blog.dennyroger.com.br

As primeiras redes para telefonia móvel foram projetadas na década de 80. Tinham como objetivo atender aos serviços de comunicações móveis de voz, como os telefones celulares. Com a evolução da tecnologia e o aumento das necessidades dos usuários de aparelho celular, essas redes foram adequadas ao tráfego de dados.

O sistema de telefonia móvel é subdivido em uma área geográfica de células hexagonais (celular), onde cada área dispõe de uma estação de rádio e antenas direcionais para supervisão e controle das radiofreqüências e interligação com o sistema telefônico convencional.

Este artigo objetiva descrever em pontos, problemas de segurança encontrado nas principais tecnologias para celular disponíveis no Brasil.

1. Tecnologias disponíveis

Atualmente, existem três tecnologias sendo utilizadas no Brasil: TDMA, GSM e CDMA.

A TDMA (Time Division Multiple Access), considerada a 2ª geração, criada nos Estados Unidos, esta presente em todo o Brasil e possui a maior cobertura digital.

Baseado na tecnologia TDMA foi desenvolvido o GSM (Global System for Mobile Telecommunications). GSM é a tecnologia mais usada do mundo: 580 operadoras de mais de 200 países diferentes usam o sistema.

A tecnologia CDMA, considerada a 3ª geração, possui melhor desempenho que a tecnologia TDMA e GSM. Como ponto forte, apresenta alta velocidade na transmissão de dados e oferece suporte para os avanços tecnológicos.

Em 1990 foi implementada no Brasil a rede AMPS (Advanced Mobile Phone System). A tecnologia da rede AMPS é analógica e possui um sistema de segurança fraco, porém, essa rede é utilizada por aparelhos TDMA e CDMA quando o assinante está em roaming (fora da área de cobertura da sua operadora). Sendo assim, a tecnologia TDMA e CDMA são compatíveis, trabalham tanto com a tecnologia analógica quanto a digital. No caso do GSM, opera apenas com tecnologia digital.

2. Técnicas de ataque a telefonia celular

Nenhuma das três tecnologias (TDMA, GSM e CDMA) em uso no Brasil estão livres das ações dos hackers.

Para o atacante conseguir as informações necessárias para realizar a clonagem de um aparelho, será necessária a utilização de um scanner de freqüência ou um receptor de rádio de alta freqüência. O segundo passo é identificar um ponto vulnerável para começar a caçada virtual de aparelhos celulares desprotegidos.

Quando o assinante de uma operadora precisa realizar uma viagem, o seu celular irá operar fora da sua área de cobertura, ou seja, em roaming. Quando o celular passa a operar em roaming, será utilizada a rede AMPS. Conforme descrito anteriormente, a rede AMPS opera no modo analógico e possui uma segurança fraca. Apenas os aparelhos que utilizam a tecnologia TDMA e CDMA, utilizam a rede AMPS quando estão fora da área de cobertura.

Os celulares possuem uma senha única, composta pelo número da linha somada a mais um código do aparelho. Essa combinação é chamada de ESN. Quando o celular é ligado, a senha é transmitida para autenticar o celular na rede. Dessa forma, o celular saberá qual a ERB (estação radiobase – antena) será utilizada para se comunicar.

Utilizando o scanner de freqüência, o atacante começa uma busca por aparelhos que estejam utilizando a rede AMPS. Dessa forma, o atacante irá conseguir a senha única (ESN) do aparelho e irá transferir os dados para um aparelho celular (geralmente roubado) para completar o ataque.

Os aeroportos são um prato cheio para o atacante. Isso ocorre porque a maioria das pessoas que estão no aeroporto, utilizam seus aparelhos no modo roaming.

O primeiro ataque, descrito neste artigo, tem como objetivo as tecnologias TDMA e CDMA trabalhando em analógico. Porém, a tecnologia GSM não está livre da ação dos hackers.

A tecnologia digital, utilizada nas três tecnologias (TDMA, GSM e CDMA), possui mais recursos para garantir a privacidade do usuário. Os recursos de segurança disponíveis para a tecnologia digital minimizam problemas relacionados a clonagem ou escuta no celular. Na tecnologia digital, a voz é codificada em um sinal digital para ser transmitida, sendo depois decodificada na outra ponta da linha.

