Um Estudo prático das ameaças de segurança em - PUC-Rio
Contents
1. criada pela empresa E Eye Security sendo chamada de Retina Wifi Scanner Restri es para funcionamento apesar do manual afirmar que a ferramenta funciona em PocketPCs n o tivemos sucesso ao utiliz la pois o sistema exibiu um erro afirmando que n o suporta a aplica o Resultados Infelizmente a aplica o n o foi reconhecida como v lida quando executada no PocketPC Fizemos os testes em Windows XP sendo capazes de identificar redes 802 11 medindo seu sinal e identificando caracterisiticas dos Access Points mas n o foi poss vel quebrar a chave WEP A resposta da chave foi inserida ao dicion rio de ataque mas a aplica o retornou erros afirmando que n o conseguiu iniciar o ataque Tivemos uma s ria impress o de que esta aplica o de car ter experimental e n o possuir todos os recursos funcionando corretamente Um ind cio disso a sua gratuidade 52 Discover Report Actions WiFi Options C Wep Key Brute Forcing attack Probing interval IP Options C Sound 3 978 msec Debug RSSI threshold for IP discovery Cl Dump oa 4 r65 msec Stop Detected Devices Status SSID RSSI AP MAC AP IP Standard a TMA mobile E 37 dem 00 20 D8 03 8C 84_ NA JEEE 802 11b_ S Parameter Value s SSID mobile AP MAC 00 20 D8 03 8C 84 Vendor Nortel Networks WEP ON Rates 1 2 5 11 Standard IEEE 802 11b RSSI 37 37 dBm Channel 11 5 Network Type Direct Sequencing Mode Infrast2. dispositivos descobertos apresenta somente seu nome e n o seu endere o Bluetooth 30 Bluetooth P Bluetooth devices amp ULTOR Devices Figura 9 A descoberta de dispositivos n o divulga seu endere o Bluetooth Como o dispositivo tem um nome ele pode ser facilmente modificado pelos usu rios Portanto n o deveria ser usado como um identificador nico do dispositivo no processo de sincroniza o O endere o Bluetooth realmente deveria ser comparado para verifica es complementares Este pequeno detalhe poderia ser explorado de diversas maneiras especialmente em servi os oferecidos publicamente atrav s de Bluetooth Por exemplo um Ponto de Acesso Access Point AP poderia ser substitu do por outro com fins maliciosos por m com o mesmo nome e aceitando as mesmas informa es de autentica o dos usu rios No entanto todas as informa es que passarem por ele ser o capturadas e analisadas em busca de senhas e informa es sigilosas Este ataque tamb m pode ser executado de forma alternativa Em muitos lugares p blicos existem quiosques destinados propaganda de produtos e muitas vezes oferecendo conte do via Bluetooth como por exemplo toques para celular e jogos No caso quando o usu rio selecionou o conte do a ser copiado automaticamente o nome do dispositivo do transmissor deste conte do inserido na lista de contatos O problema que o dispositivo que se intitula MOBILE KIOS
3. o dos execut veis respons veis pela ger ncia do teclado ou outro perif rico usado pelo PDA 2 1 10 An lise forense Os PDAs em geral possuem uma capacidade de armazenamento de dados muito limitada excluindo os cart es de mem ria que podem chegar a alguns GBs Desta forma se h necessidade de acesso realmente r pido deve se transferir estes dados a um PC Ou ent o faz se uso de uma poderosa ferramenta de an lise forense isto uma ferramenta de visualiza o exata dos dados presentes na RAM e na ROM dumper A comunidade policial come ou recentemente a levar em conta PDAs encontrados em cenas de crime Para ajudar foram criados diversos programas de an lise forense que podem encurtar o caminho de busca por informa es interessantes Por exemplo a empresa Paraben 29 criou um software que instala um agente tempor rio em um PDA que automaticamente transfere todo o conte do do mesmo para um PC mantendo a integridade de ambos Outras ferramentas fazem uso do recurso de execu o autom tica mencionado anteriormente carregando todo o conte do do PDA para um cart o de mem ria SD Secure Digital Card fazendo uso do recurso de autorun Isso significa que basta um per odo curto de tempo em m os erradas para todos os dados de um PDA serem roubados 2 1 11 Engenharia reversa de bin rios A plataforma Windows Mobile para Pocket PCs tipicamente executada sob um processador ARM Advanced RISC Multiprocessor
4. es O objetivo principal deste trabalho apresentar amea as de seguran a que podem afetar dispositivos de computa o m vel considerando o escopo dos sistemas operacionais de mercado Windows Mobile 2003 5 0 e as tecnologias de rede sem fio Bluetooth e 802 11 Estas tecnologias ser o apresentadas de forma introdut ria de modo a contextualizar as amea as estudadas Al m da teoria apresentada experi ncias pr ticas s o conduzidas apresentando um relat rio t cnico com resultados obtidos no final do trabalho 1 1 1 Defini o de um dispositivo m vel Vamos considerar que um dispositivo m vel um equipamento digital que serve para realizar tarefas di rias de trabalho Isso inclui todos os Pocket PCs Palms SmartPhones e relacionados Al m destes outros dispositivos m veis que utilizam a plataforma Windows CE NET Apesar de laptops se enquadrarem neste perfil estes n o ter o foco deste trabalho 1 1 2 Amea a de seguran a S o consideradas amea as de seguran a aquelas que possam comprometer a confidencialidade integridade e disponibilidade de dados e servi os utilizados pelos usu rios da infra estrutura de computa o m vel A seguir definimos cada um dos tr s pilares da seguran a de informa o Confidencialidade propriedade que limita o acesso informa o t o somente s entidades leg timas ou seja aquelas autorizadas pelo propriet rio da informa o Integridade propriedade que
5. o dos dispositivos por mecanismos de espionagem Infelizmente os dispositivos m veis mais comuns de mercado ainda s o muito heterog neos em termos de configura o de hardware drivers espec ficos e pode se dizer que at mesmo em termos de sistemas operacionais Este fato foi de certa forma uma barreira para nossos testes pois muitas das aplica es dispon veis hoje para provas de conceito suportam apenas alguns dispositivos com interfaces de rede espec ficas o que nos impediu de verificar o funcionamento de muitas destas Pode se dizer que o n mero de amea as de seguran a a dispositivos de computa o m vel existentes atualmente proporcional quantidade de usu rios e maturidade dos mecanismos de prote o Isso significa que muito ainda ir evoluir neste cen rio e portanto deve se estar preparado para o aparecimento de amea as inovadoras com grande poder de destrui o e roubo de informa es em massa 54 Refer ncias Bibliogr ficas 1 BLUEJACKQ URL www bluejackq com 2 WIKIPEDIA BLUEJACKING ROUBO DE DADOS URL http pt wikipedia org wiki BluetoothfBluejacking 28Roubo de dados 29 3 WIKIPEDIA WEP URL http pt wikipedia org wiki WEP 4 WIKIPEDIA WPA URL http pt wikipedia org wiki WPA 5 WIKIPEDIA IEEE 802 11 URL http pt wikipedia org wiki ieee 802 11 6 NIKITA BORISOV IAN GOLDBERG E DAVID WAGNER SECURITY OF THE WEP ALGORITHM URL http
6. www isaac cs berkeley edu isaac wep faq html 7 SETH FOGIE INSECURE MAGAZINE EDICAO 1 3 PDA ATTACKS PALM SIZED DEVICES PC SIZED THREATS URL www insecuremag com 8 CYRUS PEIKARI INSECURE MAGAZINE EDICAO 1 4 PDA ATTACKS PART 2 AIRBORNE VIRUSES EVOLUTION OF THE LATEST THREATS 9 http www noconname org ponentes olliewhitehouse htm 10 SONY ERICSSON URL http www sonyericsson com 11 MOTOROLA URL http www motorola com br 12 LINUX URL http br linux org 13 INTEL URL http www intel com 14 IBM URL http www motorola com br 15 TOSHIBA URL http www toshiba com 16 MICROSOFT URL http www microsoft com 17 TOYOTA URL http www toyota com 18 BMW URL http www bmw com 19 LEXUS URL http www lexus com 20 ERICSSON URL http www ericsson com 21 APPLE URL http www apple com 22 DELL URL http www dell com 23 HP URL http www hp com 24 3COM URL http www ecom com br 25 LUCENT URL http www lucent com 26 ADAM LAURIE URL http trifinite org trifinite_group_adam html 27 NOKIA URL http www nokia com 28 IDC URL http www idclatin com brasil 29 PARABEN URL http www paraben com 55 30 HOME OF BTCRAWLER A BLUETOOTH DIAGNOSTIC TOOL http www silentservices de btCrawler html 31 RED FANG BLUETOOTH TOOL http www netstumbler com 2003 08 18 software tool steals data via
7. mas pode se tentar atac la por fora por exemplo atrav s de campos de entrada de vari veis Em segundo lugar pode se dizer que cada PDA nico Isso significa que se a Dell 22 e a HP 23 oferecem modelos portando Windows Mobile n o significa que estes usam a mesma vers o do sistema Cada empresa instala junto com os m dulos essenciais do sistema componentes particulares o que pode dificultar bastante o desenvolvimento de c digo malicioso para tais equipamentos Como se j n o fosse suficiente atualiza es da ROM podem impactar drasticamente no sistema de arquivos utilizado e como os m dulos de sistema mais b sicos s o carregados Como resultado existem grandes diferen as entre dois PDAs com rela o ao endere amento de mem ria 13 Em terceiro as t cnicas de ataque a dispositivos m veis s o relativamente novas Um atacante deve ter dedica o e grande conhecimento tanto do processador quanto do sistema operacional do alvo O ponto em que queremos chegar atacar um PDA n o t o f cil quanto atacar um PC Uma vez aceitas as limita es iremos apresentar os vetores e m todos usados para deixar um PDA pronto para ser atacado 2 1 2 Arquivos CAB Arquivos CAB cabinet files s o usados pela Microsoft 16 h muitos anos para agrupar diversos arquivos em um nico que ser o usados durante a instala o de alguma aplica o Desta forma n o nenhuma surpresa que o mesmo formato de ar
8. o Como exemplo o primeiro v rus para Pocket PC Dust a aparecer era incrivelmente complexo Tinha uma tecnologia de penetra o equivalente ao v rus Chernobyl Win32 que foi o primeiro v rus para PCs a quebrar o Anel 0 protegido pelo sistema operacional Windows Al m disso menos de um ano depois do Dust in meras amea as foram identificadas Por exemplo criadores de v rus t m desenvolvido trojans e t m os combinado com a capacidade de propaga o do v rus Carib Cabir via Bluetooth Em um ano houve uma evolu o de v rus equivalente aos 20 anos que levou para PCs O problema devido r pida evolu o de amea as o fato de que os dispositivos m veis atuais n o suportam softwares de antivirus sofisticados nas plataformas correntes Por exemplo sistemas operacionais embutidos n o usam interrup es chamadas de sistema para o kernel ent o uma heur stica de v rus no PDA ou Smartphone n o pode bloquear uma interrup o espec fica caso haja suspeita de v rus Outro problema a apar ncia enganosa e obsoleta da ind stria de antiv rus A velha prote o desta frequentemente opera atrav s de um princ pio antiquado de seguran a atrav s da incerteza O Trojan Brador O Brador foi o primeiro trojan para Pocket PC Ele d total controle remoto do dispositivo a um hacker que pode estar at do outro lado do mundo Isso um problema principalmentepara executivos ou administradores de rede que como mui
9. rio podem apresentar poder de explora o ainda maior do que ataques reais pois o ambiente pode ser ajustado aumentando ou diminuindo a dificuldade para se obter sucesso Um atacante real muitas vezes precisa buscar meios alternativos para facilitar a sua execu o atrav s de t cnicas como por exemplo engenharia social 42 Crit rios de avalia o O crit rio de sucesso utilizado nos testes foi a reprodu o de experimentos com o uso de aplica es desenvolvidas pela comunidade de seguran a mundial Cada teste foi feito individualmente estipulando um limite de tempo e n mero de tentativas para casos falhos Estes variaram para cada situa o at que comprovassem funcionamento ou falha 5 3 Testes com emuladores Requisitos de sistema operacional para uso dos emuladores Windows Server 2003 com Service Pack 1 Windows XP Teste Instala o da ferramenta de varredura de redes Wi fi Mini Stumbler Descri o Uma das aplica es mais conhecidas para varredura de redes 802 11 chamada NetworkStumbler Esta capaz de medir o sinal de cada rede detectada indicar se usa criptografia ou n o e prover informa es sobre o hardware identificado No entanto uma vers o espec fica para PocketPCs foi criada com o nome Mini Stumbler Restri es para funcionamento o emulador preferencialmente deve estar configurado para usar a interface Wi Fi do PC onde est sendo executado Resultados A aplica o foi
10. Testes JocaiS e a O aa TATAEE 45 5 5 Testes com Bluetooth teares na aaanaaaanaaeaaaranaa aaa aaananaans 48 5 6 Testes com IEEE 80211 e Resina aaa na pda do EE aaa dad ane Reais aaa de di ana 50 O qCOnCIASaO dns tr atenas SD a sa ai br Ea O au ca a bs A 53 Te Refer ncias Bibliogr ficas arresi a a E TEE EERE EAE AAEE 55 ndice de figuras Figura 1 Figura 2 Figura 3 Figura 4 Figura 5 Figura 6 Figura 7 Figura 8 Figura 9 Figura 10 Figura 11 Figura 12 Figura 13 Figura 14 Figura 15 Figura 16 Figura 17 Figura 18 Figura 19 Figura 20 Figura 21 Figura 22 Figura 23 Figura 24 Figura 25 Figura 26 Figura 27 Figura 28 Figura 29 IEEE 802 11 e o modelo OSI NSO irsin iraia rr e A ra aeara erra acaaaaraaaa 7 Op o de ser descoberto OU n o eee eeeeaeeeeeeeaaeeeeeeeaeeeeeeenaeeeseeeneeeeeeeaas 12 C digo para retornar configura o de f brica do dispositivo Hard reset 15 C digo em HTML que ir finalizar imediatamente o Pocket Internet Explorer 16 barra de endere os reduzida pode enganar usu rios 17 servidor de FTP identifica se atrav s de icone na rea de trabalho 21 Janela exibida ao iniciar a aplica o VirtualCE rea 22 Exemplo de configura o da autentica o de uma configura o Bluetooth 29 A descoberta de dispositivos n o divulga s
11. a se conectar em um ponto de acesso mal intensionado rogue access point Al m disso algumas vezes poss vel realizar um ataque de nega o de servi o do tipo ping DoS que ir consumir todos os recursos dispon veis do PDA fazendo com que fique extremamente lento impratic vel de se trabalhar Por final pode se tamb m atacar servi os em PCs por exemplo o Active Sync na porta 901 o que ir impedir que um PDA associado possa se conectar 23 3 1 2 Quebra de chave da criptografia Atualmente diversas tecnologias de criptografia s o empregadas para prote o dos dados trafegados nas redes sem fio No in cio na maioria dos casos nenhuma criptografia era utilizada sendo poss vel para qualquer pessoa nas proximidades da rede observar o tr fego em texto puro incluindo credenciais de usu rios mensagens de correio eletr nico etc A quest o evoluiu para um sistema de criptografia fraco chamado WEP Wired Equivalent Privacy burlada pouco tempo depois de seu lan amento devido sua chave ser est tica e de tamanho reduzido Atualmente os sistemas de autentica o j adquiriram uma maturidade aceit vel fazendo uso de certificados digitais como m todo de autentica o e chaves de criptografia din micas Os ataques de quebra de chave de criptografia pretendem burlar tais sistema de modo a capturar o tr fego de forma n o criptografada 3 1 3 Tomada de controle do dispositivo A literal invas
12. aE 32 3 3 Ataques via interface IEEE 802 11 aerea aa aaaaaans 34 3 3 1 Ataques ao WER arien ana panisoa ias Paes dona EA DEE ras ERAS aU Nan e Aaaa SANS AGIA CERA deve TRETA Ra RAS 34 3 3 2 Ataques ao WPA ves alia oc tack sated ian ins ARS aaa di Ganda dee Cu abc nu DITA DA da ERRO cu necttanseeeattien tease 35 3 3 3 Ataques de invas o de mem ria Buffler Overflow attacks 35 3 3 4 Captura de trate go amas te a na E A ARTA ANSA ERR tev DRA da eaten 36 3 3 5 An lise de vulnerabilidades cc cccccccceeeeeeeeeceeeeeeeenaeeeeeeeaaaeeeeeeeaeeeeseeaaeeeseeeseeeeeneaas 37 3 3 6 Abrindo portas para um ataque cccccccccceceeeeeeceeeenecaeceeeeeeeeseeseceueaaeaeeeeeeeeeeetensnenaees 37 4 Checklist de Seguran a para dispositivos m veis em redes sem fio 38 5 Avalia o Pr tica cet cecinere iii lines dees lia cbelsel slaw adia E a algo da i e aiie 40 5 1 Testes com Emuladores vs Teste com dispositivos fiSiCOS cccceeeeeeeeeeeseeeeeeeeees 40 5 1 1 Descri o do ambiente de testes com emuladores 40 5 1 2 Descri o do ambiente de testes com dispositivos fiSiCOS 41 5 1 8 Vantagens e desvantagens quanto aos ambientes 42 5 2 Discuss o sobre metodologia e crit rios de avalia o 42 5 3 Testes com emuladores uazasassanabis lente pa dia ano ago Ta E lames dado sn alates Sa duna esa nar AaS EaR 43 5 4
13. como invis vel impede que scanners o encontrem mas n o impede que dispositivos que tenham conhecimento do endere o f sico de sua interface de rede MAC realizem comunica o com este por exemplo quando os dispositivos j estavam se comunicando previamente Ataque Locais Ataques locais s o aqueles que se faz necess rio a manipula o direta do dispositivo m vel ou seja deve se t lo nas pr prias m os para executar a opera o desejada Nesta se o ser o apresentadas diversas t cnicas de ataque realizadas nesta modalidade objetivando principalmente o roubo de informa es infec o do dispositivo para posterior entrada atrav s de redes sem fio e mostrar o quanto se torna vulner vel o dispositivo quando em m os erradas 2 1 1 Obst culos encontrados para se atacar um PDA Um dos obst culos que um atacante dever atravessar o fato de que a maioria dos sistemas operacionais de dispositivos m veis est o armazenados em mem ria somente para leitura ROM Este um grande desafio pois realizar a depura o de aplica es que s o executadas diretamente na ROM nem sempre poss vel Como resultado o atacante dever direcionar o seu ataque para uma aplica o terceira que tenha sido instalada manualmente pelo dono do sistema Assim deve se buscar uma falha nesta aplica o atrav s de uma t cnica conhecida como teste cego blind testing ou blackbox testing pois n o se tem acesso ao c digo desta
14. conhecido por baixo aquecimento por operar em baixo n vel de pot ncia e consumo de energia Este fato combinado com o reduzido n mero de instru es dispon veis RISC Reduced Instruction Set faz com que aprender e entender o 19 conjunto de instru es seja relativamente f cil principlamente quando comparado a outros processadores A primeira coisa que deve ser entendida ao se aplicar engenharia reversa a um arquivo bin rio como o seu processador funciona Em geral este ir ler os c digos de opera o opcodes em algum lugar espec fico na mem ria indicado pelo registrador PC program counter e executar um comando bastante especifico Dependendo da instru o o processador ir somar subtrair saltar para outra parte da mem ria ou simplesmente n o fazer nada NOP Para ajudar o trabalho do processador existem 32 registradores de 1 byte cada totalizando 8 bytes de mem ria auxiliar Tais registradores t m apenas a fun o de agilizar o trabalho do processador pois o acesso a estes registradores muito r pido ao contr rio do que acontece quando o acesso realizado na RAM Para realmente explorar os bin rios de um PocketPC ser o necess rios alguns programas Primeiro um desassemblador disassembler para converter o c digo hexadecimal para um formato mais leg vel formado por instru es de opera o opcodes Um bom exemplo deste tipo de aplica o o IDA Pro o qual suporta bin rios do W
15. e executado automaticamente caso detectado Se o arquivo for algum tipo de c digo malicioso executado sem a interven o do usu rio Para realizar este teste foi usado um cart o de mem ria do tipo SD Secure Digital Card utilizando bin rios obtidos atrav s de fontes na Internet espec ficos para executarem um soft reset no dispositivo ou seja reinici lo independente do estado em que esteja operando Restri es para funcionamento necessidade de um cart o de mem ria e manuseio direto do equipamento Resultados Foi comprovado que o sistema de auto run funciona nas condi es descritas a cima Foi observado instanteneamente o reiniciar do sistema assim que o SD Card foi inserido Teste Infec o com porta dos fundos backdoor Descri o Teste de manipula o de bin rios existentes transformando os em uma porta dos fundos Foram realizados testes com um servidor FTP e um servidor de terminal remoto Restri es para funcionamento para ser acessado o dispositivo deve estar acess vel via rede Em nossos testes o acessamos atrav s da Internet pois existia um endere o IP p blico associado ao IP interno do dispositivo atrav s de NAT network address translation Resultados O servidor de FTP p de ser instalado e testado acessamos o PocketPC atrav s da Internet mas apesar de utilizarmos a ferramenta indicada para edi o do bin rio n o foi poss vel excluir a rotina de exibi o do cone da ap
16. instalada com sucesso mas n o foi poss vel utilizar suas fun es principais mesmo com PC local possuindo interface de rede sem fio A aplica o s suporta uma quantidade limitada de equipamentos listados em http www stumbler net compat Teste Captura de tr fego da rede com a ferramenta VxSniffer Descri o O VxSniffer uma aplica o para coleta de tr fego de rede que funciona deixando a interface em modo promiscuo ou somente observando o tr fego originado destinado a interface local Assim caso a rede n o fa a uso de criptografia poss vel observar o que os usu rios ao redor est o acessando em tempo real coletar credenciais de contas pessoais e outras informa es sigilosas poss vel determinar qual a interface de rede do dispositivo que ser usada para esta fun o Restri es para funcionamento uso do software ActiveSync para sincroniza o de arquivos e instala o da ferramenta 43 Resultados A aplica o foi instalada com sucesso e foi poss vel coletar tr fego da interface local da m quina hospedeira do emulador No entanto como esta est ligada a um switch somente o tr fego de broadcast ou local p de ser observado fe80 203 ff fe80 203 ff 201 17 96 1 201 37 40 1 201 37 32 1 201 53 8 1 201 53 40 1 201 37 32 1 201 53 0 1 201 37 40 1 201 17 112 1 201 37 40 1 201 53 16 1 201 37 40 1 Figura 13 VxSniffer coletou tr fego da FFO2 1 3 201 17
17. o estar confinada a um ponto de rede cabeado permite ao usu rio que se locomova livremente por praticamente qualquer lugar conectado rede Outra vantagem o custo benef cio da implanta o de uma rede que exija conectividade em localidades de dif cil acesso para realizar cabeamento como no caso de pr dios antigos e paredes r gidas Al m disso a redu o de custo total de propriedade especialmente em lugares de mudan as constantes devido ao m nimo de cabeamento realizado e baixo custo de insta o de equipamentos e pontos de acesso para usu rios Redes sem fio permitem usu rios acessar recursos da rede sem que dependam de pontos de rede em lugares espec ficos dando assim as seguintes vantagens Acesso imediato a informa es de pacientes m dicos ao lado dos mesmos o que til para m dicos e para equipes m dicas Acesso rapido para consultores externos ou auditores que estejam em servi o ao longo da extens o da empresa Facilita o controle de supervisores como gerentes de linhas de montagem auditors de dep sitos ou engenheiros de constru o pois por exemplo oferece acesso a bancos de dados de qualquer lugar Configura o de rede simplificada exigindo menor depend ncia do envolvimento de times de suporte em eventos expor dicos como palestras Acesso mais r pido a informa es de clients para vendedores e varejistas resultando em uma melhor qualidade de servi o e consequente satisfa
18. pela biblioteca MSIM DLL Gra as arquitetura dos pain is de entrada relativamente f cil criar um novo teclado e instal lo no sistema Na verdade existem diversas vers es de teclado que podem ser obtidas e incorporadas ao sistema Com base nisso pode se criar uma vers o especial de teclado com uma pitada adicional de c digo que captura a entrada digitada e armazena a em um arquivo texto Depois disso descobrimos quais seriam as entradas de registro necess rias para removermos a liga o com o teclado atual e as substituirmos por outras que chamar o o novo 18 teclado Para finalizar criamos um pacote CAB contendo todas as nossas inven es quando executado substitui o teclado original por um id ntico por m registrando cada tecla digitada A seguir listamos as chaves de registro a serem alteradas para que a infec o seja bem sucedida 1 IsSlPInputMethod desabilitada para o teclado original CLSID 42429667 ae04 11d0 a4f8 00aa00a749b9 Trocar de 1 para 0 Nome e icone Keyboard carregado da dll keylogger dll Novo teclado possui possui o pr prio CLSID configurado HKCU ControlPanel SIP DefaultIM CLSID IsSIPInputMethod habilitado para o teclado falso So ee Uma vez instalado o usu rio final n o ter id ia de que seu teclado foi substitu do por um modelo mais avan ado Al m disso a Unica maneira de se descobrir que uma nova DLL est sendo chamada pelo sistema atrav s de depura
19. poder alocar os recursos fazendo com que ningu m mais possa se conectar Existem outros ataques que podem desabilitar ou tirar servi os de opera o PIN cracking a ltima forma de ataque que mencionamos Como o BlueTooth protegido por uma senha de apenas 4 d gitos PIN personal identification number torna se f cil realizar um ataque de for a bruta e descobri la Normalmente isso pode ser conseguido em algumas horas dependendo de quantos clientes est o atacando o alvo poss vel tamb m encontrar dispositivos ocultos atrav s de for a bruta aplicada a endere os f sicos MAC addresses de interfaces de rede bluetooth 3 2 1 Varrendo endere os Bluetooth O endere o MAC Bluetooth uma seq ncia de 6 bytes que identifica o dispositivo Os primeiros 3 bytes s o atribu dos pelo IEEE e identificam o fabricante do equipamento Os ltimos 3 bytes s o atribu dos pelo pr prio fabricante Em teoria habilitar o modo invis vel deveria proteger os usu rios de conex es n o autorizadas Na pr tica mesmo assim ainda poss vel localizar tais dispositivos Existem ferramentas por exemplo que realizam ataques de for a bruta em busca de dispositivos invis veis Uma dessas ferramentas o RedFang 31 criada por Ollie Whitehouse 9 que tenta se conectar a todos os endere os f sicos poss veis at que receba respostas para tais tentativas de conex o Na verdade esta ferramenta mais uma prova de conce
20. posteriormente modificadas devido uma frame oculta Por exemplo seria f cil obter o cache de acesso p gina da PUC RIO alterar o c digo no que diz respeito s propriedades de formul rios direcionando o envio das informa es preenchidas para um servidor web nocivo o que iria capturar usu rios e senhas quando o bot o Enviar fosse pressionado 2 1 9 Monitora o de teclas digitadas O mundo dos PCs j est alerta quanto infec o de leitores de teclado keyloggers pois h tempo s o usados em ataques No entanto quando voltamos ao mundo dos Pocket PCs n o se tem dado a mesma import ncia ou considerado que a probabilidade de exist ncia deste tipo de malware tamb m existe Provavelmente pois o conceito de teclado em um dispositivo m vel bem diferente do existente em PCs Ao inv s de um dispositivo f sico o Pocket PC usa uma interface virtual que simula teclas reais Mesmo que isso dificulte a captura de teclas digitadas de jeito nenhum isso se tornou imposs vel Quando o PDA iniciado primeiro ele avalia o registro do sistema e busca quaisquer dispositivos de entrada Por padr o s o eles o teclado o Block Recognizer Letter Recognizer e o Transcriber Cada um destes controlado por uma biblioteca din mica DLL presente em mem ria ROM que possui tanto a interface gr fica quanto o c digo de convers o da entrada para caracteres Por exemplo o teclado principal controlado
21. presentes na organiza o que necessitam de prote o Conduzir pr ticas de auditoria espor dicas mas continuamente para 4 monitorar e possivelmente detectar incidentes de seguran a ligados y dispositivos de computa o m vel Assegurar que os limites de acesso f sico por vias externas s 5 depend ncias da organiza o s o suficientes em termos de y prote o para todo o per metro de pr dios da organiza o Fazer uso de controles de acesso f sico nos pr dios e outras reas 6 Como identifica o por crach s com fotografias cart es y inteligentes biometria e outros 7 Minimizar o risco de perda ou roubo atrav s do uso de fechaduras e Ni cabos de seguran a 8 Identificar todos os dispositivos m veis com o nome do propriet rio e N informa es de contato da organiza o 38 Assegurar que os usu rios saibam onde reportar a perda ou roubo do um dispositivo 10 Assegurar que os dispositivos s o guardados de forma segura quando fora de uso Certifica se de que m dulos adicionais perif ricos cart es de 11 mem ria etc est o protegidos adequadamente quando fora de uso como preven o contra roubos 12 Habilitar o pedido de senha ao se ligar cade dispositivo de computa o m vel 13 Criar e manter uma pol tica de manuten o de senhas adequada troca de senhas periodicamente normas de forma o etc 14 Assegurar que aplicativo
22. que um usu rio possa ser autenticado de forma segura Ni local ou remotamente para acessar os recursos da organiza o 28 Usar criptografia robusta e utilit rios de prote o de senha para N proteger dados sens veis e aplica es 29 Usar solu es de seguran a adequada ao tamanho da organiza o Ni para gerenciar a seguran a de dispositivos de forma centralizada 30 Assegurar que ferramentas de an lise de seguran a s o usadas N para avaliar dispositivos m veis Quando dispositivos n o forem mais ser utilizados todas as 31 configura es e dados devem ser apagados adequadamente y evitando a poss vel exposi o de informa es sens veis 5 Avalia o Pr tica 5 1 Testes com Emuladores vs Teste com dispositivos f sicos 5 1 1 Descri o do ambiente de testes com emuladores Al m do trabalho te rico foram realizados testes b sicos usando emuladores dos seguintes dispositivos m veis sistema operacional Pocket PC Windows Mobile 2003 SE Pocket PC Windows Mobile 5 0 Smart Phone Windows Mobile 2003 SE Smart Phone Windows Mobile 5 0 40 Atrav s do Device Emulator Manager gerenciador de imagens carregamos as imagens dos sistemas operacionais dos dispositivos sendo poss vel simular o fato do dispositivo estar ou n o em sua base craddle A documenta o do emulador afirma que este suporta os mesmos bin rios utilizados pelos equipamentos reais tanto quanto a arq
23. 101 interface local xSniffer E T X Trace Detail Seq 4 Packet Size 60 Time 3 Ethernet Header 000d29ed7247 gt ffffffffffff Type 0806 ARP ARP Packet 201 37 40 1 gt 201 37 43 163 Protocol 0800 IP Opcode 01 Request Packet Bytes 0000 ff ff ff ff ff ff OO 0010 08 00 06 04 00 01 00 0020 00 00 00 00 00 00 c9 0030 00 00 00 00 00 00 00 Figura 14 Detalhes de uma requisi o do protocolo ARP Teste Uso de ferramenta de an lise forense dumper para coleta de todas as informa es do dispositivo para posterior an lise Descri o Foi utilizada a ferramenta PDA Seizure uma das mais conhecidas para an lise forense de dispositivos m veis Restri es para funcionamento A aplica o suporta somente os seguintes modelos da s rie IPAQ H 1940 H 3630 H 3670 H 3760 H4155 HX2110 HX4705 RX1955 RX3115 RX3715 RZ1715 Mais informa es http www paraben forensics com cell_models html Resultados N o foi poss vel utilizar esta ferramenta com o emulador pois esta s compat vel com uma vers o do ActiveSync inferior nica vers o compat vel com o emulador 44 5 4 Testes locais Teste Execu o de aplica es por Auto run Descri o Um arquivo chamado autorun exe em uma pasta chamada 2577 na raiz de um cart o de mem ria considerando que o dispositivo trabalha com processador ARM copiado para a pasta local do Windows M bile
24. 3 Ataques de invas o de mem ria Buffler Overflow attacks O Windows Mobile t o vulner vel a ataques de invas o de mem ria ou estouro de pilha em algumas tradu es quanto a sua fam lia de grandes irm os O pr prio servidor de FTP usado para os testes dotado de um O execut vel ftpsvr exe implementa comandos comuns de FTP mas infelizmente n o verifica os par metros passados Isso significa que um atacante pode sobrescrever a pilha de execu o com c digo assembly e ter este c digo arbitr rio executado 35 Mesmo que alguns detalhes possam variar entre dispositivos e vers es de sistema vamos mostrar que poss vel fazer um ataque via rede e injetar c digo que ir causar um hard reset no PDA Felizmente esse tipo de ataque relativamente limitado em PDAs Como n o existe efetivamente uma shell de comando um ataque para ser completo requer um upload de alguma aplica o para que o controle total do sistema seja obtido J citamos um exemplo de aplica o como esta anteriormente o calavo de tr ia brador exe 3 3 4 Captura de tr fego Um sniffer prov a seu utilizador uma vis o do tr fego passante na rede Atualmente a maioria das redes cabeadas baseada em switchs o que dificulta muito este tipo de ataque mas n o o torna imposs vel Neste caso estamos falando de redes onde os PDAs normalmente n o est o conectados No caso de uma rede sem fio esta funciona de forma parecida c
25. 69 Hdr Length 20 Flags ACK HTTP Hex 3d7q Hex 45ed Figura 26 Detalhes do segmento TCP capturado 51 4 Word Mobile 4 d 11 03 ok 65 72 3a 20 68 74 LSE Referer ht 0100 74 70 3a 2f 2f 77 77 77 2e 67 6f 6f 67 6c 65 2e tp www google 0110 63 6f 6d 2e 62 72 2f 70 64 61 2f 73 65 61 72 63 com br pda searc 0120 68 3f 6d 72 65 73 74 72 69 63 74 3d 78 68 74 6d h mrestrict xhtm 0130 6c 26 71 3d 6b 6f 76 6163 73 2b 62 72 75 6e 6f 8q RE ara 0140 26 62 74 6e 47 3d 5065 73 71 75 69 73 61 26 73 amp bimG Pesquisa amp s 0150 69 74 65 3d 7365 61 72 63 68 Od Oa 41 63 63 65 ite search Acce vxSniffer Trace Detail e 11 04 X 139 52 24 30 139 852 24 2 139 82 24 2 10 10 10 150 66 102 7 99 66 102 7 99 10 10 10 150 66 102 7 99 10 10 10 150 66 102 7 99 10 10 10 150 ie ser er 139 52 24 63 139 52 24 63 139 852 24 30 66 102 7 99 66 102 7 99 10 10 10 150 10 10 10 150 66 102 7 99 10 10 10 150 66 102 7 99 10 10 10 150 66 102 7 99 Exibir Menu Figura 27 An lise do conte do capturado Figura 28 Exibi o dos pacotes capturados Pode se visualizar o conte do das requisi es Teste Quebra da chave criptogr fica WEP Wired Equivalent Privacy Descri o Existem diversas implementa es para atacar o algoritmo criptogr fico WEP tanto em suas vers es de chave de 40 ou 104 bits No entanto a nica dispon vel para Windows Mobile foi
26. AN WLAN ou WiFi um sistema de transmiss o de dados desenvolvido para oferecer acesso rede independentemente de localiza o atrav s de ondas de r dio ao inv s de uma infra estrutura cabeada A aceita o em larga escala desta tecnologia depende da cria o de um padr o de mercado para garantir a compatibilidade e confiabilidade de produtos de diversos fabriacantes A especifica o 802 11 Padr o IEEE 802 11 ISO IEC 8802 11 1999 como um padr o para redes sem fio foi formalmente aprovada pelo Instituo de Engenheiros de El trica e Eletr nica Institute of Electrical and Electronics Engineers IEEE no ano de 1997 Esta vers o do 802 11 oferece velocidades de transmiss o de dados de 1 e 2 Mbps e um conjunto de m todos de sinaliza o e outros servi os Como todos os padr es do IEEE o 802 11 tem foco nas duas camadas inferiores do modelo OSI ISO camadas f sica e de enlace Qualquer aplica o de rede sistema operacional de rede protocolo incluindo o TCP IP e o Novell Netware ir o funcionar em redes sem fio em conformidade com este padr o da mesma forma que funcionam nas redes Ethernet Application Presentation Network operating system TCP NOS IP Logical Link Control LLO 802 2 Media Access Control MAC Power security etc 802 11 Figura 1 IEEE 802 11 e o modelo OSI ISO A grande motiva o e benef cio quanto s redes sem fio o aumento de mobilidade O fato da esta o n
27. K n o necessariamente quem diz ser Tal visitante poderia ser um hacker que alterou o nome de seu notebook para MOBILE KIOSK Certamente estes ataques poderiam ser evitados caso o processo de autentica o fosse melhor implementado pois atualmente s o implementados de forma pobre e as senhas normalmente s o est ticas ou seja n o existe uma pol tica de altera o de senhas periodicamente 31 3 2 7 Ataques espec ficos Bluejacking Consiste no envio de mensagens inclusive spam para dispositivos eletr nicos alheios via bluetooth A t cnica surgiu inocentemente quando um usu rio identificou nas proximidades um telem vel Nokia 27 com Bluetooth ativo e enviou por divers o uma mensagem que dizia Compre Ericsson Empresas de marketing levaram o conceito adiante e criaram o Bluecasting em que um equipamento especial dispara propaganda para todos os aparelhos que passam perto A pr tica classificada como spam e proibida em muitos pa ses Bluesnarfing Consiste em roubo das informa es dos aparelhos alheios Basta que o dispositivo s os modelos mais antigos s o vulner veis esteja com o Bluetooth ativado e em modo vis vel para que uma pessoa mal intencionada nas proximidades possa invad lo e roubar o conte do da agenda e cat logo de endere os por exemplo Bluetooth Sniping Embora o alcance t pico de um dispositivo Bluetooth seja de 10m e de um laptop possa chegar a 100m um grupo
28. Um estudo pr tico das ame as de seguran a em dispositivos port teis com Windows Mobile Bruno Paulo Usiglio Kovacs e Vanesa de Freitas Monteiro Departamento de Inform tica PUC Rio Rua M S Vicente 225 22453 900 Rio de Janeiro RJ Brazil bruno kovacs gmail com freitasmon ig com br Professor orientador Markus Endler Resumo esta monografia se prop e a apresentar amea as de seguran a a dispositivos de computa o m vel dando foco principal queles que utilizam o sistema operacional Windows Mobile As vias de contamina o abordadas ser o os padr es BlueTooth e Wi fi 802 11 Experimentos pr ticos foram realizados procurando reproduzir pesquisas de grupos especializados no assunto Palavras chave PDA PocketPC handheld Wi Fi Bluetooth redes sem fio malware trojan worm amea a seguran a Windows Mobile porta dos fundos WEP WPA criptografia chave ndice de MTOTO SRS ARE par RAR SR PS ANA E DRE PRA RR RE RR RR RR eearesdantadeees 3 1 1 Objetivo e Defini es sacra tatoo neo E a aaGeee aie ec eaes anti TRE CoM eames 4 1 1 1 Defini o de um dispositivo m vel ette eee ee ettaeeeeeetaeeeeeetaaeeeseeeiaeeeeeetaees 4 1 1 2 Amea a de seguran a easier kigin uneia cubes Hanae ces SUAS SULA SS Epa 0 La 4 1 1 3 Rede Semi fio sepini ata litle ie OLE Sa hb lv oe alae 5 1 2 Introdu o ao Windows Mobile ereta ceara aaa are acanaaraana 5 1 3 Introdu o ao IEEE 802 11 ses euge
29. a campanha de marketing 1 4 Introdu o ao WEP O primeiro protocolo de seguran a adotado que conferia no n vel do enlace uma certa seguran a para as redes sem fio foi o WEP Wired Equivalent Privacy Este protocolo usado ainda hoje utiliza o algoritmo RC4 para criptografar pacotes que s o trocados numa rede sem fio a fim de tentar garantir confidenciabilidade aos dados de cada usu rio Al m disso utiliza se tamb m a CRC 32 uma fun o de detec o de erros que ao fazer o checksum de uma mensagem enviada gera um ICV Integrity Check Value que deve ser conferido pelo receptor da mensagem no intuito de verificar se a mensagem recebida foi corrompida e ou alterada no meio do caminho Vulnerabilidades do WEP No entanto ap s v rios estudos e testes realizados com este protocolo foram achadas algumas vulnerabilidades e falhas que fizeram com que o WEP perdesse quase toda a sua credibilidade No WEP os dois par metros que servem de entrada para o algoritmo RC4 s o a chave secreta k de 40 bits ou 104 bits e um vetor de inicializa o de 24 bits A partir desses dois par metros o algoritmo gera uma seqii ncia criptografada RC4 k v Por m como no WEP a chave secreta k a mesma utilizada por todos os usu rios de uma mesma rede devemos ter um vetor de inicializa o diferente para cada pacote a fim de evitar a repeti o de uma mesma segii ncia RC4 Essa repeti o de seqii ncia extremamente indesej vel po
30. alizar o conte do das reguisi es 52 Exibi o dos pacotes capturados c cccecceceeeeeeeeeeeeeecneecaeceeeeeeeeseesessuaeeeeeeeeeeeeetes 52 Ferramenta E eye WiFi Scanner identificou uma rede 802 11 com WEP habilitado 53 1 Introdu o Um PDA Personal Digital Assistant ou Assistente Pessoal Digital um computador de dimens es reduzidas dotado de grande capacidade computacional normalmente cumprindo as fun es de agenda sistema de escrit rio oferecendo recursos multim dia e entretenimento com possibilidade de interconex o com um computador pessoal e uma rede sem fio para acesso a correio eletr nico e internet Infelizmente este simples dispositivo pode gerar um furo de seguran a na estrutura de muitas corpora es que pode ser explorado por pessoas com fins n o amig veis Atualmente a maioria das empresas nem mesmo cita a verifica o de dispositivos m veis em suas pol ticas de seguran a ou em sistemas de controle ou ainda n o possuem id ia de como estes s o utilizados na sua pr pria rede ou em localidades remotas N o apenas o dispositivo m vel em si pode ser comprometido tendo suas informa es capturadas mas pode ser contaminado por um cavalo de tr ia e transformado em um livre ponto de acesso rede corporativa Este documento analisa algumas das formas de se atacar um dispositivo m vel e quais as consequ ncias que poder o ser geradas 1 1 Objetivo e Defini
