Segurança – azulinho

Poucas distracções ao volante?

Esta é uma causa de colisões em crescimento e motivo de preocupação para os utilizadores de uma via onde circulem automóveis: pessoal que não percebe que conduzir é uma tarefa que requer o máximo de atenção e, por exemplo, não pára para apanhar coisas do chão ou tem mesmo que mandar aquele SMS e oops, mata uma pessoa.

E se não existissem já distracções suficientes, aparecem uns fabricantes de equipamento para carro a dar uma ajuda, senão veja-se este este exemplo: num rádio para carro, se os controlos forem com botões físicos, facilmente os condutores aprendem a mexer-lhes sem olhar, melhor ainda se existir cuidado a mapeá-los e a torná-los diferentes (usando texturas ou formas díspares), e mesmo assim, olhar para a frequência de rádio ou para o número da faixa do CD requer cuidado, porém a JVC conseguiu fazer pior que um mau mapeamento dos botões e substituí-los por um ecrã táctil:

E existem outros exemplos destes, e cada vez mais de raiz, com a proliferação dos computadores de bordo mais avançados.

Se calhar deviamos deixar de olhar só para cada um e deixar de só fazer campanhas tipo “use o cinto, faça isto, faça aquilo, pela sua segurança”, para também promover fortemente o pela segurança dos outros. Se cada um está seguro de si porque usa o cinto, ou porque tem 500 airbags, talvez isso faça com que se desleixe para a necessidade de andar a 40 km/h ou menos em locais onde haja peões ou utilizadores de bicicleta, ou de reduzir a velocidade e dar uma distância adequada quando passa por estes.
A insonorização e crescente potência dos carros e o negligente (diria mesmo, criminoso) desenho urbano faz com as ruas se assemelhem a auto-estradas e que os condutores que não andam na rua a pé ou que não utilizam a bicicleta para se deslocar no dia a dia, percam a noção do impacto que o carro tem nos outros utilizadores da via. O que eu compreendo que aconteça, mas resta tentar reverter isso. É fundamental educar os novos condutores quando obtêm a licença e esperar que no futuro se reduza a dependência do carro com reais políticas de desenvolvimento sustentável.

Talvez passar menos tempo enfiado no carro fizesse com que as pessoas deixassem de ver o carro como uma sala de estar…

HOAP: Hackers on a Plane

Quem me dera ir…

Defcon e CCCamp, um bilhete com viagens incluídas, tudo pela módica quantia de €1337 (mas apenas para quem pagou até dia 15 de Junho). 😀

As conferências são seguidas e a jornada decorre de 3 a 12 de Agosto.

Organizado pela The Hacker Foundation.

ToorCon 8

Estão disponíveis para visualização os vídeos da oitava conferência sobre segurança informática ToorCon. 🙂

Escutas ilegais: O caso Atenas

Uma leitura interessante!

Como a ubiquidade informática nas nossas vidas as simplifica, para o bem e para o mal. 🙂

Um golpe bastante arriscado e apontado ao núcleo governamental grego. Até hoje não foram encontrados os responsáveis por este ataque.

O ataque tem várias coisas de típico: um MITM nalguns comutadores da rede GSM usufruindo de funções integradas do sistema para escutas que não estavam a ser usadas pelo operador, logo não existindo controlo de registos; processos escondidos; código de sistema ofuscado; acesso remoto escondido, ou seja um típico rootkit.

Além de alguns registos nem estarem a ser verificados, implementaram funções para desactivar vários registos relacionados com as escutas e acesso dos operadores a estas funções.

E será que foram apanhados porque alguém os descobriu a aceder, ou o código que lá colocaram… errr… nem por isso. Os atacantes meterem água com uma actualização do próprio código que despoletou erros no reencaminhamento de mensagens de texto (SMS), e a partir dai tudo se complicou. O sistema gerou um relatório automático de erro, os administradores de sistemas encarregues começaram a analisar o problema (o sistema em causa não só gera registos como cria imagens do código em execução e do estado de execução para facilitar a análise forense) e nessas imagens foi encontrado o código malicioso, juntamente com a lista vasta de números vigiados, do Primeiro Ministro, da mulher dele, do Ministro dos Negócios Estrangeiros, etc, etc.

