VPN: o que é e como criar?

Muitos usuários desconhecem o VPN, seus benefícios para a empresa e como criá-la corretamente. Por isso, vamos elucidar esse assunto neste artigo.

O que é VPN?

A sigla VPN significa Virtual Private Network, ou seja, Rede Privada Virtual. Essa é uma ferramenta utilizada para conexão de empresas e pessoas.

Ao acessar um endereço na internet, alguns dados são compartilhados. Assim, ao criar uma VPN, é possível o acesso à rede interna de uma empresa de qualquer lugar com segurança e sigilo.

Para as empresas, é uma ótima solução para manter todos conectados à rede, mesmo em caso de home office ou viagem. O que garante a segurança da VPN é a criptografia, que codifica os dados no tráfego.

Dessa forma, são impedidos ataques do tipo “man-in-the-middle” (“homem no meio”), onde hackers monitoram e roubam senhas e informações bancárias.

Mas seu uso não é apenas corporativo. Ela pode ser utilizada para acessar camuflar o IP para burlar bloqueios, e até acessar conteúdos internacionais.

Como criar uma VPN?

É possível criar uma VPN em qualquer lugar, precisando apenas de acesso à internet. Veja o passo a passo para criar sua rede:

  1. Acesse o menu iniciar e procure pelo painel de controle
  2. Clique em central de rede e compartilhamento
  3. Configure uma nova conexão rede, conecte a um local de trabalho e clique em avançar
  4. No Windows 7 clique em criar uma nova conexão e avance
  5. Clique em Usar minha conexão com a internet e insira os dados da empresa
  6. Marque “lembrar credenciais” e clique em criar

Dessa forma, para se conectar, basta entrar em Central de Rede e Compartilhamento, clicar em Alterar as configurações do adaptador e encontrar a VPN.

Mas fique atento, esse tipo de rede não é segura. Existe a possibilidade de criar uma VPN com antivírus e assim garantir segurança. Para isso é preciso ter um firewall que consiga assegurar a criptografia e o sigilo, usando firewall.

Aliás, a maioria das VPNs são perigosas e criadas desconhecidos com o intuito de fraude. Logo, é importante acessar VPNs através de programas seguros!

O BluePex® Firewall UTM oferece proteção de segurança em tempo real, evitando ataques e bloqueia sites perigosos. Além disso, ele garante a atividade e velocidade de todas as conexões através de compactação, criptografia dos pacotes e protocolos.

Quer saber mais sobre as soluções da BluePex® ? Fale com um de nossos especialistas.

Multa por software pirata pode chegar até 3 mil vezes o valor da licença

Empresas podem sofrer multas, danos reputacionais e perdas financeiras

Ser flagrado pelos desenvolvedores usando software pirata pode gerar uma indenização de até 3 mil vezes o valor da licença. Isso significa que as auditorias e as fiscalizações realizadas por essas empresas estão colocando muitos negócios em uma difícil situação financeira.

O uso irregular de sistemas operacionais, editores de textos e banco de dados ainda é uma prática comum no Brasil. No entanto, o hábito vem causando problemas e fazendo com que organizações de todos os portes e segmentos tenham perdas financeiras consideráveis.

Por exigir estudos e investimentos dos desenvolvedores, os programas para computador são considerados propriedade intelectual e o direito à sua venda e uso é protegido por lei. Segundo a Associação Brasileira das Empresas de Software (ABES), 46% dos programas comercializados no Brasil são piratas, número que revela um prejuízo de US$ 1,7 bilhão para o setor.

Acontece que as ações de fiscalização estão se intensificando e, todos os anos, milhares de links, anúncios e sites estão sendo denunciados e retirados do ar. Somado a isso, as ações de auditoria dentro das empresas crescem e elas são obrigadas a fornecer prova de regularidade dos softwares utilizados.

Em geral, as auditorias são iniciadas após denúncias. A ABES disponibiliza um portal com as informações e procedimentos necessários para que qualquer pessoa informe o cometimento desse crime e contribua com o combate à pirataria.

Com isso, o desenvolvedor é comunicado da suspeita, notifica a empresa e solicita auditoria nas máquinas. Caso a organização discorde do procedimento amigável, os detentores de direito autoral adotam as medidas judiciais cabíveis, o que pode finalizar com a aplicação de multas expressivas.

A importância da regularização

O uso de softwares e soluções tecnológicas é uma necessidade das empresas contemporâneas. No entanto, muitos gestores ainda recorrem a sistemas piratas e de origem duvidosa.

