CRK Portugal

A segurança das ATM, conhecidas como caixas Multibanco, foi posta à prova por um investigador que conseguiu aceder a um destes terminais e obter, não só dinheiro, como informação sobre quem o usou posteriormente!

O investigador da IOActive, que actuou com o nome de Barnaby Jack, mostrou o resultado do ataque no Black Hat, evento que reúne, anualmente, hackers vindo de todo o mundo.

O acesso à caixa Multibanco foi efectuado, segundo o seu autor, através de uma ligação por dial up, uma vez que muitas ainda terem mecanismos de gestão remota, que podem ser acedidos por linha telefónica. E para este especialista assim que essa ligação for estabelecida é possível atacar a mesma e pôr em causa a segurança da ATM.

Para além do ataque foi desenvolvida uma ferramenta online, que permite manter o rasto das máquinas acedidas e assim obter informação sobre os cartões que forem utilizados nas mesmas.

«O objectivo é fomentar a discussão acerca da melhor forma de remediar estes pontos. Está na altura destes dispositivos serem renovados, as empresas que fabricam estes dispositivos não são a Microsoft. Elas não têm 10 anos de ataques contínuos contra os seus sistemas», referiu.

Ozyart Hacking, Segurança

Evento que começa em 30/7 terá demonstração de captura de ligação de voz; intenção é alertar sobre as vulnerabilidades do sistema.

Os participantes da conferência anual de hacking Defcon, em Las Vegas (EUA), serão aconselhados a manter seus celulares desligados durante o show, onde um eminente pesquisador promete demonstrar um modo de interceptar e grampear, de forma transparente, chamadas de celular. O evento começa em 30 de julho.

Quem é veterano da Defcon já se acostumou a adotar uma atitude alerta durante o evento. Entre as medidas estão limitar (ou mesmo evitar) o acesso à Internet durante o show, desligando os adaptadores sem fio e ficando distante da rede interna do Hotel Riviera, que tem recebido a conferência nos últimos anos.

O novato que se expõe ao perigo tem uma probabilidade enorme de ter seu PC invadido e seu nome mostrado num enorme painel chamado de Wall of Sheep (Muro das Ovelhas). É cruel, mas é assim que funciona.

Mas quem vier ao show deste ano também poderá preferir manter seus celulares e laptops com Windows ativos, pelo menos de acordo com um conhecido pesquisador de segurança. Chris Paget, da empresa de segurança H4RDW4RE, afirmou em seu blog que iria conduzir uma “demonstração espetacular de insegurança de celulares na Defcon” na qual promete “interceptar as ligações de celular da audiência sem qualquer ação requerida de sua parte”.

Apanhador de IMSI
A apresentação, chamada “Practical Cellphone Spying” (prática em espionagem de celulares), está descrita no site da Defcon como uma demonstração de um método para operar um “IMSI catcher” – uma falsa estação rádio-base GSM, projetada para enganar o celular-alvo e enviar a você o tráfego de voz. “Jamming de bandas, rolagem de LACs, Neighbor advertisements e uma ampla faixa de truques de rádio será coberta, bem como todos os equipamentos de RF que você precisa para começar a ouvir seus vizinhos.”

Paget já advertiu, no passado, sobre os perigos das implantações inseguras de 3G. Em particular, ele chamou a atenção para o modo como os circuitos integrados dos cartões de identificação, como aqueles usados por donos de iPad que foram roubados da AT&T por hackers, poderiam ser utilizados em ataques mais sofisticados visando usuários de celular. A demonstração na Defcon vai colocar um pouco dessa pesquisa sob teste.

Paget tem ganhado evidência por expor buracos de segurança em tecnologias de uso comum. Desta vez, o pesquisador não está se arriscando, especialmente em função de leis contra a interceptação de comunicações telefônicas. Com a ajuda da Electronic Frontier Foundation (EFF), Paget está fazendo o máximo para se certificar que sua demonstração na Defcon não irá atrair a polícia contra si.

Áreas nas quais as comunicações com celular poderiam ser interceptadas serão marcadas com cartazes de advertência sobre a demonstração em andamento. Todos os usuários serão aconselhados a desligar seus celulares, apesar de a demonstração funcionar apenas com celulares GSM.

Paget também disse que a demo será efetuada de uma máquina sem disco rígido, com apenas uma memória USB para armazenamento local, que será entregue à EFF imediatamente após a demonstração, para destruição. Por fim, a estação falsa GSM que será usada para espionagem terá um dispositivo de baixa potência, limitando seu alcance.

A segurança de poderosos aparelhos móveis conectados à Internet tem-se tornado uma grande preocupação para as empresas. Os reguladores começam a exigir que uma melhor segurança seja aplicada aos dados e às transmissões de e para esses aparelhos. Mas, cinco anos depois da infame invasão do celular da Paris Hilton, os pesquisadores de segurança alertam para o fato que as operadoras fizeram poucas melhorias aos sistemas e às aplicações usadas para prover e gerenciar as contas de celulares e de clientes.

Será preciso esperar para ver se autoridades legais ou operadoras móveis como a AT&T surgirão para tentar impedir a demonstração. A sombra de uma ameaça legal condiz com a imagem maldita de shows como Black Hat e Defcon e, quase sempre, colabora para divulgar tanto o evento como o pesquisador (mas também traz algum transtorno jurídico). Os shows anteriores se notabilizaram por hacks de alta visibilidade – e alguma pirotecnia legal – envolvendo empresas como Cisco e HID. Veremos se a história se repete este ano.

Ozyart Cracking, Engenharia Reversa, GSM, Hacking, Segurança

Um invasor poderia usar as vulnerabilidades para ter acesso e assumir o controle da máquina, ignorando os recursos de segurança do sistema.

Ozyart Cracking, Engenharia Reversa, Sistema Operativo

A responsabilidade pode ser partilhada entre a Apple e a AT&T para uma falha de segurança que terá exposto informação de endereços de email de mais de 100 mil utilizadores do tablet iPad. O FBI já está a investigar.

A falha foi identificada pelo grupo Goatse Security, que pertence à GNAA (associação norte americana de gays e negros). Os hackers terão recorrido a um script de PHP para recolher dados no site da operadora, conseguindo ter acesso a endereços de email depois de terem conseguido adivinhar nomes de donos de iPads, que lhes permitiram descobrir a identidade dos cartões SIM, como se explica no site.

A autenticidade da informação foi verificada enviando a dois dos proprietários listados a informação do ICC ID (o circuito de identificação do cartão SIM) contida no documento – que está associado com a conta do iPad 3G.

Entre os 114 mil nomes identificados contam-se executivos de topo de várias empresas mas também do Governo e até militares. A informação foi inicialmente revelada através da GAWKER, que publicou extractos das listas de emails que reproduzimos abaixo e a imagem que usámos como destaque, com a palavra iLeak.

A Goatse Security notificou a AT&T sobre a falha identificada e o processo usado e a questão terá sido rapidamente resolvida. Entretanto a AT&T já reconheceu o problema de segurança e o FBI decidiu abrir uma investigação, embora esta esteja apenas no inicio e não existam ainda desenvolvimentos.

Na informação revelada, o grupo aponta as culpas desta falha de segurança à AT&T, mas não deixa de fora a Apple, sobretudo porque é a esta empresa que cabe a protecção dos dados dos seus clientes, mas também por limitar as opções de ligação de rede 3G à operadora norte-americana.

O grupo já antes tinha conseguido a atenção dos média quando descobriu falhas de segurança nos browsers Safari e Firefox, para além de ter identificado falhas no sistema de classificação da Amazon.

Ozyart Cracking, Hacking, Segurança, Tecnologia

A engenharia reversa é uma prática comum utilizada por empresas privadas e governos para manter o ritmo e superar a concorrência. Será que os militares Americanos encontraram tecnologias alienígenas?

Somos as marionetas dos governos mundiais e suas agendas são pouco claras, a tecnologia descobertas demoram a chegar as nossas mãos e muita dela nunca chega, mas não é só as tecnologias…

Saiba mais no Blog: Kebrando Paradigmas

Ozyart Cracking, Engenharia Reversa, Informaçao, Tecnologia