Subir Archivo

seguran˘ca em c odigos qr e seguro escanear c odigos qr? depois de todas as novidades e coisas...

  • Home
  • Documents
  • Seguran˘ca em C odigos QR E seguro escanear C odigos QR? Depois de todas as novidades e coisas interessantes que podemos utilizar com os C odigos QR ca uma pergunta no ar: E seguro
25
Universidade Federal do Rio de Janeiro Instituto de Matem´ atica Departamento de Ciˆ encia da Computa¸ ao Grupo de Resposta a Incidentes de Seguran¸ca Rio de Janeiro, RJ - Brasil Seguran¸ ca em C´ odigos QR GRIS-2013-A-001 Rafael Oliveira dos Santos [email protected] A vers˜ao mais recente deste documento pode ser obtida na p´agina oficial do GRIS: http://www.gris.dcc.ufrj.br. GRIS - Grupo de Resposta a Incidentes de Seguran¸ca Av. Brigadeiro Trompowski, s/n CCMN – Bloco F1 - Decania Cidade Universit´ aria - Rio de Janeiro/RJ CEP: 21949-900 Telefone: +55 (21) 2598-9491 Este documento ´ e Copyright 2012 GRIS. Ele pode ser livremente copiado desde que sejam respeitadas as seguintescondi¸c˜oes: ´ E permitido fazer e distribuir c´opias inalteradas deste documento, completo ou em partes, contanto que esta nota de copyright e distribui¸c˜ao seja mantida em todas as c´opias, e que a distribui¸c˜ao n˜ao tenha fins comerciais. Se este documento for distribu´ ıdo apenas em parte, instru¸c˜oes de como obtˆ e-lo por completo devem ser inclu´ ıdas. ´ E vedada a distribui¸c˜ao de vers˜oes modificadas deste documento, bem como a comercializa¸c˜ao de c´opias, sem a permiss˜ ao expressa do GRIS. Embora todos os cuidados tenham sido tomados na prepara¸c˜ ao deste documento, o GRIS n˜ao garante a corre¸ c˜ao absoluta das informa¸c˜oes nele contidas, nem se responsabiliza por eventuais conseq¨ encias que possam advir do seu uso. ´ Ultimaatualiza¸c˜ ao em: 15 de agosto de 2013

Upload: buitu

Post on 09-Nov-2018

214 views

Category:

Documents


0 download

Report

TRANSCRIPT

  • Universidade Federal do Rio de JaneiroInstituto de MatematicaDepartamento de Ciencia da ComputacaoGrupo de Resposta a Incidentes de Seguranca

    Rio de Janeiro, RJ - Brasil

    Seguranca em Codigos QRGRIS-2013-A-001

    Rafael Oliveira dos [email protected]

    A versao mais recente deste documento pode ser obtida na pagina oficial do GRIS: http://www.gris.dcc.ufrj.br.

    GRIS - Grupo de Resposta a Incidentes de SegurancaAv. Brigadeiro Trompowski, s/nCCMN Bloco F1 - DecaniaCidade Universitaria - Rio de Janeiro/RJCEP: 21949-900Telefone: +55 (21) 2598-9491

    Este documento e Copyright2012 GRIS. Ele pode ser livremente copiado desde que sejam respeitadas asseguintes condicoes:

    E permitido fazer e distribuir copias inalteradas deste documento, completo ou em partes, contanto que estanota de copyright e distribuicao seja mantida em todas as copias, e que a distribuicao nao tenha fins comerciais.Se este documento for distribudo apenas em parte, instrucoes de como obte-lo por completo devem ser includas.E vedada a distribuicao de versoes modificadas deste documento, bem como a comercializacao de copias, sem apermissao expressa do GRIS.

    Embora todos os cuidados tenham sido tomados na preparacao deste documento, o GRIS nao garante a correcaoabsoluta das informacoes nele contidas, nem se responsabiliza por eventuais consequencias que possam advir do seuuso.

    Ultima atualizacao em: 15 de agosto de 2013

  • Sumario

    1 Introducao 2

    2 Desenvolvimento 32.1 Codigos QR? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

    2.1.1 Analisando a estrutura do Codigo QR . . . . . . . . . . . . . . . . . . . . . 32.1.2 Codigo QR vs. Codigo de Barras . . . . . . . . . . . . . . . . . . . . . . . . 42.1.3 Como criar e ler? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.1.4 Aplicacoes no dia-a-dia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

    2.2 E seguro escanear Codigos QR? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.2.1 Por que me atacariam? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.2.2 A nossa grande falha . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82.2.3 Exemplos de possveis ataques . . . . . . . . . . . . . . . . . . . . . . . . . 82.2.4 Casos famosos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122.2.5 Security Quick Response Code - SQRC . . . . . . . . . . . . . . . . . . . . 14

    2.3 Estudo de Caso: exemplo de ataque . . . . . . . . . . . . . . . . . . . . . . . . . . 162.3.1 Escolhendo uma vtima . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182.3.2 Colhendo informacoes da vtima . . . . . . . . . . . . . . . . . . . . . . . . 192.3.3 Engenharia Social atraves da coleta . . . . . . . . . . . . . . . . . . . . . . 192.3.4 Resultados e coleta de informacoes . . . . . . . . . . . . . . . . . . . . . . . 20

    2.4 Boas praticas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.4.1 Para os que escaneiam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212.4.2 Para os que criam os codigos . . . . . . . . . . . . . . . . . . . . . . . . . . 22

    3 Conclusoes 233.1 Projetos futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23

    4 Referencias Bibliograficas 24

    1

  • 1 Introducao

    Desenvolvido no Japao em 1994 pela DENSO CORPORATION, os Codigos QR (Quick Res-ponse) sao utilizados para transmitir qualquer tipo de dado atraves de uma simples captura deimagens em 2D.

    Atualmente, os Codigos QR estao ganhando uma popularidade muito grande pela sua prati-cidade e devido ao mercado de dispositivos moveis, aparelhos capazes de lerem os codigos, estarcrescendo muito!

    Contudo, ate que ponto e seguro escanear esses codigos? Sera que existe um Codigo QRque possa executar codigos maliciosos? Ou mesmo um que ao ser lido roube todas as minhasinformacoes pessoais?

    Esse artigo visa responder a todas essas perguntas e a entender minuciosamente os cuidadosque devem ser tomados ao ler codigos QR. No final apresentaremos uma cartilha com dicas deseguranca para tecnologia movel onde focaremos em codigos QR.

    2

  • 2 Desenvolvimento

    2.1 Codigos QR?

    Em 1994, a DENSO CORPORATION, um fabricante internacional de componetes automotivos,decidiu desenvolver uma especie de simbologia em duas dimensoes com o objetivo principal de Serum codigo de leitura facil para o leitor.

    Muitas versoes do Codigo QR foram desenvolvidas ate chegarmos em 2012 na versao de numero40. Segue abaixo detalhes um pouco mais aprofundados sobre eles:

    2.1.1 Analisando a estrutura do Codigo QR

    E possvel dividir a estrutura fsica de um Codigo QR em 8 grandes partes:

    1) Finder Pattern - Localizador de Modelos: O Localizador de Modelos consiste em tresgrandes estruturas que ficam localizadas em todas as quinas exceto a da direita em baixo do codigo.Cada pattern (quina) e baseada em uma matriz 3x3 de modulos negros cobertos por modulosbrancos que sao novamente cobertos por modulos negros. O Localizador de Modelos permite aoprograma decodificar identificar a imagem como um Codigo QR e determina sua orientacao correta.

    2) Separators - Separadores: Os separadores brancos possuem uma largura de um pixel eaumenta o reconhecimento do Localizador de Modelos por separa-lo da area de Dados em si.

    3) Timing Pattern - Temporizacao de Modelos : Alternando entre modulos pretos ebrancos, a Temporizacao de Modelos permite o programa decodificar e determinar a largura de ummodulo.

    4) Alignment Patterns - Alinhamento de Modelos: A secao de Alinhamento de Modelosajuda o programa Leitor dos Codigos QR a compensar algumas possveis distorcoes na imagem. Aprimeira versao do Codigo QR nao possuia a secao de Alimanhento de Modelos. Com o crescimentodo tamanho do codigo, mais secoes de Alinhamento de Modelo foram adicionadas.

    5) Format Information - Informacao de Formato:A secao de Informacao de Formato consite em 15 bits proximos aos separadores e armazenam

    informacao sobre o nvel de correcao de erro do Codigo QR e do modelo de mascara escolhido.

    6) Data - Dados:Os dados sao convertidos para um chamado fluxo de bitspara entao serem guardados em

    partes de 8 bits na secao de Dados.

    3

  • 7) Error Correction - Correcao de erros: Semelhantemente com a secao de Dados, oscodigos de Correcao de Erros sao armazenados aqui em 8 bits .

    8) Remainder Bits - Bits restantes:Esta secao consiste em bits vazios se os dados e a correcao de bits nao puderem serem dividos

    em 8 bits da forma apropriada.

    2.1.2 Codigo QR vs. Codigo de Barras

    Ao conhecer um pouco o Codigo QR voce deve se perguntar: E os Codigos de Barras ja naofazem isso?. Os Codigos de Barras sao de grande utilidade para a humanidade atualmente, porem,com a criacao dos Codigos QR, muitas outras funcionabilidades foram inseridas:

    a) Posicao onde sao armazenados os dados

    b) Leitura em alta velocidade

    c) Durabilidade contra manchas e danos

    4

  • d) Representacao Kanji

    2.1.3 Como criar e ler?

    Para criar os codigos e necessario a utilizacao de um QR Code Generator, ou Gerador deCodigo QR em portugues, que e facilmente encontrado na Internet. Um exemplo seria o http://qrcode.kaywa.com/.

    Algumas funcionabilidades desses dados representados podem ser dividos em URLs, que levama enderecos da Internet, Textos, que mostram algum tipo de informacao em texto puro, Numerode telefones, que armazenam algum numero de telefone, ou mesmo SMS, que automaticamenteenviam uma mensagem de texto para um celular especfico.

    Com um codigo ja criado, para que a leitura seja feita voce precisa de um dispositivo onde sejapossvel a instalacao de um QR Code Reader, ou Leitor de Codigos QR em portugues. Um exemplode leitor gratis pode ser encontrado em http://barcode-scanner.softonic.com.br/android.

    2.1.4 Aplicacoes no dia-a-dia

    Apesar de ser uma tecnologia nao muito nova, atualmente, principalmente pelo fato do boomdos dispositivos moveis, no Japao e na Coreia do Sul a utilizacao de Codigos QR no dia-a-dia jae realidade. Nesses paises, gracas aos codigos QR, e possvel efetuar compras ate em estacoes demetro! Nos EUA, as coisas estao avancando de uma forma estrondosa tambem. E muito comumandar pela 5th Avenue em Nova York e se deparar com um anuncio gigantesco com um CodigoQR, por exemplo. Aqui no Brasil, nao estamos tao distante disso. Muitas acoes de marketing ouproprios bancos ja estao utilizando os codigos QR tambem.

    A seguir seguem algums figuras para ilustrar as aplicacoes no dia-a-dia:

    a) Fazer comprashttp://www.youtube.com/watch?v=3Mqcb7RoN4Y

    5

    http://qrcode.kaywa.com/http://qrcode.kaywa.com/http://barcode-scanner.softonic.com.br/androidhttp://www.youtube.com/watch?v=3Mqcb7RoN4Y

  • b) Publicidadehttp://www.youtube.com/watch?v=SVjWBfVSbY4

    c) Armazenando dados de pacientes

    6

    http://www.youtube.com/watch?v=SVjWBfVSbY4

  • d) Pagamento de contas

    e) Durante a doacao de sanguehttp://www.youtube.com/watch?v=rr8R-vr-Yqg&feature=player_embedded

    f) Utilizando softwares de relacionamentohttp://www.youtube.com/watch?v=8YOSt_Igp6M

    7

    http://www.youtube.com/watch?v=rr8R-vr-Yqg&feature=player_embedded`http://www.youtube.com/watch?v=8YOSt_Igp6M

  • 2.2 E seguro escanear Codigos QR?

    Depois de todas as novidades e coisas interessantes que podemos utilizar com os Codigos QRfica uma pergunta no ar: E seguro escanear esses Codigos? Sera que alguem pode criar um codigomalicioso que consiga roubar meus dados? Sera que algum deles pode instalar um aplicativo semminha autorizacao em meu dispositivo?

    2.2.1 Por que me atacariam?

    O grande incentivo para um indivduo malicioso praticar atividades maliciosas utilizando osCodigos QR e que os dispositivos moveis armazenam grande quantidade de informacoes pessoais.E uma verdadeira mina de ouro! Numeros telefonicos, conversas via aplicativos de comunicacao,transacoes bancarias, e muito mais!

    De posse dessas informacoes, um indivduo com intencoes maliciosas poderia praticar diversasatividades criminosas, como: extorsao, sequestro, furto, etc.

    2.2.2 A nossa grande falha

    O que alavanca a possibilidade de ataques bem sucedidos e a curiosidade das pessoas semconsciencia dos perigos a qual estao expostas. Muitas delas escaneiam compulsivamente os codigosQR unicamente para desvendar seu significado, sem certeza alguma de sua origem ou seguranca.

    E essencial que voce se controle e evite esse tipo de falha. Caso suspeite de um codigo onde aoferta e boa demais, nao se arrisque! Mais a frente sera mostrado algumas dicas importantes sobreBoas Praticas ao escanear Codigos QR.

    2.2.3 Exemplos de possveis ataques

    E muito difcil listar exatamente todos os possveis ataques utilizando Codigos QR. A cada dia,crackers podem criar novos ataques, descobrirem novas vulnerabilidades, e explorar ainda mais amautilizacao desses codigos. Contudo, segue uma lista de alguns ja conhecidos tipos de ataquesutilizando Codigos QR:

    a) QRJacking

    Esse ataque funciona basicamente ao trocar um Codigo QR legtimo por um sticker redire-cionando para outro malicioso. Um ataque muito simples mas que pode trazer consequenciascatastroficas.

    Um exemplo ilutrado a seguir, e de um ataque QRJacking em uma revista. O atacante criaum Codigo QR malicioso e imprime varios tamanhos ate encontrar o exato ao do legtimo. Logo

    8

  • em seguida ele cola por cima do original e o deixa para que pessoas escaneiem em uma sala deespera por exemplo.

    Fonte: http://notdanwilkerson.wordpress.com/2011/05/03/qr-jacking/

    Podemos encontrar outros exemplos de QRJacking , sofisticados ou nao, abaixo tambem:

    9

    http://notdanwilkerson.wordpress.com/2011/05/03/qr-jacking/

  • b) ScanJacking

    Neste ataque, caso o dispositivo movel permita que se execute JavaScript sem previa confir-macao do usuario, uma pessoa mal intencionada conseguiria criar um codigo para fins maliciosos.Por exemplo, um codigo QR poderia direcionar para uma URL supostamente inofensivamas quena verdade executa um JavaScript que mostra os Logs, Contatos, etc da vtima.

    c) Phishing

    10

  • E possivel realizar tambem ataques de Engenharia Social, como o Phishing utilizando CodigosQR. Juntamente com um ataque de ScanJacking , um atacante pode criar um codigo maliciosoque leve a vtima a um site muito parecido com o legtimo.

    Fique atento a site falsos! Esta imagem mostra um exemplo de Phishing do Paypal.

    Imagine a seguinte situacao: Uma empresa X decide criar um anuncio publicitario em umarevista de grande circulcao na cidade. Porem, uma pessoa com intencoes maliciosas cria um falsoCodigo QR que leva a um site tambem falso muito parecido com o da empresa X. La, a vtimafornece todas as suas informacoes pessoais, senhas, etc. achando que esta realizando um compraonline, por exemplo, mas na verdade esta sofrendo um ataque de Phishing muito poderoso!

    d) Fraude de SMS

    Voce ja deve ter ouvido em propagandas algo do tipo: Quer receber notcias sobre seu timepreferido? Mande um SMS para o numero Y com a palavra TIME.. A empresa fornece asnoticias esportivas para quem interessar assinar seu feedback e o usario paga por isso, diariamente,semanalmente, etc. Esse tipo de servico pode ser muito interessante para algumas pessoas, porem,o que aconteceria se o usuario pagasse por um servico e nao o recebesse? Se pagasse um precoextramamente elevado por esse servico? Ou pior, se pagasse por um servico que ele nem sabe queesta pagando?

    E assim que o ataque da Fraude de SMS funciona. Utilizando uma funcionabilidade dos CodigosQR, que e a de enviar SMS para numeros telefonicos, atacantes podem criar codigos maliciososque fazem pessoas assinarem algo que nao desejavem ou pagarem por algo por um preco abusivo.Alguns leitores de Codigos QR avisam e mostram a mensagem de texto e o telefone a ser enviadaa mensagem, contudo outros fazem esse processo automaticamente.

    11

  • Exemplo de uso legtimo de SMS com QR Codes.

    Imagine uma situacao onde alguem cria um Codigo QR fraudulento e divulga no corredor doescritorio onde trabalha. Alem disso, coloca um anuncio ao lado do codigo dizendo: Escaneie econcorra a um Iphone!. Apenas para exemplificar, imagine tambem que a cada mensagem recebidao sistema do atacante consegue ganhar R$5,00. Salario extra garantio para a pessoa com intencoesmaliciosas, nao?

    e) Conectando-se em redes inseguras

    E possvel tambem utilizar os Codigos QR para se conectar automaticamente a redes semfio. Uma situacao para exemplificar essa funcionabilidade seria quando uma pessoa chega em umaeroporto e deseja se conectar a Internet. Um cartaz com o codigo e divulgado e , assim queescaneado, configura o dispositivo automaticamente para se conectar a rede sem fio desejada.

    Esse conforto e rapidez e tao bom quanto perigoso. Caso a rede sem fio esteja sendo monitoradapor um agente malicioso, ele pode capturar todos os dados que passam pela rede, roubar os dadosbancarios, informacoes pessoais, etc, e a partir da realizar atividades ilegais como extorsao, criarperfil falso com seus dados, e muito mais...

    2.2.4 Casos famosos

    Recentemente ocorreram 2 ataques que ficaram famosos por utilizar um Codigo QR comoferramenta de ataque. Segue uma analise detalhada feita de cada um.

    a) th3j35t3r

    Em marco de 2012, um hacker entitulado como th3j35t3r, publicou em seu blog que tinhaconseguido realizar um ataque com Codigos QR e obtido informacoes valiosas de algumas pessoasrelacionadas a um grupo hacktivista. O ataque utilizava tecnicas de ScanJacking explicadas acimae , claro , contou com a curiosidade das pessoas em descobrir o que um Codigo QR fazia. Adescricao deste ataque foi retirada justamente do proprio post do atacante disponvel em: http://jesterscourt.mil.nf/2012/03/09/curiosity-pwned-the-cat/ .

    12

    http://jesterscourt.mil.nf/2012/03/09/curiosity-pwned-the-cat/http://jesterscourt.mil.nf/2012/03/09/curiosity-pwned-the-cat/

  • Tudo comecou quando em sua conta do Twitter , th3j35t3r simplesmente trocou sua foto porum Codigo QR sem dar nenhuma breve explicacao(o Codigo QR abaixo foi alterado e nao e omalicioso!):

    Ao escanear o codigo, a pessoa era redirecionada para uma URL que mostrava uma imagem depalhaco com a palavra BOO!:

    Juntamente com a imagem, existia um codigo JavaScrpit embutido que era um codigo deexecucao para o shellcode. Quando a pessoa escaneava o Codigo QR malicioso o shellcode eraexecutado. O shellcode era modificado

    Embedded inside the webpage with the BOO greeting was some UTF encoded javascript, (Iused this site to encode it) inside which was some code execution shellcode. When anyone hit thepage the shellcode executed. The shellcode was a modified and updated version of the use-after-free remote code execution CVE-2010-1807, a known exploit for Webkit, which facilitated a reverseTCP shell connection to a remote server which had an instance of netcat listening on port 37337.

    b) JimRussia

    13

  • 2.2.5 Security Quick Response Code - SQRC

    Como uma forma de tentar proteger e amenizar o vazamento de informacoes pessoais atraves deCodigos QR, foi desenvolvido o SQRC - Security Quick Response Code. A sua utilizacao funcionada seguinte forma: Um gerador do codigo deve ser um especial, o Gerador de SQRC, onde o codigoe gerado utilizando uma criptografia que somente um determinado Leitor de SQRC e capaz dedecifrar. Mesmo que uma pessoa consiga escanear o Codigo QR em um leitor comum de celular,por exemplo, ela so conseguira pegar parte dos dados por nao utilizar o Leitor de SQRC.

    A seguir segue um diagrama para exemplificar melhor sua utilizacao:

    14

  • Dispositivo SQRC.

    15

  • 2.3 Estudo de Caso: exemplo de ataque

    Primeiramente e importante frisar que todo ataque aqui mostrado foi apenas uma SIMULA-CAO. Nenhuma informacao sensvel foi resgatada durante a pesquisa e tudo que sera mostradoa seguir foi manipulado em um ambiente totalmente controlavel! Alem disso, essa secao tambemnao tem o intuito de ensinar minusciosamente como realizar um ataque utilizando Codigos QR. Amissao maior do GRIS com essa pesquisa e conscientizar que ataques podem ser feitos!

    A ideia desse estudo de caso e mostrar como uma pessoa maliciosa poderia realizar um ataque seaproveitando da curiosidade das pessoas em escanear seu codigo QR. Inicialmente, foi desenvolvidoum codigo QR que levaria a seguinte URL: http://gris.dcc.ufrj.br/qrcode.php . Esse codigofoi impresso em um banner e colocado dentro do Centro de Tecnologia (CT) da UFRJ para tentardescobrir se as pessoas forneciam seus dados pessoas somente com um Codigo QR sem informacoesem volta. A figura a seguir mostra onde o banner foi colocado:

    Dentro dessa URL, foi desenvolvido uma pequena simulacao de aplicativo para celular, ondeuma pesquisa falsa estava acontecendo:

    16

    http://gris.dcc.ufrj.br/qrcode.php

  • Para confirmar sua escolha, a vtima deveria fornecer seu email pessoal. Todas essas informacoeseram enviadas para o email do atacante:

    17

  • 2.3.1 Escolhendo uma vtima

    Como primeiro passo, era preciso escolher uma vitima para o ataque. Analisando um dosemails, era possivel encontrar as seguintes informacoes:

    Alem disso, analisando o use agent para saber os acessos da URL do codigo QR, foi possvelidentificar varias informacoes preciosas do dispositivo movel em questao. As informacoes do ultimoacesso (nossa vtima) esta destacada abaixo:

    Concluindo nossa primeira parte de escolha da vtima, buscamos na internet por vulnerabi-lidades do sistema utilizado para ver se poderamos explora-las atraves da utilizacao de CodigosQR:

    18

  • 2.3.2 Colhendo informacoes da vtima

    Com o email em maos e realizando buscas pelas mdias sociais, era possivel encontrar informa-coes pessoas da vtima sem mesmo se logar no sistema:

    2.3.3 Engenharia Social atraves da coleta

    Com tais informacoes, foi realizado um email a fim de enganar a vtima mais uma vez. OPhishing em questao induzia a vtima a escanear em seu dispositivo movel um Codigo QR queinstalava um falso aplicativo, um malware para explorar a vulnerabilidade em questao:

    19

  • O interessante aqui e perceber que esse ataque de Engenharia Social realmente poderia darcerto. Como a vitima ja possui o habito de escanear Codigos QR em seu celular, como foi feitoem primeiro momento, ela certamente poderia escanear mais uma vez e instalar um aplicativo semnocao do perigo que esta correndo!

    2.3.4 Resultados e coleta de informacoes

    Nao pretendemos entrar em detalhes de como criar malwares que podem explorar vulnerabi-lidades nos dispositivos moveis. Porem, depois que o aplicativo malicioso estiver instalado, emalguns casos, o controle total do celular pode estar no controle do cracker ! Em nosso estudo decaso, nossa vtima ja estaria correndo serios perigos ao instalar o falso aplicativo do Flamengomostrado acima.

    Para concluir nosso estudo de caso, todas as informacoes da vtima entao podem ser acessadas:mensagens de texto, agenda, acesso a email, mdias socias, vdeos, fotos, etc:

    20

  • Somente como ttulo de curiosidade, tivemos varios acessos a nossa URL durante o perodo emque expomos o banner. O resultado da falsa pesquisa teve como mais votos o Samsung Galaxy S3,e 13 pessoas forneceram seus dados pessoais (nome e email).

    2.4 Boas praticas

    Apos conhecer algumas ameacas fique sempre atento a partir de agora ao utilizar Codigos QR.Evite tambem criar uma preocupacao extrema com eles pois podemos tirar grandes proveitos aoutiliza-los corretamente. Para tal, segue algumas boas praticas para utilizar no dia-a-dia:

    2.4.1 Para os que escaneiam

    Utilize um bom leitor

    E de extrema importancia escolher um leitor bom. Bom no sentido de ser um software que sepreocupa com seguranca, disponibiliza atualizacoes com uma frequencia boa, e que consigarealizar os scans de uma forma eficaz.

    Existem no mercado varios leitores famosos ou nao, pagos ou nao, que sao muito bom nessessentidos. Dessa forma, segue uma lista que pode ajudar na escolha de um bom leitor:

    Nao deixe um Codigo QR agir sozinho!

    Nunca permita que um Codigo QR faca suas atividades de forma automatica. Se seu leitorou dispositivo deixa possui essa configuracao por padrao, desabilite-a. Infelizmente, algunscelulares permitem que o javascript seja executado camufladamente, porem, e crucial vocesaber tudo que um Codigo QR esta prestes a realizar.

    Nao forneca informacoes desnecessarias.

    Sempre que um Codigo QR te levar para algum lugar, evite fornecer muitas informacoes.Sempre se pergunte, e realmente necessaria todas essas minha informacoes para acessar meuFacebook, por exemplo? Eu preciso de fato dar meu endereco de casa para ler um livro emum site?

    Desconfie de tudo, sempre!

    Sempre verifique a URL

    Seguindo na linha do segundo topico, verifique sempre a URL para onde um Codigo QRvai. Muitas vezes pessoas maliciosas podem divulgar codigos maliciosos que levam a sitestotalmente diferentes do divulgado.

    Alem disso, fique atento tambem aos enderecos com link encurtado. O grande proposito deum Codigo QR e simplificar as coisas, simplificar links. Entao para que precisam encurtar

    21

  • um endereco para depois criar um Codigo QR? Essa tecnica pode ser utilizada para esconderenderecos maliciosos de s, fique atento!

    Verifique a integridade fsica do codigo

    Um outro topico importante tambem e a integridade fsica de um Codigo QR. Verifiquese existe algum vestgio de que aquele codigo foi alterado, o ambiente onde ele esta sendopublicado, e se seria facil altera-lo com um ataque de QRJacking , por exemplo.

    Isso tudo deve ser levado em conta para evitar a dor de cabeca depois.

    2.4.2 Para os que criam os codigos

    Evite servicos de encurtamento de link

    Como ja foi dito, encurtamento de link com Codigos QR nao combina! Se voce pretendeutilizar um Codigo QR para levar a um endereco de site muito grande, pra que voce precisaencurta-lo? Esse e o grande barato do Codigo QR, ele simplifica tudo para voce com umasimples imagem em 2D.

    Sempre mostre o endereco que seu Codigo QR redireciona

    E essencial ao criar um Codigo QR e ao divulga-lo que voce coloque o endereco para ondeele esta indo ao lado. Isso passa uma confianca para seu Codigo QR e a pessoa pode conferira URL que esta sendo mostrada em seu dispositivo com a que esta ao lado de seu codigo.

    Nao utilize Codigos QR para informacoes sensveis

    Nunca utilize os Codigos QR para armazenar informacoes sensveis como senhas, numerode CPF, etc. Esses codigos nao foram desenvolvidos para esconder uma mensagem paraque ninguem possa ver. Mesmo que seu codigo fique extremamente guardado, ninguem temacesso a ele, etc, nao use essa tecnologia. Procure por mecanismos de Criptografia se acharvalido.

    Procure zelar pela integridade fsica do seu codigo

    Sempre que desejar publicar um Codigo QR, verifica primeiramente o ambiente onde vocevai faze-lo. Veja quantas pessoas passam por ali, faca uma pesquisa de que tipo de publicofrequenta o local, e acima de tudo se a integridade fsica de seu codigo sera preservada. Nuncadeixe um Codigo QR expostoa ataques!

    Voce pode colocar um plastico por cima do codigo, plastifica-lo, ou ate coloca-lo atras de umvidro!

    22

  • 3 Conclusoes

    E notorio que os Codigos QR e todas as novas tecnologias desonvolvidas para dispositivosmoveis dia apos dia sao de extrema utilidade para todos nos. Porem, infelizmente devemos estarsempre atentos, nao so aos Codigos QR, mas a todo tecnologia que utilizamos no ponto de vistada Seguranca da Informacao.

    Com esse artigo, pretendi mostrar e conscientizar que os Codigos QR podem e sao extramenteperigosos usados em uma forma maliciosa. Crackers podem tornar situacoes simples, corriqueiras,onde pessoas simplesmente ao escanear um codigo podem sofrer danos irreparaveis.

    Vale ressaltar tambem que nao pretendemos causar panico e muito menos orientar as pessoasa nao utilizarem mais Codigos QR! Os Codigos QR sao muito bons! Basta seguir algumas boaspraticas mostradas nas secoes anteriores que voce estara um pouco mais protegido.

    3.1 Projetos futuros

    Nos do GRIS, nao podemos dar por encerrado esse assunto. Muitas outras areas da Segu-ranca em Codigos QR nao foram exploradas ainda. Dessa forma, decidimos colocar alguns pontosinteressantes aqui para mostrar os possiveis projetos futuros relacionados ao tema:

    Pesquisa sobre SQRC

    A utilizacao do SQRC ainda nao e muito consolidada e e muito difcil encontrar documentosrelacionados a ela. Um projeto interessante seria pesquisar mais sobre sua utilizacao e tentarbuscar hardwares para a realizacao de testes.

    Listar vulnerabilidades recentes dos leitores de Codigos QR

    Buscar pela internet materias, notcias, ou documentos em geral que falem sobre vulnerabi-lidades recentes dos leitores de Codigos QR. Descobrir se existem novos metodos de ataquesque conseguem burlar todo o sistema ja consolidado dos leitores atuais.

    Conhecendo pixel a pixel o Codigo QR

    Pesquisar como funciona pixel a pixel um Codigo QR. Se voce ir realizando alteracoes em umCodigo QR em um editor de imagem, por exemplo, e ir apagando pixel a pixel o codigo, atequando ele consegue ser legvel? Sabemos que internamente o codigo possuem seu algoritmode correcao, porem pesquisar mais sobre essa area seria muito interessante e desafiador.

    Utilizacao de Codigos QR no Brasil

    Algumas pessoas comentam que os Codigos QR nunca darao certo em nosso pas. As empresasde telefonia movel ainda nao conseguem cobrir de uma maneira ideal toda a area nacionala internet nos dispositivos moveis. De uma certa forma, mesmo que as pessoas queiramescanear Codigos QR, sem internet fica complicado aumentar a utilizacao dessa tecnologiano Brasil. Pesquisar mais sobre esse assunto e criar estatsticas seria muito importantetambem!

    Forense em dispositivos moveis com ataques de Codigos QR

    A forense em dispositivos moveis e uma area da Seguranca da Informacao que cresce a cadadia. Muitas pessoas usam seus celulares, por exemplo, como proprios computadores. Estudarum pouco mais sobre um caso onde envolva um crime ao utilizar ataques com Codigos QRseria desafiador!

    Hacktivismo + Codigos QR

    Vimos neste artigo um exemplo de ataque envolvendo Hacktivismo. Sera que essa ideia cola?Entender um pouco mais dessa mistura e pesquisar sobre como esses grupos hacktivistaspensam sobre o tema seria bem legal.

    Entendendo os geradores de Codigos QR

    Como os geradores de Codigos QR funcionam? Qual algoritmo ele usa? Em que linguagem?Tentar pegar o codigo fonte de um gerador de Codigos QR deveria ser bem interessante paraver detalhe a detalhe como ele funciona!

    23

  • 4 Referencias Bibliograficas

    http://www.darkreading.com/mobile-security/167901113/security/news/232301147/qr-codemalware-picks-up-steam.

    html

    http://blog.mobilephonesecurity.org/2011/09/qr-codes-and-security-my-take.html

    http://blog.mobilephonesecurity.org/2011/09/qr-code-security-tips-for-both.html

    http://mashable.com/2011/10/20/qr-code-security-threat/

    http://qrcodematrix.com/2011/06/4-essential-qr-code-security-tips/

    https://threatpost.com/en_us/blogs/qr-codes-found-sending-users-site-containing-android-trojan-093011

    https://www.securelist.com/en/blog/208193145/Malicious_QR_Codes_Pushing_Android_

    Malware

    http://blogs.itbusiness.ca/2010/08/qr-code-security-are-we-ready-to-discuss-the-risks/

    http://www.sba-research.org/wp-content/uploads/publications/QR_Code_Security.pdf

    http://dl.acm.org/citation.cfm?id=1971593

    http://isc.sans.edu/diary.html?storyid=12760&rss

    http://jesterscourt.cc/2012/03/09/curiosity-pwned-the-cat/

    http://www.mobile-barcodes.com/qr-code-software/

    http://www.gs1jp.org/pdf/001.pdf

    http://www.milliontech.com/home/content/view/254/139/

    http://vitreoqr.com/qr-code-Security-SQRC.php

    http://beqrious.com/scanning-qr-codes-be-safe/

    24

    http://www.darkreading.com/mobile-security/167901113/security/news/232301147/qr-codemalware-picks-up-steam.htmlhttp://www.darkreading.com/mobile-security/167901113/security/news/232301147/qr-codemalware-picks-up-steam.htmlhttp://blog.mobilephonesecurity.org/2011/09/qr-codes-and-security-my-take.htmlhttp://blog.mobilephonesecurity.org/2011/09/qr-code-security-tips-for-both.htmlhttp://mashable.com/2011/10/20/qr-code-security-threat/http://qrcodematrix.com/2011/06/4-essential-qr-code-security-tips/https://threatpost.com/en_us/blogs/qr-codes-found-sending-users-site-containing-android-trojan-093011https://www.securelist.com/en/blog/208193145/Malicious_QR_Codes_Pushing_Android_Malwarehttps://www.securelist.com/en/blog/208193145/Malicious_QR_Codes_Pushing_Android_Malwarehttp://blogs.itbusiness.ca/2010/08/qr-code-security-are-we-ready-to-discuss-the-risks/http://www.sba-research.org/wp-content/uploads/publications/QR_Code_Security.pdfhttp://dl.acm.org/citation.cfm?id=1971593http://isc.sans.edu/diary.html?storyid=12760&rsshttp://jesterscourt.cc/2012/03/09/curiosity-pwned-the-cat/http://www.mobile-barcodes.com/qr-code-software/ http://www.gs1jp.org/pdf/001.pdf http://www.milliontech.com/home/content/view/254/139/ http://vitreoqr.com/qr-code-Security-SQRC.php http://beqrious.com/scanning-qr-codes-be-safe/

    IntroduoDesenvolvimentoCdigos QR?Analisando a estrutura do Cdigo QRCdigo QR vs. Cdigo de BarrasComo criar e ler?Aplicaes no dia-a-dia

    seguro escanear Cdigos QR?Por que me atacariam?A nossa grande falhaExemplos de possveis ataquesCasos famososSecurity Quick Response Code - SQRC

    Estudo de Caso: exemplo de ataqueEscolhendo uma vtimaColhendo informaes da vtimaEngenharia Social atravs da coletaResultados e coleta de informaes

    Boas prticasPara os que escaneiamPara os que criam os cdigos

    ConclusesProjetos futuros

    Referncias Bibliogrficas


C odigos convolucionais - Professor Dr. Luis …professorluislolis.weebly.com/uploads/1/3/2/7/13273601/5...do slide 9 Desenhe o caminho percorrido em treli˘ca do c odigo do slide

Breve introdu˘c~ao a Teoria dos C odigos Corretores de Erros · Cap tulo 1 Introdu˘c~ao 1.1 Um Pouco de Hist oria A teoria dos codigos corretores de erros e um campo de pesquisa

C odigos do tipo Reed-Muller em interse˘c~oes completas · 2017. 3. 24. · GONC˘ALVES JUNIOR, C. C odigos do tipo Reed-Muller em interse˘c~oes completas. 2015. 57 p. Disserta˘c~ao

Qr codes e-realidade_aumentada

Alguns c´odigos lineares com o µ–padw3.math.uminho.pt › ~pedro › aulas › 0506 › Codigos › tutorial.pdf · 1 Documenta¸c˜ao 2 2 Aquecendo os motores 2 3 Um pouco de

C odigos de bloco - professorluislolis.weebly.com · E um codigo que as palavras c odigos cont em uma repeti˘c~ao da mensagem da fonte com kbits mais a parte de checagem redundante

C odigos convolucionais - Professor Dr. Luis Henrique ... · Luis Henrique Assump˘c~ao Lolis C odigos convolucionais 29. Exemplo Decodi cando r = (0100010000) quando na verdade c

