gildot

Topo
Sobre
FAQ
Tópicos
Autores
Preferências
Artigos
Sondagens
Propor artigo


8/3
gildicas
9/30
jobs
10/9
perguntas
10/25
press

 
Netvisao - Unsecure - User hijacking
Contribuído por AsHeS em 22-07-02 23:16
do departamento buracos-em-pt
Web on Fire nmarques escreve "A Netvisao, que como todos conhecemos é um dos ISP's cable nacionais, deteve uma grande falha de segurança reportada abaixo, a mesma está em inglês tal como a escrevi antes de enviar para umas mailling lists, sobretudo porque numa delas está um Sr. Allan Caron que pertence a uma empresa de consultadoria que a netvisão contracta.
Penso que "postar" isto nesta altura já não irá por ninguem em risco, a não ser que a netvisão ignore o meu email em que lhes expliquei a falha."

[AsHeS]: Decidi aprovar o artigo, visto que a netvisão já foi avisada da falha, e vendo pela página, já devem estar a solucionar o problema.


Netvisao gives the hability to their users to perform some tasks with a supplied username/password.

Through the webpage página any Netvisao Cable User can add new email accounts and new aliases.

What happens when you try to create a new email address:

1. You give a Username, a password and an alias for it.
2. You had such a bad taste that you entered a existing user... lets say:

Normal User: Zeca is Zeca, a standard netvisao user.

You also selected your username to be "Zeca" with password "eat!me" and alias "hijacked"

What happens: The user Zeca gets his password set to "eat!me". You successfully created your new account.

3. Zeca user gets frustrated when he tries to check his email, because the password appears not to work. He calls the ISP Helpdesk.
4. Zeca user cant check his upload/download limits because password isnt accepted.
5. You can indeed check Zeca's traffic and email. You wonder why.

Conclusion:
Someone at Netvisao made a huge mistake somewhere...

Modems ADSL e Linux | O futuro das Telecom's.  >

 

gildot Login
Login:

Password:

Referências
  • página
  • nmarques
  • Netvisao
  • Mais acerca Web on Fire
  • Também por AsHeS
  • Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário.
    Working on that.... (Pontos:1)
    por |The-Crow| em 22-07-02 23:39 GMT (#1)
    (Utilizador Info) http://www.soundream.org
    "Página em manutenção.
    Tente mais tarde" @ 0:40 - 23/07/02

    Foram rápidos, or not ;)

    ~ |The-Crow|
    como um if exists pode levar (Pontos:2)
    por racme em 23-07-02 11:02 GMT (#6)
    (Utilizador Info)
    como um if exists pode levar assim tanto tempo
    sao 23 de Julho as 12:00h

    quem sofre sao os clientes, a minha sorte é q nao é o meu provedor de serviços


    ...no reino de Quelthalas...
    im awake, im awake!
    O problema destas coisas. (Pontos:2, Interessante)
    por leitao em 23-07-02 11:17 GMT (#7)
    (Utilizador Info) http://scaletrix.com/nuno/

        IMHO, o que devias ter feito era avisado a NetCabo -- e esperado por uma confirmacao em vez de teres ido colocar informacao deste tipo numa mailing list.

        A razao e' simples: de cada vez que uma coisa destas acontece a percepcao do publico apenas piora (nao so' em relacao 'a NetCabo) -- piorando apenas a opiniao publica em relacao 'as novas tecnologias. Ou seja, no fundo so' estas a prejudicar a tua vida (desilucao do publico) e a dos outros (clientes que possam ser afectados assim que vem ao publico).

        Claro que sou da opiniao que problemas destes devem ser reportados, mas de forma responsavel e que nao prejudiquem os outros.

        My 2 cents.

        Regards,


    echo '[dO%O+38%O+PO/d00]Fi22os0CC4BA64E418CE7l0xAP'|dc
    Re:O problema destas coisas. (Pontos:2)
    por nmarques em 23-07-02 11:21 GMT (#8)
    (Utilizador Info) http://morgul.xpto.org
    Eu tinha alertado a netvisao. Na altura em que enviei para a mailling list e o post para o gildot, o site ja estava em manutencao. E Netvisao e' um servico da Cabovisao e nao da TV Cabo/PT Multimedia.

