Ir para o conteúdo principal

Spoofing: A forma de ataque reportada pela PF no caso de vazamento dos procuradores da Lava Jato é realmente possível?

highlighted:
beforeContent:

Nessa semana a Polícia Federal (PF) executou algumas ações para prender os supostos hackers que teriam participado do acesso ilegal às contas dos procuradores e depois enviado os dados para o The Intercept

Na internet muitas pessoas compartilharam informações dizendo que a forma de ataque informada não seria possível então parei para realizar alguns testes e buscar um histórico sobre o caso.

E posso garantir que o Telegram é seguro se utilizar as ferramentas disponíveis, falo isso com propriedade pois há alguns anos ofereço serviços relacionados como a customização de interface e criação de bots para Telegram.

Essa forma de ataque, permite que o atacante acesse muito mais que o telegram, permite acesso a informações em outros aplicativos que usem só o número de telefone e chamadas com códigos para autenticação.

No caso do telegram depois que roubar a conta e clonar o número da vitma o atacante tem acesso as mensagens salvas no serviço.

Atualização (29/07/2019): O Telegram removeu o recurso de envio de código por chamada telefonica impossibilitando a exploração da falha descrita abaixo.

E o que é Spoofing?

Spoofing é quando uma pessoa ou programa consegue fingir ter outra identificação que pode ser um número de telefone, e-mail, IP, etc, por exemplo:

"Jonas" usou uma forma de ter o mesmo número de telefone da "maria" em seu telefone e usando esse número pode se passar pela Maria cometendo contravenções.

Uma das formas de simular o número de outra pessoa em uma ligação é usando um serviço de Voip como aparentemente aconteceu no caso dos supostos "hackers" que permite mudar o número de origem da ligação.

Para entender como funciona o spoofing nesse caso é bom entender o processo padrão do login com Telegram pela interface:

  1. Acessar um App móvel, desktop ou Telegram web
  2. A pessoa deve digitar as informações de ddd e número do celular 
  3. Primeiro o telegram envia o código de autenticação por mensagem na plataforma junto com um aviso
  4. Depois de alguns tempo ele permite a requisição de um código por SMS
  5. Após solicitar o código de SMS ele permite a solicitação de uma ligação com o código
  6. E se o usuário não conseguir atender por estar com o telefone ocupado ou fora de área a mensagem cai na caixa postal
    1. No caso dos testes que fizemos na operadora da Vivo, mesmo com a caixa postal desabilitada a mensagem foi salva na caixa postal.

Com esse processo o telegram tenta de todas as formas possíveis permitir que a pessoa se autentique oferecendo sempre a forma mais econômica. 

Esse processo padrão pode ser considerado pouco seguro e é oferecido por muitos outros serviços e empresas na internet.

O Telegram também oferece e recomenda o uso de autenticação com 2 fatores (2FA) que adiciona uma etapa extra após a autenticação com o código como uso de senha garantindo um nível muito alto de segurança.

Mas se o processo do telegram é seguro então o que aconteceu?

A falha da rede \o/ e falta de 2FA

As operadoras tem falhas como do exemplo abaixo e permitir o acesso ao código do telegram por exemplo:

Se um atacante ligar para o número clonado usando o mesmo número, a operadora pode redirecionar a ligação para caixa de mensagens da vítima dando acesso ao código do telegram ou qualquer código disponível na mesma.

Sim, essa falha permite acesso à qualquer tipo de código que pare na caixa de postagem e não é nova … vejam um vídeo mostrando esse tipo de ataque em 2016, no caso na itália: 

Link: https://youtu.be/CZ9YBdrtr8g

Mas a ativação da autenticação com 2 fatores (2FA) adicionando uma senha na conta evitaria o ataque pois o atacante teria que saber a senha.

Se essa foi a forma usada para atacar e roubar as mensagens dos vítimas relacionadas com a Lava Jato então o nível de segurança da PF na época era muito básico, algo incompatível com a importância dela e dos processos relacionados.

E agora como se proteger?

O telegram e outros serviços parecidos permitem a ativação da autenticação de 2 fatores (2FA) algo essencial para garantir a  segurança dos dados visto que as telefônicas não são muito confiáveis 

Então para se proteger você deve ativar a autenticação de 2 fatores (2FA) e caso faça algo antiético ou fora da lei, evite a internet … 

Mais informações sobre o 2FA no telegram: https://telegram.org/blog/sessions-and-2-step-verification e em português: https://telegram.org/faq/br#p-como-funciona-a-verificao-em-duas-etapas

Fontes: 

  1. https://en.wikipedia.org/wiki/Spoofing_attack
    1. O que é Spoofing

  2. https://www.youtube.com/watch?v=CZ9YBdrtr8g
    1. Exemplo de ataque similar ao informado pela PF

 


afterContent:
Widget: Comments 3:

Comments