Blog do Pablo Ximenes

A verdade sobre as “Técnicas de Invasão” usadas no caso Carolina Dieckmann

Publicado em 15/05/2012 por pablo

Várias especulações tem sido feitas a respeito de como atuaram tecnicamente os malfeitores por detrás do vazamento de 36 fotos ímtimas da atriz Carolina Dieckmann. A maior parte delas se mostrou errada e vamos ver aqui que na verdade o que foi feito não requer nenhuma inteligẽncia acima da média nem nenhum requinte de informática.

Inicialmente, acreditava-se que os técnicos da assistência autorizada Apple, que tinham consertado o MacBook de Carolina, teriam copiado as fotos durante o procedimento. Depois de desbancar essa hipótese através de perícia na loja da autorizada, a polícia encontrou, possivelmente através de escuta telemática, uma declaração que apontava para uma possibilidade alternativa. Um dos suspeitos, Diego Fernando Cruz, teria dito em conversa com outro envolvido: “Foi apenas invasão de email, não de PC. Acho que ele pegou nos enviados dela”, referindo-se a como um de seus comparsas teria obtido as fotos. Ou seja, as fotos teriam sido copiadas não do PC, mas sim da pasta “Ítens Enviados” ca conta de email de Carolina. A partir daí, a polícia trabalhou com a hipótese da instalação de software malicioso do tipo Remote Administration Tool (RAT) que teria sido instalado no computador de Carolina quando ela, inadvertidamente, clicou em um link enviado por email. Eu mesmo bloguei a respeito de tal ferramenta, já que é comum sua utilização por pretensos falsos “hackers” que se valem da simplicidade de uso deste tipo de software para fingirem-se ser gurus da informática e de quebra conseguir vantagens fraudulentas e criminosas pela internet. Com esse software instalado, um atacante tem diversas possibilidades, podendo desde copiar arquivos até registrar tudo o que é digitado na máquina. A polĩcia trabalhou com a idéia de que a senha do email de Carolina teria sido copiado dessa forma.

Contudo, o que mais causou espanto foi o último achado da polícia, que descobriu de vez como o crime fora cometido. De acordo com as investigações mais recentes, o principal suspeito, Leonan Santos, usou o que existe de mais simples para se quebrar a segurança de uma conta de email. O que ele fez foi simplesmente enviar um email se fingindo de representante do provedor de internet usado por Carolina, prometendo mais segurança nos acessos às mensagens eletrônicas, desde que a atriz fornecesse seus dados pessoais. Carolina Dieckmann forneceu todos os dados ao preencher um formulário e acabou enviando sua senha do email para Leonan. Esses emails são conhecidos pelo jargão técnico como “Phishing”, e se tratam de imitações fraudulentas (às vezes perfeitas, às vezes muito mal feitas) de correspondências eletrônicas de fontes legítimas como bancos, provedores de internet, órgãos públicas, etc.

No final das contas Leonan Santos não usou nenhum artifício avançado de informática, nem mesmo os super simples RATs (usados até por crianças). Moral da estória: não vamos chamar de “hacker” qualquer pessoa que apenas sabe contar uma mentira e Leonan aparentemente já é conhecido por ter essa habilidade.

Publicado em Security | Com a tag Carolina Dieckmann, Dreamcast, Fotos, hacker, Leonan Santos, nua, phishing, polícia, vazar | 2 comentários

Poison Ivy Rat, exemplo de software que pode ter sido usado para furtar fotos de Carolina DieckMann

Publicado em 15/05/2012 por pablo

Abaixo está um video tutorial do Poison Ivy, um Remote Administration Tool, ou apenas RAT, que foi usado em 2011 para invadir uma das maiores empresas de segurança do mundo, a RSA, e pode ter sido usado pelos malfeitores no caso Carolina Dieckmann.
Note a parte final do vídeo, onde são mostradas as funcionalidades do software: gravar tudo o que é digitado, copiar arquivos, executar comandos, etc.

Veja mais sobre o assunto, amanhã à tarde no Programa Tarde Livre da TV Diário, canal 22. Lá conversarei com a querida Carla Soraya sobre toda essa confusão e sobre como devemos lidar com a privacidade na Internet.

