julho 26, 2016

[Segurança] Hacktivismo e governos autoritários e democráticos

Recentemente, o site Motherboard entrevistou o hacktivista Phineas Fisher, responsável pela invasão das empresas de segurança Gamma Group (2014) e Hacking Team (2015).

A entrevista é curta, interessante e ganhou destaque por um fator inusitado: para preservar a sua identidade, o Phineas Fisher pediu que fosse representado por um marionete.


Em um determinado momento, Phineas Fisher deixa claro a importância em protestar contra todos os governos, independente de serem "democráticos" ou autoritários. Perguntado sobre o risco de "governos democráticos" permitirem o acesso ou a venda de ferramentas de vigilância para "governos autoritários", ele deu uma resposta excelente:
"A função essencial das forças da lei é a mesma [em ambos os regimes]. (...) A grande maioria dos recursos das forças da lei em todos os lugares são dedicados a monitorar as ameaças contra quem está no poder (...) Então, 70 por cento [do esforço é voltado para ameaça] política, 30 por cento crime real. A diferença entre regimes autoritários e os "democráticos" é que os clientes da Hacking Team prendem, torturam e matam, enquanto os "democráticos" têm formas mais suaves de gerir a dissidência."
Vale a pena ler o artigo e assistir o vídeo, para entender a motivação dos hacktivistas e porque frequentemente são contra o vigilantismo em qualquer forma de governo.


julho 23, 2016

[Segurança] A dificuldade dos governos lidarem com o Mundo Online

Em uma palestra no TED Global de Londres, em 2015, o analista de segurança Rodrigo Bijou tentou mostrar como os governos tem dificuldades em acompanhar os movimentos online, principalmente no que diz respeito a guerra cibernética, aos ciber protestos (e hacktivismo) e a questão do vigilantismo versus o direito a privacidade da população.

Embora o título da palestra, "Governments don't understand cyber warfare. We need hackers", dê a entender que ele iria falar de Guerra Cibernética, na verdade ele não falou nada sobre isso e acabou misturou casos de ativismo online, ciber protestos e hacktivismo para, no final, concluir que os governos deveriam dar mais chance a liberdade de expressão na Internet. Wow... que mistura... Mas, mesmo assim, a palestra é interessante.

julho 20, 2016

[Segurança] Pokemon Go

Mal foi lançado, ele já se tornou uma febre mundial. Aliando realidade aumentada com um esquema de jogo simples, o Pokémon Go é um jogo para Smartphones que rapidamente tem atraído milhares (ou milhões de usuários).


Na medida em que se populariza, algumas ameaças de segurança associadas ao jogo Pokemon Go já começam a ser discutidas:
  • Falsos aplicativos que, na verdade, são malwares: como o jogo está sendo disponibilizado em diversos países pouso a pouco, os ciber criminosos aproveitam para oferecer falsos aplicativos do Pokémon Go que, quando instalados, na verdade são malwares para smartphones. Por isso, somente baixe o jogo do site oficial e das lojas de aplicativos oficiais (Google Play e App Store da Apple), sempre validando se é o aplicativo do próprio desenvolvedor (Niantic). "Seja caxias". Evite também procurar o aplicativo por links de anúncio, sites de compartilhamento de arquivos ou mesmo por resultados em sites de busca, pois estes são os métodos que os criminosos normalmente usam para que os usuários achem seus falsos aplicativos;
  • Cuidado com a sua privacidade: O Pokémon Go exige que você se registre ou utilize sua conta do Google (que, muitas vezes, é a mesma do GMail) para poder jogar. Em vez de usar a sua conta pessoal no GMail, crie uma outra conta somente para isso (ou para jogos e coisas menos importantes). Se, no futuro houver um vazamento de dados da empresa que desenvolve o jogo, seu e-mail pessoal não será comprometido. Além do mais, o jogo utiliza sua localização, por GPS. Não utilize o jogo em lugares aonde você não queira ser rastreado;
  • Cuidado com as permissões de acesso que o jogo tem no seu celular: Versões antigas do Pokémon Go exigiam acesso a muitas informações e recursos do smartphone, o que aparentemente já foi corrigido. Obviamente, o jogo exige acesso a sua câmera e aos dados de GPS, mas não custa verificar e, se possível, customizar as permissões do jogo;
  • Cuidado com as compras dentro dos aplicativos: Crianças e jovens que utilizam o aplicativo podem se sentir tentados a comprar "ovos" indiscriminadamente, causando um grande prejuízo para o cartào de crédito de seus pais. Tenha sempre um cartão de crédito com limite muito baixo para utilizar associado a sua conta em lojas de aplicativos;
  • Cuidado também com a sua segurança física: Já temos várias notícias de pessoas que se machucaram ou, infelizmente, até mesmo morreram porque estavam distraídas enquanto andavam e jogavam. Além disso, a distração pode tornar você uma vítima fácil de assaltos. Provavelmente neste ano teremos um número record de concorrentes ao prêmio Darwin Awards.



Para saber mais:


julho 19, 2016

[Segurança] Ataques DDoS a partir de Botnet das Coisas

Pesquisadores da Arbor identificaram uma botnet que explora dispositivos de Internet das Coisas para realizar ataques de DDoS. A botnet foi construída em cima de uma variação do software LizardStresser, uma botnet cujo código fonte tornou-se público em 2015.

Os pesquisadors rastrearam duas botnets que dispararam diversos ataques neste ano, com pico de 400Gbps. Dentre os ataques, alguns alvos foram dois grandes bancos brasileiros, duas empresas de Telecom no Brasil, duas agências governamewntais brasileiras e três empresas de jogos nos EUA. Os ataques partiram de diversos endereços IP espalhados pelo mundo, mas o Brasil e Vietnan foram os responsáveis pela maioria dos IPs de origem dos ataques. A botnet é capaz de realizar diversos ataques, como HOLD flood, UDP flooding e TCP flooding.

Os pesquisadores acreditam que cerca de 90% dos hosts envolvidos nos ataques são webcams, o que comprova apreferência pelo uso de dispositivos IoT para compor as botnets. Para criar a sua "Botnet das Coisas", o LizardStresser procura por endereços IP na Internet que sejam acessíveis por telnet e tenham usuário e senha padrão, testados a partir de uma lista de senhas default previamente hard coded no software da botnet.

julho 18, 2016

[Carreira] Manual para contratação de Cloud Computing

Recentemente o Ministério do Planejamento, Orçamento e Gestão (MP) divulgou um manual de  “boas práticas, orientações e vedações” para contratação de serviços de cloud computing por órgãos do governo brasileiro.

O documento está disponível na página do Núcleo de Contratações de Tecnologia da Informação (NCTI) do portal do Governo Eletrônico e foi publicado em 11/05 deste ano.

O documento é curto e objetivo, e eu destaco abaixo os itens desta regulamentação que achei mais interessantes ou pertinentes:

  • Para os casos de serviços de TIC que não comprometam a segurança nacional, incluindo Serviços de TIC Próprios, recomenda-se aos órgãos contratar preferencialmente Nuvem Híbrida, como Modelo de Implantação, de fornecedor público ou privado.
  • Os órgãos deverão exigir, no momento da contratação de serviços em nuvem de fornecedores privados, que o ambiente do serviço contratado esteja em conformidade com a norma ABNT NBR ISO/IEC 27001:2013
  • A contratação de serviços em nuvem deverá respeitar a seguinte ordem de prioridade (...): Software como Serviço (SaaS), Plataforma como Serviço (PaaS), Infraestrutura como Serviço (IaaS).
  • Os órgãos que não possuem infraestrutura de TI própria ou que necessitem renová-la ou ampliá-la devem contratar Infraestrutura como Serviço (IaaS).
  • Os órgãos deverão exigir, por meio de cláusulas contratuais, (...) que os dados e informações do contratante residam exclusivamente em território nacional, incluindo replicação e cópias de segurança (backups)
  • Os órgãos deverão assegurar, por meio de cláusulas contratuais, que o serviço a ser contratado permita a portabilidade de dados e aplicativos
  • Os órgãos deverão assegurar, quando aplicável e por meio de cláusulas contratuais, que as informações sob custódia do fornecedor serão tratadas como informações sigilosas

Os itens acima me pareceram bem relevantes para órgãos de governo, e desta forma, passam a servir como referência em futuras contratações de serviços em nuvem. Note apenas que a regulamentação exige a adoção da norma 27001, e não considera a nova norma ABNT NBR ISO/IEC 27017, publicada recentemente pela ABNT.

Para mais detalhes, veja aqui o documento na íntegra..

julho 15, 2016

[Segurança] O que acontece quando você responde um SPAM?

Esta palestra no TED, "This is what happens when you reply to spam email", mostra um pouco do que acontece quando alguém resolve responder as frequentes mensagens de SPAM que recebemos diariamente.


James Veitch, um escritor e comediante britânico, resolveu responder uma mensagem de SPAM que estava lhe oferecendo uma proposta comercial, para revender ouro. Nesta palestra, ele conta como essa conversa seguiu adiante. Embora, tecnicamente, a palestra não traga nenhuma informação importante ou, esta é, definitivamente, uma palestra muito divertida para se assistir.

julho 13, 2016

[Segurança] Ciber mico nas Olimpíadas

Faltando poucas semanas para as Olimpíadas do Rio de Janeiro, sabemos que muitos ataques podem ocorrer. Mas, acima de tudo, vamos torcer para que a organização do evento não caia nas armadilhas fatais que nos façam pagar os micos de segurança mais comuns que acontecem em grandes eventos.

Foto do SOC expondo as senhas: Este é um caso tradicional de "ciber mico". Na vontade de divulgar o trabalho realizado pela organização e pelo SOC do evento, muitos executivos convidam a imprensa para tirar fotos do local aonde ficam os telões de monitoração do ambiente - afinal, não existe nada mais hi-tech, não é? E é aí que mora o perigo: em vários casos, os fotógrafos tiraram fotos do local em que, no fundo da imagem, era possível identificar avisos com as senhas utilizadas. Isso aconteceu no SuperBowl em 2014 e, acreditem, durante a Copa do Mundo no Brasil;






Defacement no site das Olimpiadas: Não existe nada mais humilhante do que o defacement do site principal. É claro que, durante os jogos Olímpicos, diversos grupos hacktivistas em todo o mundo vão tentar aproveitar o evento para divulgas suas idéias. Logo, deve haver um número surreal de tentativas de defacement nos sites das organizações e emrpesas relacionadas com as Olimpíadas. Na grande maioria das vezes, as empresas fazem direitinho o seu trabalho e esses ataques não tem sucesso, mas as vezes alguns sites menores ou servidores secundários acabam sendo atacados. Isso, por exemplo, já aconteceu há dois anos atrás durante a Copa do Mundo no Brasil. O vergonhoso, mesmo, é ter o site principal do evento invadido - e esperamso que isso não aconteça!




Roubo de dados do Comitê Olimpico: Um dos principais tipos de ciber ataques relacionados ao hacktivismo é o roubo e exposição de dados das empresas. Com o objetivo de humilhar uma organização especígica, os hacktivistas conseguem roubar e vazar dados internos, como dados de funcionários, documentos e e-mails. Recentemente, para protestar contra fim da franquia de dados na internet fixa, uma das células brasileiras do grupo Anonymous vazou dados funcionários da Anatel e mais de 20 GB de dados do Ministério Público do Mato Grosso. Com a proximidade das Olimpíadas, o Comitê Olimpico Brasileiro é um alvo em potencial.




julho 11, 2016

[Segurança] Nova norma NBR ISO/IEC 27017 sobre Segurança em Cloud Computing

No dia 07/07 a ABNT lançou oficialmente uma nova norma para padronizar controles de segurança para ambientes de Cloud Computing, a ABNT NBR ISO/IEC 27017:2016 - Tecnologia da informação - Técnicas de segurança - Código de prática para controles de segurança da informação com base ABNT NBR ISO/IEC 27002 para serviços em nuvem.

O objetivo desta nova norma é o de fornecer um conjunto de diretrizes para os controles de segurança da informação que sejam aplicá­veis à prestação e utilização de serviços em nuvem. Ou seja, a norma apresenta um conjunto de controles sugeridos do ponto de vista do prestador de serviços em nuvem e do ponto de vista do cliente deste serviço. Tais diretrizes adicionais são relacionadas especificamente a serviços em nuvem e são aplicados ao conjunto de controles de segurança especificados na norma ABNT NBR ISO/IEC 27002 ("Código de prática para controles de segurança da informação"). Assim, a norma identifica, para cada controle sugerido na 27002, se ele se aplica a ambiente en Nuvem e se ele exige alguns controles adicionais, específicos para este ambiente.

A vantagem da 27017 é que ela serve como orientação para as empresas prestadoras de serviços em nuvem e para os seus clientes, orientando que controles de segurança são necessários para cada um. Assim, as empresas podem direcionar seus esforços de segurança e os clientes podem se proteger melhor e, ao mesmo tempo, identificar e avaliar os tipos de controle oferecidos pelas empresas que eles utilizam.

Esta norma, na verdade, é uma tradução da norma internacional ISO/IEC equivalente, que foi publicada em Dezembro do ano passado.

A ABNT NBR ISO/IEC 27017:2016 pode ser obtida (isto é, comprada) diretamente no site da ABNT.

julho 08, 2016

[Segurança] Chupa-cabra em Viena

Durante as suas férias em Viena, na Austria, um pesquisador de segurança encontrou um chupa-cabra ("skimmer", em inglês) em um caixa eletrônico e disponibilizou o vídeo na Internet:



O chupa-cabra em questão era formado por uma parte translúcida que se sobrepunha a leitora original do caixa eletrônico, e nele estava instalado um pequeno leitor de fita magnética. O interessante é que de alguns anos para cá diversos fabricantes de caixas eletrônicos começaram a usar frentes transparentes para a leitora de cartões na inútil esperança de que isso iria impedir a instalação de chupa-cabras.

Apesar dele ter gravado o chupa-cabra e retirado o dispositivo, o mais recomendável é que isso não seja feito, pois muitas vezes o criminoso pode estar por perto e pode não ficar muito feliz em ver que alguém achou o seu pequeno dispositivo. Os chupa-cabras normalmente custam caro no mercado underground, e um criminoso pode não gostar de perder o seu investimento. Ao encontrar um caixa eletrônico com um chupa-cabra, o melhor a fazer é sair do local imediatamente e, de um ponto afastado, ligar para a polícia ou para o banco.

julho 07, 2016

[Segurança] Sequestro como forma de protesto

Recentemente surgiu a notícia de que o grupo Anonimous utilizou um Ransomware para sequestrar servidores da Anatel e protestar sobre a discussão que existe hoje em dia sobre a tarifação da Internet.



O ataque fez parte de uma operação chamada “OpOperadoras” - veja mais detalhes nesta reportagem do Olhar Digital.



O mais interessante desta história, na verdade, é justamente o uso de um Ransomware como forma de protesto, ou seja, sequestrar computadores para tentar convencer uma empresa a tomar alguma posição específica.

Normalmente, os Ransomwares são utilizados por ciber criminosos para extorquir suas vítimas em troca de dinheiro. Este tipo de malware serve justamente para impedir o acesso do usuário a um computador ou a seus dados, normalmente criptografando os dados locais. A desencriptação ocorre apenas quando a vítima recebe a chave de criptografia, após pagar uma taxa para o ciber criminoso, normalmente utilizando bitcoins.

No caso dos ciber ativistas, as formas mais comuns de protesto online são os ataques DDoS, para impedir o acesso dos usuários ao site da vítima, ou através do roubo e exposição de dados sensíveis (vide recente ataque a Anatel), para humilhar a empresa, a instituição ou seus funcionários e executivos.

Eu, particularmente, ainda não tinha visto nenhum caso de uso de Ransomware como ciber protesto, e esse ataque rcente a Anatel abre um precedente no mínimo interessante - e assustador.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.