-->

segunda-feira, 24 de dezembro de 2007

Não use mais o Internet Explorer...

... se você costuma usar o recurso "salvar senha" do browser.

Nota: este post está em rescunho desde abril. Só agora eu lembrei de finalizar e publicar. Não estou satisfeito ainda, mas decidi publicar assim mesmo porque senão nunca vai sair.

Qualquer um que siga meu blog há algum tempo sabe que estou muito longe de ser um "Openxiita", "MS-hater" ou fanboy. Eu nunca recomendaria isso se não achasse o perigo real.

Um mísero minuto
é tudo o que um indivíduo com um flashdrive ou disquete precisa para roubar várias de suas senhas da internet.

Você está no grupo de risco se:
  • Usou ou está usando qualquer versão do Internet Explorer (IE);
  • Você usa o recurso "lembrar senha" que o IE oferece.
O indivíduo precisa de um minuto logado com o seu login e senha do Windows. Isso sendo otimista, porque 30 segundos podem ser suficientes. Isso pode ser feito tanto "localmente" por alguém que tenha acesso físico ao seu computador (isso inclui colegas de trabalho, "amigos" e técnicos na Assistência) quanto remotamente, se você executar algum programa com o código necessário.

O método de exploit depende da versão do IE que você usou ou está usando.

1) Se você usa ou usou o IE anterior à versão 7 (9x, 2000 e XP);

Nesse caso, as opções são maiores.

Com o freeware Protected Storage Explorer(PSE), de míseros 160K, e logado como de costume no PC eu pude ver login e senha dos seguintes serviços:
  • Meu site inteiro (login e senha do meu provedor de hospedagem);
  • Meu fórum;
  • Meu provedor de acesso;
  • Minha conta google (Gmail, Blogger, Orkut...).
  • Outros serviços e sites.
Imagine o estrago que um indivíduo mal intencionado pode fazer com isso. Se você usa algum tipo de "esquema" para construir senhas, a análise das várias senhas que o indivíduo vai obter pode ser suficiente para que ele deduza que esquema é esse, e invadir contas suas que nem guardadas no browser estão.

O problema é que a segurança do serviço "Protected Storage", uma área do registro destinada à armazenagem de senhas pelo IE/OE, foi comprometida. E outros programas podem ler o que apenas o IE/OE deveria ser capaz.

Eu uso há muitos meses o Firefox como browser principal. Mas como eu de vez em quando chaveio para o IE fazendo testes, meus logins e senhas estavam gravados e acessíveis.



O PSE não precisa ser instalado, tem uma aparência inocente, seu nome não denuncia seu propósito, e permite salvar em arquivo texto todas as informações, no mesmo diretório onde está o .exe. O indivíduo leva mais tempo esperando que o flashdrive seja reconhecido pelo Windows do que executando o programa e salvando as chaves da sua vida privada em um arquivo texto.

E o PSE não é o único. O Protected Storage Passview (PSP) é ainda menor (52KB) e tem vários extras úteis:
  • Visualização mais organizada de login e senha;
  • Possibilidade de deletar registros (eu já tratei de fazer isso no meu PC);
  • Funciona por linha de comando, por isso é possível criar um arquivo .bat que salvará as senhas no mesmo diretório onde está o .exe, sem chamar atenção.
2) Se você usa ou usou o IE7 (2000, XP, Vista);

Se o browser usado é o IE7, é preciso usar um programa diferente: o IE Passview. Isso porque o IE7 mudou a forma de gravar os dados, tornando-a mais inteligente, mas ainda insegura.



Eu conheço pelo menos um exemplo de trojan que inclui uma cópia do PSP. Ao rodar o trojan este envia os comandos para o PSP e todas as senhas são silenciosamente coletadas em um arquivo, que é rapidamente enviado pela internet para o autor do malware. O autor de malware nem mesmo precisa saber como se coleta as senhas, já que pode pedir ao PSP que faça isso por ele.

PSE e PSP tem usos legítimos, claro. Você pode eventualmente localizar senhas das quais não se lembra mais e deletar informações de logins que você acidentalmente salvou, para que outra pessoa não veja.

Depois de descobrir que isso existe, não vou mais deixar que um estranho sente na frente no meu PC e coloque um pendrive ou disquete com a desculpa de que precisa ver/imprimir/salvar um documento a não ser que eu faça logoff e deixe ele entrar como outro usuário que eu tenha criado só para isso. Estou usando o Firefox, que até onde sei não foi comprometido, mas quando eles forem eu certamente não vou ser o primeiro a saber.

Minha recomendação: Deixe de usar o IE. Se tiver que usar, jamais salve senhas nele. Se precisa usar de vez em quando o computador de outras pessoas, experimente a versão ThinExe do Firefox, ou a do Opera, que rodam direto do flashdrive, com todas as suas personalizações.

Nota: Comentários do tipo: "não use mais o Windows!" são inúteis e indesejáveis.