Publicado em Security | 1 comentário

Participo das dicussões sobre o Marco Civil da Internet no Brasil, peço sugestões

Publicado em 13/04/2012 por pablo

Caros Amigos,

A convite do Deputado Federal Ariosto Holanda, estamos em discussão sobre o marco civil da Internet no Brasil, projeto de Lei que visa estabelecer direitos e deveres na utilização da Internet no Brasil e que atualmente tramita na Câmara dos Deputados sob o número PL 2126/2011.

A primeira Reunião foi segunda-feira passada e continuamos com as discussões hoje a tarde na ETICE. Basicamente, o Deputado Ariosto está recebendo contribuições técnicas de diversos pesquisadores na forma de emendas que serão propostas ao PL, ou seja, está nos dando a oportuniade de contribuir diretamente com o futuro de nossa nação em uma matéria tão importante.

Gostaria de compartilhar a oportunidade que recebi do deputado com quem acompanha meu blog e pedir sugestões e comentários que possam ser acrescentados às discussões.

Abraços!

Publicado em Outros | 2 comentários

Veja sua colocação no Poscomp 2011

Publicado em 21/11/2011 por pablo

Muitos cadidatos a pós-graduação em computação depois de receber a sua nota do POSCOMP acabam quase sempre com a mesma pergunta: “Como saber se a minha nota do POSCOMP foi boa ou ruim?”

A resposta a esta pergunta pode ser obtida através de uma composição da sua nota com os dados de média e desvio padrão que são divulgados na sua folha de resultado. Bem, eu preparei um pequeno sistema em PHP que faz o cálculo aproximado de quantos porcento de todos os candidatos de um dado POSCOMP você superou.

Entre sua pontuação e veja seu desempenho:

Obs.: Em breve atualizarei o formulário para incluir edições anteriores do POSCOMP pois ainda não consegui todas as médias e desvios.

Publicado em Outros | Com a tag 2011, boa, Computação, doutorado, exame, ingresso, mestrado, nacional, nota, pós-graduação, poscomp, Poscomp 2011, ruim | 1 comentário

Twitter URL spoofing still exploitable (Updated)

Publicado em 26/09/2011 por pablo

A couple of days ago ly_gs Security Blog has published an interesting post detailing how someone can subvert Twitter’s t.co URL shortening service in order to spoof URLs in a tweet. With ly_gs technique one could post a tweet with a link that, for instance, shows as Capital One’s web page, but when clicked redirects to an attacker’s web site instead. Ly_gs blog has stated that twitter has closed the hole, but a couple of hours ago, as I played around with the ty_gs’ discovery I found out that this isn’t completely true.

Ty_gs way of exploiting this flaw might have been patched, but tweaking it just a little bit makes spoofing URLs in twitter still possible. In other words, the flaw still exists. The following tweets are examples of spoofed URLs in twitter posted after twitter has alegedely corrected the flaw:

http://twitter.com/#!/pabloximenes/status/118496446264782848

http://twitter.com/#!/pabloximenes/status/118487078941102080

The first tweet shows CapitalOne’s url, but instead takes the user to my blog. The second tweet does the same for Banco do Brasil’s web page (a Brazilian bank).

Well, the technique to do this is very close to ly_gs’ and smart people will be able to figure it out just by taking a closer look at my example tweets. Since the vulnerability is already disclosed by ly_gs’ blog, I might eventually add the full details here for the lazy (when I have the time). The only thing I really wanted to point out here is that Twitter hasn’t really corrected the flaw yet.

Enjoy!

UPDATE 1 (09/27/2011):

Twitter has aparently taken notice of this problem and has issued a complete fix this time. Kudos to their response team! They might not tackle the whole thing at one, but they sure are fast.

Now my example tweets only show the original links I have used to exploit the flaw. Let me briefly try to explain what they did. Twitter’s t.co service has an interesting beavior. Whenever you post any URL in a tweet, twitter shortens it using t.co, but also do a sort of url spoofing of their own: the show you your original link, but when you click on it you’re actually clicking the t.co link (which will take you to the orinal url anyway). If you try to copy the t.co link embedded in the tweet and post it in a different tweet (the raw t.co link), twitter will replace it with the spoffed version regardless, so it again shows your original url but beneath the actual link is t.co’s version. Using ly_gs’ discovery with this twitter own spoofing scheme, you could spoof URLs even after twitter has corrected ly_gs version of the exploit. All you needed to do is to post the two URLs (the one you want to be showed and the one you want it to be the actual link), copy the t.co’s links for both, and apply ly_gs’ exploit using the t.co’s links (just like it shows in my example tweets as of now). For reference (and a little bit of amusement) purposes, I have posted a video of the actual live exploit using one of my example tweets before twitter’s correction, which you can see below.

