[Owasp-cuiaba] [noticias] Google Street View coleta SSID, MAC e Payload de redes WiFi

Kembolle Amilkar kembolle em owasp.org
Terça Maio 1 00:36:20 UTC 2012


ta achando que é brincadeira??? da uma lida nisso... depois dizem que
facebook, twitter, e " derivados" é seguro. heuHEOAUHeoauhe
O *Google* possui um serviço muito interessante e polêmico chamado *Street
View* <http://www.google.com/intl/en_us/help/maps/streetview/>. Em operação
desde 2007, o *Street View* possibilita a visualização panorâmica de ruas e
avenidas de várias cidades do mundo a partir das interfaces do *Google
Maps<http://maps.google.com/>
* e *Google Earth <http://earth.google.com/>. No Brasil, o lançamento do Street
View será no segundo semestre de 2010 e incluirá fotografias de Belo
Horizonte, São Paulo e Rio de Janeiro.*
 *
*
 *Desde o seu lançamento o Street View já foi alvo de
inúmeros<http://www.digitaltrends.com/international/google-street-view-privacy-protest-in-japan/>
protestos<http://nexus404.com/Blog/2010/04/21/western-governments-stage-their-own-google-street-view-protest-ten-major-countries-complain-to-google-over-street-view-buzz-privacy/>
relativos <http://www.thelocal.de/sci-tech/20100330-26213.html> à
privacidade<http://topnews.co.uk/23017-google-s-street-view-raises-protest-britain-owing-invasion-privacy>ao
redor do mundo. Algumas medidas são tomadas pelo Google para evitar
este
tipo de problema: *

   - *existe (no canto inferior esquerdo da interface do Street View) a
   opção de solicitar ao Google a remoção de fotos consideradas vexatórias ou
   comprometedoras como a reproduzida no início deste artigo.*
   - *as fotos são tratadas utilizando algorítimos automatizados para
   garantir que placas de carro e rostos, por exemplo, sejam adequadamente
   borrados; *
   - *as fotos originais (não tratadas) são apagadas dos servidores do
   Google em 1 ano ou 6 meses (dependendo do país);*

  Os milhões de fotos que são apresentadas no serviço são capturadas por
carros (ou triciclos) do Google equipados com um GPS e 9 câmeras que
proporcionam uma visão 360 graus. No caso do Brasil, 30 carros cedidos pela
Fiat estão percorrendo mais de 1 milhão de quilômetros nas 3 cidades
incluídas inicialmente no projeto.

 O que pouca gente sabe é que outros equipamentos mais discretos que
câmeras são também embarcados nos carros do *Street View*: são antenas
Wi-Fi, GSM e 3G - usadas para coletar informações de redes wireless pelo
mundo afora.

 O Google já havia divulgado no final do mês
passado<http://googlepolicyeurope.blogspot.com/2010/04/data-collected-by-google-cars.html>que
estes dados se resumiam aos Mac Addresses (endereços físicos das
interfaces de rede dos roteadores wireless) e SSIDs (nomes das redes), que
seriam usados para identificação de estabelecimentos em ferramentas como o
Google Search e o Google Maps...

 Do ponto de vista do mapeamento de redes WiFi, sem dúvida o Google supera
grandes esforços de mapeamento de redes públicas, como o http://wigle.net/.

 Depois de protestos e pedidos de esclarecimento de países como
Alemanha<http://www.theregister.co.uk/2010/04/22/google_streetview_logs_wlans/>e
Austrália<http://www.smh.com.au/technology/technology-news/dear-google-20100513-v10t.html?rand=1273731564805>e
a solicitação germânica de auditoria dos dados de redes
*wireless* coletados - o Google resolveu olhar mais a fundo e publicou um
<http://googleblog.blogspot.com/2010/05/wifi-data-collection-update.html>*post
<http://googleblog.blogspot.com/2010/05/wifi-data-collection-update.html>*em
seu blog principal
hoje<http://googleblog.blogspot.com/2010/05/wifi-data-collection-update.html>,
corrigindo a informação citada anteriormente e estarrecendo muita gente.