31. bluesnarfins 1 Criar a seguinte chave de registro HKCU Software Microsoft Bluetooth Mode 2 Criar a seguinte DWORD Nome ISC Valor 1 49 5 6 Testes com IEEE 802 11 Teste Instala o da ferramenta de varredura de redes Wi fi Mini Stumbler espec fica para PocketPCs foi criada com o nome Mini Stumbler a interface Wi Fi dos dispositivos dispon veis para teste n o foram identificadas pela aplica o Ministumbler E q 13 04 X MAC SSID ET E O Ready No wireless GPS Off JO File view P Figura 24 Mini stumbler n o reconheceu a interface de rede sem fio Descri o Uma das aplica es mais conhecidas para varredura de redes 802 11 chamada NetworkStumbler Esta capaz de medir o sinal de cada rede detectada indicar se usa criptografia ou n o e prover informa es sobre o hardware identificado No entanto uma vers o Restri es para funcionamento a interface de rede sem fio deve ser identificada pelo Resultados A aplica o foi instalada com sucesso mas n o foi poss vel utilizar suas fun es pois 50 Teste Captura de tr fego da rede com a ferramenta VxSniffer Descri o O VxSniffer uma aplica o para coleta de tr fego de rede que funciona deixando a interface em modo promiscuo ou somente observando o tr fego originado destinado interface local Assim caso a rede n o fa a uso de criptografia poss vel observar o que os usu r
32. bluetooth URL 56
33. de pesquisa em aplica es sem fio construiu um rifle bluetooth capaz de captar sinais de dispositivos localizados a mais de 1 km Apesar da apar ncia amea adora o equipamento apenas um transmissor receptor de alta pot ncia acoplado a uma antena direcional que deve ser apontada para o alvo Um micro port til recebe os sinais da antena e mostra as identifica es dos aparelhos bluetooth abrindo caminho para a es de Bluejacking e Bluesnarfing Durante os testes do equipamento em Los Angeles o grupo conseguiu encontrar dezenas de aparelhos Bluetooth em minutos simplesmente apontando a arma para pr dios comerciais ao redor A brincadeira recebeu o nome de Bluetooth Sniping Ataques de SMS Uma vulnerabilidade em potencial do SMS permitir que um dispositivo receba ou envie uma mensagem a qualquer momento independente se uma liga o de voz ou dado esteja em andamento Se o dispositivo estiver indispon vel a mensagem ser armazenada no servidor central O servidor ent o ir tentar retransmitir a mensagem at que possa entregar a mensagem De fato h ferramentas que s o usadas para inundar servi os de SMS O mesmo princ pio destas quando unido com o poder de replica o de um v rus pode potencialmente resultar em ataques de Nega o de Servi o em ampla escala Outro exemplo de uma inunda o de v rus de SMS que ocorreu na Escandin via Quando um usu rio recebia uma mensagem o v rus bloqueava os bot
34. de tecnologia est sempre sob press o e s abre espa o para aspectos que n o s o vistos como lucrativos quando o mercado exige No entanto existe um movimento presente buscando aumentar a consci ncia quanto amea as de seguran a de modo geral e evitar que aconte a novamente nos PDAs o que acontece com esta oes de trabalho e m quinas pessoais infectadas com virus e worms que j causaram preju zos enormes a diversas institui es Os testes realizados neste estudo apresentaram vulnerabilidades de grande impacto mas que atualmente j podem ser remediadas com mecanismos substitutos Por exemplo a quebra de chaves WEP estimulou fortemente o estudo de novas solu es de criptografia dando origem ao WPA considerado seguro atualmente T cnicas como BlueSnarfing que d margem captura de informa es sigilosas via bluetooth n o afetam dispositivos rec m fabricados pois j receberam corre es de seguran a para remediar esta vulnerabilidade No entanto j se pode notar a tend ncia de que usu rios de dispositivos m veis estejam cada vez mais conectados Internet que dependam cada vez mais destes recursos e que c digos maliciosos ser o criados para explorar este fato A explora o poder se dar de in meros maneiras por exemplo capturando senhas de banco e credenciais de aplica es como correio eletr nico e algumas ainda mais preocupantes como a identifica o da localiza o f sica da v tima e contamina
35. done Isso tudo o que se faz necess rio para roubar informa es de um aparelho T610 inseguro Ambos os commandos hcitool e obexftp s o comandos t picos de Bluetooth dispon veis em qualquer distribui o Linux 12 com o pacote de expans o Bluetooh Esta vulnerabilidade foi descoberta por Adam Laurie 26 e afeta diversos dispositivos incluindo Nokia 27 6310 6310i 8910 8910i Sony Ericsson 10 T68 T68i R520m T610 Z600 e possivelmente outros Foi profundamente estudada pelo grupo trifinite que inclusive desenvolveu uma aplica o chamada Blooover que explora a vulnerabilidade N o uma surpresa que alguns usu rios menos experientes destes dispositivos por exemplo aqueles que s precisam fazer liga es ou enviar mensagens de testo tenham conhecimento de que seus aparelhos celulares precisam receber atualiza es de software mais incr vel ainda observar que dispositivos com falhas t o s rias podem estar ainda no mercado Qualquer auditoria de seguran a na fase de testes do sistema operacional antes de disponibilizar no mercado deveria apresentar tais resultados Ou seja fica claro que alguns fabricantes destes dispositivos n o se importam muito com a seguran a o que traz uma espectativa de que o n mero de falhas de seguran a cres a ainda mais no futuro 3 2 6 0 Risco de conex o APs falsos O procedimento de sincroniza o de dispositivos apresenta mais um risco A lista de
36. dump para capturar tr fego da rede identificando endere amento para ent o alterar o correspondente na interface Ethernet 37 Checklist de Seguran a para dispositivos m veis em redes sem fio A seguinte tabela fornece uma checklist de seguran a para PDAs e Smartphones Esta apresenta boas pr ticas de uso e recomenda es para se criar e manter um ambiente seguro para o uso destes dispositivos A primeira coluna Boa Pr tica caso marcada significa que a informa o deve ser implementada A segunda Deve se considerar significa que a recomenda o deve ser fortemente analisada por tr s motivos primeiro ir aumentar o n vel de seguran a do ambiente atrav s do oferecimento de um tipo de prote o complementar segundo a recomenda o utiliza a t cnica de seguran a em camadas defense in depth strategy Terceiro trar impactos de performance operacionais e custo Em resumo cada organiza o deve avaliar o custo benef cio da implementa o Checklist Recomenda o de seguran a Boa Deve se pr tica considerar 1 Desenvolver uma pol tica de seguran a para a organiza o que N direcione o uso de todos os dispositivos de computa o m vel Assegurar que os usu rios da rede s o treinados security 2 awareness quanto aos riscos de seguran a e est o cientes dos y inerentes a dispositivos de computa o m vel 3 Realizar uma avalia o de risco para entender o valor dos bens N
37. ea as mais conhecidas s o Ataques passivos para decriptar tr fego baseado em an lise estat stica Ataques ativos para inje o de tr fego a partir de esta es n o autorizadas Ataques ativos para decriptar tr fego baseados na manipula o de pontos de acesso Ataques baseados na cria o de dicion rios constru dos a partir de tr fego coletado que permite a decripta o autom tica de tr fego em tempo real Todos os ataques citados podem ser realizados com equipamentos de baixo custo e de f cil aquisi o Al m disso se aplicam tanto ao WEP de 40 quanto ao de 128 bits e ao padr o 802 11b uma extens o para suportar maiores taxas de transmiss o mas que manteve intocada a implementa o do WEP Vamos apresentar com mais detalhes somente o primeiro tipo de ataque por ser o mais comum 34 Ataque passivo para decripta o de tr fego Este ataque poss vel devido ao seguinte fato uma pessoa pode capturar todo o tr fego encriptado da rede sem fio at que uma colis o do vetor IV seja identificada Ao aplicar a fun o l gica XOR entre dois pacotes que usam este mesmo vetor de inicializa o IV o atacante automaticamente obt m o resultado do XOR do texto puro das mensagens de cada pacote O resultado obtido pode ser usado para se fazer infer ncias sobre o conte do destas Como o tr fego IP bastante previs vel e inclui diversas redund ncias estas podem ser usadas para dar v rias dicas sob
38. ececeesseccectbenuciede chiado ch badge a dh detona del v dida dl la 6 1 3 1 FUNCIONAMENTO ccs vcs hive Lada e e EE Spa bee ile Ai eee 8 1 3 2 Origem e significado do termo Wi Fi reerrcanaareaa 9 1 4 Introdu o ao WEP castas cuigmaaos iiiaio aer bh la ch Ega ch ATEU aid V a ai aa 9 1 5 Introdu o ao WPA enirere sa raladas aaa gia ct Lido 0 eh pla gata ch RETA E EU Si V Si db bane 10 1 6 Introdu o ao Bluetooth rear adii eeii 11 2 Ataque LocalS s aici Ai as aa ot alae ed alte tea 13 2 1 1 Obst culos encontrados para se atacar um PDA 13 2 1 2 ATQUIVOS CAB ma ala na edn te tetaa sas E EEE lini Ot Med eh alee ates 14 2 1 3 Execu o autom tica de aplica es auto run reinar 14 2 1 4 Restaura o das configura es de f brica areas 15 2 1 5 Internet Explorer para PDAS E a a a a aaa r aaaeaii Eaa 16 2 1 6 Visao Teduzida de URD S a aaa nae eee a nada 16 24 7 Modelo de Objeto de Dominio do PIE PIE Domain Object Model 17 2 1 8 Acesso a arquivos locais usando o Pocket IE 17 2 1 9 Monitora o de teclas digitadas ear earera narra 18 214105 And e fOO e scene dea erie Ate ane eel de tee aide a 19 2 1 11 Engenharia reversa de bin rios cece eeene eee ee eeaaeeeeeeeaeeeeeeeaaeeeeeeesaeeeeeeeaas 19 2 1 12 Servidor de PTP OCU O tenis etree Adie ahead Ace eee a 21 2 1 13 Contro
39. es Existem outros opcodes n o mencionados aqui Para maiores informa es quanto ao assembly de processadores ARM sugerimos uma visita www arm com e a pesquisa nos manuais dos processadores 2 1 12 Servidor de FTP oculto Uma vez entendido como funciona um programa em baixo n vel pode se fazer qualquer coisa para alterar as suas funcionalidades Neste caso foi poss vel transformar um leg timo servidor FTP em uma porta de entrada invis vel e indetect vel Start a dx 2 31 Friday June 04 2004 Tap here to set owner information No tasks No upcoming appointments Figura 6 servidor de FTP identifica se atrav s de icone na area de trabalho Para isso primeiramente localizamos o trecho de c digo respons vel pela exibi o do cone na barra de tarefas Gra as ao recurso de listagem de nomes de fun o do IDA Pro detectamos uma delas chamada Shell Notifyicon Depois de encontrada o seu c digo foi alterado da seguinte forma MOV Shell NotifyIcon para MOV RO RO3A 01 00 EB para 00 00 AO El O lado esquerdo mostra o comando original seguido dos valores em hexadecimal originais Para impedir a exibi o do cone o c digo foi alterado para que o programa n o realizasse nenhuma opera o Na verdade foi alterado para realizar um NOP virtual fazendo com que o conte do de RO fosse copiado para o pr prio RO 21 A porta padr o tamb m foi alterada de 21 para uma de valor mais alt
40. es do dispositivo o que se tornou um ataque de Nega o de Servi o contra todo o sistema De maneira semelhante uma empresa norueguesa encontrou um outro exemplo de c digo malicioso Eles encontraram um certo SMS que congelava telefones que recebiam esta mensagem O c digo impedia o uso do teclado logo que o SMS era recebido 32 Carib Caribe Cabir Primeiro virus conhecido para Bluetooth alvo de telefones m veis Mesmo o pr prio v rus sendo relativamente inofensivo ele representa uma nova era para criadores de v rus e um novo conjunto de preocupa es para os propriet rios de telefones m veis Um v rus pode ser escrito infectar um nico dispositivo e provavelmente ter vida curta Para manter o v rus vivo ele deve ser capaz de se propagar de um dispositivo para outro Isso chamado de infector ou vetor de infecc o Enquanto vetores de infec o t m mudado e evolu do ao longo dos anos o mais comum via e mail Uma vez um dispositivo infectado o v rus usa seu pr prio mecanismo de envio de e mails ou o cliente de e mail da v tima para se disseminar para os e mails que encontra no sistema Outros vetores de infec o s o drives de disquete e software pirata Novos vetores s o raros simplesmente porque h um n mero limitado de novos m todos de comunica o Apesar do conceito de descobrimento de dispositivos via Bluetooth ser excelente nos ltimos anos diversas vulnerabilidades t m sido encontradas n
41. eu endere o Bluetooth 31 VXSnifferem A O esti ssandesa aliens T Sud Rossana a Sb S LAS eae n Eds eau 36 Emula o do Windows Mobile 2003 SE em PocketPC 41 Emula o do Windows Mobile 2003 SE em SmartPhone eeeeceeeeeeseeeeeeeesteeeeeeees 41 VxSniffer coletou tr fego da interface local eee 44 Detalhes de uma requisi o do protocolo ARP area 44 Acesso via FTP atrav s da Internet ao PocketPC e exibi o dos arquivos locais 46 Autentica o com senha para acesso remoto Atrav s da aplica o VirtualCE 46 Controle remoto do PocketPC via Intemnet eae 46 Controle remoto do PocketPC via Intemnet eae 47 Controle remoto do PocketPC via Intemnet eee 47 Editando o registro do Windows Mobile atrav s da aplica o Mobile Registry Editor 48 Habilitando a interface Bluetooth do dispositivo rr 49 Configurando a interface Bluetooth do dispositivo para estar vis vel 49 Aplica o btCrawler com fun o de bluesnarfing habilitada via edi o de registro 49 Mini stumbler n o reconheceu a interface de rede sem fio reee 50 Captura de tr fego da rede 802 11 do LAC areas 51 Detalhes do segmento TCP capturado is rereeeearenanaaarrenaa 51 An lise do conte do capturado Pode se visu
42. garante que a informa o manipulada mantenha todas as caracter sticas originais estabelecidas pelo propriet rio da informa o incluindo controle de mudan as e garantia do seu ciclo de vida nascimento manuten o e destrui o Disponibilidade propriedade que garante que a informa o esteja sempre dispon vei para o uso leg timo ou seja por aqueles usu rios autorizados pelo propriet rio da informa o 1 1 3 Rede sem fio Rede sem fio um termo utilizado para designar a interconex o de computadores em um sistema sem o uso de fios por meio de dispositivos apropriados Atualmente as ondas de r dio s o o meio mais eficaz para possibilitar estas liga es S o exemplos de tecnologias de rede sem fio abordadas neste artigo o BlueTooth e o 802 11 vulgo Wi fi 1 2 Introdu o ao Windows Mobile Vis o Geral O Microsoft Windows Mobile uma plataforma de sistema operacional de 32 bits multitarefa e multisegmentado Tem uma estrutura de arquitetura aberta que d suporte a uma variedade de dispositivos de comunica o entretenimento e computa o m vel um sistema operacional inteiramente novo compacto port til e proporciona uma interface intuitiva e de f cil aprendizado incorporada de elementos familiares do Windows para PCs compat vel com os melhores e mais teis hardwares do mercado tais como modem cards Flash cards Color Digital Camera Card cabos de sa da VGA e porta Paralela entre out
43. if cil que um usu rio n o autorizado consiga se conectar rede sem fio A chave de criptografia din mica uma das principais diferen as do WPA em rela o ao WEP que utiliza a mesma chave repetidamente Esta caracter stica do WPA tamb m conveniente porque n o exige que se digite manualmente as chaves de criptografia ao contr rio do WEP 1 6 Introdu o ao Bluetooth A tecnologia de rede sem fio Bluetooth oferece uma maneira simples para realizar a comunica es de diversos dispositivos m veis entre si e tamb m o acesso destes Internet sem a necessidade de cabos O Bluetooth foi constru do para facilitar a transmiss o de informa o dentro de uma faixa relativamente pequena em torno de dez metros Trabalha de forma a reduzir o risco de interfer ncias entre dispositivos Bluetooth Mudando a freqii ncia 1600 vezes em um segundo muito improv vel que dois dispositivos numa mesma rea ter o conflito entre si O que torna o Bluetooth realmente atraente que ele automaticamente controla o processo de comunica o entre dispositivos Varrendo a rea em volta por outros dispositivos Bluetooth e estabelecendo uma conex o entre os descobertos criado um tipo de mensagem informando a exist ncia da rede Bluetooth denominada piconet que se propaga entre os dispositivos criando uma rede de comunica o O Bluetooth suportado e utilizado em produtos de mais de 3000 empresas tais como Sony Ericsson 10 N
44. indows CE Em segundo usamos o depurador de c digo inclu do no conjunto de ferramentas de desenvolvimento para Windows CE da Microsoft CE Este ltimo necess rio para observar e alterar o c digo do bin rio em tempo de execu o Por ltimo ser necess rio um editor hexadecimal para alterar o c digo para realiza o de testes no sistema A ferramenta sugerida a UltraEdit mas existem diversas op es Tendo estas ferramentas reunidas pode se passear pelo Windows Mobile observando cuidadosamente o que est acontecendo A nica coisa que resta nesta est ria a necessidade de se entender as instru es realizadas pelo processador Em outras palavras de muita utilidade entender o assembly do ARM Felizmente entendendo as seguintes intru es poss vel ler e at mesmo escrever rotinas em assembly que poder o ser executadas em um Pocket PC MOY Mover Copia o valor de um registrador para outro podendo ser o destino da c pia um registrador fixo hardcoded ou n o CMP Comparar Compara o valor de um registrador com outro B Branch altera o fluxo de execu o do programa apontando para outro endere o de mem ria BL Branch Link altera o fluxo de execu o do programa apontando para outro endere o de mem ria e depois retorna para posi o inicial 20 LDR STR Load Register Store Register Armazena ou carrega um dado para ou da RAM em um dos registrador
45. ios ao redor est o acessando em tempo real coletar credenciais de contas pessoais e outras informa es sigilosas poss vel determinar qual a interface de rede do dispositivo que ser usada para esta fun o Restri es para funcionamento para coletar tr fego de outras esta es a interface de rede deve suportar o modo promiscuo Resultados A aplica o foi instalada com sucesso mas s foi poss vel varrer o tr fego de rede originado ou destinado ao dispositivo m vel pois sua interface Wi fi n o permite ser configurada para modo promiscuo A seguir apresentamos as telas capturadas com detalhes do tr fego xSniffer d 11 02 X Trace Detail 0015f250F276 0015f250F276 0020da0c5520 0020da0c5520 0002784eead 0002784eeas 000854134909 000854134909 0002784eead 000854134909 0002784eead 000854134909 0002784eead 000854134909 NNNPFA4RRAR Figura 25 Captura de trafego da rede 802 11 do LAC ss xeme ocem TE FFFFFFFFFFFF FFFFFFFFFFFF FFFFFFFFFFFF FFFFFFFFFFFF 0008541 0008541 0002784 0002784 0008541 0002784 0008541 0002784 0008541 0002784 NNNAS4I xSniffer t 11 02 X Trace Detail Seq 89 Packet Size Ethernet Header 0002784eea8 gt 0008541346 Type 0800 IP IP Header DOC SS Protcol 6 TCP Length 40 TCP Header Ports 1365 gt 80 Seq 1031579694 Ack 12233556
46. is d margem a ataques bem sucedidos e consequente descoberta de pacotes por eventuais intrusos Al m disso h tamb m uma forte recomenda o para que seja feita a troca das chaves secretas periodicamente aumentando se com isso a seguran a da rede Por m essa troca quando feita realizada manualmente de maneira pouco pr tica e por vezes invi vel quando se trata de redes com um n mero muito alto de usu rios Ainda uma falha do WEP constatada e provada atrav s de ataques bem sucedidos a natureza de sua fun o detectora de erros A CRC 32 uma fun o linear e que n o possui chave Essas duas caracter sticas tornam o protocolo suscet vel a dois tipos de ataques prejudiciais e indesej veis poss vel fazer uma modifica o de mensagens que eventualmente tenham sido capturadas no meio do caminho sem que isso seja descoberto pelo receptor final devido a linearidade da fun o detectora de erros e al m disso pelo fato da fun o n o possuir uma chave tamb m poss vel descobrir uma sequ ncia secreta RC4 e de posse desta ser autenticado na rede e introduzir mensagens clandestinas nesta 1 5 Introdu o ao WPA Tamb m chamado de WEP2 ou TKIP Temporal Key Integrity Protocol a primeira vers o do WPA Wi Fi Protected Access surgiu de um esfor o conjunto de membros da Wi Fi Alian a e de membros do IEEE empenhados em aumentar o n vel de seguran a das redes sem fio ainda no ano de 2003 combatendo a
47. ito do que de fato uma ferramenta de hacking O principal obst culo na verdade o tempo necess rio para se realizar o ataque pois a verifica o de apenas um dispositivo leva de 2 5 a 10 segundos em m dia Para se ter uma no o melhor temos que o espa o de endere amento da Sony Ericsson 10 comporta 16 777 216 poss veis endere os Se assumirmos que a verifica o de cada dispositivo leva 6 segundos a varredura total levar 1165 dias o que significa que levaria tr s anos para encontrar todos os dispositivos da Sony Ericsson 10 escondidos em uma sala Percebe 26 se assim que n o esta uma forma efetiva de se obter tais informa es Exatamente por isso foram criadas novas t cnicas que realizam o mesmo servi o de forma muito mais eficiente 3 2 2 Reduzindo a margem de endere os poss veis Em primeiro lugar caso o fabricante seja conhecido o n mero de endere os poss ves imediatamente limitado a 16 777 216 alternativas Al m disso alguns dispositivos Bluetooth costumam utilizar faixas de endere os mais previs veis de acordo com o modelo Por exemplo o endere o da maioria dos celulares Sony Ericsson P900 10 come a com os seguintes sete d gitos hexa 00 0A D9 E o que significa que restam somente cinco d gitos hexadecimal para serem descobertos Esta informa o reduz a busca de mais de 16 milh es de endere os para apenas 1 048 576 possibilidades Al m disso o quarto byte do endere o costuma e
48. le remoto ESAE atete hte E at ads lee eee des aula AA 22 2 2 Descri o de amea as espec ficas eee eeeeeeeeteneeaeeeseeeeeeeeeseeeaaeeeeeeenaees 23 3 Ataques atrav s da Rede aerea eaea a a a aaa aaanaaaacareanaaa 23 3 1 Classifica o geral de tipos de ataques errei 23 3 1 1 Formas de ataques gengricaS ioien raridade ria iaiia AKANE Eaa aaia er 23 3 1 2 Quebra de chave da criptografia rear earaeraacanaaaa 24 3 1 3 Tomada de controle do diSpOSiItiVO ceccceeeceecceeeeeeeeeeeeeceneaaeeeeeeeeeeeeeseceteninaeeeeeees 24 3 1 4 Pontos de acesso falsos aa s s a evarctieietteccestiiniadeeys Rigeteds Hanae instal A E einer O 24 3 1 5 Vis o geral de worms virus conhecidos rear 25 3 2 Ataques via interface Bluetooth e earaaeaereaeenaaaaaanaaaaanas 26 3 2 1 Varrendo endere os Bluetooth re areeeneeeaaeea ana aarrenaa 26 3 2 2 Reduzindo a margem de endere os poss veis rea 27 3 2 3 Descobrindo endere os Bluetooth enquanto se COMUNICAM ceeceeeeeeeeeteeeeeeenes 21 3 2 4 Comunica o via Bluetooth entre dispositivos amp seguran a 28 3 2 5 Problemas relacionados a fabricantes rear araras 29 3 2 6 O Risco de conex o APS falsos ereta nearrrnearaarrananaaaa 30 3 2 7 Ataques ECspec ficOS 5 2 xcsusadas nica so abadia TAS ea DEMAND aaa AGIA CERCA GANA aa Dida
49. lgumas das vulnerabilidades do WEP A partir desse esfor o pretendia se colocar no mercado produtos que utilizassem WPA pois algumas caracter sticas fazem dele uma tima op o de seguran a Pode se utilizar WPA numa rede h brida que tenha WEP instalado Migrar para WPA requer somente atualiza o de software WPA desenhado para ser compat vel com o pr ximo padr o IEEE 802 11i Vantagens do WPA sobre o WEP A substitui o do WEP pelo WPA trouxe como vantagem uma melhora da criptografia dos dados ao utilizar um protocolo de chave tempor ria TKIP que possibilita a cria o de chaves por pacotes al m de possuir fun o detectora de erros chamada Michael um vetor de inicializa o de 48 bits ao inv s de 24 como no WEP e um mecanismo de distribui o de chaves Al m disso uma outra vantagem a melhoria no processo de autentica o de usu rios Essa autentica o utiliza o 802 1x e o EAP Extensible Authentication Protocol que atrav s de um servidor de autentica o central faz a autentica o de cada usu rio antes deste ter acesso a rede O WPA que est em fase de substitui o do WEP conta com tecnologia aprimorada de criptografia e de autentica o de usu rio Cada usu rio tem uma senha exclusiva que deve ser digitada no momento da ativa o do WPA No decorrer da sess o a chave de criptografia ser 10 trocada periodicamente e de forma autom tica Assim torna se infinitamente mais d
50. lica o nico identificador de sua presen a no sistema Quanto aplica o de terminal remoto foi poss vel testa la com sucesso acessar O dispositivo atrav s da Internet mas da mesma forma n o editamos o bin rio para torn lo invis vel para o usu rio A seguir as telas obtidas 45 cx C WINDOWS system32 cmd exe ftp 139 82 24 242 Microsoft Windows XP Version 5 1 2666 lt C gt Copyright 1985 2661 Microsoft Corp H gt ftp 139 82 24 242 Connected to 139 82 24 242 226 FtpSur Version 6 06 User 139 82 24 242 Cnone gt gt anonymous 331 Password required for anonymous Password 230 User anonymous logged in ftp gt ls 266 PORT command successful 156 Opening ASCII mode data connection for Documents and Settings Windows Temp My Documents Arquivos de Programas 26664 FTPC233 bytes Figura 15 Acesso via FTP atrav s da Internet ao PocketPC e exibi o dos arquivos locais Password Required a xj The selected device requires a password please enter it in the space below m Hide Password Cancel Figura 16 Autentica o com senha para acesso remoto Atrav s da aplica o VirtualCE ActiveSync amp Agente de Calculadora Cliente dos Download Servicos Be 2 l Excel Mobile Gerenciador HP Image de arquivos Zone Imagens e iTask MiniStumb v deos Figura 17 Controle remoto do PocketPC via Internet 46 E veustce
51. m ser executados a partir de um equipamento como este Por exemplo um iPAQ rodando Linux 12 pode ser usado para executar a ferramenta mais conhecida de varradura de redes Nmap O Linux 12 pode ir al m pois facilita muito a cria o de scripts em Perl que podem ser usados para diversos tipos de teste de invas o 3 3 6 Abrindo portas para um ataque A seguir discutiremos sobre um m todo simples de se obter acesso an nimo e remoto a uma rede wireless transformando o PDA em uma verdadeira porta dos fundos feita em hardwar O prop sito disso apenas mostrar o quanto se pode ir longe ao se atacar redes wireless usando PDAs para que a conci ncia da necessidade de se aumentar o n vel de seguran a nas corpora es seja levada s rio 1 Instalar uma distribui o do Linux 12 de acordo com a prefer ncia 2 Instalar drivers necess rios para o funcionamento das interfaces wireless e Ethernet 3 Criar um script de configura o da interface wireless para inicar em modo ad hoc ap s a inicializa o do sistema O uso de criptografia opcional A interface deve come ar a operar em algum canal livre escolha 4 Instalar as aplica es SSH Nmap e tcpdump no PDA V at o local desejado e conecte a interface ethernet rede de forma que fique bem escondido Ligue o PDA 7 A partir de um laptop ou outro PDA conecte se ao equipamento via IP pr estabelecido usando t nel SSH 8 Agora pode se usar o tcp
52. m sucesso Abaixo apresentamos uma tela que mostra as informa es que poderiam ter sido obtidas 47 5 5 Testes com Bluetooth Teste Roubo de informa es agenda telef nica calend rio fotos etc Bluesnarfing e envio de mensagens inoportunas Bluejacking Descri o As t cnicas de Bluesnarfing e Bluejacking foram implementadas na aplica o BTCrawler suportada pelo Windows Mobile 2003 5 0 Restri es para funcionamento nem todos os dispositivos com suporte a Bluetooth s o vulner veis a estes ataques Segundo o desenvolvedor da aplica o os seguintes s o Nokia 6310 6310i at a vers o de firmware 5 51 Nokia 8910 8910i SE T610 FW R1A081 SE T630 FW R4C003 SE T68i FW R2B025 SE Z600 FW R2E004 SE Z1010 Resultados Foi poss vel instalar a aplica o mas apesar da comunica o via Bluetooth dos dispositivos estar operando normalmente a aplica o foi incapaz de detectar telefones celulares com Bluetooth habilitados ou outros PocketPCs A seguir mostramos as telas de configura o do dispositivo para que ficasse no modo visivel e da aplica o btCrawler a mais indicada para este tipo de teste Obs A fun o de Bluesnarfing da aplica o precisou ser habilitada atrav s da edi o do registro do PocketPC feita com uso de aplica o terceira HE Mobile Registry Editor ol x File Tools Regstry Favortes EE ES E B C Microsoft String value not set H Activesy
53. ma portando seu Pocket Pc podem travar uma batalha digital atrav s de modifica es de c digo em baixo n vel 2 2 Descri o de amea as espec ficas O Windows Mobile ainda n o atraiu muita aten o no que diz respeito vers es publicamente conhecidas de virus e cavalos de tr ia At Agosto de 2005 somente duas aplica es maliciosas criadas para Windows Mobile foram identificadas Apesar deste n mero ser pequeno a sofistica o tecnol gica empregada grande como descrito a seguir Ataques atrav s da Rede A plataforma Windows Mobile foi desenvolvida para dispositivos operados em redes sem fio E tamb m vulner vel a muitas das amea as que existem para o mundo dos PCs A seguir descrevemos uma s rie de ataques que podem ser feitos contra um PDA localizado em uma rede sem fio sem que haja pr via manipula o direta do dispositivo 3 1 Classifica o geral de tipos de ataques 3 1 1 Formas de ataques gen ricas Os PDAs geralmente usam um adaptador de rede sem fio com baixo consumo de energia A partir de ent o pode se acessar a Web e mails etc Considerando que o equipamento trabalha com baixas taxas de consumo de energia a intensidade do sinal wireless utilizado tamb m baixa Sendo assim relativamente f cil provocar um n vel de interfer ncia utilizando um Acess Point ou at mesmo um laptop suficiente para impedir que o dispositivo possa se conectar ao local correto mas induzindo o
54. maior quantidade de mem ria ROM mas mesmo assim n o onde a maioria dos documentos calend rios e listas de afazeres s o armazenados O efeito colateral resultante desta arquitetura o fato de que o equipamento precisa de uma fonte constante de energia caso contr rio ir perder as informa es gravadas na RAM A maioria das pessoas est ciente das conseqii ncias de se deixar a bateria descarregar completamente mas o que as pessoas n o tem conhecimento que a limpa total dos dados pode ser facilmente causada com a execu o de apenas algumas linhas de c digo apresentadas a seguir Caso aconte a destas linhas de c digo serem executadas acidentalmente atrav s da inser o de um cart o de mem ria ou atrav s de um execut vel transferido pela Internet o PDA voltar ao estado em que foi tirado de sua caixa include lt windows h gt include lt winioctl h gt define IOCTL HAL REBOOT CTL CODE FILE DEVICE HAL 157 METHOD BUFFERED FILE ANY ACCESS extern C declspec dllimport void SetCleanRebootFlag void extern C declspec dllimport BOOL KernelIoControl DWORD dwIoControlCode LPVOID lpInBuf DWORD nInBufSize LPVOID lpOutBuf DWORD nOutBufSize LPDWORD lpBytesReturned int WINAPI WinMain HINSTANCE hInstance HINSTANCE hPrevInstance LPTSTR lpCmdLine int nCmdShow SetCleanRebootFlag KernelIoControl IOCTL HAL REBOOT NULL 0 NULL 0 NULL return 0 Figura 3 C digo para retor
55. nar configura o de f brica do dispositivo Hard reset O problema em si n o a exist ncia deste c digo mas sim o fato de que o comando KernelloControl pode ser chamado por qualquer aplica o executando no sistema Em outras 15 palavras a falta de seguran a no n vel do n cleo do sistema operacional Kernel pode transformar um comando til em um potencial ataque 2 1 5 Internet Explorer para PDAs No mundo dos PCs o Internet Explorer alvo de muitas aplica es contendo c digo malicioso que desejam explorar vulnerabilidades de seguran a neste software exploits Felizmente muitos destes ataques n o s o poss veis contra Pocket PCs porque o Pocket Internet Explorer Pocket IE uma vers o muito mais simples quando comparado a seu pai No entanto este fato n o significa que o PIE est livre de potenciais ataques A seguir descrevemos uma s rie de m todos que podem ser usados para atac lo Nega o de servi o DoS Denial of Service Apesar do PIE portar uma vers o tamb m simplificada do interpretador de JavaScript ainda poss vel criar uma certa quantidade de ataques baseados em scripts que ir o for ar o usu rio a reiniciar seu PDA Al m destes existem outros problemas que podem causar a finaliza o imediata do PIE Por exemplo uma das falhas do software existe na maneira em que ele verifica listas em HTML que usam formata o CSS Cascading Style Sheets ilustrado a
56. nc DWord 1 atciv2st atcrdint ED Bluetooth alg E Settings CEMAPI C Connectability G Excel gt aR Fie Expiorer AHSNANETEFEMNANSANNANANTNEAN HKEY_CURRENT_USER Software Microsoft Bluetooth Made 0 sub keys 1 value 7 El Figura 20 Editando o registro do Windows Mobile atrav s da aplica o Mobile Registry Editor 48 4 Configura es dol q 10 28 ok Bluetooth Geral Perfil atual pe Status Bluetooth O Bluetooth est ATIVO o ER Usar o Bluetooth Manager para definir conex es Geral Acessibilidade Servi os Sobre Figura 21 Habilitando a interface Bluetooth do dispositivo btCrawler Transf q 10 39 X Enter file or ni below Devices Info OBEX initialization DONE Device enumeration DONE Scanning please standby Close Eg Menu Figura 23 Aplica o btCrawler com fun o de bluesnarfing habilitada via edi o de registro Configura es do q 10 29 ok Bluetooth Acessibilidade Identifica o do dispositivo Endere o 00 12 D2 44 FA 83 Usar o nome do dispositivo PocketPC Acessibilidade Permitir conex o de outros dispositivos 8 Todos os dispositivos O Dispositivos em pairing Geral Acessibilidade Servi os Sobre Figura 22 Configurando a interface Bluetooth do dispositivo para estar vis vel Procedimento para habilitar a fun o de
57. nica o Al m disso a sequ ncia usada no chaveamento compartilhada para todos os membros da mesma piconet rede de dispositivos BlueTooth o que d boa vantagem ao hacker Na verdade j existem equipamentos no mercado que s o capazes de capturar tr fego Bluetooth com grande facilidade e analis lo mas ainda custa muito caro em torno de US 10 000 o que dificulta a aquisi o para a maioria dos hackers Os hackers podem tirar proveito de pessoas descuidadas que deixam seus telefones no modo vis vel s vezes necess rio deix los temporariamente no modo vis vel para fazer o 27 primeiro contato com um novo dispositivo pairing descrito mais a frente Esta necessidade de tornar o dispositivo vis vel uma grande vantagem para os hackers pois podem se aproveitar deste curto espa o de tempo quando os dispositivos se tornam vis veis e at mesmo de esquecimentos de revert los para o modo invis vel Quando vis vel os hackers podem descobrir o endere o do dispositivo instantaneamente Nenhum dos celulares com Bluetooth do mercado permitem a entrada manual de um endere o para a realiza o de sincroniza o com outro dispositivo pairing o que significa que obrigatoriamente o celular deve ficar em modo vis vel para ser encontrado e realizar a comunica o Como o endere o do dispositivo nico e imut vel basta o atacante descobri lo somente uma vez Ou seja basta que o dispositivo fique vis vel por um curt
58. nte 3 2 5 Problemas relacionados a fabricantes Infelizmente para os usu rios de dispositivos Bluetooth o processo de autentica o e autoriza o para acessar servi os n o corretamente implementado pelos desenvolvedores Estas fraquezas j afetam alguns aparelhos e permitem o roubo de agendas de telefone informa es de calend rio fotos e at mesmo a efetua o de liga es telef nicas ou envio de SMS a partir do dispositivo atacado Tudo devido falta de controle de acesso adequada Apenas para ilustrar o perigo potencial imagine que algu m tomou o controle do telefone celular de um indiv duo e envia uma mensagem de SMS para a pol cia com uma amea a Automaticamente a pol cia ir identificar o nome a que est associado linha telef nica de origem chegando facilmente ao dono do aparelho invadido O indiv duo culpado ter ainda bastante dificuldade de provar que nada fez pois normalmente n o h registro das conex es via Bluetooth A vulnerabilidade de seguran a mencionada facilmente explorada e n o requer nenhuma habilidade especial Apenas dois comandos comuns s o necess rios para roubar uma agenda telef nica de um aparelho T610 29 hcitool scan Scanning 00 0A D9 15 0B 1C T610 phone obexftp b 00 0A D9 15 0B 1C channel 10 g telecom pb vcf v Browsing 00 0A D9 15 0B 1C Channel 7 No custom transport Connecting bt 1 done Receiving telecom pb vcf done Disconnecting
59. nto algum pois tr s alertas s o emitidos dificultando a dissemina o do Caribe Quer dizer at que ele seja misturado a outro malware Apesar deste worm n o se aplicar ao escopo de sistemas operacionais deste trabalho interessante citar o caso do Caribe por ser o pioneiro a se espalhar via Bluetooth 33 3 3 Ataques via interface IEEE 802 11 Ataques a PDAs em redes sem fio n o s o um problema espec fico dos PDAs No entato considerando que a maioria dos usu rios de PDAs possuem uma conex o Wi Fi para ler responder e mails conectar se ao escrit rio ou acessar a Internet devemos considerar este vetor de ataque Resumidamente podemos dizer que o usu rio do PDA poder ser atacado das seguintes formas quebra da chave criptogr fica WEP Wired Equivalent Privacy quebra da chave criptogr fica WPA Wi Fi Protected Access ataques Man in The Middle MiTM inje o de conte do Web ataques passivos coleta de tr fego pontos de acesso maliciosos rogue acess points ataques de nega o de servi o e estouro de pilha buffer overflow Atrav s destes um atacante pode interceptar mensagens de correio eletr nico obter acesso rede interna de empresas capturar senhas enganar usu rios induzindo os a acessar p ginas com c digo malicioso dentre outros 3 3 1 Ataques ao WEP Diversas falhas no algoritmo WEP foram encontradas que seriamente colocam em d vida a sua confiabilidade Em particular as am
60. o que provavelmente n o chamaria muito a aten o Esta altera o t o f cil quando localizar o valor absoluto da porta em quest o e alter lo para o de prefer ncia 2 1 13 Controle remoto Para o pr ximo exemplo encontramos uma aplica o que nos permite acessar remotamente um dispositivo executando Windows Mobile vRemote Neste caso o programa exibie uma janela sempre que iniciado o que alerta o usu rio de sua presen a o que queremos retirar Virtual CE Disconnected Communication Port Ready Primary IP 192 168 55 101 www bitbanksoftware com Figura 7 Janela exibida ao iniciar a aplica o VirtualCE A seguir mostramos as altera es feitas na aplica o para remover completamente qualquer sinal visual indicador da presen a do vRemote sendo executado BL ShowWindow para MOV RO RO Virtual NOP A6 15 00 EB para 00 00 AO El Novamente fomos capazes de fazer tais altera es fazendo uso do IDA Pro e tendo como alvo a fun o ShowWindow sobreescrevendo a com um trecho de c digo com NOP e mais duas outras partes que faziam referencia a esta fun o A quest o destes exemplos que aplica es comuns para Windows Mobile podem ser facilmente modificadas Mais informa es sobre altera o de aplica o em baixo n vel podem ser encontradas no livro Aggressive Network Self Defense O primeiro cap tulo do livro entra em 22 detalhes sobre como duas pessoas cada u
61. o de dispositivos m veis significa a tomada de controle do equipamento de forma a utiliz lo remotamente como se fosse de forma local Diferentes n veis de acesso podem ser obtidos de acordo com a porta de entrada utilizada Esta ltima pode ser uma porta dos fundos instalada atrav s de um cavalo de tr ia ou at mesmo atrav s da explora o de uma vulnerabilidade cr tica em alguma aplica o Pode se dizer que este tipo de ataque o mais perigoso pois pode oferecer controle completo do sistema 3 1 4 Pontos de acesso falsos Uma das formas mais pr ticas para se obter credenciais de usu rios induzi los a tentaram efetuar uma conex o sem fio e se autenticar em um ponto de acesso falso chamados na literatura de rogue access points O usu rio descuidado ir identificar um ponto de acesso com o mesmo nome da rede que est acostumado a usar e rapidamente tem as suas credenciais capturadas Existem ferramentas que emitem beacons pacotes transmitidos para notificar os usu rios da presen a de uma rede sem fio simulando a exist ncia de diversas redes confundindo usu rios e at mesmo wardrivers atacantes que circundam reas buscando redes sem fio de interesse Este tipo de ataque se aplica s tecnologias 802 11 e Bluetooth mas principalmente 802 11 24 3 1 5 Vis o geral de worms virus conhecidos A partir do final de 2005 virii dissemin veis por redes sem fio cresceram num ritmo grande em n mero e sofistica