UPDATE 2 (09/27/2011):
Aparently, Twitter’s fix for this issue was done by disbling their own t.co url spoofing. Ususally when someone posts a link in a tweet the link remains visually like the original, but beneath it is actually using t.co. According to twitter’s help center:

How the Link Service Works

Links shared on Twitter.com will be shortened to a http://t.co link.
You’ll see the message “link will appear shortened” next to the Tweet button; however, these links will display the site that a link directs to, instead of a t.co URL.
All links included in Direct Message notification emails already pass through our link service and are converted to a http://t.co link.
Please note: t.co links are neither private nor public. Anyone with the link will be able to view the content.

So, in order to fix the problem, twitter has disabled the part that displays the original URL instead of t.co’s. What should we do if we want to have their own URL displaying in a tweet? Post just the text without a link? And in terms of security that doesn’t help either. Now a user won’t be able to distinguish one URL from another (since everyone is htp://t.co/something). OK, there is still the mouseover thing that displays the end target, but how many user do you thing actully check that before clicking on a link.

Come one, twitter, give us that service back!

UPDATE 3 (09/27/2011):

Twitter is back to normal, urls are not showing as t.co’s links anymore and the spoffing thing is fixed also. But friend @ly_gs has found some pretty neat new tricks.

Publicado em Outros | Com a tag exploitable, flaw, security, spoofing, t.co, twitter, url | 5 comentários

Falha de segurança grave deixa o BlackBerry Enterprise Server como presa fácil para atacantes

Publicado em 13/08/2011 por pablo

Sabe o BlackBerry, o celular smartphone seguro, campeão no quesito privacidade? A escolha do próprio presidente norte-americano Barack Obama? Preferido por políticos, empresários e, quem sabe, até você mesmo? Pois bem, o seu “BB” pode não estar tão seguro assim.

Ontem (12/08/2011) a RIM, fabricante do BlackBery, publicou uma nota recomendativa de segurança (security advisory), onde ela informa o público de falhas de segurança facilmente exploráveis no BlackBerry Enterprise Server (BES), software servidor instalado no provedor de serviços responsável por habilitar os recursos especiais do BlackBerry .

As falhas se encontram em dois componentes do BES, responsáveis pelo processamento para renderização no BackBerry de imagens dos tipos PNG e TIFF, a saber:

BlackBerry® Mobile Data System – Connection Service: responsável por processar imagens em páginas web que são requisitadas pelo navegador do BlackBerry.

BlackBerry® Messaging Agent: responsável por processar imagens em mensagens de email.

As vulnerabilidades relatadas são de exploração remota e permitem a execução de código no contexto do sevidor BES, mas o que mais impressiona são os vetores de ataque. Um deles, por exemplo, permite que uma simples mensagem de email com uma imagem maliciosa em aenxo enviada para qualquer usuário de BlackBerry servido pelo BES seja o suficiente para que um atacante invada o servidor e possivelmente até a rede inteira. E nem é necessário que essa mensagem seja sequer aberta pelo destinatário.

A falha é classificada pelo Common Vulnerability Scoring System (CVSS) com nota máxima (10.0, Alta Severidade) e já possui patch de correção disponível.

Ficou com medo? Então, certifique-se já de que o administrador da rede de seu provedor já fez a atualização necessária. Do contrário, o seu BlackBerry pode estar em maus lençóis.

