O Wordfence anuncia um novo programa que oferece limpeza e auditorias de sites gratuitas para escolas públicas nos Estados Unidos. Falamos sobre por que estamos oferecendo este programa e como ajudar as escolas a tirar proveito dele. Também falamos sobre a crescente prevalência do WordPress como um sistema de gerenciamento de conteúdo e como a administração de entrada está usando o WordPress. Também falamos sobre duas vulnerabilidades de negação de serviço do Windows 10 não corrigidas, uma violação que afeta mais de 1,9 milhão de usuários do Pixlr e kits de phishing que expõem senhas roubadas por meio da pesquisa do Google.
Aqui estão os carimbos de data/hora e links, caso você queira dar uma olhada, e uma transcrição está abaixo.
0:30 Anúncio gratuito Limpeza do local e auditorias de segurança do local para escolas públicas de ensino fundamental e médio
3:49 Prevenindo ataques de cardagem: frustrando a fraude de cartão de crédito no WooCommerce
6:49 WordPress controla 39% da web ; Administração de Biden mantém WordPress
9:21 Vulnerabilidade não corrigida de negação de serviço do Windows 10
11h14 1,9 milhões de registros de usuários Pixlr gratuitamente no fórum
14:40 Kits de phishing expõem senhas roubadas por meio da Pesquisa Google
Encontre-nos em seu aplicativo ou plataforma favorita, incluindo iTunes , Google Podcasts , Spotify , YouTube , SoundCloud e Céu Encoberto .
Clique aqui para baixar uma versão MP3 deste podcast. Inscreva-se em nosso feed RSS .
Transcrição do episódio 101
Ram Gall:
Olá, bem-vindo ao Think Like a Hacker, o podcast sobre segurança e inovação do WordPress. Sou Ram Gall, analista de ameaças e engenheiro de controle de qualidade da Wordfence, e comigo está nossa diretora de marketing, Kathy Zant. Oi, Kathy. Como você está?
Kathy Zant:
Estou indo muito bem, Ram. Como você está? Bem-vindo a 2021.
Carneiro:
Eu sei. É muito emocionante. Este é meu primeiro podcast este ano.
Kathy:
Sim. Você teve uma pequena pausa, quase um mês sem podcasting. Como você sobreviveu?
Carneiro:
Eu não sei. Eu perdi terrivelmente. Eu fiz. É divertido conversar com você todas as semanas.
Kathy:
É bem divertido. Eu sei que temos mantido você muito ocupado com informações sobre ameaças. Cada vez que acordo de manhã, é como,”Oh, bem, Ram vai ter um dia agitado hoje.”Este ano foi um começo agitado, não foi?
Carneiro:
Tem um pouco, sim. Eu sei que você tem trabalhado em algumas coisas bastante impressionantes ultimamente também. O que é isso que eu ouvi sobre limpeza de sites para escolas de ensino fundamental e médio?
Kathy:
Sim sim. Esta é uma pequena oferta interessante que temos. Obviamente, no ano passado as coisas ficaram um pouco malucas com o mundo e a educação em geral por causa da pandemia que atingiu. Muitas escolas optaram pelo ensino remoto e estão aproveitando a tecnologia, incluindo o WordPress, para conectar educadores e alunos. E por causa disso, queríamos fazer algo para ajudar algumas dessas escolas. Muitos deles foram financeiramente amarrados e desafiados por causa desses novos desafios que estão em seus pratos, e eles tiveram que evoluir para um novo modo de educação. Queríamos ajudar, e a melhor maneira de ajudar é prestando serviços às escolas. Portanto, nós o limitamos agora ao ensino fundamental público em 12 escolas nos Estados Unidos. Isso pode mudar no futuro, não tenho certeza ainda. Acabamos de lançar isso agora.
Kathy:
Então, se você é um administrador, um professor, até mesmo um pai e seus filhos estão em uma escola de K a 12, e essa escola está usando WordPress, nós queremos ajudá-lo. Queremos garantir que seus alunos estejam seguros, que agentes mal-intencionados não tenham como alvo escolas que podem não ter pessoal de segurança na equipe. Portanto, estamos ajudando você não apenas com a limpeza de sites invadidos. Se você tiver um site que foi atacado e contém código malicioso, nós o ajudaremos a limpar isso e a protegê-lo com o Wordfence, mas também o ajudaremos com algumas medidas de segurança proativas, ou seja, auditorias de segurança.
Kathy:
Agora, a auditoria de segurança no Wordfence passa por quase 60, acho que são cerca de 60, diferentes fatores que eles olham em um site WordPress para procurar qualquer tipo de vulnerabilidade, qualquer prática recomendada de segurança que não está sendo seguida. E basicamente nos tornamos o especialista em segurança da sua escola para garantir que o site WordPress dela seja o mais seguro possível. Então se torna um processo educacional, não só para quem está usando o WordPress, mas se torna um processo para todos na escola. Então, esse tipo de coisa penetra na sala de aula e achamos que todos deveriam aprender mais sobre segurança. O que você acha, Ram?
Carneiro:
Acho que educar os educadores é uma ótima maneira de fazer as coisas.
Kathy:
Eu também acho. Gostamos de retribuir onde podemos e, obviamente, não podemos ajudar a todos no mundo inteiro, mas achamos que a educação, especialmente a educação pública, é extremamente importante, dando oportunidades a todos. Portanto, queremos ajudar esses educadores e ajudar essas instituições. Então, se você quiser mais detalhes, há links nas notas do programa. Se você conhece uma escola que poderia usar nossa ajuda, envie esse link para ela. Ficaríamos felizes em ajudá-los agora. Há apenas uma fila e avisaremos onde você está nessa fila e começaremos a trabalhar para ajudá-lo a se proteger. Então, esse é o problema com isso. Agora eu queria falar com você, Ram, sobre nosso próximo… Como vai o Wordfence Live? Tem sido muito divertido ultimamente, não é?
Carneiro:
Bem, sim. Bem, por falar em educar nossos usuários, temos feito nossa transmissão ao vivo semanal no YouTube. A próxima semana vai ser muito emocionante. Vamos falar sobre a segurança do WooCommerce e, especificamente, sobre ataques de carding. Agora-
Kathy:
Ataques de cardagem. O que é um ataque de cardagem?
Carneiro:
Cardar refere-se a mais ou menos todo o processo de roubo de dados de cartão de crédito e teste desses cartões de crédito para ver se eles podem ser usados e usá-los para comprar bens roubados. E, como você pode entender, se você tem uma solução de comércio eletrônico como WooCommerce instalada em seu site, qualquer etapa neste processo provavelmente é uma preocupação para você.
Kathy:
Com certeza, e principalmente com os desafios de todos que trabalham remotamente. Muitas pessoas perderam seus empregos no ano passado e, portanto, sua agitação lateral se tornou a principal delas. E muito disso é usar coisas como WordPress e WooCommerce para configurar o e-commerce. Portanto, muitas dessas pessoas que são bastante novas no espaço do e-commerce estão lidando com ataques de carding. Portanto, queremos ajudar as pessoas que estão usando o WooCommerce, e há milhões de sites usando o WooCommerce, a entender de onde vêm esses ataques e algumas estratégias para lidar com eles. Você teve algumas estatísticas sobre quantos ataques como este estão realmente acontecendo?
Carneiro:
Portanto, essas estatísticas são, na verdade, do FTC e são apenas estatísticas auto-relatadas ou relatadas pela polícia. Portanto, esta é realmente apenas uma gota no oceano, provavelmente, do número real de ataques. Mas, aparentemente, em 2019, houve 650.000 ataques de roubo de identidade relatados, US $ 325 milhões perdidos em fraude via site. 135 milhões disso foram fraude de cartão de crédito. Mas, novamente, muitas dessas informações são autorrelatadas, onde as pessoas apenas dizem:”Perdi em um site”, mas não especificam necessariamente o método ou dizem:”Perdi por cartão de crédito”, mas eles não especificam necessariamente como. De qualquer forma, é um negócio grande e caro, e isso é apenas com essas estatísticas limitadas.
Kathy:
Sim, com certeza é, e só vai ficar maior. Então, vamos nos aprofundar nisso. Esta é apenas uma amostra do motivo pelo qual estamos mergulhando nisso na próxima semana no Wordfence Live. Então, se você estiver administrando um site WooCommerce ou se conhece alguém que o é, envie-o para o Wordfence Live no YouTube, haverá um link nas notas do programa para isso também, porque vamos mostrar como você pode tornar as coisas muito difíceis para os criminosos cibernéticos que estão fazendo ataques de cartões. Essa é a nossa coisa favorita a fazer, dificultar as coisas para os invasores, certo?
Carneiro:
Sim. Não existe segurança perfeita, mas se você dificultar o suficiente, se dificultar o suficiente, se tornar uma dor o suficiente, então todos os atacantes que são motivados pelo lucro, que são quase todos eles hoje em dia, encontraremos um alvo mais fácil.
Kathy:
Definitivamente. Bem, nós tínhamos um artigo que vimos no Search Engine Journal falando sobre como o WordPress é predominante hoje em dia nas grandes interwebs. Qual é o número agora, Ram?
Carneiro:
WordPress é um sistema de gerenciamento de conteúdo bastante dominante. Acho que foi 35% de todos os sites da internet no ano passado. Agora são 39,5% de todos os sites na web e 64,1% dos sites com um sistema de gerenciamento de conteúdo ou CMS. Isso quer dizer que quase dois terços de todos os sites não foram basicamente codificados, criados a partir de código em vez de em um sistema de gerenciamento de sites.
Kathy:
Bem, todo site é construído por código, mas quem está jogando todo esse código junto, eu acho que é a questão?
Carneiro:
Isso é realmente o que estou dizendo. Dois terços dos sites não foram codificados de forma personalizada.
Kathy:
Peguei vocês. Certo, ótimo. E há um novo site na web. Bem, é um site antigo para um novo site.
Carneiro:
É um site que já existe há algum tempo, mas está usando um novo CMS e adivinhe qual CMS. Está correto. Whitehouse.gov está usando WordPress.
Kathy:
Ele está usando WordPress, e isso foi escrito em 20 de janeiro no WP Tavern, bem como em vários outros sites, onde eles estavam dando uma olhada em whitehouse.gov, o que a nova administração está usando. E, claro, eu também mexi no código-fonte e vi uma nota interessante, um comentário no código-fonte. Basicamente, o USDS ou o digital… É o serviço digital? Eles estão procurando pessoas para trabalhar com eles a fim de levar a comunicação a mais pessoas e tornar o governo mais acessível. Portanto, teremos um link para isso nas notas do programa também. Eu acho muito interessante. Avante e no futuro, hein?
Carneiro:
Quer dizer, o WordPress é, de certa forma, o futuro.
Kathy:
E o passado, mas é ainda mais o futuro.
Carneiro:
O WordPress é tudo. WordPress é o passado. WordPress é o futuro. WordPress é o presente. WordPress é tudo.
Kathy:
Sim, o WordPress está em todo lugar. Definitivamente, tornou-se um grande jogador não apenas com as pessoas que criam sites de blog, mas o WordPress está impulsionando cada vez mais sites muito complexos, não apenas com o WooCommerce, que realmente conquistou sua posição como um dos líderes em e-commerce, mas também em gerenciamento de aprendizagem sistemas, sites de associação. Há tantas coisas diferentes que você pode fazer com o WordPress, e acho que essa é realmente a chave para seu sucesso e por que ele se tornou um ator tão dominante no desenvolvimento da Internet.
Carneiro:
Sei que ainda não cobrimos muita segurança neste podcast. E acho que parte disso é porque tudo foi SolarWinds para sempre.
Kathy:
E a SolarWinds ainda está acontecendo, não é?
Carneiro:
Ainda está acontecendo. Ainda é um incêndio no lixo que ainda está queimando.
Kathy:
É.
Carneiro:
Mas temos algumas notícias mais leves, acho que você poderia chamá-las, de notícias de segurança esta semana.
Kathy:
O que você encontrou?
Carneiro:
Um pesquisador de segurança, Jonas Lykkegaard, descobriu duas vulnerabilidades de negação de serviço do Windows 10, de forma eficaz. Um deles era um comando de linha única que pode corromper um disco rígido formatado em NTFS referindo-se basicamente a um dos índices de unidade.
Kathy:
Oh meu Deus. Isso não parece divertido para mim. E este artigo afirma que ainda não foi corrigido.