13 comentários:

  1. Parabéns pelo conteúdo do Blog, Ryan. Tenho aprendido um bocado aqui.
    Boas festas.

    ResponderExcluir
  2. Eu tenho por costume nunca, e em nenhum hipótese, armazenar senha em lugar algum, a única que relaxo um pouco é a das minha contas de e-mail, pois fica muito inconveniente carregar as mensagens se o Thunderbird não souber a senha da conta de e-mail, mas é só ( e a senha de e-mail só é usada para isso, em sendo comprometida o estrago fica limitado ).

    Depois de muitos anos lidando com informática ( mais de 20 anos ) e com a internet, fiquei tremendamente paranóico. O único lugar que não pode ser violado é a minha mente ( e mesmo assim existem formas de me obrigar a dizer as senhas ), para o resto o risco é bastante grande.

    ResponderExcluir
  3. Normalmente só uso o guardar senha no meu micro e apenas no firefox. Tenho o IE7 por conveniência do WindowsUpdate. Mas raramente uso.

    Opa, meu HDzinho portatil tem um Suite com uns 120 aplicativos portateis (logico nem todos freeware) mas isso não vem ao caso.

    Saberia dizer a diferença do ThinExe do Firefox, pra versão do PortableApps.com !? Eu trabalhei na versao 2.0.11 em Turco do PortableApps, adicionei a linguagem BR por meio do XPI, além dos meus addons (tabmix plus, downthenall, e etc etc).

    Faço questao de instalar e rodar o Ccleaner em todas as máquinas que frequento :D até mesmo em lanhouse.

    ResponderExcluir
  4. Ygor,

    Portableapps.com usa um método completamente diferente. O programa pode ser o mesmo, mas "portabilizado" de forma diferente.

    O programa portabilizado pelo Thinstall opera dentro de uma sandbox. É um arquivo EXE (o ThinEXE) único que nunca precisa ser instalado. O programa criado por PortableApps.com não tem os benefícios da operação em sandbox, é instalado uma vez, descompacta dezenas de arquivos no diretório destino (o que não é bom em flashdrives) e depende de um launcher para fazer os ajustes "on the fly" toda vez que a letra da unidade é mudada.

    ResponderExcluir
  5. Uma boa maneira de é usar navegadores dentro do Sandboxie. Uso o Sandboxie para testar programas. Cada dia mais programas rodam "sandboxed". As malvadezas ficam presas "in a box".

    ResponderExcluir
  6. Eu uso o firefox, além de tudo ele é mais rapido que o IE.

    tks

    ResponderExcluir
  7. Eu também uso firefox e adoro.

    Mas o post foi um pouco maldoso com o IE.
    No firefox vc não precisa nem de programas para descobrir senhas, na parte administrativa dele é possivel visualizar todas.
    E convenhamos, se o firefox consegue pegar essas senhas de algum lugar persistente, qualquer outro programa pode com um pouco de trabalho.

    Mas vale o alerta.
    Até.

    ResponderExcluir
  8. Robofom nele.
    Problema não é lembrar senha e sim usuario em centenas de forum, sites de compra e afins.

    ResponderExcluir
  9. Não recomendo o firefox por ser mais facil de descobrir a senha sem o uso de programas. é só abrir nas opções segurança, senhas salvas, exibir senhas salvas e pronto. Recomendo o Opera

    ResponderExcluir
  10. Anônimo8/2/09 17:10

    O Opera é o melhor browser porque:

    - não tem essa falha;
    - se um download foi interrompido, é só abrir a janela e clicar em reiniciar;
    - não precisa de extensões;
    - sincroniza os favoritos.
    - mesmo que tenha várias quebras no layout, sempre dá pra visualizar corretamente no monitor, porque tem o botão "ajustar à largura".
    - tem o go to web address quando se se seleciona uma palavra e clica com o botão direito do mouse;
    - não precisa de atualizações o tempo todo. Por ser menos popular do que o IE, praticamente ninguém vai descobrir falhas significantes.
    - consome menos memória.

    E muitas outras conveniências.

    ResponderExcluir
  11. Anônimo,

    "Não precisa de extensões" é forçar muito a barra. Você não está enxergando além do seu umbigo.

    ResponderExcluir
  12. Acredito que seja vc quem não esteja enxergando.

    A maioria dos usuários não precisa de extensões, daí o sucesso do Internet Explorer. Com seus milhões de furos, tendo conseguido o lugar de navegador mais inseguro do mundo, continua reinando.
    As pessoas não se importam com segurança e muito menos com recursos adicionais.

    Na verdade, fazendo uma pesquisa no google, é muito difícil achar pelo menos alguns sites em português que estimulem esses novatos a abandonar o Internet Virus Explorer.
    Isso mostra que a desinformação domina os usuários e que os entendidos não se importam.

    ResponderExcluir
  13. AnÕnimo,

    Fazer qualquer afirmação do tipo "este é o melhor" *é* não enxergar além do próprio umbigo.

    Se você disser "é o melhor para mim", aí eu não faço nenhuma objeção.

    ResponderExcluir

Siga as regras do blog ou seu comentário será ignorado.