Topic: Roadmap de Segurança (Read 311 times)

Tomaria cuidado usando esses números, especialmente os publicos e que são gratuitos. As vezes o serviço permite a recuperação da conta somente pelo SMS, então alguem podia simplesmente roubar a sua conta solicitando outro SMS com esse número.

De qualquer forma, ao invés de usar um publico eu pagaria alguns centavos em sites/bots focados nisso. Um que eu uso cobra R$ 0.08 por um SMS para verificação do Discord, isso equivale a MENOS de EUR 0,01 ...

Às vezes é difícil encontrar um número que funcione mas com alguma preserverança, consegue-se. Estava a tentar colocar um agora no meu Discord e ainda não consegui. Mas quando conseguir um que funcione, eu deixo aqui o site!
Por vezes o Discord queixa-se que o número é inválido não sei porquê, outras vezes aceita o mesmo número!

Edited;
@Disruptivas, acabei de conseguir adicionar este número ao meu Discord:
https://smstome.com/france/phone/33757052526/sms/4942

Funcionou, mas tive que tentar alguns sites e alguns números!
Está aqui a prova:

Você tem ideia de quantos números são gerados ou qual é a regra de geração de números nesses sites? Porque teoricamente as possibilidades poderiam ser tão grandes que não haveria com muita recorrência esse problema de diferentes usuários terem o mesmo número, certo?

Acho que a Disruptivas não entendeu toda sua mensagem com a pergunta dela do código, mas como é isso? Você gera um número hoje e usa para ter o código. Se no futuro você precisar novamente dese código, você indica nesse site o número que está usando e ele te retorna o código?

https://greasyfork.org/pt-BR
https://www.tampermonkey.net/scripts.php?locale=en

Qualquer código javascript que rode no seu browser.

Exemplos do fórum (nem todos são scripts): Bitcointalk.org Userscripts/ Add-ons / SMF patches

Estava fazendo a atualização do primeiro post da lista e adicionando as recomendações adicionais de vocês.

Ai percebi que não tinha entendido essa dica. O que é isso do userscripts?



Acho que a mudança realmente mais importante é ''mental'', é de realmente não ficar colocando seu número de qualquer forma. É uma mudança de perspectiva, de entender que dados são algo que não devemos dar. Mas é realmente dificil. Quando você começa mudar essa perspectiva, começa a perceber QUANTOS DADOS SÃO REQUISITADOS O TEMPO TODO. Infelizmente acho que também seria muito preciso uma mudança do paradigma legal. Porque se os dados SEMPRE vão vazar, precisamos mudar aqueles que são necessários/como são disponibilizados.




Qual site tu usa?
Eu andei percebendo que várias vezes se voce coloca '' 0000000000 '' o site aceita.

Mas muitos sites enviam códigos pros numeros que pedem. Nesses casos os numeros gerados fake nao funcionariam também né?

Há sites para gerar números fakes, sabem disso certo? Podem usar esses números para registos em sites,foruns, etc. Eu por exemplo, tive que criar uma conta nova no Discord recentemente e usei um desses números fakes para receber o código de confirmação.
Pode acontecer que alguém use o mesmo número para o mesmo efeito, e nesse caso nós perdemos esse número no Discord, mas é uma questão de voltar a inserir o mesmo número fake, receber novo código e o número fica de novo associado à nossa conta no discord. Para alguns casos, é preferível que colocarmos os nossos números verdadeiros nesses sites/apps/etc...
Em Linux existe alternativa para praticamente tudo que tens no Windows... Ok, cedo a paarte do gaming, mas o foco de Linux nunca foi o divertimento nem sequer edição de imagem, vídeo ou som.. Por isso, quem decide ir para Linux já tem que se mentalizar dessa realidade. E ainda assim, há muita coisa que pode ser feita em Linux nestes campos. Não é é tão fácil como em Windows. E se calhar, pelo facto do foco de Linux não ser esse, é que está sujeito a muito menos bugs que o Windows, já que ao que parece, uma grande parte dos problemas em Windows são problemas gráficos/imagem.

Não te disse. Esses Russos são especialistas em falcatruas. Lembro no passado quando entrava em faucets russas para ganhar uns satoshis. O antivírus do meu computador bloqueava tudo dentro do site. Existia toda espécie de vírus dentro daquele negócio. E olha que isso já faz vários anos. Mais de um década se duvidar.

Não precisa... porque em Linux também não há/funciona. 
Brincadeira. 

O problema é que a maioria das pessoas não sabe obter esse software "emprestado" e por sua vez, não o sabe usar corretamente.
Sei que andas-te na ondas dos cracks, e por isso sabes que existe muitas formas de craks, e algumas são tendencialmente mais propicias a trazer "bichinho" do que outras. Saber avaliar entender isso, é meio caminho para evitar problemas.

Não vou dizer que nunca usei/uso esse software "emprestado", mas cada vez mais tento evitar e adquirir quando é minimamente viável.
Felizmente algumas empresas de software já perceberam isso, e tem baixado o preço ou criado promoções mais interessantes.

Só a Adobe é que não facilita, com essa ideia de subscrição a preços absurdos.

Outro dia botei meu número em um site russo, um minuto depois chegou uma mensagem no whats de um golpista com uma "proposta imperdível" ai lembrei da sua dica.

Essa paarte é sempre um pouco mais complicada para quem usa Windows! Eu por exemplo em Linux, é muito raro precisar de software pirata. Com uma excepção. Como alternativa ao AutoCAD, eu ocasionalmente uso o BricsCAD e naturalmente que não vou pagar uma licença para usar o software ocasionalmente! De vez em quando lá tem que ser o pirata!

Não abrir mais o email também não digo, até porque uso muito em questões de trabalho, mas sim, hoje em dia o email é mais um caixote de lixo electrónico que outra coisa! Eu tenho andado sempre a fazer unsubscribe de inúmeros sites onde me inscrevi no passado e que acavam sempre a mandar pub e porcaria! Mas nunca acaba!


Outra coisa impressionante é no Telegram. Não digo diariamente, mas volta que não volta lá tenho alguém no meu PV a apresentar-se e a perguntar onde vivo e o que faço. Já nem respondo. É bloquear e reportar! No início ainda dava conversa e depois tentava convencer a pessoa a desistir desses scams, mas naturalmente que era tempo perdido!

Que bom que eu ajudei!

Sim, só vai pedir o PIN em um aparelho sem senha do usuário. O bloqueio do PIN é apenas no chip, vai bloquear em qualquer aparelho que coloque toda vez que ligar/reiniciar. Independente da senha do usuário que está no aparelho e pode ser qualquer uma, vai pedir também se houver.

Me lembro da vez que eu bloqueei meu PIN, tava com medo de dar algo errado então fui até uma operadora e fiz o procedimento em frente à loja, se desse problemas entraria e compraria um novo chip. Felizmente deu tudo certo.

Opa, obrigada pela dica! Essa isso que eu queria pra esse post.
Eu havia ficado indignada com a questão do PIN ser ''padrao'', bom saber que tem como mudar isso! E talvez essa tecnica de usar o chip da pessoa em outro celular desbloqueado ou até usar o PIN padrão seja uma das formas mais comuns.

Pergunta pra ti, se eu tenho uma senha (numerica ou padrao) e uso o chip em outro celular desbloqueado, só vai pedir o PIN ne? Não vai requerer a senha individual do user?

Isso de bloquear é importante demais. De 3-5, se nao já é bobagem.




Cara, é um anime super curto! Assisti inteiro em uma tarde. É incrivel!



Sim, tem o tópico ''mindset'' que diz respeito a nao clicar em cada.
Recentemente eu aluguei um arbnb e me enviaram msg fora do app - e era um lugar bem bem bom pro preço- ai eu tive CERTEZA que era um golpe. PIREI, nao respondi no whats, pesquisei o numero de celular da mulher, o CNPJ... tudo

Bem pela cultura paranoica kkkk

no final n era golpe, o lugar era lindo e realmente valia mt a pena... mas é o preco da paranoia digital

Atenção aos PDFs, alguns são bem "malandros".
Não me lembrei de escrever essa: não entrar em qualquer site, só porque aparece nas pesquisas do Google, e muito menos preencher dados sensíveis num site que nunca "ouviu" falar na vida.

Eu nem abro mais email. Só recebo bobagens e propostas sem pé nem cabeça. E quando abro, nunca clico em links com extensões executáveis. Aí que mora o perigo. Além de não ficar preenchendo sites falsos de bancos e instituições financeiras. Banco já te trata mal pra caramba, imagina se iriam te mandar email para te puxar o saco e renovar cadastro. Isso nunca fariam.

Não, no smartphone é sempre preciso haver uma interação humana. Ter a app aberta, ou clicar em algum botão, ou pelo menos colocar pin/digital.

Também existem cartões proteção RFID mais baratos que as carteiras, e regra geral funciona muito bem.
Por exemplo tenho um, que até interfere com a chave mãos livres do carro. Se tiver a carteira a frente da chave, o carro não abre/fecha automaticamente tão rápido.
Gerível.


Eu na lista, colocava logo em primeiro lugar:
Não clique em qualquer link que recebe no e-mail, ou abra qualquer ficheiro que receba.
Juntava a isso: Evitar software pirata, e evitar abrir pens de desconhecidos ou que tiveram ligados em PCs pouco viáveis.

Ah... e não pense que essas coisas serem de amigos e familiares, é mais seguro...

Por acaso não sei. Nunca me interessei muito pela tecnologia NFCs, mas é bem provável que seja possível. Nunca usei NFC.
Quanto ao anime cyberpunk 2077, não, nunca vi! É coisa que não tenho muito tempo para ver é files, séries, etc, infelizmente!

Isso me fez lembrar de mais um item que eu acrescentaria à lista: o bloqueio do PIN do chip (https://www.tudocelular.com/seguranca/noticias/n144795/ensina-como-ativar-bloqueio-chip-sim-celular.html). Em geral os chips vêm com um PIN padrão da operadora, e é possível modificar para um número pessoal e ativar o bloqueio, fazendo com que seja necessário desbloquear o aparalho com o PIN toda vez que é reiniciado ou ligado.

Isso é importante pois, falo por experiência de pessoas próximas, pelo menos algumas vezes o modus operandi dos laddrões de celular é roubar e desligar o aparelho para evitar rastreios, e depois inserir o chip em um aparelho todo desbloqueado e com os aplicativos já instalados, onde eles tentam roubar seus dados de redes pessoais e contas bancárias. Ao bloquear o PIN, o ladrão não conseguiria ligar novamente o aparelho pois o chip fica bloqueado, exigindo o PIN para ser acessado.

ATENÇÃO: Isso não previne ataque de clonagem de SIM.
ATENÇÃO: Se errar acho que 3 vezes, o chip bloqueia pra sempre, é necessário ir na operaora e pedir um novo chip.

Primeira coisa que faço quando pego um cartão novo é desabilitar essa opção de pagamento por aproximação.. não custa nada passar ele

Procurei bastante sobre! E até descobri coisas que não sabia sobre o ''PIN e PUK'' do celular. Mas foi só decepção. Primeiro porque são código ''iguais''. É um código que é igual pra todo mundo praticamente, então não serve pra muita coisa infelizmente. Acho que é um dos maiores problemas. Considerando que os atendentes das lojas no geral não são muito bem pagos. Qualquer ''propostinha'' coloca qualquer pessoa em risco. Não sei se tem muito o que fazer além de realmente ter dois telefones.


Bem interessante isso!
Fiquei pensando, com celulares que estão habitando o pagamento por NFC, se aproximarem alguma maquininha, a transação também seria feita, igual dos celulares?
Será que existem capinhas com esse tipo de proteção também? 

Já viram o anime cyberpunk 2077? Eles ''roubam chips de cerebro'' no metro. Acho que os roubos de aproximação é o primeiro step pra esse futuro doido que mostra no anime.

Detalhando alguns pontos que já sigo:

Aqui uso o Bitwarden. Gosto muito e recomendo.

Algo como o SimpleLogin, sempre quis assinar mas nunca fiz.

Ele gera um endereço para cada login que você utiliza. Assim você tem o [email protected] (podendo usar até dominios customizados) que manda tudo pro seu email principal e pode ser excluido quando quiser. Foram comprados pelo ProtonMail e são suportados também direto no Bitwarden via API.

Hoje em dia não sei se recomendaria. O Windows Defender já faz 99%.

Gosto do ProtonVPN, mas tem o Nord famosinho que todos conhecemos (com 100-120% de cashback).

6. Sistemas de Backup e redundâncias pro gerenciador de senha/arquivos importantes
Aqui eu uso userscripts (via Tampermonkey) para substituir extensões simples. Tenho controle sob o código e não fico a mercê de updates silenciosos.

---

Acho que já corrigiram isso para novos usuários.

O mais importante é NÃO permitir o seu uso como 2FA. SMS é muito inseguro.

Três pequenas observações sobre os pontos que você citou:

Questão do gerenciador de senha, TOP, mas é preciso ir além das config default.... eu uso Bitwarden e li uma vez por aqui que por padrão ele usa um sistema "fraco" por default... desculpe mas to pensando para encontrar o tópico onde alguém falou algo a respeito, mas foi aqui nessa aba achei, aqui. Qual gerenciador de senha você usa?

2FA em pendrive, como um token é o mais TOP para uso em sistemas bancários ou wallets que o suportem, mas fora isso até o Google Authenticator é muito bom desde é claro que você desabilite a sincronização em nuvem

Quanto a antivirus... no celular é perda de tempo, não aconselho... no computador estou à mais de 1 ano sem ter nada instalado. Se você não fica plugando pendrive a todo e qualquer momento, não acessa sites suspeitos e nem baixa pirataria, então não precisa de um.

Exacto, e por isso eu, aqui há talvez uns 3 anos atrás comprei uma carteira com protecção contra esses dispositivos. Protege os cartões de serem lidos com esses dispositivos. São um pouco caras as carteiras mas se realmente cumprirem com a sua função, acho que valem a pena o preço que se paga.

A minha é de uma marca Holandesa. Fica aqui o site, para os curiosos!
https://bellroy.com/products/category/rfid-protected-wallets

isso acontece muito em baladas e em lugares com muita aglomeração de pessoas, já ouvi histórias de pessoas que carregam consigo essas mini máquinas de cartão e ficando cobrando baixas quantias em dinheiro das pessoas via aproximação.

Só me lembro de mais uma coisa que eu próprio uso, mais por paranóia que por necessidade, já que onde vivo, não acredito que aconteça, mas nunca se sabe.
Uma carteira (física, sim daquelas onde trazemos os nossos cartões de multibanco/crédito e notas fiat) com protecção RFID. Se procurarem pelo youtube, vão encontrar certamente alguns manfios com uns terminais de pagamentos por multibanco a aproximarem-se de pessoas e colocam o terminal perto do bolso de trás das calças dos incautos (caso tragam carteira no bolso de trás) e fazem pagamentos sem o incauto notar nada!

E já não é nada novo. Este vídeo já tem 6 anos no youtube:
https://www.youtube.com/watch?v=PmoE1mDz_cM

RFID:
https://en.wikipedia.org/wiki/Radio-frequency_identification

Separar um número SIM para coisas importantes e outro para coisas mais simples que não esteja vinculado com nada importante. E mesmo assim,  não ficar dando o número do seu SIM para tudo quanto for lugar. Principalmente para desconhecidos e sites de namoro. Hahaha

Sempre vejo ataques de SIM-swap fazendo estragos grandes, mas pouco se fala sobre isso.

Qual a recomendação? ter vários números?

É uma boa lista.

Eu só acrescentaria nos ítens "6. Sistemas de Backup e redundâncias pro gerenciador de senha/arquivos importantes" e "8. Ter sistemas operacionais diferentes pra diferentes usos" a criptografia, os backups precisam ser criptografados e redundantes, além disso pode ser importante manter backup em locais geográficos diferentes, se por exemplo uma residência pega fogo, ainda tem outra cópia distante.

Em relação aos sistemas operacionais, pode-se usar sistemas live (no pen-drive), sistemas virtuais como o docker ou virtual box, mas é bom criptografar tudo, por exemplo, a pasta de containers do docker pode ser criptografada.

Boa lista, eu vou aderir a outra coisa, um notebook específico somente para mexer com criptomoedas, desvincular isso do computador que uso no dia a dia ... deixar este notebook, comprado zero km obviamente, exclusivamente para movimentação de moedas e nada mais. sequer acessar sites ou qualquer outra coisa.

Isso da pra aderir não somente com criptos ou com um notebook em si, mas deixar um celular ou pc velhinho q não usa mais, apenas para movimentações  financeiras ou de backup de contas, tipo deixar logar a conta mestra somente neste dispositivo... Deixar inclusive com um clone do HD usado nele guardado de backup 

Quero compartilhar um ''roadmap'' de elementos que acredito que seja importante se observar, não necessariamente como um usuário cripto, mas como um ''hard user de internet'' de forma geral. Gostaria de receber feedbacks e sugestões objetivas sobre os pontos (se possível, sem muita divagação)

1.Senha: uso de BONS gerenciadores de senha para criação de senhas aleatórias e uso de senha-mestre passphrase com pelo menos 15 caracteres (?)
2. 2FA: usar 2FA físico ou 2FA via Authy. Não recomendado 2FA via SMS devido ao SIM-Swap
3. Segmentação de emails e wallets: ter e-mails/wallets específicas pra ''coisas especificas''
4. Uso de um Antivírus
5. Uso de VPN
6. Sistemas de Backup e redundâncias pro gerenciador de senha/arquivos importantes
7. Reduzir o número de aplicativos e extensões usadas para o mínimo possível
8. Ter sistemas operacionais diferentes pra diferentes usos
9. Usar protetor de webcam/celular (?)
10. Pegar o habito de verificar o PGP dos downloads
11. Criar partições falsas no pc/celular pra casos de roubos/sequestro com drives criptografados (VeraCrypt)
12. ATENTAR-SE aos dados que disponibilizamos o tempo todo
13. Evitar dispositivos eletrônicos quando possível: por exemplo, optar por relogios não-digitais etc

É a lista que cheguei até agora. Acham que falta algo importante?

---

Adicionado pelas sugestões:

BACKUP: manter backup em locais geográficos diferentes

SISTEMAS OPERACIONAIS: opção de usar sistemas live (no pen-drive), sistemas virtuais como o docker ou virtual box (sempre criptografar tudo, por exemplo, a pasta de containers do docker pode ser criptografada

CARTEIRA FÍSICA COM PROTEÇÃO RFID (física, daquelas onde trazemos os nossos cartões de multibanco/crédito e notas fiat)

SEGMENTAÇÃO DE e-mail: SimpleLogin/gera um endereço para cada login que você utiliza

REDUZIR O NÚMERO DE APLICATIVOS E EXTENSÕES: uso do userscripts (via Tampermonkey) para substituir extensões simples. Tenho controle sob o código e não fico a mercê de updates silenciosos.

BLOQUEIO PIN do chip e modificar para um número pessoal e ativar o bloqueio