Na rede GSM existem três níveis de segurança. O SIM Card (chamado de “chip” no Brasil) armazena os dados do usuário para provar que o aparelho tentando se conectar a rede pertence a um usuário válido. As informações que estão armazenadas no SIM Card possuem uma cópia no Authentication Center (AC). Durante a autenticação, é gerado um código, que é enviado para o aparelho celular. Somente após esse processo, utilizando recursos de criptografia, o assinante é autenticado. O IMEI (International Mobile Equipment Identity) é último nível de segurança. Trata-se de um número exclusivo fornecido a cada celular no mundo. O IMEI permite identificar se o celular está habilitado para utilizar a rede, ou se está sob suspeita de clonagem, ou se está na lista de aparelhos roubados (impedindo sua conexão na rede).

Em abril de 1998, estudantes da Universidade da Califórnia em conjunto com especialistas em criptografia, conseguiram, em seis horas, quebrar a segurança do GSM.

A empresa GemPlus International AS, sediada em Cingapura, desenvolveu um aparelho de apenas 40 gramas capaz de clonar celulares GSM. O dispositivo lê as informações e dados armazenados no cartão de memória e copia para um novo.

O objetivo de criar um equipamento que clona os cartões de memória SIM é criar uma cópia de segurança (backup) para os clientes das operadoras. O dispositivo custa apenas € 8,50 é pode ser adquirido através da própria Internet.

3. Evitando ataques ao aparelho celular

Para minimizar o risco nos aparelhos que utilizam a tecnologia TDMA e CDMA, o assinante deverá acessar o menu de configuração de rede do celular e configurá-lo para operar em modo digital. É importante observar que nem todos os aparelhos permitem este tipo de configuração e que o assinante terá problemas quando estiver fora da sua localidade (roaming).

Evite utilizar o aparelho celular próximo ao aeroporto e rodoviárias. Estes locais são os preferidos dos atacantes, pois existe um grande número de assinantes trabalhando em modo analógico, facilitando assim o ataque.

Nunca deixe o seu aparelho celular em lojas não credenciadas pelo fabricante, existe o risco do técnico clonar o seu aparelho.

Nunca compre aparelho celular de uma loja não credenciada pelo fabricante.

Ao receber muitas ligações erradas, entre em contato imediatamente com a operadora.

Caso o seu celular tenha sido roubado ou desapareceu por alguns instantes, comunique imediatamente a sua operadora. O seu celular pode ter sido clonado.

Mais informações:

Escuta, grampo e interceptação de chamadas telefonicas, acesse http://www.itecdiffusion.com/audio/escuta_telefonica.html.

Informações sobre clone de GSM, acesse http://www.isaac.cs.berkeley.edu/isaac/gsm-faq.html.

Denny Roger é especialista nas áreas de projeto de rede segura e intrusão de rede, liderando regularmente os esforços de teste de penetração na Batori Software & Security, onde pode demonstrar, em primeira mão, sobre o impacto das vulnerabilidades da rede no dia-a-dia. Atualmente é diretor de negócios de segurança da Batori Software & Security.

Sem comentários »

Ontem (27/07) recebi a evidencia de um e-mail falso que está circulando na internet. A informação foi disponibilizada por Guilherme Felitti, repórter do site IDG Now!.

A matéria Phishing usa suposta fraude na Mega-Sena para roubar dados bancários, publicada hoje (28/07) no IDG Now!, descreve algumas informações sobre a análise realizada no e-mail falso e no código malicioso.

Informações mais técnicas não são disponibilizadas neste tipo de matéria. Sendo assim, seguem as informações que não foram publicadas na notícia do IDG Now!.

Link verdadeiro (dentro do código do e-mail falso): http://www.telecomapplications.com/manuals/mega4345.mp3/.

Obs.: O link ainda está ativo na internet.

