Arquivo

Arquivo da Categoria ‘Dicas de segurança’

Criando senhas difíceis

30, agosto, 2010 Aquimais Sem comentários

É preciso estar alerta quando se trata de acesso à internet. Não se deve ignorar as implicações de segurança que estão por trás da utilização de dados em redes. E por incrível que pareça, muitos ataques ainda acontecem porque usuários não criam senhas seguras o suficiente.

O microblog Twitter, por exemplo, foi alvo de sérios ataques, que levaram os usuários a relevar suas contas e senhas de acesso, tendo suas contas sequestradas. Algumas delas foram utilizadas para espalhar o ataque, outras para espalhar vírus e spam.

Por isso, na hora de criar um código secreto, o ideal é fugir de senhas fáceis e fracas, que qualquer pessoa possa descobrir. Evite armadilhas comuns como suas iniciais, nomes de parentes, placa do seu carro, número de seu telefone, data de nascimento ou qualquer outra referência pessoal. O desafio é criar uma senha difícil de quebrar, mas que seja fácil de memorizar.

Uma dica para criar uma senha forte é pensar em uma frase e extrair as letras iniciais de cada palavra. Por exemplo: “No meio do caminho tinha uma pedra”, verso de Carlos Drummond de Andrade. Com esse verso, você poderia criar a senha nmdctup.CDA, que, para complicar, inclui um ponto e as iniciais do autor, em maiúsculas. Para dificultar ainda mais, é interessante criar senhas alfanuméricas. Neste caso, sim, você poderia utilizar a data do seu aniversário após a frase criada: nmdctup.CDA12, por exemplo.

Quando você for viajar e precisar acessar e-mails e outros serviços em redes públicas como lan house e cibercafés, o ideal é criar logins provisórios para proteger suas senhas. O serviço de gerenciamento de senhas Passpack permite criar logins descartáveis.

Para isso, crie uma conta no Passpack e cadastre os serviços desejados. Depois, na aba Security, clique em Disposable Login. Pressione o botão Generate e escolha o número de logins que serão criados e o prazo de expiração de cada um. O resultado final é uma lista de senhas com a expiração definida. Usando essas senhas, acesse o endereço https://www.passpack.com e faça o login seguro nos serviços cadastrados.

Fonte: Info

Categories: Dicas de segurança Tags:

Proteção contra upload de arquivos maliciosos

27, janeiro, 2010 Aquimais Sem comentários

Ao permitir que os usuários enviem arquivos ao seu servidor, você deve estar atento ao risco que eles podem apresentar: arquivos .exe podem chegar com vírus e infectar o computador de todos os usuários que fizerem o download. Um invasor pode criar um arquivo .asp e através de FSO ter controle completo sobre seus arquivos.

Para solucionar este problema você deve filtrar os arquivos enviados, aceitando somente aqueles com a extensão desejada. Por exemplo, se você tem um script com a finalidade de enviar imagens, programe-o para aceitar somente arquivos com extensões .jpg e .gif.

Essa restrição poderá ser feita através de um if simples ou com funções pré-existentes em alguns componentes de upload. Veja abaixo um exemplo:

Verificação simples utilizando PHP
<?
if (!empty($arquivo) and is_file($arquivo)) {
    $caminho=”upload/”;
    $caminho=$caminho.$arquivo_name;
    if ((eregi(“.gif$”, $arquivo_name)) || (eregi(“.jpg$”, $arquivo_name))){
        copy($arquivo,$caminho);
        print “Arquivo enviado com sucesso!”;
    }
    else{
        print “Arquivo não enviado!”;
        print “Tipo de arquivo inválido!”;
    }
}
?>

Categories: Dicas de segurança Tags:

Proteção contra PHP Injection

27, janeiro, 2010 Aquimais Sem comentários

Páginas em PHP podem ser vulneráveis ao ataque chamado PHP Injection. Este ataque consistem em passar por querystring comandos em PHP ou endereços de arquivos que serão interpretados e executados por sua página. Se o site não possuir a devida proteção, o invasor poderá ter total acesso e controle sobre seu site.
Abaixo segue um exemplo de proteção contra PHP Injection, onde verificamos a existência de palavras comuns neste tipo de ataque.

<?php
//Pega os dados passados pela URL
$pagina=$_GET['pagina'];

    //Verifica se a string passada possui algum trecho inválido
    //Caso tenha mostra uma mensagem de erro
    if(eregi(“http|www|ftp|.dat|.txt|.gif|wget”, $pagina))
    {
        echo “Erro na URL!”;
    //Se a variável passada estiver dentro das normas, executa o else abaixo
    }else{
        if(!empty($pagina)) {
            @include ($pagina);
        }else{
            @include (“index.php”); //essa seria a sua página principal
        }
    }
?>

Este exemplo não permite que alguém tente colocar URLs e outros tipos de códigos em sua querystring. Veja o exemplo abaixo:

Assim funciona corretamente:
index.php?pagina=contato

Desta maneira o script acima fará o bloqueio:
index.php?pagina=http://www.sitedovirus.com&cmd=comando malicioso

Outra maneira eficiente de evitar este tipo de ataque é mapear todas as páginas de seu site através de IDs. Veja o exemplo abaixo:

$inc = “index.php”; // Página default
if($_GET['opcao']==”1″) { $inc = “pagina1.php”; }
if($_GET['opcao']==”2″) { $inc = “pagina2.php”; }
include($inc);

Neste exemplo somente deverão ser passados por querystring somente a ID da página desejada. Caso seja passado algo não existente nos ifs, a variável $inc continuará com o valor index.php.

Categories: Dicas de segurança Tags:

Proteção contra ataques de Força Bruta

27, janeiro, 2010 Aquimais Sem comentários

Um ataque por Força Bruta, ou Brutal Force, consiste em gerar todas as combinações de senha possíveis em sequência para fazer acesso à um sistema. Geralmente são iniciadas com os logins padrão, como admin, administrador, root, etc. Abaixo seguem algumas dicas de proteção contra este tipo de ataque. Se você combinar todas as dicas, seu site terá um nível de segurança bastante alto contra ataques de força bruta, ou ao menos fará com que o ataque demore alguns milhões de anos para ter sucesso.

Verificação de PIN

PIN é uma imagem aleatória com um conjunto de caracteres que aparece para o usuário digitar ao efetuar login. Quanto mais longo for o conjunto de caracteres e a diversidade dos mesmos, mais dificilmente será quebrado.

Bloqueio por tempo determinado de IP

Você poderá programar seu sistema para bloquear o IP do visitante por alguns segundos ou minutos em caso de erro de login, ou depois de algumas tentativas seguidas de erro.

Bloqueio da conta

Você poderá também programar seu sistema para bloquear a conta do usuário depois de algumas tentativas seguidas de erro, podendo ser desbloqueada somente após contato ou execução de algum procedimento.

Não use nome de usuário padrão

Procure não utilizar nomes de usuário muito comuns, como admin, administrador, root, etc. Utilize nomes de usuário mais complexos.

Utilize senhas longas

Quanto mais longa e diversificada for sua senha, mais dificil será descobrí-la. Portanto, crie senhas longas, combinando palavras, espaços, acentos, pontuação e números.

Categories: Dicas de segurança Tags: