo conhecidos soubessem o que eu faço na internet (era isso que dizia o email que ia revelar o que eu fazia). Já não basta o google saber onde eu ando? rsrsrs


____________________________________________
https://nerdki.blogspot.com/ acessa aí vai lá, é grátis!
Capeta (demo) do meu trabalho:
https://github.com/cpusam
"com o bug fix vem a perfeição"

leandropscardua
(usa Ubuntu)

Enviado em 16/03/2021 - 09:38h

A internet transformou o mundo numa cidade do interior gigante kkkk agora todo mundo sabe o q todo mundo está fazendo!!! Eu gostei da ideia do ru4n de usar senhas aleatorias geradas pelo apg e pretendo adotar no futuro junto c um gerenciador de senhas. Acho q esse negócio de vazar senha será uma realidade e cada um deverá se proteger da melhor forma possível.

SamL
(usa XUbuntu)

Enviado em 16/03/2021 - 10:46h

Eu imagino que no futuro não precisaremos mais de nenhuma senha, porque, na minha opinião claro, a privacidade não existirá mais. E ai andaremos todos pelados, nuzinho da silva, balançando o badalo por ai. Tá é um pouco exagerado mas num deixa de ser uma metáfora realista hahaha, mas sério, acho que a privacidade na internet pelo menos, não será algo assim tão protegido, vai chegar o ponto onde existirão computadores quânticos pra qualquer um, desde o miserável na rua até o terrorista em alguma caverna ai. Ai sim o negócio ficaria feio, porque imagina, um cara com poder de processamento praticamente infinito poderia usar isso de alguma forma pra dominar a internet inteira como ela é hoje, no caso, força bruta seria a lei maior comm computador quântico e o fator "exponencial" das combinações na criptografia não seria mais uma barreia existente pra pcs tão potentes.

____________________________________________
https://nerdki.blogspot.com/ acessa aí vai lá, é grátis!
Capeta (demo) do meu trabalho:
https://github.com/cpusam
"com o bug fix vem a perfeição"

fabio
(usa Debian)

Enviado em 16/03/2021 - 11:17h

Grande Samuel,

realmente fiquei lhe devendo uma resposta. Deixei teu email como "não-lido" na minha inbox, mas ele se perdeu no meio de outros. Sei que não devo satisfações da minha vida, mas essa pandemia atrasou todo o meu cronograma, que era o de reformar o VOL na virada do ano.

Com o lance de aulas escolares se tornarem remotas, minha filha (8 anos) veio morar comigo e além de todas as minhas atividades, agora tenho que acompanhar aulas online, fazer dever de casa, cozinhar, limpar casa, controlar horário de banho, escovar os dentes, brincar e tudo o que tem direito. Não tenho ajuda.

E como não escondo de ninguém, o VOL não gera receita o suficiente para bancar minhas contas. Pós-pandemia ele passou a render o salário de um programador júnior, fato que obviamente me impossibilita de encará-lo como atividade profissional principal.

A ideia é muito boa sim, mas como lhe disse outrora, qualquer reforma significativa agora resultará em trabalho dobrado posteriormente, pois vamos fazer um refactory completo no código do VOL. E nesse refactory o código será aberto e todos estarão convidados a colaborar no repositório. Quem sabe você mesmo não implementa isso, seria top!

SamL
(usa XUbuntu)

Enviado em 16/03/2021 - 11:36h

Ah não Fábio, nem esquenta, tava de boa não ter respondido. Eu nem ia criar este post só criei porque vi minha senha antiga no meio do spam lá e daí quis vir aqui ver o que o povo acharia da ideia da rede neural.

Bem que eu queria mesmo iniciar essa transição de código, acontece que eu precisaria do teu auxílio, ou pelo menos, de alguma outra pessoa que conheça o VOL via código. Porque, por mais que eu tenha tempo livre agora, não sou tão capacitado tecnicamente pra criar um site completo sozinho, mesmo que baseado num outro source.

Então, se tu pelo menos conseguisse juntar alguns membros pra portar o site junto comigo, seria massa isso. Digo, eu trabalharia nisso sem exigir nada.

____________________________________________
https://nerdki.blogspot.com/ acessa aí vai lá, é grátis!
Capeta (demo) do meu trabalho:
https://github.com/cpusam
"com o bug fix vem a perfeição"

saitam
(usa Slackware)

Enviado em 16/03/2021 - 13:06h

Apenas para lembrar que os passwords não se diz criptografia, pois é aplicado hash do password.

Existem as funções que aplicam hash do password: md5, sha256, bcrypt, sendo os dois primeiros não são recomendados, porque gera o mesmo hash para o mesmo password, enquanto no bcrypt de complexidade 10 gera um hash único mesmo sendo o mesmo password.

Faz um teste, aplique 100x o password com string qualquer para md5, sha256 e bcrypt. Irá notar que nos casos de md5 e sha256 irá gerar o mesmo hash para a mesma string, enquanto no bcrypt é hash único na mesma string do password.

Provavelmente o Fábio deve ter aplicado bcrypt como hash dos password de usuários do VOL, por questão de segurança.


http://mundodacomputacaointegral.blogspot.com.br/
Twitter: https://twitter.com/@blogcomputacao
Facebook: https://www.facebook.com/BlogComputacao
Grupo Linux no Telegram: https://goo.gl/KQYqhN
Grupo Linguagens de Programação no Telegram: https://goo.gl/7sJF95
Grupo FreeBSD no Telegram: https://goo.gl/mzp7XT
Grupo Infra TI Corporate no Telegram: https://t.me/InfraTICorporate
Grupo CodeIgniter no Telegram: https://t.me/CodeIgniterBrasil
Grupo Phinx Brasil no Telegram: https://t.me/PhinxBrasil
Blog: http://goo.gl/Cuixk
Coleção de Howtos Linux e FreeBSD https://goo.gl/UHDVtK
Canal do Blog: https://t.me/blogcomputacao