Informações adicionais: Quer ajudar? Doações de Bitcoin: bc1qk67xsekuhfweu3c5pwqraj9vrgs8h4jhyyuxtd.
00:06:50
Informações adicionais: Quer ajudar? Doações de Bitcoin: bc1qk67xsekuhfweu3c5pwqraj9vrgs8h4jhyyuxtd.
Olá pessoal vamos falar sobre a vulnerabilidade do Leste teses aquele gerenciador de senha que é muito usado por muita gente e que acabou de ser comprometido parte do código-fonte dele vamos entender o que que aconteceu exatamente essas notícias foram sugeridos por um tá ficando o rei dos piratas e várias outras pessoas Obrigado aí o pessoal que sugere uma notícia obrigado a você que está assistindo nosso vídeo se você gosta do nosso conteúdo por favor deixa o seu like se inscreva aqui no canal né pois bem o que que é o leste peço last pass é esse gerenciador de senha aqui é basicamente um programa que você estava no seu celular ao computador e você pode deixar ele e gerenciando as suas senhas então você pode ter senhas diferentes para vários serviços na internet e tudo gerenciado por esse programinha isso te dar um pouco mais de segurança mas evidentemente no momento que você guarda essas senhas todas num lugar só você começa a ter um problema que é justamente comprometimento deste sistema ensina e o que que aconteceu nesse caso na verdade é a primeira algum durabilidade que acontece com nossos pés já aconteceu outras mulher habilidades antes mas dessa vez foi o seguinte alguém comprometeu um desenvolvedor do sistema ou seja conseguiram de alguma forma invadir a conta de um desenvolvedor do sistema e acessaram o ambiente de desenvolvimento conseguiram baixar a parte do código o que pode incluir informações sensíveis do código que tipo de algorítimo que eles usam esse tipo de coisa a segunda empresa isso já foi identificado o código já foi protegido vão fazer mais uma é uma forma de endurecimento ali da segurança no ambiente de desenvolvimento mas aquele negócio uma vez que o código foi roubado Meu carro foi roubado não tem muito como confidencialidade não tem como você resolver uma vez que foi quebrada quebrou não tem o que fazer né enfim é lógico as medidas serve para evitar que o problema volte ocorreu no futuro mas ainda assim é alguma coisa grave Bom segundo as informações do desenvolvedor não há nenhum prejuízo para quem usa o sistema que usa o sistema em princípio não está em risco as chaves não foram comprometidas não teve problema algum para quem tá usando o sistema Aliás ele ressalta que a política deles eles têm uma segregação de um ambiente muito forte o ambiente que foi invadido foi o ambiente de desenvolvimento de forma que é mesmo que quisesse essa pessoa não teria acesso ao ambiente e são onde estão as senhas reais das pessoas então isso aqui você vê mais um ponto aquilo que a gente falou sobre o problema é que no Twitter na que eles tinham confusão de ambiente de desenvolvimento e produção e esse é um dos por cima e números problemas de você não ter um ambiente segregado e desenvolvimento e produção Esse é um ponto zero de segurança entre o movimento sistemas é exatamente você jamais teu desenvolvedor com capacidade de acessar o aumento de produção e nem o minha cópia dos dados de produção no ambiente de desenvolvimento que tem muita empresa que faz isso também é para testar o sistema para permitir que o desenvolvedor faça qualquer coisa ali possa testar coisa tão copia o ambiente produção para o desenvolvimento e isso é uma falha também nesse caso aqui por exemplo essa esse hacker que conseguiu comprometer a senha de um desenvolvedor conseguiria ler os dados de produção que eles estariam no ambiente de desenvolvimento felizmente segundo diz o pessoal da empresa que isso não e não houve comprometimento para quem usa o sistema não é problema agora tem dois problemas nessa história aí o primeiro problema o cara tinha a senha de um desenvolvedor isso quer dizer que ele não apenas tinha capacidade de ler o código do sistema mas também que ele tinha capacidade de alterar o código no sistema Então o que me imagino que eles estão fazendo justamente essas medidas de contenção esse essa forma de mitigação do problema deve ser justamente uma inspeção de código muito detalhada para verificar se não houve nenhuma alteração indevida por parte desse hacker no código do sistema porque veja isso seria um problema é um ataque típico de supply chain na ele alteraria o código do sistema de forma que introduziria alguma fragilidade linha alguma coisa e não precisa botar um wi-fi Claro com o código de entrada direto ele pode botar só passa usar uma função que tem algum gravidade de segurança conhecida Pronto já resolveu quando saiu uma nova versão do Leste pés Ele já sabe que essa a falar and explore aquela função e consegue quebrar a segurança do sistema né então eu imagino que a gente quiser vem tá fazendo agora porque ele sabe que nesse negócio não apenas roubou o código mas também pode ter alterado alguma coisa é o a forma como foi a invasão eles não explicam exatamente como que o hacker conseguiu obter essa credencial do desenvolvedor aí você tem um monte de possibilidades aí pode ser que o desenvolvedor tenha caído em algum ficha esquema alguma coisa né É por mais que você treine aqui pedir desenvolvimento sempre existe o risco de alguém cair em algum desses golpes acabar sendo comprometida a senha enfim mas é isso mostra os problemas isso mostra: importante aquilo que eu falo para vocês sempre segurança Você não pode nunca confiar uma barreira apenas É muita gente fala ah não para que que eu vou fazer os a parâmetros na minha Square is SQL se eu já faço verificação dos dados de entrada porque Teoricamente é são dois controles para resolver o mesmo problema do SQL Jackson Isso é errado porque esse tipo de coisa na verdade Você nunca sabe quando você vai ter uma barreira uma um Contorno nenhuma dessas Barreiras ele A outra está lá para proteger nesse caso é exatamente o caso aqui na corrente tinha ou segregação do ambiente Isso é uma proteção efetiva no caso o máximo que o cara conseguiu foi chegar no ambiente de desenvolvimento foi um ataque sério tá esse tipo de coisa é um ataque sério mas poderia ter sido muito pior se eles não tivessem esse Cuidado então é isso é um aviso aí para ele que desenvolvimento você tratado a segurança da sua própria equipe é algo fundamental principalmente nessa era que está vendo muito ataque de suporte em ataque a equipe de desenvolvimento para causar a fragilidade mais adiante e se chegou até aqui e gostou do conteúdo clique no like se inscreva no canal isso me ajuda a ganhar relevância no YouTube e levar o tema da segurança no desenvolvimento de software há mais pessoas Obrigado considere também clicar no Sininho e pediu para ser notificado dos novos vídeos caso queira sugerir uma notícia para falarmos aqui é só ir no nosso site https: Duas Barras Safe sócio pontocom Safe sr.com e clicar em sugerir uma pauta colocar o link da Notícia ali Agradeço a todos que nos ajudam a fazer esse pro
Sendo usuário que conhece outras soluções remuneradas em serviço, digo que LastPass é a pior disponível para esta finalidade.
Agradeço por não ter contratado meninos para gerenciar um assunto tão sério.
Sou Analista de Sistemas a 37 anos, isso sempre em empresa vaza, ainda quando eu era Coboleiro, as senhas eram gerenciadas todos os dias, e se alguma senha vazasse a maioria eram demitidos!!
Bem feito não quiseram usar as urnas eletrônicas do TSE, que faz milagres, elege até quem nem está concorrendo em eleições do país. E capaz até de eleger o Tio Patinhas, mesmo sem estar concorrendo.
empresas mais sérias pedem que os commits sejam assinados, se ele tentasse alterar algo no código fonte iria remover a assinatura dos commits e isso é bem visível
não conseguindo entrar na minha conta. Quando vai voltar?
O que vcs acham do Bitwarden?
Senha do desenvolvedor… Admn 123 😂
Keepass e o gerenciador de senha mais seguro
parada é trocar todas as senhas, salvar dnv no lastpass, mas cada senha ter 3 caracteres finais diferentes não-salvos no lastpass
Desde o primeiro vazamento do LastPass eu sabia que teria outro, por esse motivo sempre usei Bitwarden ou 1Password.
é por isso que não dá pra confiar em estranhos, serviços ou pessoas, pra guardar senhas. a única coisa confiável é aquele caderninho velho que passa batido pra qualquer um…
As minhas senhas eu guardo em uma agenda antiga daqui de casa. Papel é o melhor gerenciador de senha que existe.
Caramba eu estava considerando usar esse programa pra gerenciar minhas senhas 😳
Peter o invasor pode ter conseguido baixar a base de dados né? Ele poderia ter acesso ao algoritmo e desencriptar a base de dados?
O mundo inteiro estão na idade das pedras em comparação a supremacia tecnológica do TSE.
A melhor forma de guardar as senhas seguras é em um hd externo criptografado fora da web.
o negocio é escrever no caderninho no meio de uma receita de bolo
US$36 por ano para isso. Fui usuário gratuito por anos e pago por vários outros, mas os acontecimentos anteriores, o aumento do preço, e forçarem usuários grátis a escolherem uma plataforma apenas, me fizeram abandoná-lo e apagar tudo da minha conta. E agora isso.
Voltei para KeePass, passei pelo Bitwarden, e agora parei no 1Password. Vamos ver.
Existe alternativas de código aberto mais baratas e mais seguras
Larguei ele desde a última invasão, bitwarden é opensource!
Prefiro o KeePassXC.
Esse tipo de situação é um dos motivos pelos quais eu recorro ao pass, puro e simples, com minha chave gpg e uma senha cavala, que só existe em minha cabeça. Se eu esquecer, vou ter que solicitar reset de uns 80 serviços. Mas, esse é o preço.
Por causa desse assunto, comecei a pensar em dividir meus arquivos gerenciados pelo pass em mais de uma chave gpg.
Uso KeePass hahaha
Offline fica mais difícil de quebrar.
Notícia super relevante! Mais uma vez obrigada Peter!
IMAGINA PEGAR SUAS SENHAS E SALVAR NO SERVIDOR DE UMA EMPRESA TERCEIRIZADA KKKKK pera o Google… COF COF digo, ainda bem que eu escrevo minhas senhas em casa e não cometo crimes hein 😍🤙🏻🤙🏻
por isso que eu uso o keepass
Deixei de usar isso aí há 5 anos atrás depois de uma vulnerabilidade. Hoje uso o Bitwarden (código aberto) e o KeePassXC (código aberto).
uso, porem gero a senha e adiciono algo mais junto a senha. sempre com no minimo 32 caracteres..
amigo, muito bom seu contenido, te pregunto cual gestor de contrasenhas voce recomenda? disculpa por meu mal portugues, te sigo da argentina
Maluquice usar esse lastpass
Que comédia….. espero nada mais nada menos que apenas façam jus ao nome do próprio produto.
Mas se for só o código fonte não tem motivo pra susto, tem vários gerenciadores assim que são open source e não tem problema, a não ser que eles usassem algum tipo de segurança por obfuscação o que é muito improvável
Não confio nesses softwares.
Sou aprendiz de amador nessa área, mas não entendo como alguém confia suas senhas em software de terceiros, esse tipo de coisa uma hora ou outra vai acontecer.
Ainda prefiro meu pendrive criptografado e as senhas camufladas, mesmo que tenham acesso, não vão conseguir usar.
Se usassem o sistema e o código do TSE, isso não teria acontecido.
Eu não coloco minhas senhas inteiras, eu deixo algum caractere faltando na senha e sei qual ta faltando pelo INSPENCIONAR ELEMENTO.
Eu uso o LASTPASS e fiquei com medo agora
Tenho impressão de que não é a primeira vez que o lastpass tem problemas relacionados à invasão, alguém lembra de outro incidente?
bom, eu uso o Bitwarden que ja é codigo aberto. não que uma invasão ao servidor da forma que foi ao lastpass fosse ser menos perigosa que a do lastpass, mas só quero fazer propaganda do bitwarden, e olha que eu era usuario do lastpass e pagava todo ano pra usar
Eu uso Bitwarden, espero que não tenha problemas
Desenvolvedor também é gente. Uma hora ele vai clicar em um anúncio pornô de mais solteiras em busca de sex0 e ter o computador invadido.
Não se salva senha em meio digital. Escreva elas em um papel e guarde muito bem em uma pastinha escondidinho na sua casa.
nesses casos… ja virara deixar opensource. =)
TOTALMENTE SEGURO TANTO É QUE O TSE GUARDA O CÓDIGO FONTE DAS URNAS LÁ, PODE CONFIAR, NÃO HÁ COMO FRAUDAR, EU CONFIO, VOCÊ TAMBÉM, XANDÃO ORDENOU QUE TEMOS QUE CONFIAR, FACHIN TAMBÉM ORDENOU, NÃO SE ATREVA A PENSAR, NÃO SE ATREVA A DESCONFIAR.
O Plex também foi invadido.
Volta e meia alguém dá um "mole" e torna público um código fonte.
Tá na hora de treinar técnicas de memorização msm
Firme e forte com o bitwarden.
Hora de mudar para o KeePassXC, onde as senhas ficam salvas localmente.
Last Chance.
As vezes é bom o caderninho