março 21, 2017

[Segurança] Raio X do ciber crime brasileiro

Há algum tempo atrás a Kaspersky e a Trend Micro publicaram seus relatórios específicos sobre o crime cibernético no Brasil. Os dois relatórios são muito bons (apesar da Kaspersky pisar na bola em mostrar alguma sfotos de mais de 3 anos atrás) e merecem ser lidos. Se juntar os dois, temos uma análise bem commpleta de como os ciber criminosos se organizam e que técnicas utilizam.

O Fabio Assolini, da Kaspersky, resume muito bem o cenário brasileiro: “Há muitas campanhas criminosas voltadas especialmente para os brasileiros. Além disso, a legislação nacional é muito vaga em relação à crimes digitais. Se você une tudo isto ao vasto comércio de produtos e serviços entre criminosos locais, nota o quanto a realidade digital brasileira pode se tornar complexa para empresas que não contam com especialistas em segurança de TI no País”.

Ou seja, temos muitos ciber criminosos e um mercado underground intenso, que tem um terreno fértil para atuar graças a uma legislação muito fraca, repressão policial ineficiente e com uma população de usuários e empresas despreparadas para se defender online.

As principais características do ciber crime no Brasil, segundo os dois relatórios, são as seguintes:
  • O cibercrime local se concentra em fraudes contra alvos brasileiros (pessoas e empresas);
  • Apesar do foco local, existe alguma colaboração entre ciber criminosos brasileiros e da Europa Oriental. Eles compartilham conhecimento, trocam favores e compram serviços, tais como hospedagem protegida para os malware nacionais;
  • A legislação brasileira é fraca e o nosso sistema judiciário não consegue punir os criminosos de forma eficaz, o que gera uma forte percepção de impunidade. Afinal, os ciber criminosos passam pouco ou nenhum tempo presos. Proliferam exemplos de criminosos que anunciam seus "produtos" ou "serviços" abertamente em fóruns e até mesmo redes sociais, ou que ostentam o dinheiro que ganharam nas redes sociais, e em vídeos;
  • O Brasil é um dos principais países em termos de ataques financeiros através de trojans bancários;
  • Uma das principais formas de monetização (obter dinheiro real a partir de crimes virtuais) é a fraude dos boletos, um tipo de fraude bem específica do Brasil (pois só aqui que existe esse monstro chamado "boleto bancário");
  • Frequentes falhas de segurança em serviços online dos mais diversos órgãos do governo expõem dados sigilosos de cidadãos brasileiros, que os ciber criminosos utilizam para cometer fraudes ou comercializam. A Kaspersky dá o exemplo de uma base de dados do Detran de São Paulo, de 2014, sendo vendida nos fóruns underground. Um ataque direcionado ao sistema do Ibama permitiu reaver a licença de 23 empresas suspensas por crimes ambientais e, em 10 dias, foram extraídos 11 milhões de reais em madeira;
  • O mercado underground brasileiro (ou C2C, de um criminoso para outro) é um terreno fértil para colaboração entre criminosos e o compartilhamento de serviços, informações e ferramentas. Um ciber criminoso nem precisa ter muita experiência nem conhecimento, pois consegue encontrar praticamente todos os serviços que possa precisar: códigos maliciosos, criptografia para malware, hospedagem, envio de SPAM, etc;

Nota: Link corrigido em 22/3.

março 17, 2017

[Cyber Cultura] Garoa Hacker Camp 2017

Dias 1 e 2 de abril de 2017 vai rolar o Garoa Hacker Camp 2017. Durante um final de semana, vamos nos reunir em um sítio a 40 km do centro de São Paulo para hackear, conversar, fazer oficinas e, quem quiser, pode até pescar sua própria comida.


O Garoa Hacker Camp é um acampamento hacker que nós do Garoa pretendemos organizar periodicamente, inspirado em outros eventos nesse formato existentes no mundo, e com mais tradição, como o Chaos Communication Camp, que acontece a cada 4 anos na Alemanha, e o SHA2017, que ocorre este ano na Holanda (que também ocorre a cada 4 anos e está em sua oitava edição). O objetivo é realizar um evento técnico ao ar livre, em um ambiente totalmente descontraído e diferente do nosso dia-a-dia, promovendo uma melhor confraternização entre os participantes.

