Re: Ataque de engenharia social aos usuarios do Registro.br
- To: "Edney Souza" <listas@interney.net>
- Cc: "Lista do Projeto MetaReciclagem" <Metareciclagem@projetometafora.org>, <debian-user-portuguese@lists.debian.org>, <hostmaster@registro.br>, <jccipriano@uol.com.br>, <cronai@well.com>, <rigues@magnet.com.br>, <fabianap@magnet.com.br>, <MozillaBR-Users@yahoogrupos.com.br>, <lista@quilombodigital.org>, <inagaki@spamzine.net>, Pedro A Dourado de Rezende <rezende@cic.unb.br>, Pedro Dória <pdoria@nominimo.ibest.com.br>, Federico Garcia Pereda <federico@inpul.com.br>, Paulo Eduardo Neves <neves@samba-choro.com.br>
- Subject: Re: Ataque de engenharia social aos usuarios do Registro.br
- From: Luis Alberto Garcia Cipriano <lagc@cipsga.org.br>
- Date: Wed, 17 Dec 2003 05:05:53 -0200
- Message-id: <[🔎] 20031217050553.70285771.lagc@cipsga.org.br>
- In-reply-to: <[🔎] 052801c3c324$fb4f40e0$7602010a@Edney>
- References: <[🔎] 1071007058.3fd645522f369@webmail.linuxconf.com.br> <[🔎] 20031215122641.7544cc74.lagc@cipsga.org.br> <[🔎] 052801c3c324$fb4f40e0$7602010a@Edney>
On Mon, 15 Dec 2003 14:03:09 -0200
"Edney Souza" <listas@interney.net> wrote:
>
> Luis Alberto <lagc@cipsga.org.br> wrote:
> >
> > Circular do Registro.br:
> > >
> > > Nas últimas horas, circularam pela Internet mensagens de solicitação
> > > de verificação de dados devido a uma suposta atualização nos sistemas
> > > do Registro.br.
> > >
> > > Estas mensagens são falsas e contem um endereço hospedado em um
> > > provedor gratuito o qual copia quase que fielmente a página de
> > > autenticação do sistema do Registro.br.
> > >
> > > As distinções características deste site são o endereço diferente de
> > > registro.br, a inexistência do "cadeado" indicando site seguro e a
> > > presença de uma propaganda no topo desta página.
> > >
> > > ... Fique sempre atento a estas duas características e em caso de
> > > dúvidas entre em contato [1] com o registro.br antes de fornecer
> > > quaisquer dados ou senha.
> > >
> > > http://registro.br/anuncios/20031209.html
> >
> > * O mais novo buraco enorme no queijo suiço em termos de segurança
> > * que é o Microsoft Internet Exploder permite exatamente que um sítio
> > * aleatório forje a barra de url, o que invalida em boa parte a
> > * sugestão de um processo mais seguro nessa circular do Registro.br
> >
> > Mais sobre a falha e um exemplo de sua exploração:
> >
> > http://www.quilombodigital.org:8080/space/2003-12-11
> >
>
> 1) A falha recém descoberta no IE também afeta o Mozilla parcialmente:
> http://www.mozillazine.org/talkback.html?article=4078
>
> 2) Ninguém está livre de ataques de engenharia social, a única forma de
> prevení-los é informando e orientando os usuários, mudar de ferramenta
> infelizmente não resolve esse tipo de problema.
>
> []´s
>
> Edney Souza
> http://www.interney.net/
>
1. A "falha" que afeta o Mozilla é *apenas* na barra de estado, e isso é
apenas uma característica comum à maioria dos navegadores, que permitem
alterar arbitrariamente aquele texto:
http://www.quilombodigital.org/microsoft
Qualquer pessoa com um pouco de vivência pela Internet sabe que o texto
da barra de estado é facilmente burlado.
A falha gravíssima do Microsoft Internet Explorer é permitir o acesso à
*barra de endereço*, coisa que *nenhum* outro navegador permite. E o que é
pior: a exploração dessa falha é assustadoramente simples, como provado no
link acima.
Além disso, a circular aponta exatamente para que o usuário do Registro.br
verifique o endereço. E a forma que um usuário mais vivido o fará é
exatamente pela barra de endereços. E *apenas* se for usuário do navegador
em questão isso não adiantará absolutamente nada conforme demonstrado.
2. Sim, ataques de engenharia social são imprevisíveis e por inúmeros caminhos.
Porém, no caso em questão, se o atacante tivesse explorado essa falha e,
quanto à questão de ser um sítio seguro, feito a cópia num servidor com ssl
(o que daria o "cadeadinho") e num serviço pago de hospedagem, simplesmente
estaria invalidada *TODA* a recomendação do Registro.br quanto ao que
observar antes de colocar seus dados.
E isso afetaria *APENAS* os usuários desse navegador. Isso é simplesmente
inadimissível. Estou no aguardo de um pronunciamento oficial do Registro.br
tal a gravidade da situação.
Não uso e não recomendo produtos proprietários, incluindo os da Microsoft em
questão, não apenas por razões ideológicas ou de mercado, mas especialmente
no quesito segurança.
Trabalho com Desenvolvimento para Internet e tenho vários clientes que usam
o sistema do Registro.br e sei que a maioria deles usa o navegador em questão.
Simplesmente se o atacante fizesse isso que exponho, eles estariam em sérios
apuros. E no caso de prejuízos sem dúvida grande parcela da culpa caberia ao
Registro.br por não ter feito o alerta de forma correta e completa.
Pelas razões expostas reitero minhas sugestões ao Registro.br
> > - Retificar a circular avisando que para usuários do IE não adianta
> > apenas verificar a URL.
> > - Sugerir o uso de um navegador seguro. A melhor opção é o Mozilla,
> > que roda inclusive sobre os sistemas da Microsoft:
> > http://www.mozilla.org.br/
> > - Talvez dar alguns meses de prazo e restringir o uso do Internet
> > Explorer no sítio do registro.br visto que falhas como essa
> > simplesmente não podem ser admitidas, já que comprometem demais
> > a segurança do sistema Registro.br, que sempre primou pela
> > qualidade do serviço e possui uma longa história de estabilidade
> > e competência na execução das suas tarefas. Não é possível deixar
> > que um mero Navegador de uma empresa que não zela pela segurança
> > de seus produtos comprometa o nome do Registro.br
Essa última medida, drástica, só deverá ser adotada se o fabricante em questão
não corrigir e falha não anunciar com o devido grau de exposição frente à
gravidade da questão para que os atuais usuários atualizem seus sistemas.
Abraços,
Luis Alberto.
--
Luis Alberto Garcia Cipriano - lagc@cipsga.org.br
Sítio e blogue -> http://luisalberto.sovacodecobra.com.br/
lagc no #debian-br em irc.debian.org - lagc@jabber.org
Músico amador .''`. http://www.sovacodecobra.com.br/
Tradutor solidário : :' : http://www.debian-br.org/
Jornalista voluntário `. `'` http://www.cipsga.org.br/
Programador pós-moderno `- http://sp.debian-br.org/
Reply to: