Segurança com VPN e Proxy

Quem quer aceder a conteúdos bloqueados ou restritos na Internet procura formas de contornar essas restrições. Com o número de restrições e bloqueios a aumentar em vários países onde se incluí Portugal, o número de utilizadores da Internet que procuram essas soluções tem chamado a atenção a pessoas cujas intenções não são as melhores.

Os métodos mais populares de contornar os bloqueios e de navegar com a sensação de segurança são a utilização de Proxy ou VPN, ambas as “soluções” podem por em perigo quem as utiliza. Para isso basta que o fornecedor da VPN ou do Proxy esteja interessado em algo mais do que ajudar a contornar os bloqueios.

No caso das VPN ao reencaminhar todo o tráfego de Internet do utilizador para um túnel “seguro” o fornecedor da VPN pode por exemplo colocar todo o tráfego a passar por um “filtro” que guarde certas informações como por exemplo nomes de utilizador e password’s do serviços acedidos pelos utilizadores. Engane-se quem pensa que isto é muito complicado e quem ninguém fará isso, criar um servidor de VPN reencaminhar o tráfego para um servidor “SQUID” e analisar os logs é uma tarefa extremamente simples e ao alcance de qualquer pessoa com conhecimentos básicos (ou que saiba pura e simplesmente usar o Google!!).

Ao utilizar um proxy estamos apenas a facilitar o trabalho das ditas pessoas mal intencionadas!! pois estamos de livre vontade a enviar o nosso tráfego para os seus registos, para posterior análise!!

Engana-se também quem pensa que ao utilizar sites que usam https está a salvo, porque para usar VPN muitas vezes é necessário instalar algo no nosso pc e não sabemos se com essa instalação que pede elevação de privilégios (Windows) ou sudo (Linux), estamos a dizer ao nosso sistema que têm uma nova entidade de certificação e que pode confiar em todos os certificados emitidos pela mesma, depois com as configurações certas do lado do Proxy é só analisar logs! Neste caso já é exigido algo mais ao atacante mas como terá mais resultados e resultados em que a recompensa é maior, talvez compense o esforço.

Além dos 2 métodos referidos também é possível contornar as restrições usando servidores DNS que estejam fora do controlo das entidades da censura, este a meu ver, é o sistema mais seguro… pois embora do lado do servidor possam saber que fomos ao site X não têm acesso à navegação que fizemos no mesmo!

Existem também extensões para o Browser que permitem contornar os bloqueios, essas nem vou considerar um método porque o que fazem é para a lista de sites que estão configuradas reencaminham o tráfego para um proxy, que como expliquei em cima não será de todo o método mais seguro. Além de que ao instalar extensões no browser estamos a dar autorização que a extensão “registe” todos os sites que visitamos (com o url completo!!), que aceda a outros dados que estão na janela do browser enquanto navegamos… não são raras as extensões que injectam publicidade em todos os sites… ou fazem outro género de alterações!

Será que o utilizador sabe quanto lhe vai custar “sacar” aquele torrent que supostamente está bloqueado por uma qualquer entidade de censura??

MEO Cloud a nuvem Portuguesa…

Apesar de ter muito respeito pela criatividade e pela qualidade do trabalho dos Portugueses… quando me falaram pela primeira vez no MEO Cloud (na altura PT Cloud) pensei que seria mais um serviço de armazenamento na nuvem sem nada de novo… mais uma gota de água no oceano…

Quando tive oportunidade de testar o serviço retirei tudo o que ousei pensar sobre o MEO Cloud, está um serviço muitíssimo bem conseguido… tão bom ou melhor que a maioria dos serviços existentes do género inclusive os serviços pagos…

Ora vejamos 16GB de armazenamento gratuito sem truques sem “mas” nem “porquês”, um interface simples e intuitivo, uma velocidade excelente de download e upload, aplicações para usar em várias plataformas e tudo isto de borla!!!

Mas o recurso que me levou a escrever este artigo foi o genial e bem conseguido upload2me, que é um recurso excelente!! que consiste em criar uma pasta partilhada que permitimos a quem tiver o link gerado aquando da partilha, fazer upload directamente para o nosso MEO Cloud sem ter sequer que criar conta e sem ter que ter qualquer nível de conhecimento de utilização do serviço, simplesmente envio o link do outro lado abrem o mesmo e clicam em upload e já está!!

Eu sei que existem outros serviços do género do upload2me no entanto não me inspira confiança que um site onde vou colocar informações muitas vezes confidenciais não tenha, em alguns casos, nenhum género de autenticação ou forma de apagar o ficheiro que fiz upload. Por estas e por outras até à data sempre me mantive fiel ao uso de ftp’s!!! Agora mesmo quando estou a trabalhar remotamente e preciso de receber um ficheiro que está no host remoto abro o link de uma pasta upload2me que está na minha conta e sem ter o perigo de expor o meu user ou password (tanto do Sapo como do FTP) recebo o ficheiro de forma segura.

O serviço está disponível no endereço abaixo (é o meu link de afiliado, ao contrário de outros serviços para já não existe nenhuma recompensa!! mas com o serviço que oferecem não há muito mais a pedir!!!) :

https://meocloud.pt

 

Este post não foi patrocinado pelo MEO, quando é para dizer mal digo quando é para dizer bem digo também ;)

 

MEO – Configuração por defeito perigosa

Os routers MEO (Thompson os outros não sei!!) disponibilizam portas USB que permitem ligar um dispositivo como por exemplo um disco ou uma pen e partilhar o seu conteúdo na rede local (pensava eu!!!).
Hoje estava a testar essa funcionalidade e para isso bastou ligar o dispositivo (PEN) e nas configurações do router activar a dita funcionalidade (Partilha Windows ou SMB, servidor FTP e UPnP AV Media Server) , todos os serviços funcionam correctamente e sem problemas na rede local… como foi tão rápido resolvi dar mais uma vista de olhos pela configuração do router e qual o meu espanto que existe um encaminhamento de portas (NAT) que está nos routers por defeito que encaminha a porta 21 (FTP) para o ip 192.168.1.253 (este é o ip em que são disponibilizados os serviços enumerados acima). Como a autenticação FTP é partilhada com o router (os users e passwords são os mesmos, testei Administrator e meo) e o serviço fica disponível para o mundo creio que isto constitui uma ameaça de segurança.

MEO_Regra_NAT_Port_21

Como as gamas de ip’s onde o MEO opera são conhecidas nada impede que alguém mal intencionado crie um bot que se tente ligar a todos os ip’s do MEO à porta 21 e teste a autenticação por defeito e caso consiga “entrar” descarregue o conteúdo do armazenamento que ligamos no router!!! ou faz upload para o nosso router de conteúdos indesejados ou maliciosos.

MEO_FTP

O conselho que dou a quem quiser usar o seu router MEO como servidor de ficheiros é desactivar a regra NAT que encaminha a porta FTP,outra solução passa por mudar as passwords dos utilizadores do router, no entanto , creio não ser suficiente pois nada impede a PT que no próximo update ao firmware coloque outro utilizador ou altere a password dos que existem para a password default.
A solução mais segura será activar apenas a partilha windows e Media Server pois estas funcionalidades estão disponíveis apenas na rede local, mas ter em atenção que não existe autenticação ou seja qualquer pessoa ligada à rede local pode aceder aos ficheiros contidos no armazenamento ligado ao router.

Como atacar um servidor atirando pedras!!!!

Anonymous, LulzSec , DDOS, BotNets, ataques, etc… são palavras que com certeza chegaram aos ouvidos de quase todos nós nos últimos tempos, estas palavras são também justificação para o mau humor de alguns administradores de sistemas que foram atacados ou que temem ser atacados.

Perguntaram-me o que era isso de que tanto se fala, como quem perguntou não mora em nenhuma das camadas do modelo OSI tive que arranjar uma analogia para explicar, a melhor analogia que encontrei para definir o que é um ataque DDOS foi fazer a pessoa imaginar um tubo onde inserimos pedras todas do mesmo tamanho, conforme a largura do tubo temos um fluxo máximo, se tentarmos fazer passar mais pedras do que o fluxo to tubo aguenta as pedras vão começar a encravar até ao ponto que param de fluir, entretanto quem controla o tubo tem que bloquear a origem das pedras mas se forem muitas origens não tem capacidade de as tapar todas ou pode tapar erradamente origens que não devia, e mesmo assim que está a enviar as pedras pode ao ser bloqueado muda de sitio para outro que não está bloqueado, se o envio for continuo é praticamente impossível a quem está a defender o tubo desbloquear o mesmo. Paralelamente a isto e como a segurança do tubo está debilitada pode-se tentar fazer passar pelo meio das pedras outros objectos que danificam o interior do tubo ou que invertem o fluxo obtendo as pedras que já estão armazenadas.

O Servidor tem capacidade para aceitar um determinado número de pedidos simultâneos, este número é determinado pela largura de banda e pela capacidade de processamento do mesmo (isto será o tubo), cada vez que alguém acede ao servidor é efectuado um pedido (pedra), mas grupos organizados como o Anonymous e LulSec conseguem efectuar ao mesmo tempo mais pedidos do que o servidor consegue servir, congestionando assim o servidor impedindo que pedidos legítimos cheguem ao servidor, um dos exemplos mais recentes foi o ataque à Moodys, neste caso não foi nenhum dos grupos referidos mas o principio usado foi o mesmo, mais pedidos do que os que os servidores suportam por consequência os pedidos legítimos eram também bloqueados ou atrasados.

BotNets são computadores infectados com software malicioso, que fazem com que o computador fique à espera de ordens de alguém algures na internet, que pode usar os pc’s que tem às suas ordens para efectuar este ou outro tipo de ataques, qualquer pc no mundo pode ser infectado, mas são principalmente sustivéreis os computadores que usam Windows que devido ao elevado número são um alvo mais apetecido, o software malicioso pode chegar a qualquer computador “agarrado” a outro qualquer programa, ou pode aproveitar falhas de segurança para se instalar quando se visita um site, ou como faz o muito comum Confliker propagar-se através de qualquer dispositivo de armazenamento como pen’s, SD, Máquinas Fotográficas etc…

Esta é uma explicação muito simplista e muito superficial do que se tem passado ou pelo menos do que se tem falado mais, faltou mencionar que o tubo pode ter um furo que não foi detectado por quem o controla mas que o atacante o encontrou e entrou por aí, estas são as falhas de segurança que podem estar num software instalado no servidor ou na própria estrutura que suporta o servidor.

Como a pessoa a quem dei esta explicação oralmente me agradeceu e disse que foi útil, espero que mais pessoas achem a minha explicação útil!!!