Um hacker camp permite viver uma experiência única e bem diferente da que estamos acostumados nos eventos tradicionais. Claro que não é todo mundo que gosta de acampar, por isso optamos por buscar um lugar que tivesse uma infra-estrutura que também oferecesse quartos e camas "tradicionais". Há alguns anos atrás nós fizemos um evento de testes, que chamamos de Garoa Hacker Camp Zero.


Para saber mais sobre o evento, visite a nossa página no site do Garoa.

março 15, 2017

[Segurança] A NSA e a CIA me seguem!

Na edição do Roadsec que aconteceu recentemente em Brasília eu apresentei uma palestra sobre espionagem governamental, com o objetivo de fomentar o debate sobre como podemos tentar recuperar a nossa privacidade em um mundo super vigiado como o de hoje.


A palestra, batizada de "A NSA me Segue", foi baseada em uma atualização de uma mini-palestra que preparei em 2013, na época focada em discutir os vazamentos do Edward Snowden. Desta vez, além de discutir os novos vazamentos do Wikileaks sobre as capacidades de espionagem da CIA, a agência de inteligência americana, eu também tentei discutir como podemos tomar algumas pequenas atitudes para preservar um pouco de nossa privacidade online. Em breve pretendo criar um post mais detalhado sobre este assunto.

março 14, 2017

[Segurança] Vazamento de Sex Toys

Eu já comentei aqui sobre a "Internet of (Sex) Toys", ou seja, objetos eróticos com processamento embarcado e acesso a internet.

Se alguém achava que isso poderia ser problema, tinha razão!

Um fabricante Canadense de brinquedos eróticos foi condenado a pagar 3 milhões de dólaree americanos aos seus clientes, pois eles estavam coletando dados sobre os hábitos sexuais sem o consentimento prévio. Cada cliente da Standard Innovation que utilizou o alicativo We-Vibe 4 Plus da empresa vai receber uma indenização de US$ 7.400.


O vibrador pode ser controlado remotamente por um aplicativo através de Bluetooth, permitindo assim que os casais "se conectem de maneiras novas e excitantes". Mas, quando utilizado, a empresa recolhia os dados pessoais sobre o uso do aparelho sem o conhecimento dos clientes. Informações sobre a freqüência com que os dispositivos foram utilizados, por quanto tempo, a temperatura do dispositivo e a intensidade de vibração eram enviados à Standard Innovation.

Sem falar que ele possuía vulnerabilidades que permitiam o seu acesso não autorizafo.

março 12, 2017

[Cidadania] Machismo na universidade

O pessoal da Escola Politécnica da USP fez um vídeo excelente com depoimentos corajosos e emocionantes de alunas que sofreram assédio, desrespeito e abuso dentro da faculdade, com casos na Poli e algumas outras faculdades da USP.

São depoimentos registrados em vídeos e frases, com histórias pessoais e impressionantes de ofensas verbais e físicas feitas por professores e estudantes durante as aulas e nas festas da faculdade. O assustador é saber que comentários machistas e sexistas também partem dos professores, justamente quem deveria dar o exemplo e cuidar para que todos os alunos e alunas fossem tratados de forma igual. Nem mesmo a atual Vice-diretora da Poli escapou ilesa de preconceito quando era estudante.


USP - Aqui não! from RM Imagens | Ricardo Mereu on Vimeo.


O vídeo encerra com a a coordenadora do projeto USPMULHERES lembrando que os frequentadores da universidade são exatamente iguais ao resto da sociedade, e as situações que acontecem nas ruas
não são diferentes daquelas que acontecem dentro da universidade. Fomos educados em uma sociedade patriarcal e machista, que discrimina as mulheres, e ainda não mudamos esses costumes, valores nem o nosso comportamento.