    --------------------------------------------
    If there is such a thing as too much power...
    I've not discovered it.../I
    Re:O problema destas coisas. (Pontos:2)
    por leitao em 23-07-02 11:31 GMT (#9)
    (Utilizador Info) http://scaletrix.com/nuno/
    Eu tinha alertado a netvisao. Na altura em que enviei para a mailling list e o post para o gildot, o site ja estava em manutencao.

    Apenas referi isto pelo que tu proprio disseste no post: Penso que "postar" isto nesta altura já não irá por ninguem em risco, a não ser que a netvisão ignore o meu email em que lhes expliquei a falha.

    O que se infere disto e' que mandas-te um e-mail mas nao esperaste para ver se o problema tinha sido resolvido ou nao...

    E Netvisao e' um servico da Cabovisao e nao da TV Cabo/PT Multimedia.

    I stand corrected.


    echo '[dO%O+38%O+PO/d00]Fi22os0CC4BA64E418CE7l0xAP'|dc

    Re:O problema destas coisas. (Pontos:2)
    por nmarques em 23-07-02 11:49 GMT (#10)
    (Utilizador Info) http://morgul.xpto.org
    Enviei o email a meio da tarde, quando cheguei a casa do trabalho a pagina ja estava em manutencao. Assim como nao me contactaram penso que estam a fazer o trabalho deles. De qualquer forma ja tentei comunicar com o utilizar a que mudei a password por acidente quando descubri a falha mas ainda nao consegui, e nem sei se e' a mesma pessoa porque pelo nome foi ao www.118.pt e so deu um resultado, portanto se for esta pessoa assim que conseguir entrar em contacto com ela explicarei o que aconteceu. Alertei tambem a netvisao para o utilizar que foi lesado, se o vao contactar ou nao, isso e' problema deles. Eu pelo menos vou tentar.

    --------------------------------------------
    If there is such a thing as too much power...
    I've not discovered it.../I
    Re:O problema destas coisas. (Pontos:2)
    por humpback em 23-07-02 12:07 GMT (#11)
    (Utilizador Info)
    Tu deves ser adepto da teoria de avisar o Vendor do problema com o seu software e esperar uns 6-7 meses pelo patch.
    Regra geral quando alem do mail para o vendor vai um mail para as boas ML de segurança o bug é corrigido em 1/10 do tempo ou menos.
    Quanto ao publico em geral, tem tudo a ver com o que eles tem a ganhar da tecnologia. A minha mãe desde que viu que se pode fazer quase tudo o que se faz numa caixa atm/banco atraves do banco online ate ja comecou a querer aprender a usar o browser.

    Gustavo Felisberto
    72ef1d7183eb2ea89420b94c0cf3e1f1
    apt-get install anarchism
    Re:O problema destas coisas. (Pontos:2)
    por leitao em 23-07-02 12:55 GMT (#14)
    (Utilizador Info) http://scaletrix.com/nuno/
    Tu deves ser adepto da teoria de avisar o Vendor do problema com o seu software e esperar uns 6-7 meses pelo patch.

    Nao -- mas tambem nao sou adepto da teoria de tentar ganhar fama via "desgracar os outros".

    A questao e' tentar usar o balanco correcto de tornar a informacao publica, e dar oportunidade ao vendor de resolver o problema -- nao e' facil, mas deve-se tentar.


    echo '[dO%O+38%O+PO/d00]Fi22os0CC4BA64E418CE7l0xAP'|dc

    Re:O problema destas coisas. (Pontos:0, Esclarecedor)
    por Anonimo Cobarde em 23-07-02 13:13 GMT (#16)
    Mas em todos esses cenários põe-se outro dilema: se a falha existe corre-se o risco de haver alguém para além de ti que já a descobriu e que não tenha as boas intenções que tu tens.

    Nesse caso os utilizadores estão descansados a usar um serviço/produto que pensam que é seguro e isso não corresponde à verdade. Se calhar, se os utilizadores soubessem dessa falha não o utilizavam.

    Realmente eu também acho que se deve dar uma oportunidade ao vendedor para corrigir o erro mas, sobretudo nos casos em que ele é muito perigoso, os utilizadores devem poder saber os riscos que correm.