Veja aqui as versões do EBS afetadas:

BlackBerry® Enterprise Server da versão 5.0.1 até a 5.0.3 MR2 (para Microsoft Exchange)
BlackBerry® Enterprise Server da versão 5.0.1 até a 5.0.3 MR2 (para IBM Lotus Domino)
BlackBerry® Enterprise Server versão 4.1.7 e da versão 5.0.1 até a 5.0.1 MR3 (para Novell GroupWise)
BlackBerry® Enterprise Server Express version da versão 5.0.1 até a 5.0.3 (para Microsoft Exchange)
BlackBerry® Enterprise Server Express versões 5.0.2 e 5.0.3 (para IBM Lotus Domino)

Publicado em Security | Com a tag Advisory, BES, BlackBerry, RIM, segurança, Vulnerabilidade | Deixar um comentário

Notícia Crime contra a Google impetrada no Ministério Público de MG

Publicado em 10/05/2011 por pablo

Este post veio da necessidade de dar seguimento a algumas notícias que estão aparecendo sobre nossa iniciativa de tornar pública a interceptação telemática ilegal realizada pela Google, no último ano, no Brasil. Uma delas foi publicada pela Folha de São Paulo, em seu blog de tecnologia. Como é dito na notícia, no último dia 26 de abril, tivemos a oportunidade de apresentar nosso artigo “Os impactos de privacidade em redes wifi e implicações penais no Brasil do caso Google Street View” no IV Congresso Tecnológico da InfoBrasil, em Fortaleza. Apesar de ser uma iniciativa acadêmica, o artigo é parte de nossa investida em exigir que o poder público investigue adeguadamente a conduta da Google no Brasil, da mesma forma que foi feita em outros países do mundo. Dando seguimento a esse processo, encaminhamos uma notícia crime ao Ministério Público de Minas Gerais, com a Manifestação no. 24571052011-7, impetrada na Promotoria Estadual de Combate aos Crimes Cibernéticos. Atualmente nossa denúncia encontra-se em análise. Aproveito aqui para elogiar o MP de MG por seus sistemas, que muito facilitaram nosso contato. Ainda estamos tentando fazer o mesmo para os MPs de SP e do RJ. Embora estejamos impetrando as denúncias nos MPs estaduais, acreditamos que esse assunto é de interesse nacional (e por conseguinte da União), pois as comunicações interceptadas, embora tenham sido originadas nesses três estados, podem ter sido destinadas a qualquer canto do Brasil e do mundo.

Por fim, esperamos que, com essa nossa iniciativa, o Brasil não fique atrás de outros países quando o assunto é proteção à privacidade e que nossas leis não fiquem restritas ao papel.

ATUALIZAÇÂO: Veja também a matéria publicada na InfoExame.

Publicado em Outros | 2 comentários

McAfee has its own website vulnerable to attacks

Publicado em 28/03/2011 por pablo

Today, as every ordinary Monday, I went to my e-mail box and checked messages from the security community in Full-Disclosure. As usual I came across an advisory pointing out some web security vulnerabilities that differently from usual certainly had my attention. I could say the post called my attention for its organization (not so common among web vuln disclosers), or because it included not only one but a myriad of different vulnerabilities, or maybe because these vulnerabilities included some unusual (and potentially dangerous) stuff like server side source code disclosure, or even because these vulnerabilities were not patched by the vendor even after 15 full days it was informed about them. But no, those were not the reasons I had my eyes rolling. The thing that really got me is that all of this is not about any vendor, it is about Mcafee, a vendor well known by its anti-virus software but also by its web security service McAfee Secure. This service provides customers with the label “Verified by McAfee Secure” so they can put in their website as a mark of safety. According to McAfee: “The McAfee SECURE™ trustmark only appears when the website has passed our intensive, daily security scan. We test for possible personal information access, links to dangerous sites, phishing, and other online dangers.” In other words, the presence of this label means that the website is not vulnerable to the exact same vulnerabilities McAfee currently has.

Don’t get me wrong, I have no interest in damaging McAfee’s image, I even own a company that sells McAfee products, but this is a serious lack of diligence with costumers and resellers that must not go unnoticed. Having that in mind, let’s discuss those vulnerabilities a bit. Have in mind that this post is written for those non tech savvy enough to need it. So, go light on the criticism.

0) First of all credits to where they belong. This find was brought to light by the YGN Ethical Hacker Group and the original post can be found here. They have contacted McAfee 15 days ago and today have decided enough is enough.

1) First vulnerability: Cross Site Scripting.