Além de ser considerado um crime contra a propriedade intelectual, o hábito torna o negócio mais vulnerável à ação de hackers, abrindo espaço para o vazamento de dados sensíveis e confidenciais.

Sendo assim, investir em softwares originais e mantê-los sempre atualizados é uma prática essencial ao desenvolvimento empresarial e deve fazer parte do planejamento financeiro da organização.

Com mais de 14 anos de mercado, a BluePex é uma empresa pioneira no mercado de soluções de segurança e controle em TI no Brasil. O BluePex® Endpoint Control, por exemplo, auxilia na realização do inventário de TI, automatiza processos, facilita a realização de atualizações e o planejamento de investimentos na área.

ROUBO DE SENHAS: CONHEÇA OS MÉTODOS USADOS POR HACKERS

Não é novidade que hackear senhas é uma das maneiras mais comuns utilizadas por invasores para obtenção de acesso não autorizado. Afinal, pedir autenticação de um usuário através de um nome de entrada e uma senha é ainda a maneira mais amplamente usada de autenticação em todo o mundo. Como evitar o roubo de senhas.

Usando a técnica de combinação de letras, números e caracteres especiais, você aumenta muito a segurança, tornando mais difícil a chance de alguém quebrar a senha (ou adivinhá-la), porém infelizmente, estas são mais difíceis de serem mantidas. Pensando nisso, afirmamos que usando esta técnica, as senhas se tornam um dos elos mais fracos na cadeia da segurança de informação.

Os invasores externos e usuários maliciosos, possuem inúmeras maneiras de obtenção de senhas. Desde engenharias sociais, como também utilização de softwares, técnicas algorítmicas avançadas, analisadores de rede, keyloggers e etc.

Este artigo lhe dará uma visão geral das técnicas mais básicas. Ao final do artigo descreveremos resumidamente três possibilidades de quebra de senha citando alguns programas. A ideia é que, conhecendo os métodos utilizados, ampliaremos a chance de nos protegermos.

1 – Primeira técnica: Ataques de dicionário

Consiste na comparação de um grande conjunto de palavras, que incluem senhas comuns á um banco de dados de senhas.

Baseia-se em um arquivo de texto com palavras completas ou incompletas (caracteres agrupados) listadas em ordem alfabética. Para isto existe muitos programas e dicionários espalhados pela internet (lembre-se de utilizar dicionários com palavras inclusive em várias línguas). Quanto maior o dicionário, maiores serão as possibilidades.

Abaixo listamos alguns links populares que contém a lista de palavras:

2 – Segunda técnica: Ataque de força bruta

São tentativas utilizando combinações possíveis de números, letras e caracteres especiais até que a senha seja descoberta.

Tudo depende de como o usuário fez sua senha associada, assim como da velocidade do computador que está executando o software. Pode-se levar muito tempo (até mesmo anos).

Para evitar ações previsíveis, os hackers mais experientes tentam logins lentamente ou em momentos aleatórios, com isso as tentativas de login sem sucesso não se tornam tão óbvias evitando bloqueio de acesso por parte do programa que você está tentando descobrir a senha.

Essa é a razão da indicação de mudança de senha periódica. Afinal, quanto menor o intervalo de mudança, menor o risco das senhas serem decifradas. Na verdade, devido a grande maioria das senhas serem bastante fracas, essas tentativas exaustivas de quebra de senhas normalmente não são necessárias.

3 – Terceira técnica: Ataques Arco-íris

Consiste no uso de tabelas para decifrar diversos “hashs” de senha. Por hash de senha podemos entender que é a transformação de uma senha em algo cifrado utilizando um cálculo pré-definido.

A função hashing produz em geral um resultado de tamanho fixo e independente do tamanho da entrada original. As funções hashing mais conhecidas e usadas são a MD5 (Message Digest – compêndio de mensagens), que produz um resultado de 16 bytes (Rivest, 1992), e a SHA (secure hash algorithm – algoritmo seguro de hash), que produz um resultado de 20 bytes (NIST, 1995).

No ataque arco-íris são decifrados hashes do LM, NTLM, Cisco PIX, e MD5 muito mais rapidamente e com taxas de sucesso muito elevadas. São práticos e rápidos porque os hashes são pré-calculados (fruto da descoberta de uma técnica chamada de time-memory trade-offs, na qual hashes são calculados com antecedência ( descoberta feita pelo Dr. Oechslin , PhD, CISSP, palestrante e assistente de pesquisa sênior no Swiss Federal Institute of Technology, em Lausanne, e fundador e CEO da Objectif Sécurité).

Se você tem um bom conjunto de tabelas arco-íris, tais como aquelas oferecidas por sites como o ophcrack e o Project RainbowCrack (http://project-raibowcrack.com), é possível quebrar senhas em alguns segundos, minutos, ou horas em vez de dias, semanas, ou muito mais tempo (assim como os exigidos pelo dicionário e pelos métodos de força bruta).

É importante que todo responsável por segurança da informação, faça teste de suas senhas a fim de verificar o grau segurança das mesmas. Lembre-se que as senhas são submetidas a ferramentas de quebra, e eventualmente param de funcionar! Ou seja, as contas de usuário associadas podem ser bloqueadas, o que poderia interromper estes usuários!

Tenha cuidado caso o bloqueio contra invasores de sistemas esteja habilitado. mas se estiver habilitado, faça testes para medir seu grau de segurança contra estes ataques, pois poderá bloquear algumas ou todas as contas dos computadores da rede, resultando em uma espécie de situação de recusa de serviço para os usuários. Isso pode lhe gerar sérios problemas!

As recomendações para evitar que alguém externo obtenha êxito com ataques, são similares a outras recomendações citadas em nosso blog:

  • Tenha um Firewall UTM atualizado com regras constantemente sendo revisadas;
  • Tenha um bom antispam;
  • Tenha um bom antivírus;
  • Mude a senha constantemente pelo menos a cada 6 meses (não trocar por senhas similares a anterior);
  • Habilite, sempre que possível, autenticação de 2 fatores;

Em breve publicaremos outras técnicas avançadas, aguarde!

Encontre abaixo outros softwares sugeridos para quebra de senha:

  • Cain & Abel: http://www.oxid.it/cain.html – Ferramenta de recuperação de senha para sistemas operacionais da Microsoft Windows RDP, Cisco IOS e PIX hashes, senhas VNC, hashes RADIUS, etc. Ele permite a recuperação fácil de vários tipos de senhas.
  • John the Ripper: http://www.openwall.com/john/ – Inicialmente desenvolvido para sistemas unix-like, corre agora em vários sistemas operativos (como DOS, Windows, Linux, BSD, OpenVMS). Disponível em versão gratuita e paga, o John the Ripper é capaz fazer força bruta em senhas cifradas em DES, MD4 e MD5 entre outras.
  • Chknull: www.phreak.org/archives/exploits/novell – Verifica contas Novell Netware sem senha.
  • Elcomsoft Distributed Password Recovery: www.elcomsoft.com/edpr.html – Quebra o Microsoft Office, PGP, e senhas PKCS de forma distribuída utilizando até 10 mil computadores ligados em rede ao mesmo tempo. Além disso, essa ferramenta usa a mesma aceleração de vídeo GPU, como ferramenta Elcomsoft Wireless Auditor, que permite decodificação em velocidades até 50 vezes mais rápidas (falo sobre a ferramenta Elcomsoft Wireless Auditor no Capítulo 9).
  • Elcomsoft System Recovery: www.alcomsoft.com/esr.html – decifra ou redefine senhas de usuário do Windows, configura direitos administrativos e reseta todas as expirações de senha a partir de um CD bootável.
  • Ophcrack: http://ophcrack.sourceforge.net/ – Ophcrack é um cracker de senha do Windows baseado em tabelas de arco-íris.
  • Pandora: www.nmrc.org/project/pandora – Decodifica senhas Novell Netware online e off-line.
  • Proactive Password Auditor: www.elcomsoft.com/ppa.html – Executa força bruta, dicionário, e arco-íris contra hashes de senha LM e NTLM.
  • Proactive System Password Recovery: www.elcomsoft.com/pspr.html – Recupera praticamente qualquer senha armazenada do Windows, como senhas de logon, frases-chave WEP/WPA, senhas SYSKEY, e senhas RAS/dial-up/VPN.
  • Pwdump3: www.openwall.com/passwords/dl/pwdump/pwdump3v2.zip -Extrai hashes de senha do Windows do banco de dados SAM.
  • RaibowCrack: http://project-raibowcrack.com – Decifra hashes LanManager (LM) e MD5 muito rapidamente usando a tabela arco-íris.

A solução Segurança Avançada de E-mail te informa quando a sua senha foi vazada com o produto BluePex® Advanced Mail Security, saiba mais.

Read More