 *Na verdade, os carros do **Google Street View** também capturaram o **payload
**(conteúdo das comunicações, como emails e navegação) de redes sem
proteção Wireless. *

 É isto mesmo, você entendeu certo. O Google possui terabytes e mais
terabytes e dados capturados de redes WiFi do mundo todo - possivelmente
desde 2007. E nunca reparou isto..

 A desculpa que foi
dada<http://googleblog.blogspot.com/2010/05/wifi-data-collection-update.html>envolve
a reutilização de um código feito anteriormente em um projeto
experimental que tinha por objetivo capturar amostras de dados WiFi
publicamente acessíveis. A equipe do Google Street View teria usado este
código sem saber que além dos dados de SSID e MAC estaria também sendo
capturado tráfego de milhões de diferentes *access points* pelo mundo...

 Para minimizar o problema, o Google argumenta que apenas fragmentos de
dados foram capturados porque:

   - os carros estão em movimento;
   - alguém precisa estar usando a rede enquanto o carro passa;
   - o equipamento WiFi embarcado troca de canal
Wlan<http://en.wikipedia.org/wiki/List_of_WLAN_channels>5 vezes por
segundo;
   - não são coletadas informações trafegando em redes Wifi protegidas por
   WEP e WPA

 Estes argumentos não devem impedir que autoridades de vários países
(incluindo os Estados Unidos) avaliem se o Google não violou diferentes
leis de sigilo de comunicações.

 A máquina de relações públicas do Google até o momento trabalhou bem
diante do tamanho do problema, e divulgou que:

   - paralizou temporariamente a utilização dos carros do Street View;
   - segregou os dados para outra rede separada da rede corporativa e
   desconectou esta rede;
   - vai (e quer) deletar estes dados o quanto antes;
   - trabalhará com instituições regulatórias em diferentes países para
   definir o método de descarte
<http://en.wikipedia.org/wiki/Data_erasure>destas informações;
   - irá solicitar a uma organização idependente que faça a revisão do
   software em questão, seu funcionamento, dados coletados e método utilizado
   para descarte;
   - revisão de procedimentos internos para garantir e revisar os controles
   necessários para evitar este problema no futuro;
   - decisão de encerrar a coleta de dados *WiFi*.

 O pedido final de desculpas - no melhor espírito do "*Don´t Be
Evil*<http://en.wikipedia.org/wiki/Don%27t_be_evil>"
é o seguinte:

 The engineering team at Google works hard to earn your trust—and we are
acutely aware that we failed badly here. We are profoundly sorry for this
error and are determined to learn all the lessons we can from our mistake.

 *Mais informações:*

   - The Register<http://www.theregister.co.uk/2010/05/14/google_street_view_cars_were_collecting_payload_data_from_wifi_networks/>-
Google Street View snooped WiFi for personal data
   - Wired<http://www.wired.com/threatlevel/2010/05/google-street-view-cams>-
Google Street View Cams Collected Private Content From WiFi Networks
   - ArsTechnica<http://arstechnica.com/tech-policy/news/2010/05/google-says-wifi-data-collection-was-a-mistake.ars>-
Google StreetView cars grabbed traffic from open WiFi networks

Fonte: meu caro amigo sandro *Süffert <http://suffert.com>*. ;)


 Kembolle Amilkar
#/[ kembolle.com.br ] - Consultoria Segurança da Informação.
#/ [ samurayconsultoria.com.br ] - Chief Security Officer - Samuray
Consultoria.
#/ Systems Analyst | Esp. Information Security | Computer Forensic Expert |
#/ Owasp Chapter Lider Cuiabá - https://www.owasp.org/index.php/Cuiaba
#/ Mobile: [65] 9979-2925  && contato[at]kembolle.com.br.
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://lists.owasp.org/pipermail/owasp-cuiaba/attachments/20120430/7a757de5/attachment.html>


More information about the Owasp-cuiaba mailing list