62. o do cliente Permite administradores de rede acessarem recursos a partir de qualquer lugar dentro da empresa permitindo os resolver problemas com mais velocidade O padr o 802 11 possui 6 vers es de modula o pelo ar todas usando o mesmo protocolo As mais populares s o as vers es a b e g Estas foram desenvolvidas levando em considera o problemas de seguran a mas a vers o que teve este assunto levado mais s rio foi a vers o i Outras vers es do padr o c f h j s o melhoramentos e extens es de vers es anteriores O 802 11b foi o primeiro padr o largamente aceito seguido pelas vers es 802 11a e 802 119 Os padr es 802 11b e 802 11g usam a faixa de frequ ncia de 2 4 gigahertz GHz e devido a este fato podem sofrer interfer ncias com fornos de micro onda telefones sem fio dispositivos Bluetooth e outros equipamentos que fazem uso da mesma faixa O 802 11a usa a faixa de 5 GHz e por isso n o afetado por produtos que operem na faixa de 2 4Ghz A faixa de frequ ncia do spectro utilizada pode ser utilizada em v rios pa ses sendo que as limita es mais acirradas ocorrem nos Estados Unidos 1 3 1 Funcionamento Uma t pica rede Wi Fi contem um ou mais pontos de acesso Access Points APs e um ou mais clientes Um AP transmite para todos que podem escutar broadcast o seu SSID Service Set Identifier nome da rede atrav s de pacotes chamados beacons o que acontece normalmen
63. o espa o de tempo para o hacker descobrir seu endere o e mesmo que retorne ao modo invis vel o atacante poder se conectar sem que seu dono possa negar esta conex o Isso acontece pois um dispositivo Bluetooth nunca nega uma conex o b sica L2CAP Os dispositivos atuais n o bloqueam esse tipo de conex o por se tratar de uma conex o de baixo n vel n o existe ainda esta funcionalidade nem mesmo bloqueio por endere os Por padr o n o existe um firewall para Bluetooth 3 2 4 Comunica o via Bluetooth entre dispositivos amp seguran a Umas das principais fun es que envolve seguran a de Bluetooth a comunica o entre dois dispositivos pairing Por padr o a comunica o n o autenticada e praticamente qualquer dispositivo pode se conectar a qualquer outro No entanto para acessar determinadas fun es como transfer ncias de arquivos normalmente exigi se uma autentica o baseada em uma chave sim trica cadastrada em ambos os dispositivos PIN codes ou passkeys 28 Bluetooth devices Secure connection 9 2 To connect to ULTOR you must enter a passkey Passkey password Figura 8 Exemplo de configura o da autentica o de uma configura o Bluetooth Uma vez esta chave cadastrada gerada uma chave de sess o que armazenada na mem ria e possibilitar a comunica o entre estes mesmos dispositivos no futuro sem passar por esta fase de autentica o novame
64. o protocolo que torna poss vel a obten o de informa es de usu rios envio de mensagens n o solicitadas e realiza o de outros ataques Entretanto at agora esses ataques t m sido feitos somente em laborat rio ou para mandar mensagens n o solicitadas a outros dispositivos Bluetooth Embora o worm Caribe em si seja inofensivo recentemente tem sido misturado a outros malwares criando novas amea as Uma vez o dispositivo infectado ele varre outros dispositivos Bluetooth at encontrar um e somente um Depois tenta enviar para o alvo uma c pia de si Neste ponto a v tima instigada com uma caixa de di logo que pergunta se a pessoa gostaria de aceitar o arquivo que chega Se a v tima aceitar o arquivo se transferir e outro prompt aparecer alertando que a origem do arquivo n o p de ser verificada Se a v tima escolher a op o Continuar o dispositivo ir perguntar v tima pela ltima vez se deseja mesmo instalar o programa Neste ponto o dispositivo j est infectado Uma vez infectado uma tela aparece no dispositivo da v tima com a mensagem Caribe VZ 29a Ent o o dispositivo infectado come a a varrer outros que possam ser infectados O Caribe transferir o arquivo uma nica vez Al m do mais somente telefones Nokia 27 da s rie 60 mostram se vulner veis pelo menos de acordo com um memorando interno escrito pela Symbian Ainda esse worm requer intera o de um usu rio sem conhecime
65. okia 27 Motorola 11 Intel 13 IBM 14 Toshiba 15 Apple 21 Microsoft 16 e at mesmo a Toyota 17 Lexus 19 e BMW 18 Uma variedade de produtos dispon veis no mercado possuem r dios Bluetooth integrados como por exemplo impressoras computadores port teis teclados carros e os mais populares telefones celulares tomando 60 do mercado de dispositivos Bluetooth Esta tecnologia j ganhou muita popularidade com mais de 3 milh es de produtos sendo vendidos toda semana De acordo com o IDC 28 haver mais de 922 milh es de dispositivos com Bluetooth em todo o mundo at 2008 A tecnologia pode ser bastante interessante e til mas tamb m pode ser uma grande amea a privacidade de seus usu rios A tecnologia foi padronizada por um grupo chamado Blueetooth Special Interest Group SIG As empresas fundadoras do grupo s o a Ericsson 20 IBM 14 Intel 13 Nokia 27 e Toshiba 15 e depois passaram a fazer parte 3Com 24 Lucent Technologies 25 Microsoft Corporation 16 e Motorola Inc 11 A tecnologia ganhou sua vers o atual que trabalha com uma faixa de freqi ncia dispon vel globalmente de 2 4 GHz que permite que dois dispositivos m veis em um raio de 11 dist ncia de 10 100 metros transfiram recebam dados com velocidade de 723 2Kbps ou 2 1Mbps utilizando uma nova especifica o de transfer ncia de dados licenciada em 2005 Enhanced Data Rate specification Cada dispositivo pode simul
66. om um HUB topologia em barra pois todos escutam o tr fego da rede claro desde que estejam presentes na localidade de sinal Como a entrada e sa da de Pockets PCs Smartphones e derivados nas m os ou bolsas de visitantes em empresas n o s o muito controladas torna se f cil capturar tr fego wireless para futura an lise Alguns sniffers para Windows Mobile necessitam que o dispositivo esteja conectado a alguma rede antes que possa capturar tr fego No entanto esta dificuldade n o existe nos sniffers para Linux podendo facilmente capturar o tr fego do canal desejado Kismet e tcpdump s o exemplos de tais ferramentas A figura a seguir mostra a captura de tr fego de um usu rio da rede quando acessava a p gina do Google utilizando o vxSniffer Trace http Detail 45 00 p 0 E 40 69 0 8 Us a GT A BETR f1 1 Accept UA OS Window s CE Pocket PC Version 4 20 UA color color 16 UA pixels 2 40x320 UA CPU Intel R PXAZS5SO Figura 10 vxSniffer em a o 36 importante ressaltar que um Pocket PC por exemplo suporta interface Ethernet al m da wireless o que permite a sua conex o direta a um HUB ou switch e mais uma vez capturar tr fego 3 3 5 An lise de vulnerabilidades Uma vez dentro da rede os PDAs podem realizar o mesmo tipo de varredura que um PC Varreduras atrav s de requisi es ICMP por servi os conhecidos e at mesmo exploits pode
67. que gostar amos de ressaltar que o c digo presente em uma janela n o pode enxergar ou modificar o c digo presente em outra A raz o para isso que um atacante poderia esconder uma janela com c digo malicioso e tentar induzir o usu rio e fornecer informa es confidenciais A seguir ilustramos uma maneira de explorar este tipo de situa o Note que a URL que aparentemente est sendo acessada johnny ihackstuff com est na verdade apontando para uma p gina em outro servidor Web Quando acessada o conte do da p gina alterado pelo c digo n o exibido devido ao pequeno tamanho da barra Internet Explorer 12 25 Xx View Toos 7 S A 7 Figura 5 barra de endere os reduzida pode enganar usu rios 2 1 8 Acesso a arquivos locais usando o Pocket IE Outro recurso a possibilidade de acesso a arquivos locais usando o Pocket Internet Explorer Combinando este artif cio com o problema citado anteriormente de execu o de 17 c digo em frames ocultas temos um verdadeiro risco de seguran a A seguir Listamos apenas uma pequena quantidade de tipos de arquivos que podem ser carregados atrav s de um frame e aberto com o PIE XLS HTC HTP CPL itens do painel de controle INI Imagens 2BP Acesso qualquer pasta Acesso a pasta raiz Um vetor potencial encontrado o fato do PIE permitir a visualiza o de p ginas previamente acessadas armazenadas em cache e que podem ser
68. quivo CAB usado pelo Windows Mobile para instalar programas que foram tanto transferidos diretamente para o PDA pela rede quanto transferidos atrav s de uma conex o do ActiveSync O problema n o est no fato do PDA usar estes arquivos mas sim em como estes s o processados e sequencialmente exclu dos Pr ximo cria o dos arquivos CAB foi descoberto que tais arquivos se auto excluiam ap s terem sido executados Enquanto este comportamento provavelmente uma tentativa de ajudar usu rios a manterem a mem ria de seus dispositivos limpa ironicamente se parece muito com o de cavalos de tr ia encontrados em PCs O comportamento em si observado n o aparenta um risco de seguran a significativo por m uma boa forma de ser ocultar a instala o de portas de entrada em PDAs Como a execu o de CABs pode criar arquivos e entradas no registro do sistema al m de substituir ou excluir outros existentes um usu rio pode ser facilmente induzido a instalar c digo malicioso escondido em um pacote aparentemente inofensivo Por exemplo como saber se o jogo que foi transferido de um site na Internet n o cont m surpresas indesej veis A boa not cia que o Windows Mobile n o exclui automaticamente os arquivos CAB Esta medida n o ir proteger o sistema contra infec o mas ir possibilitar a inspe o do conte do dos arquivos instalados 2 1 3 Execu o autom tica de aplica es auto run Outra grande amea a a exec
69. r prias m quinas pessoais Estas aplica es foram encontradas na Internet e p de se verificar a compatibilidade e reconhecimento pelos mesmos Al m disso permitiu o manuseio parcial destas aplica es sendo poss vel descobrir como funcionavam antes de test las em dispositivos f sicos do laborat rio Os testes com emuladores nos permiram al m de tudo conhecer melhor o pr prio sistema operacional estudado apesar das limita es de performance ocasionadas devido aos recursos da m quina hospedeira Os testes com dispositivos reais foram mais ilustrativos pois representavam a realidade ou algo muito similar ao ambiente utilizado por um atacante Os testes com dispositivos reais possibilitaram as aplica es a executarem de forma mais perform tica do que nos emuladores mas a grande vantagem era a facilidade de uso das interfaces de rede 802 11 e Bluetooth nativamente 5 2 Discuss o sobre metodologia e crit rios de avalia o As vulnerabilidades testadas ser o apresentadas individualmente com a sua respectiva descri o e resultados obtidos na pr xima se o Ser o avaliadas aquelas que forem poss veis dentro do espa o de tempo e recusos dispon veis para a realiza o deste trabalho Procedimento dos testes Os procedimentos utilizados podem ser comparados a ataques reais pois fizeram uso de aplica es conhecidas e utilizadas por atacantes que podem ser obtidas facilmente na Internet Na verdade testes em laborat
70. re o conte do das mensagens Tentativas de adivinha o mais inteligentes s o usadas posteriormente e algumas vezes conseguem identificar todo o conte do da mensagem No entanto quando tais adivinha es estat sticas baseadas em apenas dois pacotes n o s o insuficientes para identificar o conte do da mensagem poss vel trabalhar com outros pacotes cujo vetor IV tamb m colidiu Em um tempo relativamente pequeno poss vel cotetar tr fego encriptado com a mesma chave fazendo com que a qualidade da an lise estat stica cres a rapidamente Uma vez que seja poss vel desencriptar toda a mensagem todos os outros pacotes que usam o mesmo vetor IV poder o ser desencriptados automaticamente 3 3 2 Ataques ao WPA Atualmente a nica forma de atacar o algoritmo WPA causando uma re autentica o for ada de um usu rio que esteja utilizando a rede necess ria uma conex o real e pode ser necess rio esperar para que a re autentica o aconte a Ataque de re autentiuca o for ada Neste ataque simples e efetivo basta for ar um usu rio ativo a se re autenticar e capturar o tr fego da re conex o e re autentica o o que economiza tempo pois n o mais necess rio esperar at que ocorra uma re autentica o espont nea Ap s alguns segundos a re autentica o j deve estar completa e poder ser feito um ataque de dicion rio contra a chave prim ria de encripta o PMK primary master key 3 3
71. ro EIS Aajne bm SO ixi alal uje b m s o g Configura es Bos m 11 32 ok 90 4 Configura es Br 11 32 X Bot es Entrada Hoje HP Protect Inf do Menus Tools Propriet rio Va a Op es do Senha Sons e MSN Notifica es Todas Dispon veis v Pessoal Sistema Conex es Sem Fio Adaptadores de rede e Figura 18 Controle remoto do PocketPC via Figura 19 Controle remoto do PocketPC via Internet Internet Configurar Redes Sem Fio Adicionar Nova Conectado Disponivel Disponivel Redes 4 acessar Teste Uso de ferramenta de an lise forense dumper para coleta de todas as informa es do dispositivo para posterior an lise Descri o Foi utilizada a ferramenta PDA Seizure uma das mais conhecidas para an lise forense de dispositivos m veis Restri es para funcionamento A aplica o suporta somente os seguintes modelos da s rie IPAQ H 1940 H 3630 H 3670 H 3760 H4155 HX2110 HX4705 RX1955 RX3115 RX3715 RZ1715 Mais informa es http www paraben forensics com cell models html Resultados A vers o do ActiveSync exigida pela aplica o a 3 7 0 ou 3 7 1 Removemos a vers o 4 0 e tentamos instalar uma das vers es requisitadas mas n o obtivemos sucesso devido incompatibilidades com o Windows XP A aplica o p de ser iniciada mas ao tentar se adquirir a imagem do PDA a comunica o n o foi estabelecida co
