Fraude eletrônica no DNS do Virtua, parte III - Fim.

12 de Abril de 2009, por Desconhecido - 1111 comentários

Resultado do problema ocorrido e relatado nos posts:

http://stoa.usp.br/calsaverini/weblog/47461.html
http://stoa.usp.br/calsaverini/weblog/47466.html

O DNS do virtua foi consertado. Pessoas responsáveis por esse tipo de coisa foram notificadas (CAIS/RNP, o pessoal do Bradesco e a NET). Mas fica um gostinho amargo na boca por várias razões:

  1. É impossível para um usuário com um pouco mais de conhecimento técnico entrar em contato com o departamento técnico da NET de uma forma ágil. Problemas como esse DNS que precisava ser derrubado ou consertado imediatamente para evitar fraudes, não estão ao alcance dos atendentes comuns do SAC da NET.

    Veja o relato que o Walrus dá sobre a forma como foi atendido pelo SAC:
    http://stoa.usp.br/walrus/weblog/47467.html

    Eu e o ispmarin (http://anotherlifeform.wordpress.com/)  passamos pelo mesmo problema tentando contatar os caras da NET.

  2. O Walrus encontrou (http://stoa.usp.br/walrus/weblog/47484.html) outros casos de poisoning no DNS da NET. Isso significa que eles não ligam para segurança do negócio e estão fazendo a coisa de forma mal feita e sem cuidado. O problema é antigo e nada foi feito depois de várias denúncias.

Por isso não é seguro usar os servidores de DNS do seu provedor, seja ele qual for. Esses caras não se preocupam com regras mínimas de segurança e você pode ser vítima de fraudes por causa do desleixo técnico deles.

A saída é usar um servidor público de DNS bem manejado, como o OpenDNS (www.opendns.com). 

No site há instruções de como usar o servidor deles direitinho. Isso deve evitar qualquer tipo de DNS spoofing como o que ocorreu com o Virtua e o site do Bradesco. 



Fraude eletrônica no DNS do Net Virtua - parte II

11 de Abril de 2009, por Desconhecido - 22 comentários

Continuação do que foi reportado no post - http://stoa.usp.br/calsaverini/weblog/47461.html

O Walrus reportou que quando a namorada dele tentou acessar o site do Bradesco, foram exigidos mais dados do que o normal. Quando ele tentou verificar a qual IP o site estava sendo direcionado, ele percebeu que não era o site genuíno do Bradesco. Veja o post dele em - http://stoa.usp.br/walrus/weblog/47454.html

O que eu verifiquei foi o seguinte.

Aqui na minha casa o site do Bradesco abre normalmente, no site genuíno. Eu sou cliente do Virtua, portanto não são todos os servidores DNS que estão afetados. O próprio Walrus achou um que não está. 

Usando o dig com o endereço do DNS que foi afetado é fácil achar o IP do site falso. Usando o comando:

dig @201.6.0.43 www.bradesco.com.br

é possivel verificar que esse DNS (201.6.0.43) está associando a URL www.bradesco.com.br com o IP 210.205.6.50, que é o site falso. Um outro comando (whois www.bradesco.com.br) mostra quem é o site verdadeiro 200.155.80.65 .

Um whois diretamente no IP do site falso (whois 210.205.6.50) retorna algumas informações - em coreano. O IP está associado a uma empresa em Seoul, na Coréia do Sul:

 [ ISP Organization Information ]
Org Name      : SK Broadband Co Ltd
Service Name  : broadNnet
Org Address   : SK NamsanGreen Bldg. Jung-gu Namdaemunno 5(o)-ga Seoul

[ ISP IPv4 Admin Contact Information ]
Name          : IP manager
Phone         : +82-2-106-2
E-Mail        : ip-adm@skbroadband.com

Acessei o site falso no meu browser diretamente. Digitei números aleatórios nas senhas e números de conta - ele permite a entrada. Como ele não tem acesso ao banco de dados do banco ele precisa permitir que qualquer número funcione para ele poder dar continuidade à fraude. Segue uma sequencia de screenshots do que acontece. 