This is the first bulnerability YGN found in McAfee’s website. In order not to waste any time, let me paste wikipedia’s definition here: “Cross-site scripting (XSS) is a type of computer security vulnerability typically found in web applications that enables malicious attackers to inject client-side script into web pages viewed by other users. An exploited cross-site scripting vulnerability can be used by attackers to bypass access controls such as the same origin policy. Cross-site scripting carried out on websites were roughly 80% of all security vulnerabilities documented by Symantec as of 2007. Their impact may range from a petty nuisance to a significant security risk, depending on the sensitivity of the data handled by the vulnerable site, and the nature of any security mitigations implemented by the site’s owner.”

In the case of McAfee, the vulnerable portion of the site is this: http://download.mcafee.com/products/webhelp/4/1033/#

Basically, whatever javascript code you put after that address is going to be executed in the client’s browser like it came directly from McAfee’s own page having access to all cookies and privileges bound to the domain. An example would be:

http://download.mcafee.com/products/webhelp/4/1033/#javascript:top.location.replace(‘attacker.in’)

2) Second Vulnerability: Information Disclosure > Internal Hostname

This javascript http://www.mcafee.com/js/omniture/omniture_profile.js reveals McAfee’s internal hostname. I supose the check done by the script should be done server side, so this information doesn’t get disclosed. But, hack, it seems for McAfee it’s no big deal to have it this way.

3) Third Vulnerability: Information Disclosure > Source Code Disclosure

This one is serious. Usually, sever side scripts have their source hidden in the server. They stay in the sever, run in the server, and their output is supposed to be the result of their execution and not their source. With this premise, programmers generally add stuff in the sever side script code that should not see the light of day in the hopes it really won’t. This is why this vulnerability is potentially dangerous. In McAfee’s case they have the following server side scripts fully open with their source code available to the world:

As a potential solution to these problems, YGN has acidly recommended McAfee to make better use of their own technicians and engineers, or in their own words “Fully utilize Mcafee FoundStone Experts”. In fact, this problem leaves McAfee wide open to sarcasm and the jokes have already started in Full-Disclosure. Let’s hope that after this McAfee will honor their clients and fix things at home as a priority.

Well, one can only conclude one thing about all of this: “The shoemaker’s son always goes barefoot”.

Publicado em Security | Com a tag barefoot, full-diclosure, hacker, mcafee, sarcasm, security, vulnerability, web | 12 comentários

Apple Apaga Aplicativo da Wikileaks para iPhone. Censura?

Publicado em 21/12/2010 por pablo

Em mais um caso que pode ser considerado por muitos como exemplo de censura, a Apple, fabricante do iPhone, removeu hoje de sua Loja Virtual de aplicativos (AppStore) um aplicativo não oficial da Wikileaks. O Aplicativo foi aprovado oficialmente, passando pelo famoso processo de filtragem da Apple, tendo sido publicado dia 17 de dezembro. Contudo, sem nenhuma razão plausível, foi removido pouco tempo depois de sua publicação.
Embora muitas fontes da imprensa tenham noticiado que o aplicativo apagado era direcionado para a visualização dos telegramas secretos do Governo americano recentemente divulgados pela Wikileaks, o software na verdade era bem mais simples. O Aplicativo Wikileaks era apenas um visualizador da página web da Wikileaks e de seu perfil no twitter (@wikileaks), nada mais. Não existia nenhuma função especial de pesquisa ou qualquer funcionalidade que justificasse usá-lo no lugar de visitar a página da Wikileaks. Abaixo você poderá visualizar as duas únicas telas do aplicativo:

A aplicativo não está mais disponível na AppStore, mas a pergunta permanece: A Apple também optou pela Censura?

Outras fontes:

http://www.metro.co.uk/tech/851064-apple-pulls-wikileaks-app-from-app-store
http://techcrunch.com/2010/12/20/apple-removes-wikileaks-app-from-app-store/

Publicado em Security | Com a tag Apple, AppStore, CableGate, censura, wikileaks | 1 comentário

Feliz Natal e um Excelente 2011

Publicado em 20/12/2010 por pablo

Deixo aqui registrado a todos que seguem o Blog os meus sinceros votos de felicidades pelas festas de fim de ano.

Feliz natal!

Que as promessas de ano novo, as que fizemos e as que foram prometidas a nós, se relizem!

Feliz 2011!

Se quiser me adicionar no twitter:

http://twitter.com/pabloximenes

Publicado em Outros | Com a tag Boas Festas, Excelente 2011, Feliz 2011, Feliz Natal, Próspero Ano Novo | Deixar um comentário