Carneiro:
Aparentemente, sim. Quer dizer, lembre-se de que os patches normalmente são lançados às terças-feiras. Então, esperançosamente, veremos algo na próxima terça-feira. Mas, sim, esse não é o único que ele encontrou. Ele encontrou outra coisa onde você pode simplesmente colar o link em seu navegador e isso vai te dar uma tela azul da morte e também potencialmente colocar seu computador em um loop de inicialização. Esse é basicamente o caminho para um dispositivo de conexão de kernel. Eu acho que ele espera um parâmetro extra e se você não fornecer esse parâmetro, ele apenas inicializa o seu computador, o que é, novamente, algo que não deveria acontecer.
Kathy:
Uau. OK. Bem, provavelmente veremos um patch para isso em algum momento no futuro próximo, mas essa é uma vulnerabilidade muito assustadora. Quer dizer, uma coisa é ter malware em seu site. Outra coisa é ter seu computador basicamente trancado assim.
Carneiro:
Sim. Quer dizer, é assustador. A boa notícia é que você não sabe que um invasor pode entrar em seu sistema e fazer isso, a menos que tenha outro vetor de intrusão. Portanto, não cole esses comandos em seu navegador, não os digite em seu console. Você provavelmente ficará bem, a menos, é claro, que alguém já esteja em seu sistema, caso em que provavelmente você não está bem de qualquer maneira. E eles provavelmente têm coisas mais produtivas e lucrativas a fazer do que explorar essas vulnerabilidades.
Kathy:
Sim, definitivamente. Tudo certo. Então, encontramos outra história sobre um hacker que postou quase dois milhões de registros de usuários gratuitamente em um fórum. Qual é a história aqui?
Carneiro:
Então esse foi o Pixlr, que é um serviço de edição de fotos online. Mas quero dizer, quase toda vez que vemos uma violação de dados, é um bucket S3 inseguro. Quanto ao motivo de isso continuar acontecendo, é porque, pelo que me lembro, os baldes S3 não são protegidos por padrão e é meio doloroso protegê-los. Você pode não saber realmente que não é seguro, a menos que verifique. Portanto, a AWS é uma arte negra.
Kathy:
Parece que sim. Uau, isso parece muito assustador. Mas quero dizer, esses tipos de violações de dados acontecem o tempo todo. Existe algo realmente único sobre este?
Carneiro:
Único? Eu não sei sobre isso. Ele continha endereços de e-mail, nomes de login e senhas com hash. Acho que é incomum que as senhas tenham sido criptografadas com SHA512, que é uma maneira muito segura de fazer hash de algo, então não pode ser reconstruído. Mas isso depende se as senhas foram salgadas ou não. E isso é o que eu realmente quero saber é, se as senhas foram salgadas, será muito difícil reconstruí-las. E só para que nossos ouvintes saibam, um hashing é basicamente quando você pega qualquer quantidade de dados e executa uma função matemática unilateral sobre eles e obtém uma string de comprimento fixo que consiste em, em visualizações legíveis por humanos, zero a nove e as letras De A a F. Normalmente terá 32 caracteres, ou 40 caracteres, ou 64 caracteres se estiver sendo visualizado por humanos. E deve ser exclusivo para esse dado. Quer dizer, não vai ser, mas você não deveria ter dois hashes sendo a mesma coisa.
Carneiro:
De qualquer forma, estou saindo do caminho, mas você não deveria ser capaz de reconstruir o que era uma senha apenas a partir de seu hash, mas você pode fazer uma coisa e ela se chama… Há uma técnica chamada tabelas de arco-íris, onde você apenas pega um monte de senhas possíveis e você as executa através do hash. Em seguida, você pode apenas verificar qualquer hash que você tem e compará-los com os itens que você já fez o hash e, se corresponder, aqui está sua senha. Portanto, os sites fazem algo chamado salting, que é adicionar um bloco aleatório de dados à senha antes que ela seja hash.
Kathy:
Isso é algo que você vê em seu arquivo de configuração WP. Você vê sais lá.
Carneiro:
Você faz. Você faz, e essa é uma das coisas que protege seus usuários caso seu banco de dados seja exfiltrado. Isso é algo que geralmente torna muito mais difícil para os invasores reconstruírem as senhas das violações de dados. Portanto, realmente não importa qual algoritmo eles usaram se não fosse salgado, e nós não sabemos. Portanto, se você estiver usando o Pixlr, altere sua senha. Eles provavelmente fizeram você mudar de qualquer maneira, mas se não fizeram, por favor, mude.
