[GTER] Backdoor em equipamentos da CISCO pode ser usado por cybercrime

Tukso Antartiko tukso.antartiko at gmail.com
Fri Feb 5 14:08:18 -02 2010 

Acho injusto terem mencionado a Cisco, só a utilizaram como exemplo
pois foi a única que disponibilizou sua especificação publicamente.

Não é bem assim, o pessoal técnico local não pode saber, mas alguém do
ISP sabe. Que eu saiba ninguém ativa nada remotamente, depois de
capturados os dados podem ser enviados remotamente mas a ativação não,
isso seria loucura. Alguém tem que ir lá fazer, mesmo que tenha que
viajar para fazer apenas isso. Um diferencial é que o governo
reembolsa os seus gastos, outro que não há violação de privacidade à
priori, o registro de qualquer informação só começa depois do
recebimento do pedido. Apesar dos recursos disponíveis serem avançados
a maioria dos pedidos são coisas simples, que no Brasil costuma ser
fornecida com a mínima burocracia e que qualquer um "põe a mão".

Não sei se é o caso, mas seria estranho a CISCO fornecer este mesmo
tipo de equipamento em países onde não haja regulamentação. Apesar da
CISCO ser obrigada a respeitar a legislação americana, eu me
preocuparia mais com algum(ns) fabricantes que porventura sejam
obrigados a seguir a "legislação" de outros países que tenham uma
preocupação menor com as liberdades individuais. Nunca permita acesso
remoto a nenhum equipamento crítico.

No caso do Brasil, seria interessante, do lado dos provedores, uma
regulamentação do que e como deve ser fornecido para as autoridades
judiciais, mas do lado do indivíduo a preocupação com a privacidade
nunca foi levada à sério pelos legisladores e que não penso que neste
caso seria diferente, muito pelo contrário, pelo histórico recente a
tendência é piorar.

On 2/4/10, Andre Gustavo de C. Albuquerque
<gustavo.albuquerque at gmail.com> wrote:
> Olha, vc escolheu bem o assunto, chama bastante atenção.
>
> A interceptação legal nos Estados Unidos teve sua definição formalizada pela
> CALEA (Communications Assistance for Law Enforcement Act) e regulamentações
> posteriores definidas por uma série de "decretos" da FCC, redigidos com o
> feedback da indústria. Maiores informações podem ser obtidas na
> fonte: http://www.fcc.gov/calea/ . Há uma FAQ organizada pela TIA
> em http://www.tiaonline.org/standards/technology/calea/faqs.cfm
>
> Tenho curiosidade de ver a apresentação do Tom Cross. Ela se tornará
> pública, ou o acesso é restrito aos participantes da conferência?
>
> Um trecho da reportagem chamou especial atenção:
>
> *But the result, Cross says, is that any credentialed employee can implement
> the intercept to watch users, and the ISP has no method of tracking those
> privacy violations. "An insider who knows the password can use it without an
> audit trail and send the data to anywhere on the Internet," Cross says.*
>
> É premissa da lei em questão a não possibilidade de detecção do "grampo".
> Quem comercializa equipamentos de telecomunicações no mercado dos Estados
> Unidos, tem que implementar isso.
>
> Lá, o FBI tem conectividade direta com os backbones dos ISPs e disparam a
> ordem de realização de um grampo a partir das repartições oficiais, sem
> notificar ninguém da operadora (ninguém deveria saber senão a autoridade
> policial).
>
> No Brasil não há ainda regulamentação sobre o assunto. Tem juiz que manda
> gravar em CD, delegado que manda enviar impresso pra delegacia... Esse
> assunto é sério e deveria ser regulamentado por aqui também.
>
> Abs, Gustavo Albuquerque
>
> On Wed, Feb 3, 2010 at 5:36 PM, Wagner Elias <wagner.elias at gmail.com> wrote:
>
>> Palestra bem interessante de um pesquisador na Black Hat. Ele fala
>> sobre a obrigatoriedade das empresas que fabricam equipamentos de
>> netwotking implementar um backdoor e que o da CISCO é fácil de
>> "quebrar" e pode estar sendo usado para quebra de privacidade e
>> cybercrime.
>>
>> Bastante interessante e assustador. ;-(
>>
>> http://www.forbes.com/2010/02/03/hackers-networking-equipment-technology-security-cisco.html?boxes=techchanneltopstories
>>
>> Abs.
>>
>> --
>> Wagner Elias - OWASP Leader Project Brazil
>> ------------------------------------------------------------------
>> Twitter: www.twitter.com/welias
>> Blog: http://wagnerelias.com
>> Profile: http://www.linkedin.com/in/wagnerelias
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list