    O que foi relatado pelo nmarques envolve umas contas de mail mas se fosse - por exemplo - um serviço de banco on-line tu não gostarias de ser avisado antes da falha ser resolvida para poderes cancelar o serviço momentaneamente? Quem garante que durante o período de tempo em que o alerta é enviado e depois é lido / tratado não há alguém que mete a mão no que não deve?


    Re:O problema destas coisas. (Pontos:2)
    por leitao em 23-07-02 13:32 GMT (#17)
    (Utilizador Info) http://scaletrix.com/nuno/
    Concordo plenamente com o que dizes -- a solucao para o problema e' o vendor resolver o problema assim que este e' reportado.

    No caso de este nao o fazer, a lei do mercado aplica-se e o mercado vira para o vendor que tem os produtos mais estaveis e cujo tempo de resposta e' menor.

    Em qualquer um dos casos, o meu argumento de que se deve dar a oportunidade para a situacao ser resolvida mantem-se.

    Regards,


    echo '[dO%O+38%O+PO/d00]Fi22os0CC4BA64E418CE7l0xAP'|dc

    Features não documentadas (Pontos:2)
    por bgravato em 24-07-02 3:53 GMT (#25)
    (Utilizador Info)
    Bugs na netvisão é coisa que não falta...

    Já para não falar nas frequentes quebras das ligações nos últimos tempos...

    Mas em relação a bugs... por exemplo para consultar o tráfego dos outros clientes é bastante simples... basta introduzir este url:

    http://servicos.netvisao.pt:8080/giga/DETAIL_ALL:CLIENT_NUMBER_HERE:

    e substituir o CLIENT_NUMBER_HERE pelo número de cliente do cliente que se pretende ver o tráfego...

    Ok é preciso saber o número do cliente... mas tb não é dificil fazer um scr1pt para ir tentando aleatoriamente ou sequencialmente...

    Já sei que o leitão vai dizer que eu devia ter informado a netvisão primeiro disto e bla bla, mas também não é um bug assim tão grande como isso e a mim não me incomoda muito que os outros vejam a quantidade de tráfego que eu faço.

    Até preferia que os mocinho da netvisão se preocupassem mais em pôr a rede mais estável, que ainda ontem ou anteontem estive mais de 1h com conectividade quase nula...

    E por falar em segurança... também já era altura de implementarem suporte para ssl no servidor de mail... que passwords em plain text a circular pela intertnet é coisa que eu nunca gostei muito...

    Enfim... a netvisão em termos de autenticação é uma nódoa... especialmente nos interfaces web... mas pronto... pode ser que a coisa daqui a uns anitos vá lá...

    Talvez mudem a filosofia da empresa, despeçam os minesweeper engineers e contratem técnicos que percebam do assunto :-)

    Cumprimentos,
    Bruno Gravato.


    Re:e NetRabo ? (Pontos:2)
    por jig em 23-07-02 8:38 GMT (#4)
    (Utilizador Info)
    Cobardexxx ?:)
    Re:e NetRabo ? (Pontos:2)
    por Branc0 em 23-07-02 9:26 GMT (#5)
    (Utilizador Info) http://www.syners.org
    Neste caso seria apenas "cobardex", no teu caso ja seria mais "jigxxxxx" :)
    "Se vi mais além do que outro, é porque estava nos ombros de gigantes."
    Sir Isaac Newton
    Re:e NetRabo ? (Pontos:2)
    por MacLeod em 23-07-02 12:20 GMT (#12)
    (Utilizador Info)
    Exacto, quando são nomes pequenos eles põem mais xx. Eu ainda não mudei a minha pass :P
    Re:e NetRabo ? (Pontos:2)
    por MacLeod em 23-07-02 23:34 GMT (#24)
    (Utilizador Info)
    Humm, pormenor curioso. Não fazia ideia, mas isso experimenta-se já.
    Re:broken english... (Pontos:2)
    por leitao em 23-07-02 12:58 GMT (#15)
    (Utilizador Info) http://scaletrix.com/nuno/
    nao habia nexexidade...

    O Ingles dele nao esta' perfeito, mas esta' inteligivel o suficiente para se perceber o problema.

    echo '[dO%O+38%O+PO/d00]Fi22os0CC4BA64E418CE7l0xAP'|dc
    Re:broken english... (Pontos:1)
    por jazzy em 23-07-02 14:14 GMT (#18)
    (Utilizador Info) http://www.gildot.org
    Lamento, mas eu percebi à primeira, e não nasci no RU.
    Para a próxima, tenta não ser tão agressivo. Quando as pessoas não sabem, não é estando quietas que aprendem.

    Jazzy


    Jazzy
    Re:broken english... (Pontos:3, Engraçado)
    por nmarques em 23-07-02 14:49 GMT (#19)
    (Utilizador Info) http://morgul.xpto.org
    Tens razao.
    O mesmo ISP opera no Canada e em zona parcial dos EUA.
    Quanto ao perceberes, problema teu, quanto ao nasceres no Reino Unido, podemos organizar um documento com meia duzia de assinaturas para receberes uma medalha pelo facto.

    --------------------------------------------
    If there is such a thing as too much power...
    I've not discovered it.../I
    Re:broken english... (Pontos:0, Engraçado)
    por Anonimo Cobarde em 23-07-02 15:44 GMT (#20)
    Eu nao consegui ver o comentario ao qual respondeste, por isso perdoa-me se vou dizer algo despropositado, mas...

    Tas a sonhar com ladroes, nao? A netvisao opera no canada' e nos EUA? Por essa ordem de ideia, tambem deves dizer que a Optimus opera no mercado americano, nao? La' porque no capital social da empresa figura um ISP que opera no mercado da america do norte (ou alguma empresa/holding/venture que tenha interesses em algum ISP americano), nao faz automaticamente que a Netvisao seja um ISP canadiano ou americano. That's just bullshit. E portanto, mantenho every single word. Nao havia necessidade nenhuma de escrever um aviso sobre uma falha de seguranca de um produto PORTUGUES destinado a ser consumido no mercado PORTUGUES, aviso esse que interessa aos utilizadores PORTUGUESES e que era dirigido a pessoas PORTUGUESAS (tas a ver aqui um padrao?), em ingles. E em mau ingles, while we're at it. E' este provincianismo parolo e de trazer por casa que me irrita seriamente. Em roma, se romano!
    Mas, enfim, I digress. <ironia>A proxima vez que ligar para o 1693 da Optimus tambem vou expor os meus problemas em ingles, visto que eles tambem sao uma telco que opera no mercado americano, assim eles ficam a ver como eu sou leet e resolvem-nos mais depressa.</ironia>

    Uma medalha? Oh pa', *sigh*. Eu nao disse o que disse para parecer impressionante ou whatnot. Simplesmente disse-o para reiterar o meu ponto. Nao tenho nada contra ti nem contra o aviso, entende. Simplesmente nao achei nada normal a maneira que utilizaste para tornar publicas as tuas descobertas, pelas razoes que ja' expliquei em cima. Nem a maneira, nem os canais nem os metodos apropriados. Hint: http://www.wiretrip.net/rfp/policy.html
    Sao as normas/procedimentos geralmente aceites/utilizadas nesta industria. Se queres jogar, joga de acordo com as regras. We dont play Calvinball in here. (para quem nao sabe o que e' Calvinball, e' de uma tira do Calvin & Hobbes, em que eles estao a jogar uma variante de futebol americano, com a diferenca que o Calvin vai fazendo as regras on-the-fly, de acordo com a sua conveniencia)
    Re:broken english... (Pontos:1)
    por jamaica em 23-07-02 18:45 GMT (#23)
    (Utilizador Info) http://ainda.nao.tenho
    Podes ligar para o 1693 e falar em Ingles, que eles respondem-te em ingles (ou pelo menos, se tiveres a sorte de apanhar um operador que fale inglês :)
    ---------------------
    The worst moment for the atheist is when he is really thankful and has nobody to thank. Dante Rossetti
    Re:broken english... (Pontos:2)
    por Maeglin em 24-07-02 10:36 GMT (#26)
    (Utilizador Info)
    BTW o resultado da politica que "defendes" é :

    "HTTP Error 404
    404 Not Found

    The Web server cannot find the file or scr1pt you asked for. Please check the URL to ensure that the path is correct.

    Please contact the server's administrator if this problem persists."

    Achas que mande um mail em português ?


    "When I answered where I wanted to go today, they just hung up" (Unknown Author)
    Re:broken english... (Pontos:2)
    por Maeglin em 24-07-02 15:21 GMT (#28)
    (Utilizador Info)
    "Bom, antes de mais, nao e' a politica que "eu" defendo. Nao fui eu que a escrevi ou a adoptei. Simplesmente e' a politica geralmente usada e aceite nesta industria."

