Leaderboard

first ballade ofcourse 1:00- 1:40

Pra quem não sabe toda câmera mesmo as de celular armazenam informações nas propriedades do arquivo de imagem, essas informações são chamadas de Exif ou Exif Properties, são informações como: foco luz exposicao data / hora modelo da cam / celular localização GPS ! e aqui no growroom na galeria tem a opção pra visualizar o EXIF das fotos (deveriam tirar do ar!!) então cuidado pra não ligar o gps ao bater foto! se ligou tem como limpar o EXIF http://www.easyexifdelete.com/ PAZ e responsa !

Sonzera dedicada aos irmãos @black flag , @Bud Weiser, @F Punk e a todos que curtem um bom punk brazuca!!!

Dá-lhe, Estou ressucitando este tópico de 2011 sobre o assunto, porque só recentemente descobri essa vulnerabilidade do Growroom. Então esse meu UP vai ser pra chamar a atenção da galera sobre, e compartilhar as minhas descobertas. Eu imagino como a galera da administração deve ser muito ocupada e não quero parecer ingrato. Mas a intenção do post também é me deixar à disposição caso a casa precise de ajuda para resolver. A solução é só uma: limpar todos os metadados 100% das vezes em que o usuário dá upload de imagens, e sempre recomendar que se use a Galeria do growroom ao invés de hospedar fotos em outros serviços. Juro que não sou coxinha pedindo acesso ao seu banco de dados (hehe). Provavelmente a solução seja questão de habilitar uma opção no fórum ou procurar um patch a ser aplicado no servidor, pois esse problema é bem comum e dificilmente não tenha sido resolvido por outra pessoa (não é tão simples assim, ler abaixo). Não fique pensando que o melhor seria não falar sobre isso e não chamar atenção, isso é algo bem comum e tenho certeza que é a primeira coisa que um investigador vai olhar ao se deparar com o perfil online de um investigado. Um dos princípios da área de Segurança de TI é o de que não se deve depender da "Segurança por Obscuridade", ou seja, não se deve achar que ficando quieto a respeito de vulnerabilidades vamos deixar o sistema seguro, pois mais cedo ou mais tarde elas são descobertas. Exemplo de fotos vulneráveis Achei duas fotos com metadados e fiz upload no growroom pra usar de exemplos de problemas, sigam os passos comigo (meu pc tá em inglês, clique nos botões equivalentes caso o seu não esteja): 1. Clica aqui pra acessar essa foto na minha Galeria; 2. Na coluna da direita existem algumas informações básicas sobre a foto, perceba que de cara se vê o modelo de celular / câmera (no exemplo: "Canon PowerShot A80") utilizado para a foto. Não acho que isso seja muito problemático, mas já é informação desnecessária; 3. Agora clica no botão Options, e em View EXIF Properties: uma janela vai abrir com um punhado de dados que não são muito problemáticos - cidade, estado e país (esses dados acredito que foram preenchidos manualmente pelo usuário sendo que em geral não aparecem), software utilizado, compressão, opções usadas na fotografia. Nada de mais. Mas perceba que existe uma linha chamada "Sections Found", em que aparece "GPS" escrito, entre outras coisas. Mas cadê os dados de GPS? Nessa lista eles podem não aparecer, mas eles estão lá! O fórum simplesmente não está mostrando; 4. Feche a tela com a lista de dados e volte à página da foto. Clique de novo em Options, e depois em Share Link - isso é para se obter o link direto pra foto. Que no exemplo é: http://www.growroom.net/board/uploads/gallery_80863_11162_134456.jpg 5. Agora vamos usar uma outra ferramenta online pra ver a lista completa de metadados. Acesse essa página e cole o link da foto acima no campo Image URL, e aperte no botão View Image at URL. OPA! Veja só o que aparece numa tabela, sob o rótulo "Location": Tem até um link pro Google Maps, de onde pode-se ver que é o mesmo local onde a foto foi tirada (aperte em Street View se não acredita). Legal né? 6. Mas tem mais. Agora dá uma olhada nessa outra foto que também catei na net e dei up na galeria: 7. Clica aqui pra acessar essa foto na minha Galeria; 8. Siga os mesmos passos dos itens 2 e 3 acima e perceba que algo mudou, nenhum metadado parece estar presente, parece seguro mas não é. Siga o mesmo passo do item 4, mas dessa vez ao invés de só copiar o link salve a imagem no seu computador (botão direito do mouse, "Salvar Como"); 9. Agora vamos usar uma ferramenta diferente nessa página. Ela é capaz de acessar campos de EXIF reservadas ao fabricante, escondidas, que outras ferramentas não acessam. Estamos procurando por um campo em particular que veremos a seguir. Acesse o link e clique no botão or Select e selecione a foto que você acabou de baixar para o computador. 10. Algumas informações aparecem na tela. Em cima na direita você pode ver o NÚMERO DE SÉRIE identificador da câmera (no exemplo aparece o número "3186343"). Caso você não saiba o que significa, com esse numerozinho um perito é capaz de dizer com exatidão que tal foto foi tirada por tal câmera. Além de possivelmente (estou supondo) identificar o lote e onde foi comprada a câmera. Perceba que essa página serve para localizar fotos de câmeras roubadas, sendo listadas algumas outras fotos tiradas pelo mesmo autor, encontradas automaticamente na Web pelo serviço. Junte isso com os dados de GPS e você consegue entender porque esses dados são perigosos, né? O que fazer Pra esse post eu procurei no Google algumas fotos que trazem esses dados específicos, pra tentar educar a galera através do susto mesmo. Mas antes de sair deletando todas as fotos da sua Galeria e desmontando o grow, respire e conte até 10, e leia o resto do post. A maioria das fotos não trazem tanta informação assim, apenas uma minoria delas. Câmeras mais novas trazem menos informação e/ou são mais explícitas em avisar pro usuário quando ele as está compartilhando. Mas algumas marcas de câmeras e celulares são mais inseguras que outras. O software usado no servidor do Growroom é meio imprevisível quanto a isso, e isso é um problema também. Como vimos acima, a partir da Galeria ele não mostra todos dados de EXIF que guarda na foto. Imagino que isso tenha sido pra proteger o usuário mas acredito que acaba atrapalhando porque nos impede de saber realmente quando os dados estão lá. E o mais importante, percebi que às vezes quando fazemos Upload o site remove sim todos os metadados de fotos. Mas isso acontece quando a foto é redimensionada automaticamente, ou seja, quando damos upload de uma foto muito grande e ele diminui pra poupar memória. Como eu disse antes, essa imprevisibilidade acaba atrapalhando mais do que ajuda. Mas como a maioria das câmeras hoje tira fotos em alta resolução, percebi que é seguro afirmar que a maioria das fotos hoje estão seguras por serem redimensionadas. Para não ter que seguir os passos acima em todas as suas fotos, uma forma fácil de saber se o Servidor limpou os metadados da foto (ou seja, redimensionou) é seguindo apenas os passos 4 e 5 acima, ou seja, pegue o link direto da imagem e jogue no http://regex.info/exif.cgi . Se nos dados da foto aparecerem apenas CREATOR: gd-jpeg, isso quer dizer que ela foi redimensionada e você deve estar seguro. Se as fotos estão com uma resolução grande (algo maior que 1000 x 1200 ou coisa assim, não lembro), você provavelmente está seguro. Mas para garantir eu selecionaria algumas fotos aleatórias e faria todo o processo acima, se você fizer poucas vezes pra mesma câmera já é suficiente, pois dificilmente duas fotos tiradas com a mesma câmera trariam resultados diferentes. Sempre desligue o GPS pra tirar foto. Também dê uma pesquisada no Google pelo modelo da sua câmera / celular para ver se descobre se ela costuma vazar o número de série no EXIF. E o mais importante, vamos manter essa comunidade segura cuidando uns dos outros. Divulgue este post para os seus mais chegados, dê uma olhadinha por curiosidade de vez em quando nas fotos dos diários que acompanha e avise o autor caso veja problemas. Com a quantidade de usuários novos que esse fórum ganha a cada dia, é triste ver que desde 2011 não se acha aqui no fórum uma discussão séria sobre isso, mas podemos mudar. Ferramentas usadas http://regex.info/exif.cgi http://www.stolencamerafinder.com/ PS.: Caso você tenha chegado aqui atráves de um link direto para meu post, não deixe de ler o tópico inteiro, onde a galera conversa sobre os passos a se seguir quando for dar upload de novas fotos, pra limpar 100% os metadados.