72. ros Diferentes Vers es O Windows Mobile lan ado em Junho de 2003 est dispon vel em diferentes classes de equipamentos Windows Mobile Pocket PC Permite controlar os contatos agenda tarefas a fazer anota es tocar m sicas v deos jogar receber e enviar e mails e mensagem instant nea dentre outras fun es Essa a vers o do Widows Mobile para os computadores m veis Windows Mobile Pocket PC Phone O sistema combina os recursos padr es do Windows Mobile para Pocket PC com os recursos para telefonia integrados ao PDA poss vel por exemplo discar para uma pessoa em sua lista de contatos enviar mensagens SMS navegar pela Internet etc Pode se considerar esse sistema o Pocket PC com recursos de celular onde o principal continua sendo o PDA Windows Mobile Smartphone Neste caso o foco diferente O Windows Mobile para Smartphones integra recursos de PDA em um equipamento criado para liga es de voz e do tamanho dos atuais aparelhos celulares O sistema desenvolvido para opera o com uma m o e otimizado para comunica o de voz e dados permitindo o acesso sem fio ao Outlook navega o segura na Internet e rede corporativa Em fun o das diferen as em rela o s outras vers es do Windows Mobile os programas para smartphone s o espec ficos e no geral incompat veis com as outras vers es do sistema 1 3 Introdu o ao IEEE 802 11 Uma rede sem fio do padr o 802 11 wireless L
73. ructure Beacon Period 100 Kusec ATIM Window O Kusec DHCP NjA DHCP MAC NJA DNS NjA Ld Gateway Nia A Applied IP NjA E AP IP NIA s lt E eEye Digital Securitu Figura 29 Ferramenta E eye WiFi Scanner identificou uma rede 802 11 com WEP habilitado 6 Conclus o Este trabalho ilustrou amea as de seguran a a dispositivos de computa o m vel abrangendo os principais sistemas operacionais e tecnologias de rede sem fio do mercado Percebe se que ainda n o h uma consci ncia dos perigos existentes por quase a totalidade dos usu rios destes dispositivos Muitos deles s o executivos e apesar de carregarem consigo informa es sigilosas que nunca deveriam cair em m os erradas n o se preocupam com este tipo de problema Existe uma tend ncia natural para a evolu o das amea as que cincurdam dispositivos m veis medida que seu uso se torne mais popular Algumas empresas j est o se preparando e desenvolvendo softwares para aumentar o n vel de seguran a de PDAs como por exemplo 53 sistemas de criptografia de dados e firewalls pessoais O poder de dissemina o das amea as se tornar cada vez maior causando grandes preju zos aos n o preparados Cabe aos desenvolvedores de software buscarem melhorar a qualidade de seus produtos para que menos falhas de seguran a ocorram e tamb m aos usu rios de PDAs a reclamarem quando est o insatisfeitos com a qualidade de determinada solu o A ind stria
74. s de sincroniza o com dispositivos m veis instalados nas esta es de trabalho s o protegidos por senha 15 Armazenar dados necess rios em m dulos apropriados e de forma encriptada 16 Visitar frequentemente websites de fabricantes em busca de corre es e vers es mais recentes dos softwares utilizados 17 Instalar corre es de software em dispositivos e esta es de trabalho afetadas Review security related mailing lists for the latest security information and alerts 18 Acompanhar listas de discuss o relacionadas na Internet para obter as ltimas informa es e alertas de seguran a 19 Assegurar que todos os dispositivos tenham mecanismos de bloqueio autom tico ap s um per odo de inatividade 20 Sincronizar regularmente dispositivos com suas respectivas esta es de trabalho Evitar armazenar informa es confidenciais no dispositivo m vel Se 21 necess rio deve se mov las para um local mais seguro quando poss vel 22 Desligar em per odos de inatividade portas de comunica o do dispositivo 23 Instalar software de antiv rus em todos os dispositivos m veis 39 24 Instalar firewalls pessoais em todos os dispositivos m veis y 25 Assegurar que os PDAs s o disponibilizados para os usu rios com N software firmware de controle de acesso 26 Instalar clientes de VPNs em todos os dispositivos m veis que N transmitem dados atrav s de redes wireless 27 Assegurar
75. seguir lt style gt layerl div sublayerl 4 width 50 margin 0 1 2 3 padding 4 float right layerl div sublayer2 width 50 margin 0 1 2 3 padding 4 float right lt style gt lt div id layerl gt lt div class sublayerl gt lt ul gt 111 lt ul gt lt div gt lt div class sublayer2 gt lt ul gt 222 lt ul gt lt div gt lt div gt Figura 4 C digo em HTML que ir finalizar imediatamente o Pocket Internet Explorer 2 1 6 Vis o reduzida de URLs H muitos anos atr s foi descoberto que o Internet Explorer processava endere os contendo caracteres codificados com Unicode Quando esta falha era combinada com requisi es HTTP do tipo usuario senha dominio era poss vel enganar pessoas fazendo as achar que estavam acessando links v lidos No entanto estas eram direcionadas a p ginas falsas Dado o tamanho limitado da barra de endere os do PIE f cil imaginar que algu m n o iria suspeitar 16 que foi vitima deste tipo de ataque Por exemplo o link a seguir ir direcion lo a WWW airscanner com ao inv s de www puc rio br http www puc rio br amp login rand 00 01AE67D12EF9090AB9330 36 39 2E 30 2E 32 30 30 2E 31 30 36 2 1 7 Modelo de Objeto de Dominio do PIE PIE Domain Object Model Janelas e divis es frames sempre foram muito usadas por desenvolvedores de aplica es web para apresentar diversas p ginas em um mesmo contexto de visualiza o O ponto
76. star na faixa E7 EE o que reduz ainda mais o n mero de possibilidades para 524 288 Com isso o ataque de for a bruta levaria 36 dias que apesar de j ser absurdamente menor mesmo assim n o pr tico O tempo necess rio para realizar a varredura n o s pode ser diminu do pela redu o das faixas de endere amento mas tamb m pela acelera o do processo de varredura A vers o atual do RedFang 31 permite a distribui o do trabalho da varredura entre diferentes dispositivos Se usarmos oito dispositivos para isso reduzimos o tempo total da busca por celulares Sony Ericsson 10 para quatro dias e meio Apesar deste tempo ser relativamente alto pode se esperar a redu o deste tempo atrav s de t cnicas mais avan adas 3 2 3 Descobrindo endere os Bluetooth enquanto se comunicam Endere os MAC Bluetooth podem ser descobertos observando o tr fego de comunica o entre dispositivos pois o endere o em si n o criptografado mesmo que o usu rio utilize criptografia Este um dos principais problemas com a especifica o do Bluetooth O chaveamento de frequ ncia em uso pelos dispositivos que ocorre 1600 vezes por segundo fornece uma prote o b sica ao tr fego n o criptografado No entanto o chaveamento de fregii ncias ocorre de forma pseudo rand mica o que significa que um hacker com as ferramentas necess rias poderia sincronizar com um padr o pr definido de chaveamento entre dois dispositivos em comu
77. taneamente se comunicar com at sete outros dispositivos O Bluetooth foi feito pensando se em seguran a oferecendo servi os como autentica o criptografia qualidade de servi o e outros recursos de seguran a No entanto a tecnologia ainda est vulner vel em v rios aspectos abrindo portas para ataques Os usos mais comuns do Bluetooth atualmente s o Fone de ouvido para celular sem fio Conectar uma impressora teclado ou mouse a um PC sem uso de fios Realizar transfer ncia de fotos ou m sicas entre telefones celulares Sincronizar informa es como calend rios agenda telef nica entre um PDA e um PC A tecnologia est em constante evolu o visando aumentar seu grau de seguran a funcionalidade e facilidade de uso Recursos de seguran a da tecnologia Bluetooth O recurso mais comum e mais conhecido de um dispositivo Bluetooth a possibilidade de mant lo invis vel ou n o perante outros ao seu redor como mostrado a seguir Bluetooth Name of my device MyPhone Bluetooth Off e On Visible to other devices Settings Figura 2 Op o de ser descoberto ou n o 12 Quando um dispositivo est vis vel este pode ser facilmente encontrado utilizando scanners programas de varredura da rede sem fio em busca de dispositivos Alguns scanners tamb m t m a fun o de sniffer ou seja podem fazer a coleta de tr fego de forma passiva Configurar o dispositivo
78. te a cada 100 ms Os beacons s o transmitidos na velocida de 1 Mbit s s o pacotes que tem pouca dura o e por isso n o impactam significativamente em performance Como a velocidade m nima aceit vel para se conectar rede de 1Mbit s assume se que a taxa de transmiss o dos beacons suficiente para atender at o cliente em piores situa es Baseado no SSID o cliente pode escolher qual rede se conectar Caso mais de um AP perten a mesma rede o firmware do cliente pode escolher automaticamente o AP mais pr ximo Como a transmiss o feita atrav s do ar neste tipo de rede as mesmas propriedades de uma rede em barra s o compartilhadas por exemplo at colis es podem aparecer No entanto as redes Wi Fi n o s o capazes de realizar detec o de colis o e por isso usam um m todo para evitar colis es 1 3 2 Origem e significado do termo Wi Fi Apesar da similaridade entre os termos Wi Fi e Hi Fi declara es feitas por Phil Belanger membro do grupo Wi Fi Alliance contradizem a cren a popular de que Wi Fi significa Wireless Fidelity De acordo com Belanger a empresa Interbrand desenvolveu a marca Wi Fi para o grupo Wi Fi Alliance para ser usada para descrever produtos de rede sem fio baseados no padr o IEEE 802 11 Segundo Belanger o termo Wi Fi e seu logotipo similar a um yin yang foram criados pela Interbrand contratada pelo grupo para identificar produtos compat veis e fazer um
79. tos outros usam o Pocket PC para controlar toda a infraestrutura da empresa O Brador um sucesso em parte pois o sistema operacional do Pocket PC n o vem com um monitor de processos nativo Sem um monitor de processos dif cil identificar e remover trojans No Pocket PC falta esse recurso e quando um usu rio tenta apagar o arquivo malicioso o sistema apresenta uma mensagem de erro dizendo que o programa est em uso Neste caso o nico jeito de remover o trojan seria realizando o reset de f brica do sistema Felizmente existem ferramentas apropriadas que fazem isso sem a necessidade da restaura o completa 25 3 2 Ataques via interface Bluetooth Ataques via bluetooth tem sido destaque j h algum tempo No entanto quando se chega mais perto para analis los percebe se que em sua grande maioria os alvos s o telefones celulares n o PDAs Apesar disso existem alguns problemas que devem ser endere ados importante ressaltar que estes problemas podem ou n o estar presentes no seu equipamento dependendo da implementa o da tecnologia empregada pelo fabricante do mesmo O primeiro ataque chamado bluejacking o que n o nada al m do envio de mensagens para um dispositivo m vel com a interface bluetooth habilitada O pr ximo problema que pode afetar usu rios de PDA s s o os ataques de nega o de servi o via bluetooth Uma das formas de faz lo enviando um pacote do tipo ping para o dispositivo que
80. u o autom tica de aplica es A simples inser o de cart es de mem ria pode levar execu o de c digo malicioso Como o Windows Mobile foi desenvolvido pela Microsoft a presen a de um arquivo chamado autorun exe em uma pasta chamada 2577 considerando que o dispositivo trabalha com processador ARM ser copiado para a pasta local do Windows e executado Se o arquivo for algum tipo de c digo malicioso ser executado sem a interven o do usu rio Para ilustrar o estrago potencial imagine que o cavalo de tr ia brador exe detalhado mais adiante fosse renomeado para autorun exe e inserido nesta pasta dentro de um cart o de mem ria dedicado a jogos de Atari O cart o provavelmente 14 seria compartilhado entre muitas pessoas dentro de uma empresa e infectaria cada PDA sem o consentimento de seus donos O estrago causado na verdade vai de acordo com a vontade do desenvolvedor do cavalo de tr ia que pode variar desde a instala o de um servidor FTP oculto at a execu o de um mecanismo do dispositivo que apaga todos os dados voltando sua configura o original hard reset 2 1 4 Restaura o das configura es de f brica Os PDAs em geral armazenam seus dados em mem ria interna dos tipos RAM e ROM Os componentes b sicos do sistema operacional s o gravados em mem ria Flash enquanto os arquivos e programas adicionais em mem ria RAM Os modelos mais recentes come aram a incluir
81. uitetura do processador ARM Foi poss vel fazer a comunica o do emulador com o Microsoft ActiveSync software de sincroniza o de dados entre o PocketPC e o PC zx A Smartphone W Eid File Flash Help Qe start E Ti df 10 24 Tuesday September 05 2006 File Flash Help w Owner Br Kovacs No unread No E No upcoming appointments Figura 11 Emula o do Windows Mobile Figura 12 Emula o do Windows Mobile 2003 SE em PocketPC 2003 SE em SmartPhone 5 1 2 Descri o do ambiente de testes com dispositivos f sicos Os testes pr ticos com dispositivos f sicos foram realizados no Laborat rio de Colabora o Avan ada LAC Laboratory of Advanced Collaboration da Pontif cia Universidade Cat lica do Rio de Janeiro PUC RIO O ambiente foi composto pelos seguintes modelos de PocketPC e mais um PC com acesso Internet HP IPaq HX2490b Microsoft Windows Mobile 5 0 Windows CE 5 0 Interfaces de rede Wi Fi e Bluetooth 41 HP IPaq H5450 Microsoft Windows Mobile 2003 Windows CE 4 2 Interfaces de rede Wi Fi e Bluetooth 5 1 3 Vantagens e desvantagens quanto aos ambientes Os testes foram realizados nos dois ambientes citados anteriormente devido presen a de vantagens e desvantagens oriundas de cada um O ambiente de testes com emuladores nos trouxe a facilidade de trabalhar com aplica es desenvolvidas para os sistemas operacionais Windows Mobile 2003 e 5 0 em arquitetura ARM em nossas p
Download Pdf Manuals
Related Search