Monday, September 01, 2003

:: "Suporte técnico"??? ::

Obs.: Para quem pegou o bonde andando e não está entendendo nada, aconselho a ler o post do dia 29 de Agosto (sexta-feira), onde narro o início da novela "O Site do Kenjiro foi crackeado".

Pois entonces... vamos ao que interessa. Depois de toda aquela palhaçada que já lhes contei no meu último post... enviei um email para o "suporte técnico" da BrTurbo, esperando que alguma coisa decente me fosse dita. Abaixo lhes mostro uma cópia do texto que enviei a eles:

"To: suporte@brturbo.com
Subject: Problemas com a segurança dos servidores?


Boa tarde!

Venho através desta mensagem levantar algumas questões quanto à segurança dos serviços/servidores de vocês.

Trabalho como Administrador de Redes, portanto julgo não ser tão leigo assim no assunto.

Tenho duas situações a relatar:

1- Há várias semanas venho recebendo emails vindos do suposto endereço "admin@brturbo.com". Obviamente, suponho que muitos outros usuários do provedor (BRTURBO) estão recebendo as mesmas mensagens. Recebo no mínimo 5 dessas todos os dias.

A priori achei que fosse um problema localizado apenas no que diz respeito aos usuários da BRTURBO, um SPAM gerado por algum usuário contaminado por virus, etc. Por isso não dei muita atenção.

Porém, desde a semana passada esses emails começaram a ser enviadas para um dos servidores que administro (no trabalho).

Abaixo vai o cabeçalho da última mensagem que recebi em minha própria conta de mail (da brturbo):

======================

Received: from 10.160.121.32
Received: from localhost (unknown [200.189.154.42])
by mx1.brturbo.com (Postfix) with SMTP id C540F194234
for ; Fri, 29 Aug 2003 14:18:24 -0300 (BRT)
From: admin@brturbo.com
To: Kenjiro
Reply-To: admin@brturbo.com
X-Mailer: The Bat! (v1.61)
X-Priority: 2 (High)
Subject: your account ieeekroo
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----------B3E7D6F10021EE9"
Message-Id: <20030829171824.C540F194234@mx1.brturbo.com>
Date: Fri, 29 Aug 2003 14:18:24 -0300 (BRT)
Status: RO
X-Status: O
X-KMail-EncryptionState: N
X-KMail-SignatureState: N

=====================

Pelo que vejo acima chego a conclusão de que o(s) servidor(es) de mail de vocês estão abertos para relay externo.

De antemão aviso que nenhum dos IPs registrados nesse cabeçalho é usado por mim.

Peço que resolvam esta situação com a máxima urgência, pois se isso continuar ocorrendo (os SPAMs sendo enviados ao meu servidor) obrigar-me-ei a entrar em contato com o CERT-RS para tentar achar uma solução mais drástica.

2- Hoje de tarde tentei acessar meu site (no provedor de vocês):

http://www.kenjiro.brturbo.com

E qual não foi minha surpresa ao ver, ao invés da minha página de abertura, a mensagem abaixo:

"VAI SE FUDER KENJIRO DO CARALHO!!!!"

*Obs.: Em anexo envio duas screenshots que tirei para poder provar o fato, contendo data e horário das "fotos"

*Obs.-2: Caso não tenham indentificado, estou usando o navegador Konqueror, em um Slackware Linux.

Quanto a este caso eu gostaria de, primeiramente, aconselhá-los a ter pessoas mais bem treinadas para atender os clientes.

Ao ligar para o suporte técnico a moça que me atendeu insistiu em dizer que era problema de virus, que eu tinha recebido algum email contaminado, etc, etc. Tudo bem, ela não tinha a mínima obrigação de saber que eu não sou um usuário leigo, alguém que não entenda muito "da coisa". Após eu dizer que utilizo Linux 100% do tempo aqui no trabalho, que sou administrador de redes e que tenho certeza que minha máquina não foi infectada por vírus, ela resolveu entrar em contato com um supervisor. (até então a moça não havia entendido que o problema estava no meu site, e não na minha máquina).