Arquivo (código malicioso): mega-sena.exe

Trecho do código malicioso (utilizando a engenharia reversa) e os bancos afetados:

unicode ‘https://www2.bancobrasil.com.br/aapf/aai/login.pbk’,0000h
unicode ‘https://internetcaixa.caixa.gov.br/NASApp/SIIBC/index_verif.processa’,0000h
unicode ‘http://internetcaixa.caixa.gov.br/NASApp/SIIBC/index.processa’,0000h
unicode ‘https://wwws3.hsbc.com.br’,0000h

Algumas pessoas estão digitando a primeira senha do internet banking de forma errada, preocupadas em serem vítimas de páginas falsas. O atacante, preocupado com isso, programou o seguinte no código malicioso:

unicode ‘Preencha corretamente a Senha Internet’,0000h

Ou seja, quando a vítima digitar a senha errada ou certa na primeira tentativa, o código malicioso automaticamente solicita que o usuário digite novamente a senha. Sendo assim, até mesmo quem está utilizando a técnica de digitar a primeira senha errada irá cair no golpe online.

Apenas 3 antivírus conseguiram detectar o código malicioso: BitDefender, McAfee e NOD32v2.

Abraços,

Denny Roger
denny@dennyroger.com.br

Sem comentários »

Para quem visitou hoje (26/07) o site http://www.netscape.com/ deparou-se com uma caixa de diálogo dizendo “Fuck” e “hi to all you Diggers out there”.

Confira as fotos do ocorrido em:

http://flickr.com/photos/shrikant/198733894/
http://flickr.com/photos/shrikant/198733894/

A vulnerabilidade encontrada no site www.netscape.com ocorre em diversos sites no mundo todo.

No Brasil temos algumas provas de conceito explorando esta vulnerabilidade:

Site da Telefonica é vulnerável a ataque
Site da Microsoft é vulnerável a Cross Site Scripting
Unibanco é vítima de ataque
Shopping UOL corrige falha que facilitava scam
Falha permite alterar legendas de fotos do Orkut

As empresas que desenvolvem suas aplicações sem conhecimentos em SQL Injection, Cross Site Scripting, Buffer Overflow, consistências de entrada, etc, podem estar vulneráveis a diversas técnicas de invasões em aplicações web. Buscar falhas no desenvolvimento da aplicação tornou-se essencial nos tempos atuais.

Para mais informações sobre o ataque ao NetScape.com, acesse http://packetstormsecurity.org/0606-exploits/netscapeXSS.txt.

Abraços,

Denny Roger
denny@dennyroger.com.br

Sem comentários »

São Paulo - Grande parte dos antivírus testados pela Batori não reconhece o cavalo de tróia, que rouba dados de internet banking da vítima.

Com a proximidade das eleições, marcadas para outubro deste ano, o primeiro golpe utilizando o nome da Justiça Eleitoral começa a circular na rede, roubando dados bancários da vítima.

O falso e-mail traz como título a expressão “Aviso importante!” e a mensagem, encabeçada por um logo da Justiça Eleitoral, informa à vítima que seu título foi provisoriamente cancelado, provavelmente por cancelamento do CPF.

O corpo do e-mail traz três links, que remetem a um vírus do tipo cavalo de tróia, hospedado em um servidor em Paris, França, de acordo com a Batori Software & Security, empresa especializada em segurança que analisou o scam.

Ao clicar no link, o usuário instala o trojan na máquina, e automaticamente é realizado o download de um software executável, programado para roubar os dados de internet banking do usuário infectado.

“Pouquíssimos antivírus detectaram a praga. Isso ocorre porque trata-se de um vírus novo, sem nome ainda. Ou seja, os antivírus ainda não têm vacina para este novo vírus”, alerta Denny Roger, diretor de negócios da Batori.

De acordo com os testes realizados pela empresa de segurança, dos 27 antivírus testados, apenas cinco (BitDefender, CAT-QuickHeal, F-Prot4, NOD32v2 e Panda) detectaram o primeiro trojan que se instala na máquina como uma ameaça.

Destes mesmos 27, somente 11 detectam o segundo cavalo de tróia que rouba os dados do internet banking. Os antivírus da Sophos, da Symantec e da Microsoft estão entre os que falharam em detectar a praga.

No site do Tribunal Superior Eleitoral (TSE), há um aviso claro, na página inicial, de que o órgão “não envia e-mails a eleitores, nem autoriza nenhuma outra instituição ou parceiro a fazê-lo em seu nome”.

No mesmo alerta, o TSE recomenda: “caso o eleitor receba mensagem de e-mail solicitando atualização de dados cadastrais para a Justiça Eleitoral, deve apagá-la. Pode conter um vírus de computador”.

Fonte: http://idgnow.uol.com.br/seguranca/2006/07/24/idgnoticia.2006-07-24.3273882883/IDGNoticia_view

Sem comentários »

Os crackers resolveram inovar nas maneiras de fraudar usuários e adotaram agora o phishing de voz para se apoderar de dados bancários do internauta. A empresa de segurança Websense Security Labs recebeu relatos de um ataque do gênero contra clientes do banco norte-americano Santa Barbara Bank & Trust.

Ao contrário da forma mais popular de phishing na qual o usuário é levado a clicar em uma URL e é direcionado a um site fraudulento, este ataque utiliza um número de telefone, com código de área do sul da Califórnia. Primeiramente, a vítima recebe um e-mail, informando que a sua conta online foi bloqueada depois de três acessos à mesma, sem sucesso. A seguir, a mensagem informa um número de telefone e solicita ao cliente que ligue para o mesmo para identificação e desbloqueio da conta. Quando isso é feito, uma gravação pede que seja informado o número da conta e senhas. No entanto, ela não menciona o número do banco, o que pode ser um indício de que o número é utilizado em fraudes contra outras entidades.

WNews entrou em contato com Denny Roger, diretor da empresa de segurança Batori Software, que declarou que, até o momento, não há ocorrências de golpes do gênero no Brasil, sendo que tais casos estão restritos apenas aos Estados Unidos.

Confira abaixo o teor do e-mail e clique aqui para ouvir a mensagem fraudulenta (em inglês):

“Caro Cliente,
Notamos que você vem enfrentando dificuldades para conectar-se ao Internet Banking do banco Santa Barbara Bank & Trust.

Depois de três tentativas de acessar sua conta sem sucesso, seu Perfil Online no banco Santa Barbara Bank & Trust foi bloqueado. Isto foi feito para a segurança de suas contas e proteção de suas informações particulares. O banco Santa Barbara Bank & Trust está comprometido em garantir a segurança de suas transações online. Ligue para este número (1-805-XXX-XXXX) para verificar sua conta e sua identidade.

Atenciosamente,

Santa Barbara Bank & Trust Inc.
Atendimento ao Cliente Online”

Fonte: http://wnews.uol.com.br/site/noticias/materia.php?id_secao=4&id_conteudo=5441

Sem comentários »

São Paulo - Phishing com suposta lista dos envolvidos nos recentes ataques no Estado leva usuário a cavalo-de-tróia, diz consultoria de segurança.

Um novo phishing em circulação alega trazer fotos dos responsáveis pelos recentes atentados creditados à facção PCC no Estado de São Paulo para infectar o micro do usuário.

“A Polícia Cívil (sic) se arma de todas as maneiras para cumprir sua missão mais nobre: defender o cidadão, a lei e a ordem”, afirma o falso e-mail, que traz o endereço e telefones corretos da divisão Procurados da Justiça da Polícia Civil do Estado, mas endereço eletrônico equivocado.

Ao clicar na suposta lista, o usuário é levado ao serviço de armazenamento online RapidUpload, onde o arquivo “Fotos_Foragidos197.scr” é baixado, segundo a consultoria de segurança Batori Software & Security.

Segundo a empresa, o arquivo baixado é um cavalo-de-tróia que, após a infecção, acessa remotamente servidores maliciosos para baixar outras pragas que infectem o micro.

De acordo com a empresa de segurança Sophos, o cavalo-de-tróia se chama Banload.X e, após ser criado em dezembro de 2005, teve dezenas de novas variações detectadas.

Análises da Batori indicam que antivírus domésticos de relativa popularidade no mercado, como o VirusScan, da McAfee, e o OneCare, da Microsoft, não rastreiam o cavalo-de-tróia antes de sua infecção.

Esta é a primeira praga que utiliza a recente crise de segurança no Estado de São Paulo para infectar o micro do usuário, mas o papel da tecnologia nos ataques da facção PCC a alvos civis se mostrou grande graças ao uso de celulares pelos grupos nas prisões e a necessidade dos usuários por informações sobre a crise.

Fonte: http://idgnow.uol.com.br/seguranca/2006/07/21/idgnoticia.2006-07-21.2647674079/IDGNoticia_view

Sem comentários »

E-mail falso, que começou a circular hoje (20/07) pela internet, usa recado falso para enganar o usuário.

O golpe online, que usa um suposto e-mail do Orkut, tenta instalar um software programado para realizar download de trojans na internet.

A mensagem falsa informa que “Alice Sampaio” enviou um recado para você. Para que você possa visualizar o recado ou o perfil da “Alice Sampaio”, é necessário clicar no link http://www.orkut.com/Profile.aspx?uid=7432813794314832479. Porém, quando o usuário clica neste link, automaticamente é direcionado para o seguinte link http://z12.zupload.com/file.php?filepath=3822. O segundo link envia para a máquina do usuário o arquivo “alice_sampaio.cmd”.

O arquivo arquivo “alice_sampaio.cmd”, classificado como Trojan-Downloader.Win32.Banload.axi, é detectado por poucos antivírus. Segue a relação dos antivírus que detectaram a praga:

AntiVir
CAT-QuickHeal
Ikarus
Kaspersky (Utilizo este no meu computador)
NOD32v2
Norman
Panda

O Trojan-Downloader.Win32.Banload.axi está hospedado em um servidor em Houston, nos EUA. O e-mail falso partiu de uma empresa da cidade de Mirituba – PA – Brasil.

Nome = z12.zupload.com
Address: 64.72.123.117

A praga e o link ainda estão ativos. Entrei em contato com o administrador da rede que está enviando os e-mails falsos (spam) para informar o ocorrido. Este é mais um caso onde a empresa instala o firewall, servidor DNS, servidor de e-mail, servidor de FTP, no mesmo servidor (gateway). O atacante explora uma falha em qualquer um dos diversos serviços instalados no servidor (gateway) e consegue utilizar o recurso para enviar spams e realizar ataques na internet.

Abraços,

Denny Roger
denny@dennyroger.com.br

Sem comentários »

O famoso IPod que pode reproduzir músicas, fotos e vídeos, também pode ser utilizado como mídia para backup? A resposta é sim.

Você pode encontrar modelos que variam de 512MB até 60GB. Isso mesmo! 60GB para armazenar cópias de segurança das suas informações.

Quer conhecer mais uma piada pronta? Então lá vai:

Durante uma reunião realizada em uma empresa no interior do Estado de São Paulo, a empresa terceirizada, responsável pelo desenvolvimento do sistema de gestão e banco de dados, explicou como funciona o esquema de segurança de TI.

- “Olha, o nosso backup fica no escritório da nossa empresa (terceirizada) e também no meu IPod”.

Após ouvir esse absurdo do prestador de serviços de TI da empresa do interior de São Paulo, podemos refletir algumas questões:

Primeiro: O backup das informações confidencias e restritas não devem estar nas mãos de terceiros.

Segundo: O ambiente computacional do prestador de serviços – onde está o backup – não possui segurança física e lógica.

Terceiro: É absurdo copiar os dados do banco de dados da empresa para o IPod. Além do IPod apresentar problemas – o meu já parou de funcionar e teve que ser trocado pelo fabricante – o equipamento é muito visado por ladrões.

Quarto: Não existem termos de responsabilidade ou de sigilo para os prestadores de serviços.

Quinto: A empresa terceirizada de TI não possui política de segurança, normas ou procedimento para a realização do backup dos seus clientes.

Sexto: Não existe procedimento para descarte ou destruição das mídias (inclusive o IPod) onde estão armazenadas as cópias de segurança.

Cuidado com os IPods que estão circulando na sua empresa. Os funcionários e/ou terceiros podem estar armazenando as informações confidencias e restritas nos famosos tocadores de música.

Abraços,

Denny Roger
denny@dennyroger.com.br

Sem comentários »

Hoje (18/07/2006), no final da tarde, recebi mais um e-mail falso utilizando o nome do site de relacionamentos Orkut.

O e-mail falso traz o apelo de que “Karina Lima deixou um recado para você”. Para que você possa ver o perfil da “Karina” no Orkut, é necessário clicar no link http://www.orkut.com/Profile.aspx?uid=15566759696860888154. Porém, quando a vítima clica no link é automaticamente direcionado para o seguinte servidor + vírus: http://hattrick.e-agesit.com/phplive/web/orkut.exe.

O arquivo “orkut.exe” trata-se do vírus Trojan-Spy.Win32.Banker.blf, conhecido também como PWS-Banker.gen.aa. O vírus chega para a vítima no formato de uma foto, porém, trata-se de um aplicativo.

Os seguintes antivírus detectaram a praga:

Authentium
Avast
BitDefender
CAT-QuickHeal
ClamAV
DrWeb
Fortinet
F-Prot
F-Prot4
Kaspersky (Utilizo este antivírus no meu computador)
McAfee
NOD32v2
Panda
VBA32

O e-mail falso partiu de um servidor hospedado em Houston nos EUA. O Trojan-Spy.Win32.Banker.blf está hospedado em um servidor da empresa Metrored S.A. Hounsing (213.162.200.58) na Espanha.

Nome = hattrick.e-agesit.com
Address: 213.162.200.58

Recomendações

Utilize sempre um firewall pessoal, mantenha seu antivírus atualizado, apague os e-mails de origem desconhecida e conteúdo duvidoso, matenha seu sistema operacional atualizado e instale um programa de detecção de intrusos.

Abraços,

Denny Roger
denny@dennyroger.com.br

Sem comentários »

É comum encontramos redes Wireless em locais onde menos esperaríamos. Por exemplo, estou em uma cidade em Minas Gerais, onde o hotel e diversas residências possuem pontos de acessos (access point) para rede Wireless. O hotel foi construido em meio a um imenso bosque tropical e não possui luxos nas suas dependencias. Sendo assim, a implementação da rede Wireless no modesto hotel é, praticamente, uma revolução tecnologica.

Bom, chegando na recepção fui informado sobre a novidade. Só que a rede está protegida por criptografia. Adivinhem qual é a senha para acessar a rede Wireless do hotel! – Isso mesmo, é exatamente isso que você imaginou – A recepcionista do hotel informou a senha para acesso: - Senhor, a senha para acesso é “hotel”.

Como diria José Simão, isso é a famosa piada pronta.

Consegui acesso a rede! Após navegar por alguns minutos minha placa de rede Wireless simplesmente resolveu não conectar mais na rede. Encontra a rede, mas não recebe o IP do access point. Primeira tentativa, desliga e liga o acess point sem que ninguém do hotel veja. – Procedimento realizado com sucesso -. Mas nada de conectar na rede Wireless.

Conclusão, alguém bloqueou o meu acesso a rede Wireless. Mas quem?

Segundo procedimento: alterar o MAC Address da placa de rede Wireless para furar o tal bloqueio. BINGO! Estou novamente dentro da rede Wireless. Foi só instalar o software SMAC da KLC Consulting Security Team para alterar o MAC Address da minha placa de rede Wireless.

Pontos de falha

O access point está localizado no corredor do hotel, com fácil acesso a qualquer pessoa. Inclusive é possível tropeçar no access point, desligar da tomada, derrubar qualquer tipo de substância liquida, e tudo mais que você possa imaginar.

A senha da rede Wireless é compartilhada por todos os hospedes. Dessa forma, caso seja cometido algum crime utilizam a rede do hotel, existe perda de rastreabilidade.

Não existe uma cartilha, norma ou procedimento sendo disponibilizado para os usuários da rede Wireless.

Não existe nenhum Wireless Intrusion Detection System implementado na rede Wireless.

Abraços,

Denny Roger
denny@dennyroger.com.br

Sem comentários »