QR CODE DINÂMICO - Clicktools · QR Code Dinâmicos, de uma forma geral, são QR Codes comuns, diferenciando-se no entanto na maneira com que eles contém as informações. Um QR

Implementa˘c~ao de c odigos LDPC em OFDM e SC-FDE · Implementa˘c~ao de c odigos LDPC em OFDM e SC-FDE Disserta˘c~ao apresentada para obten˘c~ao do Grau de Mestre em Engenharia

Luiz Antonio Leandro Franco - Unicamp...An alise das propriedades matem aticas associadas ao splicing alternativo atrav es dos c odigos BCH e de Varshamov-Tenengolts Disserta˘cao

QR GRAFITO - Quality Rubber

QR Codes - BAD · Códlgo QR para Pesquisa de Catálogos Como fu Precis-a de um smart phone com um leitor de códigos QR instalado. iPhone e Android [Barcode [QR Code a Faça o Scan

a QR @XUN I[X`RV^N · 2012. 10. 29. · \n^`v^ q[ svznx q[ nz[ qr ,**2 r ]ar n :f8 ^rp[z_vqr^r n _an qrpv_m[ qr yaqnznn qr ^rtvyr qr `^nonxu[% ry saznm[ q[_ q[payrz`[_ nzrdnq[_( e

Universidade Estadual do Sudoeste da Bahia · desenvolvimento dos codigos de barras e c odigos QR, suas estruturas e leituras, apontando para o fato de privilegiarem a rapidez na

UPF - QR Code

CÓDIGOS PARA CANAIS DE LEITURA DE PARES DE ......A Teoria de C´odigos Corretores de Erros foi iniciada pelo matema´tico C. E. Shannon, no Labora´to´rio de Bell em 1948. Ela ´e

Tecnologias QR code / Datamatrix - Sindusfarma. Simposio Sindusfarma... · Tecnologias QR code / Datamatrix Aplicações em rotulagem e seus impactos na sociedade . 2 Código QR Code

O Futuro do Desenvolvimento Web - IME-USPmadeira/conisli2009.pdf · it´alico, T´ıtuloe c´odigos organizados por tabelas. 3/28

Professor Dr. Luis Henrique Assumpção Lolis - Home - C odigos …professorluislolis.weebly.com/uploads/1/3/2/7/13273601/3... · 2018. 9. 7. · Encontre H, a partir de Gdo c odigo

Apostila Trabalhos Extra Classe de Exerc cio e de C odigo ...delavega/public/DSP/dsp_tec_2019_12...c odigos, a partir de 2011, uma nova apostila tem sido elaborada, contendo c odigos

ΠΕΡΙΓΡΑΦΗ › internal_iek › phpdata › view › odhgoi › odigos... · 2013-01-15 · ΤΕΧΝΙΚΟΣ ΣΥΝΑΡΜΟΛΟΓΗΣΗΣ ΗΛΕΚΤΡΟΝΙΚΩΝ ΜΙΚΡΟΣΥΣΚΕΥΩΝ

E ci^encia Energ etica em Redes de Sensores Subaqu aticas · 2016-08-29 · Redes Acusticas Subaqu aticas 2. C odigos BCH 3. C odigos Fontanais 4. E ci^encia Energ etica I.Pontif

Futebol Principal - Semana QR

Alguns c´odigos lineares com o µ–padw3.math.uminho.pt/~pedro/tutorial.pdf3 Um pouco de aritm´etica (a tabuada revisitada) 4 4 Matrizes e afins 5 5 Procedimentos 7 6 Polin´omios

MATEMATICA A - 11 o Ano Geometria -Trigonometria … · Geometria -Trigonometria ... e assim, recorrendo a de ni˘c~ao de seno e cosseno temos: sen = QR PR, sen = QR 4, QR= 4sen

II Workshop Matemática na UMa · 17:20 { 17:40 Algebra aplicada a Teoria de C odigos ( Jorge N elio Ferreira). 17:40 { 18:00 Aplica˘c~ao da Teoria Vetorial do Sinal no Processamento

fo|qr pksjh

ΘΕΣΣΑΛΟΝΙΚΗ 2013 › innet › UsersFiles › odigos › 00-odigos... · 2013-11-12 · βάρους, σωστή διατροφή και σωματική άσκηση είναι

Scroll down to see QR Code use casesbarrinha.sp.gov.br/transparencia/arquivos/Gerador de código QR - Cri… · Os códigos QR são mensuráveis: saiba com que frequência, onde e

QR trabalho logistica

Wi-Fi 399 QR 69 QR - Microsoft Azureflipbooks.azurewebsites.net/Flipbooks/Qatar22JulyCrazy.pdf · QR 210.00 QR 100.00 QR Quad Core 1.2GHz Quad Core 1.2GHz غنوسماس فتاه

Introdução à Teoria dos Códigos Corretores de Erros - SBM · 2014-10-20 · Cap´ıtulo 1 Introdu¸c˜ao 1.1 Um Pouco de Hist´oria A teoria dos c´odigos corretores de erros

Norpar - Catálogo 2014 - norparud.com.br · peÇas para: maquina de frango ferro de passar roupa hÉlices de ventilador ... brastemp qr 576 qr 577 realce qr 526 r 522 qr 525 r 521

Green Day QR Code

C odigos de controle de erros: introdu˘c~ao...T ecnicas de controle de erros Detec˘c~ao em um bloco de dados Pode requisitar uma nova transmiss~ao, conhecida como solicita˘c~ao