Kathy:
Direito. E este é apenas mais um lembrete de que você deve sempre usar senhas exclusivas em todos os lugares, porque você nunca sabe quando um site no qual está usando essa senha, seja qual for a senha, entra em algum tipo de problema com uma violação como esta e essa senha é exposta de alguma forma.
Carneiro:
Acabei de mudar para um gerenciador de senhas nas férias.
Kathy:
Você fez?
Carneiro:
Então, uma das minhas grandes tarefas nas férias era mudar para um gerenciador de senhas para tudo.
Kathy:
Excelente. Bem-vindo ao futuro novamente.
Carneiro:
Eu sei, certo?
Kathy:
Sim. Agora, uma coisa que nunca vai te ajudar, se você estiver despejando senhas em kits de phishing que estão em sites hackeados. Vimos algo acontecer lá. O que está acontecendo com este, Ram?
Carneiro:
Oh, então isso é divertido. Alguns pesquisadores encontraram algumas credenciais de phishing que foram indexadas pelo Google porque, tudo bem, então é bastante comum que invasores assumam sites WordPress e hospedem páginas de phishing e enviem links para essas páginas de phishing aos endereços de e-mail das vítimas, dizendo: “Ei, nós preciso que você se conecte ao Office 365. Aqui está um link para este site totalmente confiável que não é um site muito pequeno, porque é um site legítimo hackeado que hackeamos. ”
Carneiro:
De qualquer forma, na maioria das vezes, esses kits de phishing, eles vão armazenar as credenciais roubadas em um registro de texto ou algo para fácil acesso pelo invasor. E geralmente, invasores inteligentes colocam algo no lugar para que essas credenciais roubadas não sejam indexadas pelos mecanismos de pesquisa. Eles colocarão um arquivo de robôs ou uma tag noindex ou algo lá, ou até mesmo protegerão com senha. Mas, nesse caso, eles meio que esqueceram e o Google estava fornecendo todas essas credenciais roubadas.
Kathy:
Oh meu Deus. Isso é louco. Portanto, não só o hacker conseguiu essas senhas, como todo mundo conseguiu.
Carneiro:
Sim.
Kathy:
Isso é loucura.
Carneiro:
Sim. Essas eram, neste ponto, senhas públicas-
Kathy:
Oh meu Deus.
Carneiro:
… E você nunca quer que sua senha se torne pública.
Kathy:
Não, de forma alguma. Interessante. OK. Bem, isso é fascinante. O Wordfence possui várias assinaturas que detectarão um kit de phishing se o seu site for invadido. E, obviamente, já conversamos várias vezes no podcast, bem como no Wordfence Live, sobre técnicas para impedir que você seja vítima de phishing. O problema é que, com o phishing, nunca é tão complexo quanto você pensa que será, obviamente. Quero dizer, eles não podem nem mesmo proteger seu próprio tesouro e saques, por assim dizer. Não estamos lidando com tipos de hackers SolarWinds aqui, estamos?
Carneiro:
Nós não somos. Estamos lidando com pessoas que geralmente buscam frutas ao alcance da mão. Infelizmente, quero dizer, é aí que está o dinheiro.
Kathy:
Infelizmente. Bem, essas são todas as histórias que temos esta semana, Ram. Faremos de novo na próxima semana, hein?
Carneiro:
Faremos, e estou ansioso por isso.
Kathy:
Eu também. E se alguém quiser seguir você no Twitter, você está em?
Carneiro:
@ramuelgall .
Kathy:
E eu sou @ kathyzant . Voltaremos a falar com você na próxima semana no Think Like a Hacker. Tchau.
Carneiro:
Tchau.
Você pode encontrar o Wordfence no Twitter , Facebook , Instagram . Você também pode nos encontrar no YouTube , onde nós tenha nosso Wordfence Live semanal às terças-feiras ao meio-dia, horário do leste, 9h00 do Pacífico.
A postagem Episódio 101: Apoiando alunos remotos com auditorias e limpezas gratuitas no local apareceu primeiro em Wordfence .