WiFi@CR (Capitulo 2)
17 Março 2006Duvidoso com as questões de segurança nas empresas em Caldas, decidi por mãos á obra e escolher ao acaso uma rede qualquer. Um amigo tinha-me dito aqui a algum tempo que estava a usar a rede wireless de alguém e que até já tinha desactivado a Cabovisão, pois não havia qualquer necessidade de manter aquela assinatura quando tinha o suficiente para aceder ao mail.
Telefonei-lhe e 10 min mais tarde estava confortavelmente sentado na sala dele á procura da tal rede, e nem foi preciso grande esforço, o software da intel imediatamente detectou-a e conectou-se. Verifiquei então se ela constava no meu “catálogo”, e lá estava ela, com uma força e sinal pujante.
Uma ligação a 11Mbs, so far so good, mas estava curioso em saber quem mais estava conectado. Abri o meu ipscan e foram detectados mais 5 máquinas além da minha, peguei no ip logo do primeiro e acedi. Imediatamente me apercebi que estava na pagina de entrada do router wireless, 192.168.2.1, demasiadamente típico, logo de seguida pedia-me a password, que por default seria admin | 1234, nem mais, era mesmo essa… nem ao trabalho se deram de alterar. Até aqui ainda nada de realmente grave, até que peguei no ip .15 da mesma rede e tentei aceder. C$ partilhado, ora bem, ate o command.com lá estava, a partir do nome do computador apercebi-me que estava no computador de uma mulher. Um rápido vasculhar aos programas instalados apercebi-me de que afinal não estava num computador qualquer, mas sim num computador de uma advogada, pelos tipos de softwares instalados, aos quais consegui, obviamente sem qualquer esforço, ter acesso a ficheiros confidenciais, e ao próprio software.
Quis saber afinal quem seria tão descuidada criatura, dirigi-me então á pasta Os Meus Documentos e qual o meu espanto, que só lá estava o seu Curriculum Vitae (com todos os seus detalhes) como também uma árvore genealógica contendo toda a sua família até ao seu 2º avô!
Incrível foi o facto de ter permissões de escrita em todas as pastas, mas nada que já não me deixasse admirado. Não satisfeito ainda, acedi aos restantes, “felizmente” só mais um estava aberto, mas apenas com 2 ou 3 pastas partilhadas, mas também com memorandos e cartas ás quais eu não deveria ter acesso. O nome desse computador tinha o mesmo nome do escritório de advogados do andar por baixo da casa do meu amigo.
Assim conclui, “satisfeito”, a minha primeira experiência, que com sorte ou azar, depende agora do ponto de vista, provou a minha teoria, com 52 redes completamente abertas (mesmo abertas), com certeza iria encontrar alguma que não deveria estar aberta.
Convêm referir que mais uma vez, por ética, deixei ficar tudo como encontrei.
É chocante ver, num país com tantos problemas por causa do segredo de justiça, um escritório de advogados, que supostamente guarda os nossos dados de forma sigilosa, não ter métodos de trabalho, políticas de segurança, infraestruturas adequadas e, pior de tudo, desleixo quanto a todas estas questões.
Pela mesma ética quando verificaste que a partição C estava partilhada não devias ter ficado apenas por ali? Tinhas mesmo que vasculhar os ficheiros?
Boas
Obrigado Claudio Franco pela critica antes de mais. Tens toda a razão no que dizes e não penses que eu não pensei antes de o fazer. Da mesma forma que explorei, também tive a noção que estava a invadir a privacidade de alguém, e que não o deveria estar a fazer. Deves entender acima de tudo este caso (que apesar de ser real) como um “bom exemplo” de más praticas de segurança, apenas o fiz com a preocupação de mais tarde expor no meu blog (obviamente não identificando locais e entidades) e de informar que é necessário ter cuidado com todas as questões de segurança e de privacidade relacionadas com as redes wireless. Sabes tão bem como eu que este, com certeza, é um caso em milhares por todo este Portugal fora, e pelo mundo fora. Tenho a minha consciência limpa a partir do momento em que avisei o respectivo escritório, e neste momento, a rede está protegida, (embora ainda com algumas falhas, e não da forma como aconselhei).