---

ZON usa passwords com apenas três letras para acesso remoto a modem Posted: 21 Dec 2012 04:07 PM PST A falha pode ser grave e atinge todos os modems colocados em casa dos clientes desde 2010. Além de monitorização abusiva, a ZON usa o username e password “acs”. A falha de segurança pode permitir a que qualquer pessoa, por poucos conhecimentos informáticos que tenha, consiga aceder a todos os modems que existem ligados à rede da ZON. A ZON já foi diversas vezes confrontada com esta situação, nomeadamente pelo fundador do Tugaleaks há dois anos mas sem quaisquer resultados práticos. No entanto, há poucas semanas chegou ao Tugaleaks a informação do username e password “universal”que pode ser usado para se efetuar a ligação a cada modem, pois todos partilham desta mesma combinação de acesso. O que não nos foi indicado foi o URL completo, tendo apenas a informação do URL inicial que não nos devolve qualquer resultado “prático”. No entanto é óbvia a falha que está por detrás de uma porta “invisível” que não conhecemos nem conseguimos fechar no router e muito menos está contratualmente definida. Como aceder à porta “escondida” Primeiro que tudo precisamos de saber IP externo e este site indica-nos o IP sem esforço. Depois de sabermos o IP basta irmos a um browser e usar este endereço: http://ENDEREÇO-IP:7654 Notem que a porta 7654 não aparece listada no router ZON para fechar ou abrir mas está aberta sem o nosso conhecimento ou consentimento. Vai ser pedida uma password e um username que são ambos iguais e fáceis: acs. Caso haja sucesso na entrada vai aparecer uma mensagem “405 Method Not Allowed” que significa que está ligado mas que o método de entrada (o URL) não está correto. Caso contrário a mensagem será “401 Unauthorized”. Embora a partir daí não se consiga fazer nada, a menos que seja descoberto o URL específico que a ZON usa, qualquer ex funcionário da ZON com um pouco de agilidade informática poderá facilmente ter acesso a informações privadas dos nossos computadores. A ZON mente sobre a sua segurança Em carta enviada à ZON no mês passado, o Tugaleaks, através de um dos seus membros, questionou à ZON se as passwords eram alteradas frequentemente. A ZON não respondeu diretamente á questão, mas existe um e-mail, no artigo escrito há dois anos e que tem essa resposta a indicar precisamente que a password é sempre alterada, facto que agora constatamos ser falso: Todos os acessos ao equipamento são feitos através do Sistema de Gestão de rede e usando passwords geradas automaticamente e apenas utilizáveis uma vez durante a sessão de monitorização. A tecnologia envolvida e a lei Portuguesa Pela lei existente em Portugal, nomeadamente a Lei 32/2008, qualquer ISP é obrigado a monitorizar o cliente e a recolhe alguns dados e guarda-los por um período de tempo. Mas os dados são alguns e bem definidos na presente lei. A tecnologia que é usada pela ZON permite não só cumprir a lei como ir para além da lei, nomeadamente na monitorização da Rede Wifi e no consumo dos downloads e protocolos usados, mesmo que o tráfego seja ilimitado. Mais informações neste PDF. CNPD não faz nada Com os dados ameaçados (vamos imaginar que alguém coloca uma mesma password na rede wireless que é também a password do e-mail) em 2011 foi pedido um parecer e efetuada uma queixa à CNPD. A queixa pode ser consultada aqui bem como a resposta da ZON. Embora a ZON esclareça sempre e atribua “as culpas” à limitação de determinadas funções pelo modem ser propriedade da ZON, não existe forma de deixarmos de usar o modem proprietário, fechado e impossível de controlar na totalidade. Recordamos ainda que a PT, Cabovisão, Vodafone e outros ISPs permitem o uso do próprio modem em algumas circunstâncias sendo a ZON dos únicos ISPs a não permitirem tal facto. ZON envolvida em polémicas de segurança no passado Foi há alguns meses noticiado que a plataforma online de prescrição de medicamentos Orkos, alojada na ZON, teria uma vulnerabilidade gravíssima que permitia o acesso a receitas de saúde privadas de utentes se os médicos usassem essa plataforma. A notícia pode ser consultada aqui. Não há qualquer dúvida de que embora não seja para já divulgado o acesso total a esta ferramenta, por razões óbvias, qualquer pessoa mal-intencionada consegue com um pouco de sorte ou experiência causar danos significativos na maioria dos modems que a ZON comercializa. Uma ferramenta como o URL Snooper mas para encontrar qualquer URL e não apenas de vídeos poderá, num futuro próximo, dar dores de cabaça a esta empresa mas sobretudo a todos os seus clientes.