E o tamanho do bicho? Cerca de 6500 linhas de código!

Depois como não se chegou a nenhuma conclusão do ataque, existem aquelas curiosidades em jeito de prefácio às mais variadas teorias da conspiração, como por exemplo o sistema usado (AXE da Ericsson) ter sido programado por contrato a uma empresa grega…

Também é estranho o operador (Vodafone) ter reinstalado as máquinas sem guardar backups, destruir os livros de registo de entradas e saídas e os registos dos erros que despoletaram a descoberta do ataque, passados 6 meses. Dai que seja impossível saber ao certo se a teoria de ter existido alguém infiltrado estaria certa…

Ao fim ao cabo a operadora deixou margem para os atacantes saberem que foram descobertos e terem tempo de limpar o seu rasto (desligar e destruir os telemóveis usados para as escutas, por exemplo), também meteram água ao destruir maior parte das provas, a que a polícia não fez muita questão de meter a mão. Afinal era importante não causar problemas de serviço na operadora… 😛

Não causa preocupação que estes sistemas sejam desenvolvidos em regime de outsourcing, que muitos administradores de sistemas sejam contratados a empresas de trabalho temporário, ou também em regime de outsourcing? Será que existe uma análise cuidada deste trabalho?

Calculo que acontecimentos como o que relata o artigo sejam um abrir de olhos para os responsáveis pela segurança de empresas como os operadores de comunicações, mas como não passou assim tanto tempo desde que alguém me disse ‘ah e tal, eles aqui ainda usam telnet!’… nunca se sabe…

Conferências CCC

Tenho visto algumas conferências de 2005 e 2006, e gostava de referir as que mais me interessaram até agora. É notório nestes vídeos a necessidade de ter bons acetatos… 🙂

2005:

Peer to Peer under the hood (fala de algoritmos alternativos para comunicação P2P sem utilização de servidores centralizados).
Hacking Health (relativo à informatização dos sistemas de saúde e implicações para os cidadãos).
Old Skewl Hacking (abordagem actualizada de uma tecnologia antiga, os Infra Vermelhos).

2006:

Stealth Malware (a emergente necessidade de verificar se uma máquina está limpa, de forma comprovada).
Hacker spaces (locais de encontro para tecnólogos de todos os quadrantes, em vários locais da Europa).
Body hacking (uma abordagem às modificações do corpo e o contexto destas no âmbito de uma sociedade mais tecnológica, colocou de parte para já a minha intenção de experimentar o íman no dedo, dado não ser ainda algo muito seguro…).
Router and infrastructure hacking (uma abordagem interessante à análise de segurança em locais onde por vezes é pouco cuidada).
Revenge of the female nerds (abordagem de alguns mitos relativos à apetência das mulheres para a tecnologia, muito interessante).
Black ops 2006 (aplicação de técnicas de visualização gráfica a binários, muito interessante).

Informação sumária sobre todas as conferências de 2006.

🙂

23º Chaos Communication Congress

Decorreu no fim de 2006 o 23º congresso europeu de hackers organizado pelo Chaos Computer Club.

Talvez um dia possa atender a este evento, mas como isso para já é impossível, resta-me ver os vídeos extremamente interessantes das conferências. 🙂 Estão disponíveis os links para os vídeos das conferências de 2005 aqui, e por alguns mirrors já é possível encontrar vídeos de 2006. 😉

Botnets heart Windows, tu não?

O gráfico fala por si:

~47% alojados em Windows XP SP2…

Pode ser lida mais informação no artigo ‘Pump-and-Dump’ Spam Surge Linked to Russian Bot Herders e outros gráficos aqui.

Sim, that’s more like it

Now this is something I like to learn and talk about: Security, I’m glad I’m starting to bring it to this site. Nothing more to say here. 🙂