    Só por alguns , e normalmente dá sempre confusão.
    Depende sempre da vontade das pessoas envolvidas.
    Não sei se reparaste mas o "defendes" tem "" logo deves saber o que isso significa.

    "Quanto ao URL...quando se tem uma predisposicao negativa em relacao a alguem so' por nao ser um carneirinho e ler pela mesma cartilha que o resto da malta, da-se destas coisas. Provavelmente nem reparaste no bug do gildot (que ja' existe ha' LOOONGO tempo, mas ng parece interessado em corrigi-lo), que "junta" o target="_blank" ao link. Alias, se te tivesses dado ao trabalho de olhar para o browser perceberias isso. Para a proxima pensa um bocadinho antes de atacares, ok? Abre os olhinhos, a vida nao e' isto"

    Não te ataquei... a minha vida não é isso :-) Quanto ao URL , estou cansado dos submeter e isso não me acontece, mas acredito em ti , e não , não conhecia o bug do Gildot (sou clueless , como afirmas). BTW , os link's submetidos servem para nós clicarmos neles e irmos dar ao sitio certo ,se não , não vale a pena ter o link.

    "Sinceramente, nao percebo pq e' que voces tomam as dores uns dos outros. E' triste constatar que a comunidade portuguesa e' uma anedota. Clube dos amigos, feito para e com os amigos. (so' falta mesmo o "Menina nao entra", 'a porta...) Bah"

    "Menina nao entra" ? deves estar doido ... entra sim , sair é que já não sei...

    Quanto ao clube , basicamente é conhecido como "grupo com interesses semelhantes" tanto em voga nos nossos dias e que fez a internet o que ele é agora... (bem ou mal)

     
    "When I answered where I wanted to go today, they just hung up" (Unknown Author)
    Re:broken english... (Pontos:2)
    por Maeglin em 24-07-02 18:48 GMT (#30)
    (Utilizador Info)
    Nem de proposito dei de caras com isto...

    "Microsoft and Andreas suggest the following workarounds:

    >2. disable "allow paste operations via scr1pt" (best)
    >3. disable active scr1pting

    Using these workarounds is currently futile for users with Office installed. The clipboard text can be set regardless of configuration as we've shown in GM#007-IE, and disabling scr1pting can be easily circumvented as we've shown in GM#005-IE.

    These vulnerabilities have been disclosed 3.5 months ago and still haven't been patched.

    References:
    http://sec.greymagic.com/adv/gm005-ie/
    http://sec.greymagic.com/adv/gm007-ie/

    But even without these workarounds the severity of this vulnerability is low-medium at best since it requires a non-trivial user interaction.

    - GMS"

    e segundo o RFP enquanto houver contacto entre quem "descobre" a falha e o maker do software , o problema não deve ser divulgado acrescentando "dentro de um periodo razoavel"
    Ora neste caso já la vão mais de 3 meses.
    Na tua opnião qual é o prazo razoavel ?
    BTW concordo com os 5 dias de non-disclosure.


    "When I answered where I wanted to go today, they just hung up" (Unknown Author)
    FUBAR (Pontos:2)
    por nmarques em 25-07-02 12:23 GMT (#31)
    (Utilizador Info) http://morgul.xpto.org
    FUBAR

    --------------------------------------------
    If there is such a thing as too much power...
    I've not discovered it.../I
    Re:broken english... (Pontos:1)
    por McB em 31-07-02 14:25 GMT (#33)
    (Utilizador Info)
    Em primeiro lugar, o inglês deles está BEM MELHOR que 80% do português das pessoas que aqui escrevem... por isso...
    Em segundo lugar, " ingles de baixo nivel, cheio de erros ortograficos, sintaticos e semanticos" é algo com o qual não posso concordar...

    Sim, substituiria algumas palavras, e tem poucos erros ortográficos...ou então o inglês que andei a aprender é uma treta...

    Mas tu é que sabes...
    You were the one who was born in the UK, "ffs"...
    (por favor verifica os erros desta frase)

    Yours,
    McB!

    They told me it need Windows 95 or better, so I chose Linux

     

     

    [ Topo | FAQ | Editores | Contacto ]