gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Vulnerabilidades estupidas?
Contribuído por scorpio em 04-03-03 3:50
do departamento legalese
News Dante escreve "Quem já experimentou programas como o netbrute scanner, deve continuar abismado com a quantidade de gente e empresas(!) com falhas MUITO graves de segurança. Eu pelo menos, que conheci este programa há +/- 6 meses e o experimentei na altura, pensava que por esta altura as respectivas patches/security updates/freeware firewalls/whatever por esta altura já estivessem mais divulgadas. Agora tive de o experimentar como ferramenta rudimentar (embora interessante) para verificar como estava a empresa e a adsl em casa. De facto, ao usar o programa, e fazendo um scan a algumas gamas da telepac / netcabo / etc, é muito comum ver maquinas com tudo partilhado, incluindo impressoras, discos de boot, etc!!!! "
"Ainda há pouco detectei um pc com partilhas que estava "muito perto" do meu ip e fui ver o que estava nessa maquina. como toda a maquina estava desprotegida, pensei em enviar para a impressora um aviso a dizer que o pc estava desprotegido.

Se eu o tivesse feito será que podiam acusar-me de entrada ilegal (apenas estaria a enviar-lhes o aviso...)? é que dá mesmo vontade de chamar a atenção para isso."

A Distro definitiva | Blogs em PT - vazios de genica?  >

 

gildot Login
Login:

Password:

Referências
  • Mais acerca News
  • Também por scorpio
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Too late! (Pontos:2)
    por CrLf em 04-03-03 4:10 GMT (#1)
    (Utilizador Info) http://crodrigues.webhop.net
    Podem acusar-te de entrada ilegal mesmo só por teres ido ver o que estava na máquina. Em alguns países o mero scan de vulnerabilidades é crime, até um simples port scan, contudo em Portugal penso que não (e muito bem).

    -- Carlos Rodrigues
    Re:Too late! (Pontos:2)
    por CrLf em 04-03-03 4:42 GMT (#3)
    (Utilizador Info) http://crodrigues.webhop.net
    porque é que achas que é muito bem?

    Quando eu digo que acho muito bem que não seja crime estou a referir-me a coisas do tipo port scans, porque criminalizar um port scan é o mesmo que me proíbirem de ir rua abaixo empurrando cada porta para ver se está aberta, é simplesmente estúpido. Para além disto já aceito a criminalização porque (seguindo a mesma analogia estúpida) é crime arrombar uma porta mesmo que não se entre dentro de casa.

    Referindo-me mais directamente ao artigo, acho perfeitamente legal fazer um port scan e avisar a "vítima" de que tem algumas portas "manhosas" abertas, já não penso o mesmo quanto a primeiro vasculhar o que ela tem na máquina e depois armar-me em bom samaritano e avisá-lo. "Ei, vasculhei as suas gavetas mas era só para o avisar que se esqueceu da porta aberta..."

    -- Carlos Rodrigues
    Re:Too late! (Pontos:2)
    por leitao em 04-03-03 9:42 GMT (#5)
    (Utilizador Info) http://scaletrix.com/nuno/
    Nao e' bem assim -- andares a ver rua abaixo se alguem deixou a porta aberta e' indicativo de comportamento suspeito.

    Se todas as manhas um tipo qualquer andasse a empurrar a tua porta a ver se estava aberta ou nao, achavas piada ?

    Um port scan nao autorizado nao e' muito diferente.


    "Arguing on the Internet is like running in the Special Olympics -- Even if you win you're still retarded."

    Re:Too late! (Pontos:2)
    por CrLf em 04-03-03 16:09 GMT (#12)
    (Utilizador Info) http://crodrigues.webhop.net
    Nao e' bem assim -- andares a ver rua abaixo se alguem deixou a porta aberta e' indicativo de comportamento suspeito.

    Depende se o fazes ou não sistematicamente. Mas no entanto apresentar comportamento suspeito não é crime, isso era no tempo da ditadura.

    -- Carlos Rodrigues
    Re:Too late! (Pontos:2)
    por leitao em 04-03-03 16:48 GMT (#13)
    (Utilizador Info) http://scaletrix.com/nuno/
    Depende se o fazes ou não sistematicamente. Mas no entanto apresentar comportamento suspeito não é crime, isso era no tempo da ditadura.

    Wishful thinking.


    "Arguing on the Internet is like running in the Special Olympics -- Even if you win you're still retarded."

    Re:Too late! (Pontos:2)
    por MavicX em 04-03-03 22:44 GMT (#22)
    (Utilizador Info) http://www.startux.org
    "comportamento suspeito"

    Yahh e vais mandar prender um gajo porque está a olhar a tua casa, ou foi bater á porta para ver se tavas em casa.

    Na realidade como na internet só é crime ele entrar na tua casa, ou tentar arrombar a fechadura, não bater á tua porta.

    P.S. Desgraçados dos vendedores e testemunhas de jeová eram todos presos por andarem a bater a todas as portas.

    Pedro Esteves

    Re:Too late! (Pontos:2)
    por leitao em 05-03-03 9:16 GMT (#26)
    (Utilizador Info) http://scaletrix.com/nuno/
    Que parte de:

    ...andares a ver rua abaixo se alguem deixou a porta aberta...

    e' que nao percebeste ?


    "Arguing on the Internet is like running in the Special Olympics -- Even if you win you're still retarded."

    Re:Too late! (Pontos:2)
    por MavicX em 04-03-03 22:26 GMT (#20)
    (Utilizador Info) http://www.startux.org
    "phonescan tb "

    Os war dialers nunca foram ilegais. Alias passava só por ver que telefones respondiam (tinham conputadores).

    Assim tanto o phonescan como o portscan só pode ser considerado ilegal se envolver tentativa de entrada posterior.

    De acordo com a lei a tentativa é punivel. Mas tem de se provar que a pessoa que fez o scan tenha como objectivo cometer um crime. O que se diga de passagem que é impossivel provar em tribunal as tuas verdadeiras intenções quando fizes-te um scan.

    Pedro Esteves

    segurança "doméstica" (Pontos:1)
    por moonrider em 04-03-03 10:27 GMT (#6)
    (Utilizador Info)
    Eu fico abismado é com o número de portscans que o meu sistema recebe por dia ( uma média de 400, num dia "normal" ), e 70% são clientes netcabo. Isto em casa, porque no emprego é muito mais que o triplo.

    Normalmente o utilizador sem conhecimentos técnicos não se preocupa muito com a segurança da sua máquina. Grande parte deles pensa que todos os problemas da segurança são resolvido com um anti-virus.
    É óbvio que com a maior aderência a serviços que permitam ligações permanentes, a preocupação com a segurança deverá ser efectuada a outro nível, mas o joe user não se quer preocupar com isso nem tem conhecimentos para se "defender".

    Quanto à legitimidade ao efectuar um portscan é um pouco subjectiva, a meu ver. Eu não gosto que o façam ao meu sistema, mas não me preocupa, vendo pelo tipo de scans sei que são utilizadores sem experiência a brincar com scanners que encontraram algures. Agora, se vejo que quem está a fazer o scan está com algum objectivo específico, ou que me permite criar um padrão para o classificar como de "suspeito", entro num processo de queixa do individuo... que geralmente não dá em nada porque infelizmente, grande parte dos ISPs recebem inúmeras queixas inúteis e grande parte delas automáticas, o que é uma chatice para quem lê o abuse@isp. :-)
    Mas, fica o aviso, qualquer pessoa pode apresentar queixa num ISP ou mesmo na PJ devido a um portscan... e nem sempre é ignorado.
    Re:segurança "doméstica" (Pontos:1)
    por moonrider em 04-03-03 13:17 GMT (#9)
    (Utilizador Info)
    Na rede Netcabo portscan's a sério, completos duma ponta à outra não costumam ser assim tão frequentes

    Um portscan não quer dizer especificamente que tenha que percorrer x portas... quem falou em portscans "de uma ponta à outra" foste tu. :-)

    Não estás a confundir o scanning de ports com simples testes a portas especificas

    Repara que quem está a confundir alguma coisa és tu... eu referia-me a scans de portas especificas, não necessariamente de 1 a 1024 ou a 65535 ou whatever... "scanning de ports" ? As in "portscan" ? :-)

    derivado do facto do anterior proprietário do IP que me calhou ter a máquina recheada de MP3's ou assim nas redes P2P

    Isso acontece quando, por algum motivo, mudo de IP. Mas referia-me a uma média... nem que tenha o mesmo IP durante semanas, a média mantém-se.
    400? Só? (Pontos:2)
    por Oldtimer em 04-03-03 14:26 GMT (#10)
    (Utilizador Info) http://mac.against.org
    Nope, esse número de portscans por dia é perfeitamente normal na Netcabo (onde eu tenho um snort a correr há mais de um ano).