Mas, mesmo sendo um espelho da sociedade que nos cerca, nós podemos e devemos nos esforçar para mudar esse comportamento, devemos respeitar as mulheres e acabar com essa cultura do estupro e da desqualificação da inteligência das mulheres.

março 10, 2017

[Cyber Cultura] Glossário do Cyber Bullying

O pessoal da Norton (da Symantec) criou um guia sobre cyber bullying, que no final contém um pequeno glossário de termos e gírias mais utilizados no meio digital e que são relacionados a esta prática monstruosa.

Eu resolvi aproveitar este guia para dar destaque a estes termos e gírias que são mais utilizados online, complementando com mais alguns que conheço:
  • AFF: Interjeição usada para demonstrar descontentamento ou indignação. A sonoridade da palavra lembra um suspiro por falta de paciência;
  • BBQ ou BBK: Redução do termo “babaca”, utilizado como insulto;
  • Face: abreviação de Facebook;
  • Fake: Significa “falso”, em inglês. O termo é usado para identificar quando alguém cria um perfil falso na internet ou pode ser usado também como insulto contra alguém;
  • Falsiane: Usado para descrever as amigas que não merecem confiança;
  • Feminazi: Expressão pejorativa para desiginar pessoas que defendem os direitos das mulheres;
  • Haters: pessoas que frequentemente manifestam raiva ou ódio contra alguma coisa ou alguém;
  • Inbox ou DM: refere-se a conversas privadas nas redes sociais, quando você sai de uma discussão pública e passa a conversar diretamente com uma pessoa, através de uma janela privada ou um aplicativo de mensagens instantâneas;
  • Insta: Apelido do "Instagram", a rede social de compartilhamento de fotos muito utilizada atualmente;
  • Loser: adjetivo usado para chamar alguém de perdedor ou fracassado;
  • Melhore: expressão usada para chamar a atenção de alguém que fez alguma coisa considerada ruim;
  • Noob: Gíria pejorativa que significa “novato”. Também usada para indicar que a pessoa é imbecil ou burra;
  • Nudes: Fotos de nudez;
  • PLMDDS: Abreviação de “pelo amor de Deus”, usado para pedir um favor ou expressar indignação;
  • PQP, TNC, VTNC, PNC, VSF, WTF, STFU: São siglas para expressões populares de baixo calão;
  • Sambar: Gíria comum na Internet, geralmente usada por mulheres, que quer dizer “sair por cima” ou “se sobressair”. Seria o mesmo que pisar, humilhar e desmoralizar alguém;
  • Seje menas: Sim, com erros gramaticais propositais, esta expressão é usada para ironizar a capacidade intelectual de alguém ou desdenhar alguma coisa que essa pessoa disse;
  • SQN: “Só que não”, é usado para expressar ironia, negando uma frase que foi dita anteriormente;
  • Trollar, trollagem: Significa zoar, sacanear alguém;
  • Virjão, Virje: Termo pejorativo usado para definir pessoa do sexo masculino que nunca teve relação sexual, mas também utilizado para dizer que a pessoa é inexperiente, sem conhecimento;
  • Whatz, ZapZap: abreviação para o aplicativo Whatsapp.

março 08, 2017

[Segurança] IoT espião

Já não devia ser novidade para ninguém o risco de sermos monitorados inadivertidamente pelos diversos dispositivos tecnológicos que nos cercam, desde o vazamento irresponsável de dados coletados por brinquedos inteligentes até Smart TVs sendo infectadas pela CIA para espionagem.

Desde a famosa "webcam no notebook" (que preocupa o Mark Zuckerberg e até mesmo o Papa), frequentemente vemos notícias que nos mostram o risco representado pelos equipamentos e dispositivos conectados na Internet e que ficam constantemente "vendo" e "ouvindo" o ambiente. Tal onda tecnológica começou provavelmente com os smartphones que reconheciam comandos de voz (ou transcrevem textos a partir da voz) e atualmente tal recurso está espalhado por diversos dispositivos no mundo IoT, como aparelhos domésticos (centrais de multimídia, por exemplo), carros e até mesmo brinquedos.


Veja, por exemplo o Amazon Echo: a partir de 49 dólares, você pode ter um dispositivo doméstico que reconhece comandos de voz para tocar músicas, controlar sua smart TV ou gerenciar a automatização de toda a sua casa.


O problema começa porque estes aparelhos "ouvem demais" - intencionalmente ou não! Geralmente, eles ficam captando sons do ambiente o tempo todo, a espera de reconhecer alguma frase específica, que vai indicar o início de um comando (como "Oi Siri" do iPhone, o "OK Glass" que era comum no Google Glass e o "Alexa" no Amazon Echo). Além disso, muitas empresas utilizam um serviço externo de reconhecimento de voz, via Internet, então por isso todo som capturado pelo dispositivo tem que ser enviado para algum lugar na Internet.



Ou seja: a princípio, tudo o que o seu aparelho ouve é enviado para um servidor de alguma empresa.

E alguns casos recentes nos mostram o quanto isso pode representar de risco a nossa privacidade:
  • Acabamos de saber, através do Wikileaks, que a CIA consegue invadir Smart TVs, smartphones e carros para capturar sons, imagens e até mesmo mensagens de texto através destes dispositivos. No caso das Smart TVs, uma ferramenta da CIA consegue colocar ela em um modo batizado de "Fake-Off": a vítima pensa que desligou a TV, mas ela continua ligada, gravando sons e enviando-os para servidores da CIA;
  • Crianças tiveram sua privacidade exposta através de problemas de segurança nos Cloud Pets, da empresa Spiral Toys, bichinhos de pelúcia que ouvem e reproduzem mensagens para seus pequenos donos. Além de ser possível conectar qualquer dispositivo Bluetooth neles, para capturar o som ambiente, também foi identificada uma base de dados exposta na Internet com 2.2 milhões de arquivos de áudio gravados por pais e crianças, além de senhas de 821.000 contas;
  • Segundo documentos da justiça americana, por pelo menos 15 anos o FBI tem utilizado recursos de conectividade em carros (como localização e áudio dentro do carro) para vigiar ou rastrear criminosos. Isso nos dá uma nova buzzword: "Cartapping";
  • Em um caso de assassinato em Arkansas (EUA), a polícia exigiu que a Amazon cedesse todo o áudio capturado pelo Echo durante o provável horário do homicídio. O mais interessante é que a Amazon não cedeu os dados, mas a polícia percebeu pelo smart meter que houve um grande consumo de água de madrugada, que poderia ter sido utilizada pelo suspeito para limpar a cena do crime;
  • A fabricante de Smart TVs Vizio foi multada em US$ 2,2 milhões por coletar dados de seus clientes secretamente e revendê-los a terceiros, tudo isso sem o conhecimento e muito menos sem o consentimento dos clientes.


Estes dispositivos conectados, muitos dos quais desenvolvidos sem cuidados básicos de segurança, podem ser usados contra nós a partir do momento em que representam diversos pontos de entrada a nossas empresas ou residências, que podem ser explorados por empresas, governos, agências de espionagem e ciber criminosos.

março 03, 2017

[Segurança] De onde vem o crime cibernético?

Eu estava dando uma olhada em algumas palestras de segurança que foram apresentadas no TED e encontei uma interessante, com o título de "Where is cybercrime really coming from?", apresentada pelo Caleb Barlow em Novembro de 2016.


Em sua palestra, o Caleb apresenta algumas estatísticas sobre o crime cibernético:

  • A ONU estima que 80% dos crimes cibernéticos são realizados por gangs altamente organizadas e sofisticadas;
  • O ciber crime representa uma das maiores "economias" do mundo, movimentando 445 bilhões de dólares.

Ele também comenta sobre alguns métodos utilizados pelos ciber criminosos, e sobre o uso da Dark Web para compra e venda de serviços e produtos criminosos.

Ao final, ele defende que as empresas devem compartilhar informações sobre ameaças entre si, para todos conseguirem se defender rapidamente, de forma aberta e colaborativa.

março 02, 2017

[Segurança] Fraudes em programas de milhagens aéreas

Engana-se quem acha que o ciber crime é um problema restrito aos bancos. Na verdade, os ciber criminosos tentam explorar e fraudar qualquer tipo de serviço online em que eles possam obter algum tipo de vantagem financeira.

Até mesmo os programas de milhagem aérea (que permitem trocar pontos por passagens aéreas ou até mesmo por mercadorias) podem ser explorados por ciber criminosos. Uma reportagem publicada recentemente no jornal australiano The Age descreve o caso de um cliente da compania aérea Quantas que teve as suas milhas utilizadas por fraudadores – um prejuízo que só não foi maior pois a compania aérea agiu a tempo.

O roubo de pontos de programas de milhagens aéreas é uma fraude que pode atingir milhões de usuários (a Quantas, por exemplo, possui cerca de 11,5 milhões de clientes utilizando seu programa de milhagem) e permite aos fraudadores emitirem – e revenderem – passagens sem custo, utilizando a pontuação da vítima. A vítima, por outro lado, só vai perceber quando tentar resgatar os seus pontos (para emitir suas passagens ou conseguir um upgrade).

Normalmente os ciber criminosos consequem acesso as contas de programas de milhagem utilizando mensagens de Phishing ou malwares que roubam credenciais. Veja abaixo um caso de phishing prometendo 10.000 pontos para clientes do programa TudoAzul (exemplo retirado do Catálogo de Fraudes da RNP). Engenharia social também pode ser facilmente utilizada. a reportagem lembra que ao publicar uma foto nas redes sociais de seu cartão de embarque ou da identificação de sua mala, você estará fornecendo alguns dados que podem ser utilizados por um fraudador para tentar passar por você e acessar seu programa de milhagem.



A favor dos ciber criminosos conta o fato de que os clientes de companias aéreas não tem consciência deste tipo de fraude, tomam poucas medidas de proteção (normalmente utilizam senhas óbvias) e, além disso, a maioria dos clientes raramente conferem seu saldo e utilizam seus pontos com pouca frequência, dificultando a identificação e bloqueio da fraude. Mesmo do ponto de vista das companias aéreas, muitas delas utilizam uma política de senhas bem simples em seus sistemas. Algumas, por exemplo, exigem senhas numéricas de 6 dígitos – uma combinação que pode ser adivinhada de forma fácil e rápida.

Ainda segundo a reportagem do The Age, a compania aérea Quantas está realizando um projeto piloto para aumentar a segurança no acesso de seus clientes ao portal do programa de milhagens através do uso de tecnologia de segundo fator de autenticação, aonde uma senha de acesso temporária é enviada via SMS para o celular dos clientes.

fevereiro 28, 2017

[Segurança] O que passou pela rede da RSA Conference

O pessoal que gerenciou o SOC da RSA Conference, uma atividade conjunta da RSA e da CISCO, lançou alguns posts em blog e um vídeo curtinho contando como foi esta experiência. O tráfego de rede, durante o evento, estava na faixa de 500 a 700Mbps.


Durante o evento, eles tiveram oportunidade de ver alguns tipos de tráfico interessantes passando pela rede do evento, tais como:
  • Senhas passando em aberto;
  • Computadores dos participantes tentando se conectar com servidores ou equipamentos de suas empresas originais (o chamado "calling home"), mesmo estando em uma rede pública (como mensagens SNMP e fazendo broadcast de informações sobre os próprios computadores);
  • Cerca de 30% dos e-mails que passaram pela rede estavam em aberto;
  • Havia tráfego de Tor2Web;
  • Viram tráfego de aplicativos mobile, aonde a autenticação estava criptografada, mas o tráfego pós-autenticação estava em aberto. Isso aconteceu, por exemplo, com pessoas conectando em webcams em suas casas, imagens do Tinder, etc;
  • A propósito, eles viram muito acesso a aplicativos de relacionamento durante o evento;
  • Do ponto de vista de malware, eles viram várias coisas vindas da China, Rússia e Koréia do Norte, tráfego de máquinas infectadas tentando falar com mundo externo, acesso a servidores de Comando e Controle, etc.
Não custa lembrar que qualquer rede pública é um ambiente hostil para se conectar, e por isso, merece muito cuidado. No caso de um evento de segurança, estamos falando em cuidado redobrado, pois o público do evento é um alvo muito mais atrativo e visado.

Para saber um pouquinho mais sobre essa experiência no SOC da RSA Conference 2017, dê uma olhada nesses artigos:


Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.