Falha no Real Vnc…

Não sei bem se pode chamar falha, a este problema que encontrei no Real Vnc versão 4.1.2, este é um software que uso quotidianamente pelo e para ter maior segurança costumo colocar password’s complexas, o que descobri é que por muito extenssa que a password seja extenssa o VNC só valida os 8 primeiros caracteres ignorando os seguites no caso de ter a password “12345678” qualquer password que se coloque que contenha “12345678” independentemente do que se escreva em seguida não é levado em conta pelo servidor VNC…

Não sei se pode considerar uma falha, mas que facilita a vida a quem estiver a usar um Bruforce lá isso facilita… isto não se assemelha nem de longe à gravidade da falha que a versão anterior tinha, que permitia qualquer pessoa autenticar-se sem escrever qualquer password, alterando apenas um dos pacotes enviado no pedido de autenticação… esta eu sofri na pele, pois foram criados “bots” que basculhavam a internet à procura de servidores VNC e tentavam instalar um qualquer trojan depois de teram acesso COMPLETO ao computador onde o servidor estava à “escuta”….

Ainda não tive tempo para ver melhor esta falha, e muito dificilmente vou ter, mas se tiver dou novidades….

e ai está outra…

Foi reportada mais uma falha no internet explorer ( 6Â e 7Â ) desta vez num componente chamado XMLHTTP 4.0 ActiveX… quando a falha é aproveitada por uma pessoa “mazinha” permite executar codigo na maquina do cliente… ou seja virtualmente ou nao… o site que aproveita esta falha pode fazer TODO o que quiser na maquina do cliente… segundo se consta o unico sistema operativo que nao é vulneravel é o Windows Server 2003… de resto xp’s e 2000’s estao todos compremetidos… o mais estranho é que o promissor internet explorer 7 também ser afectado por esta falha…

segundo varios sites onde li esta noticia hoje a falha já está a ser “aproveitada”… por isso tenham cuidado ao navegar na net e evitem ao maximo entrar em sites desconhecidos e manter sempre o antivirus sempre actualizado…

Insegurança Informatica…

Apos algum tempo sem poder postar no meu blog (trabalho ;( )… Voltei… mas um bocado chateado com os utilizadores da internet e particularmente do Windows… tão só porque se preocupam com o wallpaper e o screensaver e deixam para tras uma das coisas mais importantes em informatica senao uma a mais importante a segurança… estava eu a fazer uns testes em casa com a minha pessima net do Sapo… quando por acaso usei um programa que uso regularmenente mas nunca o tinha usado na internet, um scanner de ip’s que uso em redes locais o Angry Ipscanner, mas por curiosidade coloquei no campo do ip o ip que tinha na altura na internet uma coisa do genero 82.155.000.000 e iniciei um scan qual não é o meu espanto quando começam a parecer muitos computadores “alives”, junto com este programa tenho tambem um plugin que me mostra as partilhas dos computadores “scanados”, mais uma vez fiquei espantado quando me começam a parecer computadores com discos partilhados na internet… alguns desses computadores com nomes de empresas conhecidas… com um simples \\host\partilha tive acesso a informação privada tanto de utilizadores domesticos como de empresas…

Incompetencia ou dos senhores que instalaram os sistemas ou dos pseudo-informaticos que desactivam as firewalls porque acham que nao necessitam… outra das coisas que me admira tambem, e perante tais factos foi o Windows Xp vir com a partilha de ficheiros “aberta” na firewall, o que na minha opinião é uma falha de segurança grave.

Para já mencionei só os computadores, mas numa analise aos webserver’s que este programa detecta encontram-se facilmente routers, que por acaso teem as passwords que trazem por defeito… e muito facilmente e com alguns cliques do rato temos acesso mais uma vez a redes internas de empresas ou pura ou simplesmente cortamo-lhes a internet…

Entre outras coisas “engraçadas” que se podem fazer com este programinha… o que só vem provar mais uma vez que a internet é um local seguro para quem se previne… para quem por ingenuidade ou por ser mais facil ignora determinados procedimentos de segurança pode ver informações pessoais a circular na internet sem fazer ideia de como é que elas saiaram do seu disco…

Â

e já agora e aproveitando o tema li recentemente salvo erro na CNETÂ que algumas das palavras mais procuradas na internet são free, screensaver, wallpaper, e coisas do genero e alguem teve tempo para fazer a seguinte analise procurar no google “free screensaver” e começou aintalar todos os softwares sugeridos, após cada instalação corria varias ferramentas anti malware, a pessoa que fez esses testes garante que a percentagem de software que instalou infectado com spyware ronda os 100%…

No mundo que estamos ninguem dá nada a ninguem e quando a esmola é grande o santo desconfia… pelo que sei é comum os utilizadores domesticos e nao so frequentarem foruns e blogs onde sugerem programas para tudo e mais alguma coisa e como teem a mania que sao “experts” instalam tudo e mais alguma coisa, como o antivirus diz que esta limpo nao se preocupam… posso garantir o contrario ainda a pouco tempo fiz uma auditoria de segurança a um dos meus pc’s onde testo alguns softwares limitei-me a fazer um bocadinho de sniffing… apesar do antivirus nao detectar qualquer ameaça havia programas que estavam, constantemente a enviar informações para a internet, informação essa que depois é usada por spammer e outras entidades que usam essa informação para saberem quais sao por exemplo as palavras e os sites que mais visitam… e dai bombardear-vos com spam. As vezes mais vale pagar uns miseros euros por um software com garantias e de uma empresa figdigna do que usar uma alternativa free que poe em causa a nossa privacidade…

Continua… (quando tiver paciencia)

Virus MyDoom voltou a atacar…

Á primeira vista parece uma mensagem de erro normal de um qualquer serviço de email, com a particularidade que traz em anexo o virus MyDoom.

A mensagem que recebem com o virus é a seguinte.

De:Â Mail Administrator [mailto:[email protected]]
Assunto: Returned mail: Data format error

Dear user of comco-inc.com, mail system administrator of comco-inc.com would like to let you know that,

Your e-mail account has been used to send a large amount of unsolicited commercial e-mail messages during this week. Most likely your computer was compromised and now contains a trojaned proxy server.

We recommend that you follow our instruction in the attached file in order to keep your computer safe.

Virtually yours,
comco-inc.com support team.

Por isso se receberem esta mensagem ou outra qualquer que achem o conteudo estranho mesmo vinda de um remetente que ate pode ser um conhecido muito cuidado ao abrir os anexos, ou pura e simplesmente não abrir mails que tenham em anexo executaveis (.exe, .scr, .vbs, .bat , .vbe, .pif, etc….)

Para remover o dito virus ver http://www.f-secure.com/v-descs/mydoom_m.shtml

Â

www.hi5.com falha de segurança…. entrar na conta de outros!!!

www.HI5.com
O http://www.hi5.com/ permite aos seus utilizadores trocarem mensagens com código html, e é pratica comum nessas mensagens incluírem imagens (“img src=”http://antoniocampos.net/xpto.jpg” />”), existem sites espalhados pela internet que alojam imagens gratuitamente e inclusive fornecem o código html para que essa imagem possa ser incluída em qualquer pagina. Até aqui nada de novo…!!!
Quando alguém recebe uma mensagem enviada através do site é enviado um email a notificar o destinatário que recebeu a mensagem, nessa mensagem existe um link directo para a mensagem sem que o utilizador tenha que introduzir password ou username. Até aqui nada de novo…!!!
Enquanto dava uma vista de olhos nos logs de um dos servidores Web que administro, e que tem imagens alojadas que são usadas em algumas das mensagens que alguns amigos meus enviam através do hi5 reparei que nos logs (do apache), quando alguém faz o GET da imagem fica o tal link (que acompanha a notificação de nova mensagem) fica registado no referer e com um simples copy\paste no browser tenho acesso ilimitado não só a mensagem em causa mas a toda a sua conta… Por isso caros amigos tenham cuidado com as mensagens que enviam nesse site porque podem ter surpresas menos agradáveis porque alguém pode andar a cuscar a vossa conta sem se aperceberem…

—————————–EDIT 17-10-2007————————————–

A forma de resolverem ou tentarem resolver os problemas que afectam as vossas contas é contactar directamente o hi5 através desta página www.hi5networks.com/contact.html e exporem o vosso problema, talvez o resolvam.

No caso de usarem o hotmail e estarem a tentar recuperar a password do hi5 vejam na pasta de lixo electrónico ás vezes as mensagens do hi5 vão para lá directas!

Em principio e visto haver imensas pessoas com problemas no hi5 vou apresentar aqui uma nova forma para tentarmos resolver os vossos problemas… metam este post nos favoritos e vão visitando a ver se já tenho novidades!

—————————–EDIT 16-07-2007—————————————-
Muitos de vocês questionam porque é que não têm acesso ao HI5.com, a razão mais provável e caso estejam a aceder ao hi5 da escola ou do trabalho é que o administrator do sistema informático tenha bloqueado a acesso ao site! As razões podem ser muitas a mais comum é a perda de produtividade!!! Para “furarem” essas limitações tem que usar Web Proxies (o funcionamento depende de rede para rede) como descrito nos comentários. Ou podem experimentar uma alternativa em Português que é o Kroow ou o easyFlirt... que é na minha opinião é mais completo do que o HI5

————————————————-
E a pedido de varias famílias uma tradução mal feita para ingles:

hi5.security hole:

www.hi5.com allows users to send messages to others users, and users can include on that messages html code including remote inclusion off images (“”)… when a user receives a message he receives too a mail message with the new message notification and a direct link to the message without have to do login…

the problem: the server log keeps the GET and the REFERER for each request, and when the user click the mail link to the message he do the GET of the image on remote server, and the direct link to the message is keeped on the REFERER log, if you copy the link(on the REFERER) to the browser you have full control of the sender account..