Protecção WPS (Wireless Protected Setup) quebrada

E depois de um “longo” tempo (Janeiro de 2007), aquele tipo de protecção que vocês achavam impossível de crackar está susceptível a ataques e bastarão mais ou menos 10 horas para terem o acesso. Isto significa que o WPA/WPA2 também estão vulneráveis através de um ataque “força-bruta” (brute-force).

Existe uma valha no desenho da especificação da autenticação por PIN do WPS. É possível um atacante saber a primeira metade do PIN de 8 dígitos, o que reduz significativamente o tempo para saber o mesmo PIN na sua totalidade.
A criação do protocolo foi orientado para as pessoas menos conhecedoras de tecnologia, permite utilizar um PIN simples de decorar e com uma segurança que, até agora era impossível de crackar, …é que uma frase-password extensa é complicada de encaixar nos neurónios.

Já existem alguns fabricantes na lista negra da vulnerabilidade:

• Belkin, Inc.
• Buffalo Inc Affected
• D-Link Systems, Inc.
• Linksys (A division of Cisco Systems)
• Netgear, Inc.
• Technicolor
• TP-Link
• ZyXEL

O autor da descoberta lançou ainda uma ferramenta para qualquer um poder testar, vulgo, crackar um dispositivo com o WPS activo 🙂 Podem ver o blog do Craig aqui.

Para já como se precaver? Desactivar o WPS e utilizar outro método de autenticação.

Mais pormenores em: Vulnerability Note VU#723755

CCTV em Linux

Com uma costela open-source, claro que a escolha do sistema operativo para gestão de uma rede CCTV teria de ser GNU/Linux, baseado numa distribuição com pacotes .deb, ou Debian ou Ubuntu. Sinceramente a opção recai pelo facto de optimizar tempo (e paciência), se não há necessidade não ando a compilar nenhuma source.

Bom, então a ideia é projectar uma rede CCTV para uma área considerável em redor da casa, focando somente zona privada e nunca pública (cuidado com a Comissão Nacional de Protecção de Dados e suas leis para os sistemas de vigilância).

Numa rápida pesquisa encontro o ZoneMinder, um software para controlar câmaras de vídeo e repleto de funcionalidades.

Brevemente a continuação…na implementação da solução.

Lulz brinca com o The Sun

A equipa Lulz acaba de “twittar” algo que me despertou a atenção e tive de ver com os meus próprios olhos. Depois de vários episódios em torno de ataques a certos websites de grandes dimensões e até desafios ao FBI e NATO, agora acabam de “brincar” com o jornal The Sun.

LulzSec: thesun.co.uk – what’s going on here? Something up with the website? #Correct

Mais uma jogada bem sucedida, neste preciso momento a homepage do jornal redirecciona o visitante para uma página específica e de uma notícia falsa com um cartoon provocador que se encontra no próprio servidor do jornal! O URL ao momento é: http://www.new-times.co.uk/sun/the-sun-comic.png (cópia que fiz)

Actualização passados uns minutos, depois da equipa ter twittado:

So we have a better idea… hold on…

As seguintes imagens valem mais que palavras, começou assim:

E depois:

23:11 – Revelam dados confidenciais:

LulzSec: Hacked internal Sun staff data: daniel.fitzgerald@the-sun.co.uk – hash: eb0e8e95c22d5521b283c69f662f9bce salt: dfitzgerald password: shark

E ainda dizem que só estão a mostrar uma pequena parte, os verdadeiros danos estão a fazer os administradores terem “ataques de coração”.

23:15 – A homepage do The Sun redirecciona os visitantes para a página do Twitter da equipa…

Acho que vou finalizar este meu report, já deu para perceber que o ataque foi um sucesso e com acesso de root (alegadamente) podem fazer o que bem entenderem.

Portáteis Samsung com Keyloggers

Esta é uma notícia que poderá ser encarada com alguma preocupação. É inevitável quando instalamos algo ou compramos um computador já com um Sistema Operativo OEM que nunca sabemos o que por lá se “passa”…tal como naquelas imagens de CDs ou DVDs do Windows que estão disponíveis a todos pela Internet fora.

Se acordo com o Slashdot, Mohammed Hassan encontrou um keylogger no seu novo portátil, da Samsung…não um keylogger mas dois! A marca rejeitou esta situação numa fase inicial mas acabou por admitir, alegando que serviria para monitorizar a performance da máquina e para perceber como seria utilizada. Como Hassan disse: “noutras palavras a Samsung deseja dados dos clientes sem que os mesmos consintam.

Os três “chefões” máximos recusaram-se a comentar.

Pensamento pessoal: “ai se fosse a Apple, Google ou Microsoft…”

Wardriving, um passatempo?

Dado o público-tipo deste blog decerto já ouviu falar em wardriving, para aqueles que nunca ouviram: é o acto de de pesquisar redes Wi-Fi (não confundir com wireless) em movimento, com um dispositivo como PDA, laptop ou outro.

No meu caso em particular uso o meu smartphone com a aplicação Wardrive e ando de carro…não, nunca cheguei ao ponto de pegar na bicicleta e ir para locais “remotos”.

É curioso os dados que são possíveis de se recolher em cada ponto de acesso wi-fi, uns exemplos: Ler mais…

Phishing pelo “Gmail”

Hoje recebi um email novo, de tentativa de phishing, fazendo-se passar pela equipa de suporte do Gmail. Para mim é mesmo novidade, ao contrário de outros mais que batidos.

Então o email é:

Prezado(a) Usuário(a),

Para melhorar a qualidade dos nossos serviços, estamos excluíndo todas as contas inativas do gmail.
Estamos verificando e confirmando todas contas ativas.

Para manter sua conta gmail ativa clique no link abaixo:

(Manter Ativo)

Para cancelar definitivamente sua conta gmail clique no link abaixo:

(Inativar E-mail)

Você tem o prazo de 48 horas para executar essa verificação, para que sua conta gmail não seja excluída.
Desde já agradecemos a sua compreenssão e pedimos desculpas por algum transtorno.

Será que ainda existem patos a cair?

PS: retirei os links originais para o phishing, podem clicar à vontade nos que estão aqui que não vão parar a lado algum!

A compra da Foscam FI8918W

Andava desde Agosto do ano passado a tentar arranjar tempo para escrever um artigo sobre CCTV, mais propriamente sobre uma distro Linux dedicada à matéria…

Vi a informação do Carlos Martins no seu A Minha Alegre Casinha e nem é tarde nem é cedo, parti para a compra de uma câmara de vigilância por IP e wireless para começar a recolher hardware! Já antes tinha andado a sondar o mercado e a fazer simulações de compra…

Optei pela Amazon por duas razões:

1. Nunca tive razões de queixa, mesmo em devoluções;
2. Genuinidade (a maioria são réplicas chinesas e podem ocorrer problemas com o FW, depois querem actualizar e nem podem);
3. Garantia;
4. Preço 1 cêntimo mais caro que na loja em Espanha (sim, simulem e verão que ao preço indicado acresce o IVA e portes).

Agora resta-me aguardar, se por um lado estou ansioso com a compra, por outro tenho de gerir as expectativas quanto à data de chegada, é que já vi tantas queixas para com a transportadora MRW…

Consultando os detalhes do tracking tenho:

Ship Carrier: MRW
Status: In transit
Dispatch Date: 10 Jan 2011
Destination: XXXXXX, PT
Estimated Arrival: 14 Jan 2011

Edição 14-01-2011: a MRW portou-se lindamente, chegou eram umas 14h30 e dado que não estava em casa pedi para deixar num estabelecimento público próximo. Vamos lá testar isto…para começar tive de sair de casa a correr para comprar um conversor de tomada, é que isto é dos EUA.

[Relato] Operação Payback (pró WikiLeaks)

Para quem não sabe, o grupo de hackers por detrás da Operação Payback está a convocar utilizadores para descarregarem e instalarem software, preparando os computadores para auxiliarem ataques às organizações que pretendem silenciar o site.

Em geral, é tirado proveito de botnets para executar ataques de negação de serviço (DDoS, na sigla em inglês). Desta vez, no entanto, a situação é outra, como explica a especialista: “Eles estão a recrutar pessoas da sua própria rede”.
Por outras palavras, em vez de apenas aproveitar o poder combinado dos computadores infectados o grupo hacker está procura utilizadores que, espontaneamente, participem nos DDoS, dispostos a fazer com que diversas organizações paguem pelo possível silêncio do WikiLeaks. Ler mais…

SSL sempre activo na Hotmail

Mais uma vez atrasada, a Microsoft acaba de lançar o Hotmail com sessão “integralmente” em SSL, dois anos mais tarde comparativamente à Google com o seu Gmail.

Ao que parece o addon Firesheep anda a fazer estragos e os developers e empresas com aplicações web estão muito mais atentos e preocupados com a situação. Acredito que esta preocupação não seja só dos grandes, também as pequenas e médias empresas que implementam este tipo de sistemas e apps web estão a preparar-se para mudanças, pelo menos deveriam de estar!

For the first time in its 13-year history, Microsoft’s Hotmail comes with the ability to protect email sessions with secure sockets layer encryption from start to finish.

It’s the same always-on encryption Google Mail has offered for more than two years. And it comes with some pretty extreme limitations – namely the inability to protect email that’s downloaded using Microsoft apps including Outlook Hotmail Connector (required to use Outlook with Hotmail) and Windows Live Mail. But to hear Microsoft describe the new feature, you’d think it was a cure for the common cold.

“As you saw, with the recent additions of several security features to Hotmail, including Single-Use codes and new account recovery options, building towards the most secure webmail experience is very importance to us,” a spokeswoman, who asked that her name not be published, wrote in an email. “We will continue to incorporate leading-edge security features to better protect our customers. With today’s addition of full-session SSL encryption to Hotmail, we are delivering even more secure Hotmail sessions.”

O mais engraçado nisto, que considero palhaçada, é que só acontece em caso de acesso via webmail, se utilizarmos um cliente de email como Outlook ou Windows Mail a comunicação com o servidor continua de forma normal, sem qualquer tipo de encriptação. Falta saber se no Thunderbird e outros é possível aceder por SSL.

O Gmail opera super bem com TLS/SSL em vários clientes de email que já utilizei, não sou utilizador Hotmail portanto não poderei expor experiências distintas.

Microsoft’s online services have long played second fiddle to those of Google, and judging from Tuesday’s announcement, security is no exception. Not only is Gmail’s HTTPS encryption turned on by default, it also works flawlessly with a variety of email apps such as Thunderbird, Eudora, and even Microsoft’s Outlook. We asked Microsoft to explain why its own SSL doesn’t work with its own apps, and whether it might work with other email clients, but all we got was the above-quoted marketing fluff.

That’s unfortunate, because unsecured email has been the elephant in the room for more than a decade, making Hotmail users who check their email from public Wi-Fi vulnerable to snoops. For most Reg readers this is old news. But for readers of mainstream publications, it only sank in two weeks ago, with the advent of Firesheep, a Firefox plugin that makes stealing authentication cookies from Facebook, Twitter and, yes, Hotmail, a snap.

Enter Microsoft with a watered-down solution that’s certainly better than nothing. But given the fanfare with which it was announced, one wonders if it will give Hotmail users a false sense of security. And that’s not much of a selling point, now is it?

Um aspecto super negativo é o do utilizador ficar com uma falsa sensação de segurança , na maior parte dos casos, que é pior que não ter segurança e estarmos cientes de tal e precavermo-nos.

Enfim…mais uma à Microsoft…e não quero ser sensacionalista!

PSP serve de isco a phishing

Quantos de nós não recebe emails fantochada, ou que temos de confirmar dados do banco, ou temos de pagar o boleto bancário xpto, ou que existem fotos de x pessoa nua…enfim, quase tudo serve de pretexto a fazer-vos abrir algum link ou download de algum ficheiro.

A suposta PSP como entidade a enviar emails destes também não é novidade, o Carlos Serrão recebeu hoje mais um, um printscreen da fantochada:

O Tek também noticiou e passo a transcrever tal e qual:

A Polícia de Segurança Pública volta a servir de isco para uma série de ataques de phishing em território nacional. O alerta era dado ontem por um técnico de segurança Web português, que expunha o sucedido no seu blog, e já foi confirmado pela PSP, que também colocou um aviso no site.

O email, com o assunto “Notificação PSP” e o remetente falsificado “info@sspsp.pt”, como se proveniente dos Serviços Sociais da Polícia de Segurança Pública, informa o destinatário a respeito de uma suposta falta de pagamento em nome de Maria Cardoso Ribeiro, intimando o mesmo a “regularizar a situação” e fornecendo dois links para os “detalhes da notificação”.

As ligações em causa destinam-se a desencadear o download do ficheiro de código malicioso PSP_Lisboa.scr, “de baixa taxa de detecção por parte da maioria dos antivírus” e apresentado como perigoso – nomeadamente por ter capacidade de se iniciar automaticamente, alterar as configurações de segurança do Internet Explorer, modificar e remover ficheiros essenciais ao SP e modificar o registo do Windows.

O técnico alerta também para o facto de, uma vez instalado no sistema infectado, o malware enviar dados confidenciais para vários sites comprometidos. A mesma fonte defende que, atendendo ao servidor Web usado e ao “nome das variáveis utilizadas no método POST”, o email “poderá ter origem no Brasil”.

Esta não é a primeira vez que o nome da PSP é usado em esquemas do género, que se têm sucedido nos últimos tempos, segundo admitiram as próprias autoridades. Contactado pelo TeK, o gabinete de comunicação da PSP disse que o assunto estava a ser averiguado, não fornecendo mais detalhes.

No aviso online, a polícia aconselha os internautas a “não abrirem o ficheiro associado, pois pode danificar o sistema operativo ou divulgar dados pessoais” e afirma que “já desencadeou os mecanismos judiciais em matéria de acção penal”.

Vejam lá se caem…por falta de aviso não será certamente!