    E considero portscan, por exemplo, as batidas sistemáticas no 22, 23, 25, 80, 110, 143, 443, 1080, 3128 e 8080 (ou subsets destes) que me aparecem de nenhures (ou melhor, da NetCabo e do Sudoeste Asiático, que afinal de contas devem ter alguma coisa em comum...)

    Não tenho pachorra para colocar um GIF online agora, mas já cheguei ao ponto de configurar o snort com flexresp para enviar RSTs para tudo o que achasse suspeito.

    E se os portscans fossem acordes na música da Internet, os pedidos de Code Red (sim, Code Red lives!) eram a estática de fundo...

    Mas enfim. De facto a segurança nos ISPs de banda larga deixa muito a desejar, mas - e é importante lembrarmo-nos deste facto - isso é quase exclusivamente culpa de quem liga seja o que for à Internet sem saber o que faz.

    Podem dizer que o Windows é inseguro by default (por acaso até tem vindo a melhorar, mas enfim), que o Universal Plug-And-Play é suicídio, etc. e tal., mas acho que hoje em dia as pessoas (independentemente do que saibam ou não de informática) não têm desculpa nenhuma de serem preguiçosas.

    E antes que me digam que as pessoas são mesmo assim, tenho um exemplo positivo: Um familiar meu, recentemente chegado às verdejantes terras da informática e do ADSL, não só se deu ao trabalho de aprender o que precisava de saber como (pasme-se) só me pediu ajuda para perceber melhor como funcionava a firewall do seu router depois de ter verificado sózinho que a configuração default era segura.

    Para uma pessoa que há um ano não sabia o que era uma firewall de todo, achei notável.

    Felizmente, para as outras, os fabricantes estão a mudar de política: os defaults dos equipamentos que aparecem hoje nas lojas parecem ser genericamente "NAT one-way e pronto" (em vez do "tá tudo abeeeerto, filho"), o que pelo menos limita as hipóteses de os portscans servirem para alguma coisa (muito embora não resolvam o problema todo...).

    Enfim. Eu queria era que alguém desligasse as máquinas com Code Red no bloco 213.22.0.0/16... :)


    ^D
    Re:400? Só? (Pontos:1)
    por Ghost em 04-03-03 20:28 GMT (#18)
    (Utilizador Info)
    E se os portscans fossem acordes na música da Internet, os pedidos de Code Red (sim, Code Red lives!) eram a estática de fundo...

    Só Code Red? Eu aqui queixo-me é mais de máquinas a tentarem passar-me o Nimda, a bela da tag GET /scr1pts/..%252f../winnt/system32/cmd.exe?/c+dir consta nos logs de meia em meia hora, mais minuto menos minuto.

    Enfim. Eu queria era que alguém desligasse as máquinas com Code Red no bloco 213.22.0.0/16...

    Bem, podias sempre meter um redirect do .htaccess para ligar ao localhost e fazer shutdown utlizando o problema do Nimda. Só não sei é se o Nimda e Code Red reconhecem e executam redirects... Mas era engraçado, redirecioná-los para eles próprios.

    É claro que isto deve ser ilegal, mas... mesmo assim, continuo a achar que era engraçado :)

    Cumprimentos,
    Paulo

    O top ca de casa... (Pontos:2)
    por Lowgitek em 04-03-03 17:35 GMT (#14)
    (Utilizador Info) http://www.youthinkwedo.com
    Aqui o top dos portscans e compania limitada vai para espanha, frança e UK.

    Já tenho feito reclamações/denuncias de algumas situações as quais alguns operadores tem reagido muito bem e veem se tomadas medidas visto que após reclamar passo um longo per+iodo sem os ditos a me chatearem de novo.

