Subject: Re: Falha de segurança no firmware do ZONHUB From: Rui Cruz Date: Wed, 12 Jan 2011 22:51:13 +0000 To: ZON x Apoio ao Cliente , fraude@zon.pt CC: Message-ID: <4D2E3061.6040709@ruicruz.pt> User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9.2.13) Gecko/20101207 Thunderbird/3.1.7 MIME-Version: 1.0 References: <9274im$pd15rr@mx.netcabo.pt> <4D2BA094.2010801@ruicruz.pt> In-Reply-To: <4D2BA094.2010801@ruicruz.pt> Content-Type: multipart/alternative; boundary="------------010108090405050607000901" Boa noite, A vossa contínua falta de resposta, ou seja, o passar 72h do e-mail inicial, faz-me escrever novamente. Solicito mais 24h para resposta. Este é um prazo que deverá a todo o custo ser cumprido por vocês. Cpts, Rui Cruz Tel: +351 21 099 70 22 Telem: +351 96 827 1502 www.RuiCruz.pt On 11-01-2011 00:13, Rui Cruz wrote: > Boa noite. > > De nada me servem as vossas garantias, pois um sistema informático nunca é 100% seguro. A minha profissão na web, ou o meu simples uso, não se compadece com a vossa politica de segurança que na minha opinião uma vez que não é mencionada contratualmente, é para mim nula. Adianto também que não tenho uma relação de confiança com a ZON, tenho sim uma relação contratual e profissional, a qual não menciona este processo de segurança, pelo que o considero abusivo. > > Alias, já que vocês se recusaram a entrar em pormenores técnicos, terei que eu me iniciar nestas lides: o procotolo CPE WAN que vocês usam da JUNGO permite mais, mas mesmo muito mais do que "monitorização da rede, manutenção, upgrades de Software, resolução de problemas". Permite alterar configurações como as definições de LAN e WAN, definições ACS, gerar estatísticas da minha LAN e WAN, etc. Tudo isto vai para além da simples manutenção. E mais uma vez, nada referido no contrato. > > Como tal, solicito esclarecimentos, sobre o seguinte: > Eu como cliente, não autorizo a ZON a fazer monitorizações que eu considero abusivas ao meu modem que não sejam as de qualidade da REDE, qualidade essa que é monitorizada através da corda que vai do meu modem ao TAP, passando pelos vários pontos de acesso, armário se aplicável e célula. O meu modem não deve ser usado para monitorizações uma vez que não são claros no tipo de monitorizações a efectuar. Pretendo desactivar esta funcionalidade. Como proceder? > > Pretendo também o log de todas as entradas e monitorizações feitas no meu modem, datas e reclamações associadas, no espaço de cerca de um ano (data em que este ZONHUB com este MAC está activo) por forma a verifica-las junto de reclamações que tenho. Esta informação tem como objectivo verificar se existiu algum acesso indevido ao meu modem pela vossa parte. > > Não é uma questão de relação de confiança, o próprio facto de omitirem esta informação já de si é de deixar o cliente desconfiar. É sobretudo uma questão de transparência. > > Cpts, > > Rui Cruz > Tel: +351 21 099 70 22 > Telem: +351 96 827 1502 > www.RuiCruz.pt > > On 10-01-2011 12:44, ZON x Apoio ao Cliente wrote: >> Estimado(a) Cliente, >> >> Obrigado por nos ter contactado acerca do funcionamento do equipamento ZON Hub. >> Equipamento ZON Hub >> Analisámos a sua participação e informamos que o equipamento ZON HUB faz parte da rede da ZON pelo que a ZON possui acesso ao equipamento para fins de monitorização da rede, manutenção, upgrades de Software, resolução de problemas, etc. >> >> Todos os acessos ao equipamento são feitos através do Sistema de Gestão de rede e usando passwords geradas automaticamente e apenas utilizáveis uma vez durante a sessão de monitorização. >> >> A ZON foi a primeira empresa portuguesa certificada em Segurança da Informação. A obtenção do certificado do normativo internacional ISO 27001 significa um aumento de mecanismos de Segurança da Informação (integridade, confidencialidade e disponibilidade), verificando-se também um aumento na relação de confiança entre a ZON e os seus Clientes. >> >> Neste contexto, podemos garantir que estes acessos não põem em risco a privacidade da rede interna do cliente nem quaisquer dados que nela circulem >> >> Lamentamos esta situação e os eventuais transtornos que a mesma tenha causado. >> Contacte-nos se tiver alguma questão >> Estamos à sua disposição para qualquer esclarecimento, todos os dias, 24 horas por dia: >> • na internet - www.myzon.pt ou por e-mail - cliente@zon.pt >> • por telefone - 16990 (grátis a partir de qualquer rede fixa) ou por fax – 21 145 41 50 >> • por carta - Apoio ao Cliente ZON, Apartado 20, EC Porto Salvo, 2740 999 Porto Salvo >> >> Obrigado pela sua preferência. >> Com os nossos melhores cumprimentos >> >> Apoio ao Cliente >> >> José Barroso >> >> >> -----Mensagem Original----- >> >> De: mail@ruicruz.pt >> Enviado: 10-01-2011 00:48:31 >> Para: cliente@netcabo.pt; fraude@zon.pt >> Cc: >> Assunto: Falha de segurança no firmware do ZONHUB >> >> Boa tarde, >> >> Sou cliente com o NIF ######### - Rui ################ Cruz. >> Venho por este meio expor a situa o que se segue. Mais informo que, como blogger, a vossa resposta, parte dela, cita es, ou outras informa es poder o ser usadas para a cria o de um post ao abrigo do meu dom nio ruicruz.pt em blogs, imagens, ou outras que sejam convenientes para a elabora o de um estudo sobre este problema. No caso de n o autorizarem a mesma, agrade o que seja expressamente informado por este meio de comunica o. >> >> Ocorreu-me que existe um backdor usada pela ZON na qual n o existe informa o contratiual sobre o mesmo. Trata-se do acesso ao http://IP-PUBLICO:7654. Nesta porta, aberta por defeito no router ZONHUB, facilita a possibilidade de aceder remotamente a dados confidenciais, por qualquer pessoa com user e password adequadas, incluindo - mas n o de forma limitada - a pessoal autorizado da ZON e empresas subcontratadas. >> Esta informa o n o inclu da no contrato, no manual e em qualquer suporte, pelo que considerado por mim um acto de verifica o de dados confidenciais do cliente e da sua liga o Internet por terceiros n o autorizados. >> >> Solicito um oiudesta situa o por novo firmware, ou em alternativa uma vers o do contrato actualizada onde conste esta informa o bem como uma explica o detalhada e t cnica sobre o porqu de existir esta "porta de entrada" indevida nos routers ZON. >> >> Esta informa o deve ser prestada no prazo m ximo de 5 dias teis. >> Aguardo com expectativa a vossa resposta. >> >> A conta @zon_apoio no Twitter ser tamb m informada sobre a situa o, para refor ar a urg ncia na resposta. >> >> >> Cumprimentos, >> >> >> -- >> Assinatura >> Rui Cruz >> Tel: +351 21 099 70 22 >> Telem: +351 96 827 1502 >> www.RuiCruz.pt