Re: Ataque de engenharia social aos usuarios do Registro.br

[Luis Alberto Garcia Cipriano <lagc@cipsga.org.br>]

On Mon, 15 Dec 2003 14:03:09 -0200
"Edney Souza" <listas@interney.net> wrote:
>
> Luis Alberto <lagc@cipsga.org.br> wrote:
> >
> > Circular do Registro.br:
> > > 
> > > Nas últimas horas, circularam pela Internet mensagens de solicitação
> > > de verificação de dados devido a uma suposta atualização nos sistemas
> > > do Registro.br.
> > >
> > > Estas mensagens são falsas e contem um endereço hospedado em um
> > > provedor gratuito o qual copia quase que fielmente a página de
> > > autenticação do sistema do Registro.br.
> > >
> > > As distinções características deste site são o endereço diferente de                                                 
> > > registro.br, a inexistência do "cadeado" indicando site seguro e a
> > > presença de uma propaganda no topo desta página.
> > >
> > > ... Fique sempre atento a estas duas características e em caso de
> > > dúvidas entre em contato [1] com o registro.br antes de fornecer
> > > quaisquer dados ou senha.
> > >
> > > http://registro.br/anuncios/20031209.html
> >
> > * O mais novo buraco enorme no queijo suiço em termos de segurança
> > * que é o Microsoft Internet Exploder permite exatamente que um sítio
> > * aleatório forje a barra de url, o que invalida em boa parte a
> > * sugestão de um processo mais seguro nessa circular do Registro.br
> >
> > Mais sobre a falha e um exemplo de sua exploração:
> >
> > http://www.quilombodigital.org:8080/space/2003-12-11
> >
>
> 1) A falha recém descoberta no IE também afeta o Mozilla parcialmente:
> http://www.mozillazine.org/talkback.html?article=4078
> 
> 2) Ninguém está livre de ataques de engenharia social, a única forma de
> prevení-los é informando e orientando os usuários, mudar de ferramenta
> infelizmente não resolve esse tipo de problema.
> 
> []´s
> 
> Edney Souza
> http://www.interney.net/
> 

1. A "falha" que afeta o Mozilla é *apenas* na barra de estado, e isso é
   apenas uma característica comum à maioria dos navegadores, que permitem
   alterar arbitrariamente aquele texto:

   http://www.quilombodigital.org/microsoft

   Qualquer pessoa com um pouco de vivência pela Internet sabe que o texto
   da barra de estado é facilmente burlado.

   A falha gravíssima do Microsoft Internet Explorer é permitir o acesso à
   *barra de endereço*, coisa que *nenhum* outro navegador permite. E o que é
   pior: a exploração dessa falha é assustadoramente simples, como provado no
   link acima.    

   Além disso, a circular aponta exatamente para que o usuário do Registro.br
   verifique o endereço. E a forma que um usuário mais vivido o fará é
   exatamente pela barra de endereços. E *apenas* se for usuário do navegador
   em questão isso não adiantará absolutamente nada conforme demonstrado.

2. Sim, ataques de engenharia social são imprevisíveis e por inúmeros caminhos.
   Porém, no caso em questão, se o atacante tivesse explorado essa falha e,
   quanto à questão de ser um sítio seguro, feito a cópia num servidor com ssl
   (o que daria o "cadeadinho") e num serviço pago de hospedagem, simplesmente
   estaria invalidada *TODA* a recomendação do Registro.br quanto ao que
   observar antes de colocar seus dados.

   E isso afetaria *APENAS* os usuários desse navegador. Isso é simplesmente
   inadimissível. Estou no aguardo de um pronunciamento oficial do Registro.br
   tal a gravidade da situação.

   Não uso e não recomendo produtos proprietários, incluindo os da Microsoft em
   questão, não apenas por razões ideológicas ou de mercado, mas especialmente
   no quesito segurança.

   Trabalho com Desenvolvimento para Internet e tenho vários clientes que usam
   o sistema do Registro.br e sei que a maioria deles usa o navegador em questão.
   Simplesmente se o atacante fizesse isso que exponho, eles estariam em sérios
   apuros. E no caso de prejuízos sem dúvida grande parcela da culpa caberia ao
   Registro.br por não ter feito o alerta de forma correta e completa.

Pelas razões expostas reitero minhas sugestões ao Registro.br

> > - Retificar a circular avisando que para usuários do IE não adianta
> >   apenas verificar a URL.
> > - Sugerir o uso de um navegador seguro. A melhor opção é o Mozilla,
> >   que roda inclusive sobre os sistemas da Microsoft:
> >   http://www.mozilla.org.br/
> > - Talvez dar alguns meses de prazo e restringir o uso do Internet
> >   Explorer no sítio do registro.br visto que falhas como essa
> >   simplesmente não podem ser admitidas, já que comprometem demais
> >   a segurança do sistema Registro.br, que sempre primou pela
> >   qualidade do serviço e possui uma longa história de estabilidade
> >   e competência na execução das suas tarefas. Não é possível deixar
> >   que um mero Navegador de uma empresa que não zela pela segurança
> >   de seus produtos comprometa o nome do Registro.br

Essa última medida, drástica, só deverá ser adotada se o fabricante em questão
não corrigir e falha não anunciar com o devido grau de exposição frente à
gravidade da questão para que os atuais usuários atualizem seus sistemas.

Abraços,

Luis Alberto.

-- 
	Luis Alberto Garcia Cipriano - lagc@cipsga.org.br
   Sítio e blogue  -> http://luisalberto.sovacodecobra.com.br/
      lagc no #debian-br em irc.debian.org - lagc@jabber.org

Músico            amador  .''`.  http://www.sovacodecobra.com.br/
Tradutor       solidário : :'  :        http://www.debian-br.org/
Jornalista    voluntário `. `'`         http://www.cipsga.org.br/
Programador  pós-moderno   `-            http://sp.debian-br.org/