    Parte das respostas positivas partem da telefonica que teem sido impecáveis em todas as minhas queixas de clientes deles.

    O que me chateia mais não é os portscans esporadicos, mas sim os chatos irritantes que passam a vida a caça de vunerabilidades no meu sistema, a dias que isto parece uma arvore de natal. Depois de algumas reclamações feitas tenho notado uma diminuição conssiderável nos casos reincidentes.

    ISP nacionais sao sempre os mesmos... telepac.. netcabo... :), e caso para dizer.. porque será? :)

    Consultando a legislação (Pontos:2, Informativo)
    por Ghost em 04-03-03 20:13 GMT (#17)
    (Utilizador Info)
    Bem aqui pode ler-se, o seguinte:

    Artigo 7.º
    Acesso ilegítimo
    1 - Quem, não estando para tanto autorizado e com a intenção de alcançar, para si ou para outrem, um benefício ou vantagem ilegítimos, de qualquer modo aceder a um sistema ou rede informáticos será punido com pena de prisão até 1 ano ou com pena de multa até 120 dias.
    2 - A pena será a de prisão até três anos ou multa se o acesso for conseguido através de violação de regras de segurança.
    3 - A pena será a de prisão de um a cinco anos quando:
    a) Através do acesso, o agente tiver tomado conhecimento de segredo comercial ou industrial ou de dados confidenciais, protegidos por lei;
    b) O benefício ou vantagem patrimonial obtidos forem de valor consideravelmente elevado.
    4 - A tentativa é punível.
    5 - Nos casos previstos nos n.os 1, 2 e 4 o procedimento penal depende de queixa.

    Eu não sou advogado, nem tenho grande (para não dizer qualquer) experiência com a interpretação da legislação, mas, pessoalmente, pensava até ter lido o paragrafo anterior, que por enviares um aviso para a impressora serias acusado. Porém o que se lê no artigo nº 7 que eu transcrevi, é:
    não estando para tanto autorizado e com a intenção de alcançar, para si ou para outrem,um benefício ou vantagem ilegítimos
    Tu não tinhas como objectivo alcançar qualquer beneficio para ti ou para terceiros.Apenas avisar uma pessoa de forma a essa se proteger.

    Portanto agora não sei, fiquei brainstorming... alguém quer comentar?

    Cumprimentos,
    Paulo

    Dicas para um leigo...mas com vontade de aprender (Pontos:2)
    por quantic_oscillation em 04-03-03 22:16 GMT (#19)
    (Utilizador Info) http://fs-oss.cjb.net
    Sendo eu um utilizador só de sistemas operativos livres, e não sendo da área da informática, poderiam deixar aqui alguns sites/livros/howto's sobre como conseguir uma segurança como deve de ser e como verificar os log's??

    Eu uso as distribuições Mandrake e Debian GNU/Linux, na Mandrake tenho a firewall que essa distribuição traz, presumo que seja baseada na bastille, na Debian GNU/Linux é só usada para estudar o GNU/Linux e como tal não está ligada à Internet, mas a instalar penso que instalaria o bastille.

    Também descobri na documentação /usr/doc/share da Mandrake uns howto's que podem ajudar:
    Secure-Programs-HOWTO.pdf
    Security-HOWTO.pdf
    Sentry-Firewall-CD-HOWTO.pdf
    Snort-Statistics-HOWTO.pdf

    Tb tenho instalado o Nmap, para começar chega???

    Obrigado

    quantic_oscillation
    Re:Dicas para um leigo...mas com vontade de aprend (Pontos:2)
    por higuita em 05-03-03 0:51 GMT (#25)
    (Utilizador Info) http://raff.fe.up.pt/~eq92025/
    eu aconselho um scr1pt para firewall melhor que o default da mandrake, se for como me mostram a uns meses atras, nao e' nada de especial...

    eu aconselho o gShield, mas tens muitos mais, tipo o guard dog (grafico e simples mas completo) e o firestarter (grafico e muito simples, com a vantagem de ter tambem o log incorporado)
    procura no freshmeat.net, tens la' muitos programas e scr1pts

    mas antes mesmo da firewall deves e' desligar tudo que nao uses, que nao seja realmente necessario, editar o /etc/hosts.allow e no hosts.deny meter o ALL:ALL

    precisas realmente do apache com php, proxy, perl, ssl, etc? o IMAP esta' a fazer algo? e o FTP? se sim, precisa mesmo de estar aberto para a internet?
    sim, e' muito giro ter muitas coisas a funcionar, mas muitas vezes sao um risco desnecessario, se queres usar, mete-as a funcionar apenas no localhost (127.0.0.1) ou bloqueia com o hosts.(allow|deny) e com o iptables/ipchains (ie: firewall)

    tem tambem atencao que certos servicos e/ou programas sao historiamente inseguros, logo pensa 2 vezes em usa-los

    podes sempre usar o ssh para fazer tunnel caso tenhas pessoas que precisem de usar esses servicos, sempre tens mais seguranca

    logs tens geralmente tudo em /var/log, controlado na maioria pelo syslog (/etc/syslog.conf)

    finalmente mantem-te actualizado nos patchs de seguranca e de preferencia tem algum sistema de verificacao de integridade do sistema (guardada numa disquete, CD, flash drive, etc)

    um nmap de uma maquina externa serve para verificar se esta' tudo bem fechado e mais tarde, de tempos a tempos, verificar que se mantem da mesma forma como a deixaste...

    se suspeitares que foste crackado, arranca de CD e corre um rootkitcheck e procura anomalias... os logs podem ou nao estar falsificados

    ja' deve chegar 8)

    Higuita
    Re:Dicas para um leigo...mas com vontade de aprend (Pontos:2)
    por quantic_oscillation em 05-03-03 11:53 GMT (#28)
    (Utilizador Info) http://fs-oss.cjb.net
    obrigado higuita, esqueci-me de dizer que uso acesso por dial, logo o problema não é muito grande, mas o que me interessa mesmo é aprender.

    quanto ao host.allow e deny, a mandrake usa o xinetd, logo penso que não existem tcpwrappers, e pelo que li o xinetd não usa esse files, e já tive a ver na configuração e está tudo desligado.

    obrigado

    quantic_oscillation
    Re:Dicas para um leigo...mas com vontade de aprend (Pontos:2)
    por higuita em 07-03-03 16:39 GMT (#29)
    (Utilizador Info) http://raff.fe.up.pt/~eq92025/
    mesmo assim configura correctamente esses dois ficheiros (hosts.allow|deny) pois existem varios programas que os usam, mesmo sem ser pelo inetd
    um bom exemplo e' o sshd... eu tenho por exemplo o sshd bloqueado para todas as gamas de IPs excepto aproximacoes da gama de IPs portugueses... isto porque so' eu acedo a minha maquina e mesmo na pior das hipoteses, apenas acedo de ISPs portugueses, nunca de ISP internacionais


    Higuita
    O que é ou não Crime (Pontos:2)
    por MavicX em 04-03-03 22:38 GMT (#21)
    (Utilizador Info) http://www.startux.org
    Um Scan puro e simples não é considerado crime.

    Mas se provar que fizes-te esse scan com a tentativa de cometer um crime já passa a ser punivel como tentativa de cometer um crime. Mas é quase impossivel provar num tribunal as tuas verdadeiras intenções. É o mesmo que um policia vir um gajo com "mau aspecto" a olhar para uma casa, não o vai prender por tentativa de assalto, porque o gajo em tribunal diz que só tava a ver a casa porque era bonita.

    Se entrares no computador por qualquer meio já estás a cometer um crime.

    Isso vê-se bem com as casas (como a PJ gosta de fazer). Se fores bater a uma porta de uma casa e encontrares a porta aberta não é crime, mas se entrares dentro da casa porque a porta estava aberta já é crime, mesmo se entrares para ver se está alguem em casa para avisares que a porta está aberta.

    Nesse caso não é crime de roubo mas de intrusão em propriedade alheia.

     

    Pedro Esteves

    Re:O que é ou não Crime (Pontos:2)
    por MavicX em 05-03-03 11:20 GMT (#27)
    (Utilizador Info) http://www.startux.org
    Uma coisa e efectuar uma ligaçao, outra e entrar ...

    Pedro Esteves

     

     

    [ Topo | Sugerir artigo | Artigos anteriores | Sondagens passadas | FAQ | Editores | Preferências | Contacto ]