 Em primeiro lugar vêm o site falso, com uma cópia muito boa do site do Bradesco. 

 fraude 1

 Digitei então números quaisquer nos campos de login (conta e agência) e entrei. Fui direcionado a um lugar para digitar a senha. Note que no site genuíno do Bradesco, com um número de conta inexistente você sequer é direcionado para a próxima página, mas recebe a mensagem de erro ''conta ou agência inválidos''. 

Na próxima página há uma cópia do teclado virtual do bradesco. 

fraude 2

 

Digitei um número qualquer como senha e  'blablabla' como resposta secreta. Isso me levou para uma página requisitando a chave de segurança que pode ser obtida no cartão de senhas. Até aqui imagino que tudo esteja de acordo com o que o site do Bradesco normalmente pede. 

fraude 3

Na próxima página é que vem uma requisição estranha. O site afirma que o Cartão de Segurança expirou, e pede o CPF e a senha do cartão de débito. Nesse ponto um usuário cuidadoso já deveria achar estranho e ligar para o SAC, mas eu confesso que eu mesmo talvez tivesse colocado minhas informações aí. Nesse ponto o fraudador já possui o número de sua conta, agência, senha do internet banking, uma das chaves do cartão, seu CPF e senha do cartão de débito. Já é uma festa, mas ele não pode ainda movimentar a sua conta. 

E é por isso que na próxima página ele requisita TODAS as chaves do cartão de segurança. 

 Veja que o nosso fraudador é bem humorado: ele pede para que a pessoa verifique se o endereço no browser é o endereço do Bradesco antes de digitar qualquer coisa e pede que para solicitar o desbloqueio a pessoa observe cuidadosamente cada entrada do cartão e digite. Alguém que chegou a esse ponto deveria parar imediatamente. O próprio site genuíno do Bradesco informa que eles nunca requisitariam tudas as chaves do cartão de segurança.

Na próxima página ele pede a senha de saque do cartão de crédito e reafirma:

 Fique tranquilo!
Você está operando em um ambiente de segurança. A partir de agora,
somente o seu computador e o do Bradesco entendem as informações digitadas.

 

A tela final indica que a ''solicitação'' de um novo cartão foi feita e que a pessoa deve aguardar.

Pensando bem, qualquer pessoa deveria achar muito estranho que um site de banco pedisse simplemente TODAS as senhas que existem na conta da pessoa para fazer algo totalmente não-relacionado com o propósito dessas senhas. Mas as pessoas normalmente não estão atentas para essas coisas.

Pois FIQUEM ATENTOS. 

Essa fraude pode ter pego muita gente já.



Fraude eletrônica no DNS do Net Virtua

11 de Abril de 2009, por Desconhecido - 1Um comentário

Um dos endereços de DNS do Net Virtua sofreu um ataque de DNS Cache Poisoning e está fazendo com que os usuários desse DNS sejam redirecionados a sites fraudulentos quando tentam acessar suas contas bancárias do Bradesco. 

 O problema foi reportado pelo Walrus no seu blog do Stoa - http://stoa.usp.br/walrus/weblog/47454.html e eu confirmei aqui que de fato está ocorrendo com um dos DNS da Net. O problema não é com todos os DNS no entanto. 

Para entender o que está acontecendo é preciso entender como funciona o sistema de endereçamento na WWW. Cada site na internet está armazenado em um computador e cada computador possuí um endereço que permite identificá-lo na rede. Esse endereço é chamado ''Endereço IP'' e é uma sequência de quatro números. Por exemplo, o site  de busca do Google está localizado no endereço IP 64.233.163.103 (entre outros). 

Entretanto, para fazer uma boa interface com usuários humanos que não querem decorar números, foi criada a URL - Universal Resource Locator - que é esse endereço que você escreve no seu navegador favorito (internet explorer ou firefox). Por exemplo, o URL do site de busca do Google é www.google.com . 

 Você já deve ter percebido que é preciso alguém que diga para o seu navegador qual é o endereço IP  que está associado com o URL que você digitou. Esse cara é o servidor DNS - Domain Name System. O DNS é um computador que tem um banco de dados onde ele associa URL's e endereços IP de forma a informar o seu navegador em qual computador ele deve apontar para abrir o site que você pediu. Quando você conecta na internet normalmente se conecta automaticamente a um DNS do seu provedor de internet para resolver essas URL's. 

 O que aconteceu é que alguém alterou definições de um dos servidores DNS do provedor Net Virtua e associou a URL que costumava apontar para o site do Bradesco (www.bradesco.com.br) para um IP de um computador que contém uma cópia do site do Bradesco. Nesse site eles requisitam uma série de dados e provavelmente salvam em seu banco de dados para usar depois de forma maliciosa.

A recomendação é que não seja usado nenhum site bancário se você usa o Net Virtua. Por enquanto só estamos sabendo de um DNS que foi atacado e apenas um banco que foi alvo desse ataque. Mas não se pode saber como a coisa está de verdade e é melhor esperar que essas instituições se manifestem dizendo que está tudo bem.

Enfim. De forma geral, tome cuidado com o tipo de informação que você compartilha em sites na internet. Se tiver duvidas sobre as informações que o site do seu banco está requisitando, não continue. Pare imediatamente e ligue para o SAC do seu internet banking perguntanto se é normal que site exija essas informações. 

 No próximo post do meu blog eu vou colocar mais informações técnicas sobre o que houve e vou fazer um passo a passo das informações que o site falso está pedindo.



Que é Probabilidade?

24 de Fevereiro de 2009, por Desconhecido - 0sem comentários ainda

O conceito de probabilidade, e das grandezas associadas com a probabilidade, é uma dessas questões na ciência que levantou polêmicas, gerou inimizades e fomentou discussões das mais acaloradas. Como outros conceitos importantes, a idéia de probabilidade esteve no ar por séculos, antes que as primeiras construçoes matematicamente mais formais fossem produzidas. Já em 1657 foi publicado o Libellus de Ratiociniis in Ludo Aleae (livro de raciocínios sobre os jogos de azar) por Christian Huygens(*). Nessa época o foco da teoria das probabilidades era exatamente esse: como eu devo apostar de forma racional para ter lucro. Pode parecer um raciocínio talvez mundano ou indigno demais para alguns, ou algo que demonstra qualidades que muitos idealistas não esperam encontrar nos seus grandes ícones da história da ciência. Mas o fato é que esse foi um tema que preocupou as mentes mais brilhantes do século XVII em diante. Pascal, os Bernoulli, de Moivre, Euler e Laplace são alguns poucos dos nomes que investigaram sobre essa ciência indigna da aposta.

E então, que raios é uma probabilidade?

Duas coisas são normalmente subentendidas quando a palavra probabilidade é usada no nosso discurso cotidiano - e isso se reflete também no discurso científico. Quando eu digo que é muito provável que você me encontre na lanchonete do IF-USP nas segundas feiras as 14 horas quero dizer que na maior parte das segundas-feiras em que você me procurar nesse local e horário eu estarei lá . Estou fazendo uma afirmação sobre a freqüência de um certo evento num certo universo de situações repetitivas. Estou sendo frequentista.

Quando eu digo que é muito provável que sua namorada goste do anel que você comprou para pedí-la em casamento não estou fazendo o mesmo tipo de afirmação. Não estou dizendo a você que se procurar dar o presente para ela repetidas vezes, vai ter sucesso na maioria delas. Estou dizendo que, dado o conhecimento que eu tenho da sua namorada e do gosto dela por anéis, tenho um elevado grau de confiança no sucesso do anel como presente. Estou quantificando minha crença sobre algo de forma racional. Estou sendo bayesiano.

Thomas Bayes foi um clérigo inglês do século XVIII, que descobriu um teorema na teoria de probabilidades cuja interpretação divide até hoje as pessoas que usam probabilidades em seu cotidiano. O teorema de Bayes diz simplesmente que:

[tex]P(A|B) = \frac{P(B | A)\, P(A)}{P(B)}[/tex]

Onde P(A|B) quer dizer a probabilidade do conjunto de eventos A tomando-se o conjunto de elementos B como dados. Um frequentista vê o teorema de Bayes como um truísmo derivado apenas de propriedades óbvias de conjuntos. Um bayesiano vê como uma ferramenta de raciocínio.

Suponha que desejássemos um método de estabelecer o quão confiamos em uma proposição, dado que confiamos em uma outra com um certo grau. Ou seja, queremos estabelecer um número C(P1|P2) que nos diz o quão confiável é a afirmação P1, dado que eu confio na afirmação P2. Há uma série de coisas que nós gostariamos que esse grau de confiabilidade respeitasse. É possível mostrar (**) que um conjunto bem razoável de exigências resulta em uma definição unívoca para as regras matemáticas que nossos números C(P1|P2) devem satisfazer (teorema de Cox). O que impressiona é que essas regras são transposições exatas dos axiomas de Kolmogorov para a teoria de probabilidade para o campo da lógica de sentenças. Trocando em miúdos, esse sistema lógico que atribui um grau de confiança para cada proposição é formalmente idêntico ao sistema lógico que associa probabilidades a eventos.

Isso é bem estranho para um físico. Nós estamos acostumados a chamar de probabilidades propriedades físicas do nosso sistema físico em questão. São coisas intrinsecas aos nossos sistemas físicos que dependem apenas da sua dinâmica interna. Qual é a probabilidade de um certo decaimento nuclear ocorrer nos próximos 30 segundos é algo que não deve depender de quanto eu acho confiável que isso aconteça! Qual é a probabilidade daquela partícula visitar tal região do espaço de fase deveria depender apenas da sua dinâmica e não da minha capacidade de aferir confiabilidades!

Acalme-se. Não estamos falando da mesma coisa. É claro que existe uma propriedade física associada à sua partícula que quantifica quão frequentemente ela visita uma certa região do espaço de fases. É a probabilidade frequentista!!! Ou melhor, vamos dar um nome mais adequado a ela: é a freqüência!!! Você não precisa abdicar da objetividade do seu universo para ser bayesiano. O que você precisa fazer é reconhecer que existem duas coisas: as freqüências e as probabilidades, e que as duas podem ser usadas para muitas coisas.

E o que eu ganho com isso? O que eu ganho usando probabilidades como um sistema formal de lógica? Eu ganho uma ferramenta de raciocínio no teorema de Bayes. Na visão levantada pelo teorema de Cox, o teorema de Bayes é a forma correta de atualizar sua confiança ou crença em algo quando obtém novas informações. Isso abre possibilidades. O que isso tem a ver com o aprendizado de sistemas que processam informação (como o cérebro por exemplo) ?  Nosso raciocínio segue a regra de Bayes? Sistemas computacionais que aprendem usando a regra de Bayes são eficientes? (SIM!) O que isso tudo tem a ver com teoria de informação? Onde em física estamos falando de freqüências e onde estamos falando de probabilidades? Isso serve para alguma coisa?

E o que eu perco pensando só em termos de freqüências? Há situações em que as vezes pensamos estar falando de freqüências, quando estamos de fato julgando possibilidades segundo informações prévias - portanto usando uma forma mais evidencial de probabilidade. Quando eu digo, por exemplo, que espero obter com [tex]\frac{1}{2}[/tex]  de probabilidade uma certa face de uma moeda quando a lanço para cima, estou falando de freqüências? Se eu estivesse, eu deveria em primeiro lugar perguntar: de onde vem a variabilidade de resultados do lançamento de uma moeda? É claro para mim que a variabilidade está nas condições iniciais. Também é claro que o sistema tem uma série de atratores no seu espaço de configurações - alguns correspondentes à face cara para cima, outros correspondentes à face coroa para cima. É claro ainda que, dada uma boa distribuição de condições iniciais, eu posso sortear igualmente atratores de qualquer um dos dois tipos. Então parece que eu estou falando mesmo de freqüências uma vez que eu estabeleço como eu pretendo jogar  a moeda. Eu espero que de fato metade das órbitas que eu sorteio no processo de lançamento resultem em cara, e metade em coroa e portanto espero que no limite de muitos lançamentos eu acabe terminando com 50% de caras e 50% de coroas. Bastante objetivo e racional.

Mas veja a quantidade de coisas que eu tive que assumir para concluir isso: um lançador "ergódico" e honesto de moedas, uma estrutura do espaço de fases da moeda. Tudo isso para mim soa como informação que eu estou assumindo ao tentar atribuir um grau de confiabilidade para o resultado cara ou coroa. Qualquer pessoa bem treinada pode "quebrar a ergodicidade" da moeda e sortear muito mais caras que coroas. Eu mesmo já consegui, mesmo tendo uma habilidade manual não tão grande.

Uma visão alternativa é: uma vez que a moeda é um objeto simétrico, e eu não tenho informação suficiente para supor uma assimetria do processo de lançamento da moeda, não é razoável dizer que eu não posso ter uma maior confiança injustificada em qualquer dos resultados? Se por acaso eu descobrisse que a moeda está sendo lançada de maneira assimétrica, eu poderia tentar estimar então o quão enviesados serão os resultados através da regra de Bayes

Enfim... eu não pretendia com esse post argumentar de maneira categórica em favor da visão bayesiana, mas levantar curiosidade sobre algumas relações interessantes:

  1. Probabilidades podem ser vistas não como freqüências físicas, mas também como níveis de confiança a respeito de proposições.
  2. Probabilidades podem ser vistas ainda como forma de codificar informação: por exemplo informação sobre a simetria da moeda.
  3. E se probabilidades podem ser vistas dessa forma, é importante ter em mente, quando usamos a palavra, se estamos de fato nos referindo à probabilidade bayesiana ou às freqüências físicas.
  4. Freqüências são difíceis de se definir na prática: eu não posso fazer infinitos repetidos experimentos e portanto terei incerteza quanto às freqüências. Mas incertezas são justamente representadas como probabilidades! Então freqüências e probabilidades são coisas diferentes ou então eu tenho uma definição circular.
  5. Se eu estou falando de informação, o que a entropia de Shannon tem a ver com isso?

Enfim. Isso é tudo um aperitivo para estimular curiosidade para...

 

... ler mais ...

e buscar palavras-chave.

  • Inferência:
  • Probabilidade:
  • Jaynes, Laplace, Cox, Bayesian Inference
  • laws of physics as inference tools
Notas:
  • (*) Este livro do Huygens é dito o mais antigo livro sobre probabilidades pelo livro de cálculo do Tom Apostol. Não fui atrás de nenhuma referências sobre estória da matemática para verificar isso por não pretender fazer nenhuma revisão histórica sobre o assunto mas apenas apresentar minha percepção dessas coisas. Uma fonte sobre a história da probabilidade está aqui.
  • (**) Jaynes, E. T. Probability Theory: The Logic of Science, Cambridge University Press (2003).  Esse livro deveria ser leitura obrigatória para qualquer pessoa que ousasse emitir a palavra probabilidade pelos lábios. Não é meramente um livro-texto sobre teoria de probabilidade. É um livro sobre como raciocinar de forma adequada.  Versão parcial pode ser acessada aqui.


Surpresas

11 de Fevereiro de 2009, por Desconhecido - 44 comentários

Uns dias atrás em um post do blog Cosmic Variance o Sean Carroll estava se perguntando sobre  grandes surpresa na ciência.  Entre perguntas sobre qual foi a coisa mais surpreendente que já descobrimos e qual seria a próxima coisa mais surpreendente que poderíamos descobrir no futuro, diversas grandes surpresas foram levantadas pelos comentadores.

Quando falamos sobre coisas chocantes a respeito do universo tendemos a falar de micro-coisas e de mecânica quântica. Coisas estranhas acontecem nessa escala de tamanho, fenômenos incompatíveis com nossa experiência cotidiana da natureza e até difíceis de descrever para pessoas não-iniciadas em física moderna e contemporânea.

Apenas uma das pessoas qeu comentou se lembrou de uma coisa que foi históricamente muito mais chocante e que levou séculos e séculos de gradual aumento da nossa compreensão das coisas para se conhecer: a ordem de grandeza do tamanho e da idade do nosso universo, a distância até as estrelas próximas, a estrutura heterogênea na escala das galáxias, a estrutura homogênea na escala cosmológica, ... tudo isso levou 500 anos ou mais de pesquisa para ser estabelecido. E mais e mais fatos sobre a estrutura de larga escala do universo têm sido descobertos, em intervalos de tempo cada vez mais curtos. Que nós possamos conhecer tanto sobre essa estrutura do universo nas diversas escalas grandes de tamanho (com relação ao nosso tamanho) que compreendem a primeiro a Terra, depois  o sistema solar, as galáxias,  as estruturas cosmológicas,  ...  acho que essa é a maior supresa que a ciência já revelou. Maior que a estranheza do mundo microscópico.

Não que eu esteja diminuindo a surpresa que o mundo microscópico revelou. Mas eu acho que essas descobertas sobre o nosso macrocosmo são as que mais chocariam as pessoas mais brilhantes dos séculos passados se fossem reveladas prematuramente. Dizer para Galileu que as estrelas mais próximas estão a [tex] 10^{14}[/tex] quilômetros de distância e que conseguimos saber detalhes da estrutura de objetos que estão a [tex] 10^{20}[/tex] ou [tex]10^{21}[/tex] quilômetros de distância e que temos evidências confiáveis de que o universo tem algo em torno de [tex]10^{10}[/tex] anos de idade seria muito mais chocante do que tentar falar da estrutura atômica da matéria ou da inexistencia de trajetórias definidas para partículas microscópicas. E acho que o principal motivo para isso é que ele poderia entender isso. Talvez eu esteja errado e essas duas coisas, conhecimento das escalas do universo e a natureza microscópica da matéria sejam uma tão surpreendente quanto a outra. Certamente a segunda causou muito mais impacto de curto prazo na história do mundo, se isso é sinônimo de surpresa.

E as surpresas futuras? Algumas coisas foram sugeridas nos comentários, a maioria delas relacionadas à física de altas energias, algumas brincadeiras, poucas coisas que de fato me supreenderiam. Com o perdão da grande parte dos meus colegas arsphysicistas que trabalham nessa área, eu acho que  a física de altas energias e o mundo microscópio já são coisas tão estranhas  que a existência de alguma coisa ainda mais estranha ainda em escalas maiores de energia não me surpreenderia tanto.

O que realmente me surpreende? O quão rápido está evoluindo a neurosciência.

Um livro que 20 anos atrás dissesse que em 100 anos dominariamos a interface do cérebro com máquinas artificiais e que seriamos capazes de controlar, apenas com o pensamento, máquinas e computadores e até nos comunicarmos à distância usando redes sem fio ligadas aos nossos cérebros seria um livro de ficção científica. E seria daquelas ficções de mais remota realização. Hoje seria um livro de futurologia, daqueles até que bastante plausíveis.

Toda semana a Nature publica um ou dois artigos com feitos experimentais que seriam quase inacreditáveis alguns anos atrás. Pequenos circuitos neurais controlando pequenos robôs, neuronios crescendo estruturas em volta de eletrodos, pequenos sensores capazes de detectar o sinal elétrico emitido por um único neurônio in vivo  no cérebro de um ratinho, um macaco capaz de controlar máquinas complexas com sinais elétricos de seu cérebro a milhares de quilometros de distância através da internet. Daria calafrios nos mais imaginativos escritores de ficção-científica de 20 ou 30 anos atrás saber que essas coisas estavam tão perto de se realizar.

Claro que eu só estou falando de feitos tecnológicos e pouco de neurociência. A questão é que esses feitos vieram com a grande aumento compreensão rápido do funcionamento do cérebro. E ainda estamos nos princípios dessa compreensão. Por isso eu acho que as próximas grandes surpresas estarão associadas ao quanto podemos saber sobre como funcionam nossos próprios cérebros.