Tal supervisor me disse que segundo a checagem que eles haviam feito o problema só poderia ter uma causa: alguém sabia meu login e senha (além de mim, claro).

Informei-lhes que não passei o login e senha para ninguém. Só eu possuo tal senha. Claro que alguém poderia ter "roubado" minha senha através de um cavalo de tróia que possivelmente estivesse instalado em meu PC doméstico. Porém tenho atualizado meu antivirus com frequência (de 3 em 3 dias faço verificação por atualizações).

Bem...

Minha primeira suspeita foi a de que alguém teria invadido o servidor de FTP de vocês e alterado meu site (bem como teria feito com mais outros usuários, senão todos). Mas suponho que esta informação não me será dada, correto?

Então vamos à segunda suposição: alguém conseguiu A MINHA SENHA (seja sniffando uma conexão ftp aqui onde trabalho ou com um cavalo de tróia em meu PC (e que meu antivirus não detectou),etc, etc).

De qualquer forma, vocês devem ter os logs de acesso ao servidor de vocês. Portanto peço-lhes que analisem tais logs para descobrir através de qual IP o "vândalo" obteve acesso ao servidor de vocês utilizando "meu login e senha".

Desta maneira poderei descobrir se o "atacante" capturou minha senha através de um sniffer em nossa rede interna (aqui no trabalho) ou se ele a conseguiu através de um Trojan Horse. Sinceramente, se tivesse que apostar em uma das alternativas, botaria minhas fichas na 2ª opção. Mas quase tudo é possível.

Dêem uma boa olhada nas imagens que enviei em anexo:

1- na primeira imagem (2003-08-29-I.png) há duas janelas: a que está por baixo é o meu navegador (mostrando a "mensagem de carinho" e o endereço do meu site) e a que está por cima, que é uma janela de terminal (onde fiz uma conexão FTP com o servidor de vocês para mostrar a data de alteração do site)

Notem que a data indicada pelo arquivo 'index.htm' é de "20 de Agosto". Ou seja, suponho que a data de deleção de todos os diretórios e arquivos que eu tinha ocorreu nessa data.

2- na segunda imagem (2003-08-29-II.png) as janelas são as mesmas, porém estava querendo testar se a data do servidor de vocês estava correta. Como pode ser visto pelo arquivo "teste.html" e o diretório "jpg" que eu criei para o teste, a data está correta: 29 de Agosto.

Porém uma coisa interessante é o fato de que, por default, o sistema de vocês cria os arquivos com as permissões "-rw-rw-r--" e os diretórios com as permissões "drwxrwxr-x".

Isso não é bom, pois quem for membro do grupo 'ftpusers' poderia "gravar" ou "deletar" aquele arquivo e/ou diretório.

Claro que vocês podem dizer "Cada usuário é responsável pelas permissões de arquivos de seu site". Tudo bem! Mas nem todos sabem alterá-las, correto? Ao que tudo indica, baseado no atendimento que obtive do suporte técnico de vocês (por telefone), a grande maioria de seus usuários são MUITO leigos.

Obviamente já comecei a trabalhar para colocar meu site de volta em pleno funcionamento. Renomiei o arquivo 'index.htm' para "index-hacked.htm" e já estou começando a fazer upload de todos os arquivos e diretórios.

Espero contato urgente da parte de vocês, pois desejo descobrir o que aconteceu: falha de vocês (na parte da segurança dos serviços e/ou servidores) ou falha minha.

Agradeço seu tempo e atenção"


Obs.2: Não coloquei as imagens, que anexei ao email, aqui no site porque acho desnecessário. Até porque a explicação que dei no texto é bastante suficiente.

O que me dizem? Fui educado o suficiente?

Outra pergunta... vocês acham que o pessoal da BRTURBO sequer sonha em saber o que é um CERT? Eu acho que não!

(segue no próximo post)

No comments: