Segurança Internet #01 - NETCABO

Muitos esquemas de segurança, reduzem-se a um par identificador / password: é o que se passa nos cartões multibanco; na maior parte dos acessos à Internet, pela linha telefónica; e até no acesso aos serviços de home-banking, prestados por algumas instituições.

Quebrar a segurança de uma estratégia identificador / password é muito simples: basta adivinhar ambos. A tarefa fica facilitada quando as próprias empresas que utilizam este esquema de protecção, divulgam publicamente o primeiro dos dois nomes necessários, o que até é práctica corrente. Por exemplo, em muitas firmas prestadoras de serviços pela Internet, o identificador é o número de cliente da pessoa: é o que se passa em www.solbi.pt, para encomendas e tabelas de preços de revenda; é o que se passa em www.tvcabo.pt, para consulta da situação financeira; e é até o que se passa numa nova modalidade do BES Net, o serviço de home-banking do BES, que deixou de exigir um certificado digital que autenticava o emissor do identificador...

Basicamente, sem a existência de um mecanismo de autenticação de quem está a enviar o par identificador / password, qualquer um pode atrever-se às tentativas necessárias, até descobrir a chave de entrada. Este cenário será conhecido de muitos, nas suas tentativas para romper ficheiros DOC, ZIP, RAR, etc, protegidos...

As técnicas de entrada por tentativa, sem inteligência, dizem-se de "força bruta". Matematicamente, as tentativas por força bruta estão sempre condenadas ao SUCESSO, por milhões de horas que sejam necessárias para efectuar todas as combinações possíveis. Na práctica, claro que raramente há pachorra para esperar milhares de horas, mas o processo de geração de tentativas não é tão lento como alguns poderão imaginar, uma vez que tudo é automatizável...

Por exemplo, na Internet, muitos webmasters enviam as actualizações aos respectivos websites, pelo serviço de FTP (File Transfer Protocol), quase sempre autenticado-se da seguinte maneira:

id: administrator ; pwd: ?

ou então

id: nome_do_domínio ; pwd: ?

Ora, sabendo em que sistema operativo corre o servidor de FTP, podem escrever-se sequências de instruções (scripts) para automatizarem as tentativas... No caso de UNIX, com compiladores de C presentes por defeito, até se pode ir para lá da funcionalidade limitada das linguagens para script, e escrever software de arrombamento, que até poderá ser executado na máquina que serve FTP, porque muitas máquinas fazem o alojamento de múltiplos sites.

Mas o arrombamento por força bruta pode ser demorado. Uma forma de tentar reduzir o esforço, passa pela utilização de dicionários de passwords, que listam (eventualmente) milhares e milhares de senhas... precisamente as mais frequentes! A verdade é que algumas destas "best passwords", são o nome das pessoas, a repetição do identificador, "123456", e afins...

Os dicionários para arrombamento são surpreendentemente eficazes, porque as pessoas são surpreendentemente previsíveis e pouco imaginativas - o elemento mais fraco em qualquer sistema de segurança é sempre o elemento humano.

No caso particular da Netcabo, o que se passa é terrivelmente estúpido. A Netcabo é a empresa que providencia o melhor e mais caro serviço de Internet "doméstica", em Portugal, na perspectiva da largura de banda. O serviço da Netcabo funciona sobre a infraestrutura de cabo da TV Cabo, e termina em "cable modems", instalados nos locais de acesso dos clientes. Cada cliente Netcabo tem uma largura de banda de 640 kbps, que - claro está - poderá não ser enchida, dependendo das navegações feitas e das condições de tráfego nas sub-redes intermédias; cada cliente tem ainda direito a contas POP para e-mail e a espaço para um website, de banda larga. Até aqui, tudo bem.

O problema é que a Netcabo fornece TODA a informação para que você possa ler o e-mail, e alterar o website dos seus clientes! TODA A INFORMAÇÃO, insisto, sem necessidade de scripts, sem necessidade de nenhum conhecimento de programação ou de redes...

Daqui para a frente estou em posição delicada. Se escrever exactamente como se faz para CONSTATAR a tremenda lacuna na segurança da Netcabo, estarei a comprometer todos os utilizadores inocentes e a permitir eventuais más utilizações da informação que estaria a transmitir. Se não escrever sobre o assunto, vou estar a fugir ao prometido e alguns vão continuar a ignorar a existência desta falha, não acreditando até que exista, por não a verem explicada (uma falta de humildade cada vez mais comum).

Optei assim por escrever genericamente o que se passa. Também é provável que eu venha a escrever EXACTAMENTE como fazer, e a oferecer o texto num ficheiro ZIP, ou outro formato, ele próprio protegido por uma password, ou outro esquema de bloqueio, deixando a solução apenas àqueles realmente interessados.

Em poucas palavras:

#1) para os acessos FTP e POP, a Netcabo aceita como identificadores o número de cliente TV Cabo das pessoas (cada cliente Netcabo TEM QUE SER cliente TV Cabo); por sua vez, a password é atribuida por defeito pelo sistema... sendo o último nome do cliente... embora haja uma pequena restrição que não vou divulgar, mas que só afecta alguns casos...

#2) na posse desta informação, basta agora descobrir números e nomes de cliente, coisa que as empresas Netcabo e TV Cabo não podem divulgar, por uma questão de protecção de dados pessoais...

#3) mas a Netcabo (http://www.netcabo.pt/default.asp) DIVULGA realmente os números dos seus clientes; DESCUBRA onde;

#4) a TV Cabo (http://www.tvcabo.pt) DIVULGA as moradas desses clientes, mas não os nomes... DESCUBRA como. Todavia, descobrir os nomes por este processo é desnecessariamente complicado... há uma maneira mais célere...

Bem, creio já ter dito o suficiente para se aceitar que esta é uma estratégia de segurança, SEM SEGURANÇA! Até a Telepac, nos seus identificadores nop e mop, tinha o cuidado de gerar sufixos e passwords aleatórias... A Netcabo faz marcha atrás no tempo e atribui senhas, por defeito, altamente previsíveis, se bem que não triviais de associar a um número de cliente.

O caso é mais grave do que aqui escrevi, porque há uma última situação cujo alcance vai para lá dos serviços de POP e FTP; mas sobre isso não escreverei, até, eventualmente, o dia em que fizer o upload do ficheiro com todos os detalhes (protegido).

Mais uma vez, o único propósito deste artigo não foi trazer problemas a ninguém - pelo contrário! Se é cliente da Netcabo, arranje a password mais complexa que lhe ocorrer - essa é a minha sugestão e o meu aviso.