Arquivo

Posts Tagged ‘Engenharia social’

Seja invadido: use senhas de fácil dedução!

28 . janeiro . 2010 4 comentários

Recentemente estudei algumas centenas de senhas (de usuários) de aplicações usadas por alguns clientes e pude constatar que, de uma forma geral, o vazamento de informações e o acesso lógico não autorizado só não acontece se o hacker não quiser ou estiver muito ocupado para isso.

Leia mais…

Malditas pequenas URLs

As pequenas URLs (Tiny URLs, em inglês) surgiram há bastante tempo, bem antes do Twitter e sua limitação de 140 caracteres. No início da década de 90, as pequenas URLs começaram a ser usadas para encurtar e evitar que URLs grandes fossem “quebradas” em mais de uma linha em um e-mail e assim perdessem a funcionalidade. Entre os sites geradores mais conhecidos estão: tinyurl.com, tiny.cc, bit.ly e tr.im.

Acontece que agora os clientes de e-mail já sabem lidar com URLs quebradas e isso não é mais um problema. No entanto, agora temos os serviços de mensagens tipo SMS que tem restrições de 140 caracteres, como o Twitter, e as pequenas URLs são usadas para poupar espaço na mensagem.

Mas, por que malditas?

  1. Você nunca saberá pra onde a pequena URL realmente está te levando. Clicar em uma pequena URL é uma questão de confiança (ou de fé). Você não sabe qual é o verdadeiro destino daquela URL. Há sites na Internet que tentam explorar vulnerabilidades do navegador, por exemplo, apenas com o acesso, sem necessitar que o usuário clique em qualquer link. Com URLs normais podemos tentar identificar o destino analisando o site, a pasta e tipo de arquivo que será acessado.
  2. O site gerador passa a ser um intermediário entre o usuário e a informação. Neste caso precisamos confiar no autor que criou a pequena URL e também no site gerador, que a qualquer momento pode mudar a URL ou simplesmente tirá-la do ar.
  3. O site gerador pode fechar ou sair do ar. Quando o usuário clicar na pequena URL receberá uma página de erro e aquela informação pode ser perdida ou ficar indisponível até que o autor gere outra pequena URL de outro site gerador.
  4. As pequenas URLs podem ser bloqueadas. Em determinadas redes (principalmente de empresas), alguns sites são bloqueados por filtros de conteúdo. Independentemente do destino da pequena URL, vários geradores de pequenas URL podem ser bloqueados, deixando os leitores na mão.
  5. É mais uma camada de informação para os sites de busca. Na verdade, não faço a menor ideia de como sites de busca, como o Google, vão tratar esse tipo de link para organizar as páginas mais visitadas, mas certamente haverá um trabalho extra.
  6. A adição de mais uma camada requer mais conversão e acesso a dados. Normalmente precisamos converter o nome de domínio em um endereço IP e depois acessar o IP em busca da informação. Com a adição de pequenas URL, precisamos converter o nome de domínio da pequena URL em IP, acessar o site, buscar a URL original através de uma consulta em banco de dados, converter o nome de domínio da URL original em IP para então finalmente acessar a informação.

Por exemplo, esse blog pode ser acessado através da URL http://ad.ag/jpmwdp. Ou seja, esta URL lhe direcionará para http://www.administrandoriscos.com.br. Isso pode ser mentira ou verdade. A utilização vai depender da confiança que você tem em quem está escrevendo.

No caso da URL acima é verdade. Repare que somente as primeiras letras de cada tecla de teclado de celular são usadas, evitando que a mesma tecla tenha que ser pressionada várias vezes para chegar na letra desejada. Isso é muito interessante e poupa o esforço de digitação do leitor. Esse serviço é prestado pelo site Mobile Tiny URL em http://www.mobiletinyurl.com, que permite que o usuário configure a URL. Por exemplo, eu permiti que seja feito acesso a URL que eu criei a partir de uma estação de trabalho (desktop ou laptop). Por padrão, apenas acessos via celular são permitidos.

O que fazer a respeito?

Se você está em dúvida sobre clicar em uma pequena URL, tente utilizar o serviço Untiny. O Untiny consegue converter uma pequena URL em uma grande URL (URL original) para 228 sites que geram pequenas URLs. Infelizmente, para o Mobile Tiny URL, que eu utilizei acima, o serviço não está disponível. De qualquer forma, o número é expressivo. Tanto porque agora sabemos que há mais de 228 sites que geram pequenas URLs, tanto porque o Untiny consegue “falar” com um número tão grande de sites geradores.

É muito complicado não usar pequenas URLs. No papel de leitor, pode significar ficar sem acessar a informação, já que as pequenas URL estão em todo lugar, principalmente no Twitter. No papel de autor, pode reduzir as possibilidades de escrita em textos pequenos. Ou seja, tenha cuidado com as URLs que acessa, seja a partir do celular ou da sua estação de trabalho. Na dúvida, acesse o Untiny e tente descobrir para onde aquela URL vai te levar. Lembre-se: também existe vírus e exploração de vulnerabilidades em smartphones.

Quadrilha constrói túnel para furtar transportadora em SP

10 . dezembro . 2009 Deixe um comentário

O vídeo abaixo traz uma repostagem do SPTV, sobre o furto, em 06.12.09, de R$ 11 Mi (ou R$ 20 Mi) de uma transportadora de valores em Vila Jaguara, SP, através de um túnel, a partir de uma casa alugada do outro lado de uma praça.

Foi um projeto bem trabalhado, desde o aluguel da casa com documentos falsos com meses de antecedência até o cuidado para não alertar os vizinhos com o barulho, usando música para encobrir o quebra-quebra. As paredes do túnel de 150 metros foram reforçadas com concreto para não desabarem. Usando um casal com um bebê, chegaram a enfeitar a casa para o Natal. No final, tentaram cobrir os rastros pintando as paredes para destruir impressões digitais. Conseguiram ainda violar os controles de segurança física da transportadora, como alarme, câmeras (que uma reportagem do JN informou que estavam desligadas – será que ele sabiam disso?), piso de 40 cm de concreto no cofre, e aproveitaram os jogos da última rodada do campeonato brasileiro para distrair o guarda. Coisa de profissional. Imagino se eles já sabiam onde ficava o cofre e se sabiam a localização de canos de água e esgoto.

Algumas dessas vantagens que a quadrilha usou soam como um trabalho interno, além de muito bem preparado.

Se eu fosse o responsável pela segurança de uma sala-cofre estaria preocupado. Nos últimos anos a mídia noticiou incidentes similares. O melhor a fazer é executar uma análise de riscos bem ampla para encontrar pontos vulneráveis e corrigi-los antes que sejam explorados. Lembrando que, corrigir vulnerabilidades em uma sala-cofre geralmente custa caro.

Em ordem cronológica, alguns incidentes similares:

08.2005 – Quadrilha furta R$ 165 Mi do BC de Fortaleza

09.2006 – Túnel aberto por quadrilha em Porto Alegre custou R$ 10 Mi

02.2009 – Quadrilha cava túnel e assalta banco em Quixadá, CE

12.2009 – Quadrilha cava túnel e furta mais de R$ 10 Mi de transportadora de valores em SP

Além desses, temos ainda um túnel escavado em 10.2007: Ceará descobre oitavo túnel para fuga de presos deste ano. “No IPPS (Instituto Penal Paulo Sarasate), estão presos alguns participantes do furto milionário ao Banco Central em Fortaleza –quando foram levados da caixa-forte do banco R$ 164,7 milhões por um túnel de 80 metros”. O oitavo túnel foi descoberto justamente no IPPS.

Escavação de túneis para furto a bancos não é uma invenção brasileira. No ano passado foi lançado o filme The Bank Job, sobre um assalto que aconteceu em Londres em 1971, onde uma quadrilha cavou um túnel até o cofre de um banco e furtou milhões de libras em dinheiro e jóias. Ninguém foi preso e nunca se recuperou o que foi furtado.

Isso mostra que, mesmo para os bancos, que investem milhões em segurança, sempre existe risco. Nunca haverá 100% de segurança. Nunca haverá risco zero.

Teste (físico) de penetração

26 . novembro . 2009 1 comentário

O Teste de Penetração (Penetration Test) é uma atividade de consultoria para verificar as vulnerabilidades de uma rede ou ativo de tecnologia. Um consultor, no papel de um hacker, usa ferramentas de ataque e tenta invadir o cliente. Depois, relata seus achados em um relatório, sugerindo medidas de correção. É claro que, tudo isso é feito com o consentimento do cliente, por escrito, com uma série de regras para a execução dos testes.

Pois bem. Um casal americano executou um teste físico de penetração na Casa Branca, e obteve sucesso. Sim, meus amigos. Na casa do Tio Sam.

Tareq e Michaele Salahi não estavam na lista de convidados do jantar oferecido nesta terça-feira ao primeiro-ministro da Índia, Manmohan Singh, mas conseguiram passar pela filtragem do Serviço Secreto, entraram na festa e posaram para fotógrafos. Imagino que o sucesso do ‘teste’ esteja na Engenharia Social (algo como a arte de enganar os outros, obter informações sensíveis e fazer as pessoas se sentirem úteis te ajudando).

Vejam aqui a matéria na BBC Brasil (em português). O vídeo com os penetras posando para fotos pode ser visto aqui. Eu fiquei curioso com o vídeo, porque eles são até anunciados na entrada como “Mr. and Mrs. Salahi”.

A matéria fala que o serviço secreto revistou o casal, e que eles não ofereciam perigo ao presidente Obama. Se isso for verdade, ótimo. Significa que pelo menos a revista está funcionando. Já a lista de convidados…

%d blogueiros gostam disto: