junho 23, 2017

[Segurança] Como criar a senha perfeita

O pessoal do blog Minuto da Segurança compartilhou um infográfico bem legal com dicas de como criar senhas perfeitas.


Esse infográfico foi criado em 2014 pelo portal WhoIsHostingThis. No mesmo ano eles também criaram outro infográfico, com o título "Is The Password Dead?", mostrando como simples senhas são inseguras e podem ser descobertas facilmente.

Vale muito a pena dar uma olhada nas dezenas de infográficos bem legais que eles mantém no Blog deles. Dá para perder algumas horas lá :)

junho 22, 2017

[Segurança] Verizon Data Breach Investigations Report

Há vários anos a empresa americana Verizon lança regularmente um relatório chamado "Verizon Data Breach Investigations Report", que é um excelente material com estatísticas de mercado sobre como ciber ataques afetam e são tratados pelas empresas, baseados em dados reais.

O relatório é tão popular no mercado de segurança que é comum todas as empresas (mesmo as concorrentes deles) utilizarem suas estatísticas. Atualmente em sua décima edição, as suas 76 páginas são cheias de informação e dados interessantes, tais como:
  • 81% das violações exploraram senhas roubadas e/ou fracas;
  • 43% dos incidentes foram ataques sociais;
  • 51% das violações incluíam malware;
  • 66% dos malwares foram instalados via anexos maliciosos de e-mail;
  • 73% das violações eram financeiramente motivadas;
  • 21% das violações estavam relacionadas à espionagem;
  • 27% das violações foram descobertas por terceiros.


Ao final, o relatório passa algumas recomendações obvias:
  • Seja vigilante: Arquivos de log e sistemas de gerenciamento de mudanças podem dar alerta antecipadamente de uma violação;
  • Faça as pessoas sua primeira linha de defesa: Treine o pessoal para detectar os sinais de alerta;
  • Apenas mantenha os dados quando for necessário e limite os acessos somente aos funcionários que precisam fazer atividades específicas;
  • Atualize seus sistemas prontamente;
  • Criptografar dados sensíveis Faça com que seus dados sejam inúteis se forem roubados;
  • Use autenticação de dois fatores, pois isso pode limitar o dano que pode ser feito com perda de credenciais roubadas;
  • Não se esqueça da segurança física.
O relatório está disponível online em sua versão completa ou seu sumário executivo, uma versão mais curta do documento.

junho 12, 2017

[Segurança] Internet das Ameaças Bancárias

A crescente migração dos usuários Internet para os smartphones, a adoção de meios de pagamentos móveis e a nova onda de dispositivos conectados (IoT) está fomentando o surgimento de novas aplicações financeiras que prometem estimular o crescimento do uso de IoT no dia-a-dia pelos consumidores de serviços bancários. Esse movimento está criando uma nova buzzword: a “FIn-ternet of Things”.

A Internet das Coisas está começando a ser adotada em várias frentes distintas pelo setor financeiro, por bancos e principalmente pelas Fintechs, novas startups de tecnologia e serviços financeiros. Esse "boom" ocorre pois os dispositivos IoT aumentam a eficiência e abrangência do processo de coleta, tratamento e monitoramento de dados financeiros e comportamentais dos clientes, e traz novas possibilidades de interação.


O exemplo mais simples nesse mercado é o uso de smartwatches para visualizar seus dadods bancários. De fato, é fácil encontrar aplicativos bancários para celulares que possuem alguma interface embutida para os relógios digitais. Fazendo uma pequena pesquisa no mercado, eu consegui identificar esta tendência surgindo em várias áreas mais diversas, tais como:
  • Serviços bancários
    • Interação bancária através de dispositivos vestíveis ("weareables"): o exemplo mais óbvio e que já faz parte do nosso dia-a-dia é o acesso aos dados da conta bancária via SmartWatches;
    • Meios de pagamento através de dispositivos vestíveis e NFC
    • Interação com caixas eletrônicos (ATM)
    • Educação e orientação financeira através de aplicativos e gamificação
    • Novos meios de visualização e interação com seus dados bancários, como o "Citi HoloLens"
  • Novos meios de pagamento
    • Transações financeiras e pagamentos a partir ou para dispositivos: uma área com várias possibilidades de dispositivos efetuarem compras e pagamentos. Podemos ter media centers comprando conteúdo automaticamente, refrigeradores (smart fridges) fazendo compras domésticas, carros autônomos ("self-driving car") fazendo pagamentos em trânsito, uma caneca de café integrada com meio de pagamento, como a australiana SmartCup, etc
    • Uso de dispositivos IoT como meio de pagamento seguro, principalmente através da coleta de dados comportamentais e biométricos para autneticar os clientes;
  • Seguros
    • Gestão de seguros através da monitoração de carros, identificando hábitos dos motoristas e adequando a tarifa ao perfil deles, localização de carros em caso de sinistro, sensores para evitar colisões, etc
    • Monitoramento de casas cobertas por seguro residencial, incluindo monitoração de segurança, contra incêndio, etc
  • Segurança
    • Autenticação de clientes
Vejam alguns exemplos de aplicações novas que estão surgindo no mercado bancário:
  • "Self-paying car": assim como teremos o "self-driving car", o automóvel pode eventualmente fazer pagamentos, como pedágios, além do próprio carro se abastecer em um posto de gasolina e ele mesmo pagar pelo seu abastecimento. A Daimler, por exemplo, no início do ano adquiriu a empresa PayCash com o objetivo de lançar o serviço de pagamento "Mercedes Pay”. Inicialmente, este serviço será integrado com alguns serviços móveis, como o servico de compartilhamento de automóveis car2go e o aplicativo de taxi mytaxi;
  • O aplicativo para celular QAPITAL, que ajuda os clientes a economizar dinheiro no dia-a-dia para atingir sonhos através de monitoração de sua economia diária e objetivos financeiros;
  • A pulseira Pavlok, utilizada para reeducação, que dá um pequeno choque no usuário quando o usuário faz gastos excessivos;
  • Pulseira OurocardLançada em Junho de 2017, é um dispositivo vestível à prova d’água do BB que funciona como um meio de pagamento, sendo um espelho do cartão de crédito ou débito principal (Visa Platinum ou Visa Infinite). O acessório permite ao cliente fazer pagamentos por aproximação, utilizando a tecnologia Near Field Communication (NFC). As operações são realizadas por meio de um chip localizado na parte interna da pulseira e quem opera toda a transação é o lojista. O Bradesco lançou uma pulseira similar para uso durante os Jogos Olímpicos do Rio de Janeiro.


Isso significa melhores serviços bancários on-line e móveis, melhor coleta de dados e contextualização, melhores sistemas de pagamento e melhor segurança financeira on-line, todas as áreas visadas pela melhor das atualizações de Fintech de hoje,

Por outro lado, com a adoção de dispositivos IoT no mercado financeiro, a superfície de ataque cresce vertiginosamente. E, como lembrou o meu colega Paulo Pagliusi, “A indústria financeira terá que encarar problemas como credenciais com senha padrão, falta de atualização em firmware, falta de suporte de fornecedores, portas abertas desnecessárias, protocolo transmitindo senhas em texto claro, aberturas ao DDoS”. Isso acontecerá porque os fabricantes de dispositivos IoT são empresas acostumadas a atuar no mercado de hardware, que têm pouca ou nenhuma experiência em software e muito menos em segurança no ambiente Internet.

Tudo isso eu resumi na apresentação abaixo, que utilizei recentemente em um painel sobre "" durante o Ciab, evento organizado pela Febraban.




Para saber mais:

junho 02, 2017

[Segurança] MC Hackudao e o Ransomware

No finalzinho de Abril o MC Hackudao lançou uma música nova em homenagem aos Ransomwares, que está disponível no Soundcloud e no YouTube.



Em tempos de infestação massiva do WannaCry, a música RANSOMWARE (DJ KALI LINUX) [#wannacry] poderia embalar as noites em vários datacenters por aí.


maio 31, 2017

[Segurança] Fraude direcionada a lojistas online

Há pouco tempo atrás uma matéria no jornal americano The Wall Street Journal relatoou sobre um golpe direcionado as lojas que realizam comércio eletrônico. Segundo a reportagem, também citada no portal Market Watch, essa fraude tem como alvo os logistas que usam o marketplace na Amazon, aonde os ciber criminosos conseguem o acesso indevido a conta desses lojistas e alterar seus dados para obter ganho ilícito.

A fraude começa com o acesso a conta dos logistas, e então os ciber criminosos alteram o cadastro destes lojistas para modificar os dados bancários. Assim, as compras começam a ser pagas para os fraudadores, em vez do lojista que realizou a venda. Um golpe que, segundo a imprensa, pode atingir dezenas de milhares de dólares de prejuízo para cada vítima.

Em outro golpe contra os lojistas online, os ciber criminosos conseguem acessar contas pouco ativas de vendedores no marketplace da Amazon para, aproveitando o seu histórico e credibilidade, começar a oferecer a venda de produtos inexistentes, a preços baixos. Assim os fraudadores fazem a venda em nome do lojista, recebem o dinheiro e não entregam nada.

Esse golpe não é novidade para quem trabalha no mundo de e-commerce. Esses esquemas de fraude se baseiam no acesso indevido as contas dos lojistas, o que pode ser conseguido via Phishing, password guessing ou utilizando bases de usuários e senhas obtidas nos fóruns undergrounds. Como muitos usuários tem o péssimo hábito de reutilizar suas senhas, uma base de milhares de e-mails e passwords pode dar acesso a contas nos sites de e-commerce - e, por azar, algumas destas contas podem ser de lojistas.

Este caso mostra como a criatividade para o crime é ilimitada, e como todo o cuidado é pouco. E, como sempre, os ciber criminosos exploram a falta de cuidados básicos de segurança, como mau o uso de senhas.

maio 29, 2017

[Segurança] Atualizar sistemas nem sempre é possível

A recente infestação massiva do ransomware WannaCry (ou "ransomworm", se preferir) trouxe a tona, novamente, a discussão de que as empresas devem manter seus sistemas sempre atualizados. De fato, para se propagar e infectar máquinas em todo o mundo, o WannaCry explorava uma vulnerabilidade corrigida pela Microsoft 2 meses antes. Assim, quem estava com uma versão atual do Windows, com update automático ativado, e funcionando nada sofreu. Os problemas desse tipo normalmente ocorrem com mais frequência em computadores com Sistema Operacional antigo ou pirata, que não tem suporte nem atualização.

A atualização dos equipamentos (sistemas operacionais e aplicações) é a primeira exigência que vem à mente quando discutimos as recomendações básicas de segurança. Mas, como lembrou um artigo no portal CSO Online, "Patching não é uma bala de prata" pois nem sempre uma empresa pode atualizar todos os seus sistemas nem consegue fazer isso rapidamente.

Em vez de criticar cegamente as empresas que mantém sistemas desatualizados, é importante primeiro entender o porquê várias empresas tem restrição para aplicação de patches.

As principais razões para as empresas não atualizarem seus sistemas costumam ser as seguintes;

  • Uso de "appliances": Diversas empresas fornecem equipamentos que são um "bundle" (uma "caixa preta") pré-configurada de hardware e software, e as empresas que os utilizam acabam tendo controle limitado sobre suas configurações e atualizações. A propósito, estes "appliances" são muito comuns no mercado de equipamentos de redes e de segurança. Muitos destes appliances rodam versões customizadas do Linux, e os fabricantes acabam sendo displicentes com as atualizações, de forma que nem sempre as atualizações para os appliances acompanham as atualizações no sistema operacional;
  • Uso de sistemas especializados: isso acontece com muita frequêcia em sistemas de automação, sistemas industriais ou sistemas de instrumentação, onde os equipamentos funcionam por muitos anos, e muitas vezes sem nenhuma parada ou manutenção. Tais sistemas tem poucas atualizações, e assim os computadores permanecem desatualizados por simples falta de opção. Nesses tipos de equipamento também não permitem atualizar o Sistema Operacional nem tem possibilidade de instalar algum software adicional de proteção (como, por exemplo, instalar um anti-vírus). Qualquer tipo de atualização ou manutenção não aprovada pelo fabricante do equipamento pode fazer com que o equipamento pare de funcionar, causando grandes prejuízos operacionais e financeiros;
  • Uso de sistemas legados e antigos: Um problema comum em grandes empresas é que elas possuem aplicações que rodam há muitos anos, e que há muito tempo deixaram de ser fabricadas e mantidas pelas empresas que os criaram. Ou essas empresas nem existem mais. Como uma atualização no sistema operacional pode causar incompatibilidade com o software e parar a aplicação, as empresas viram reféns, e a única solução seria coprar um novo sistema equivalente e aposentar o antigo. Mas aí nesta hora também surgem necessidades de compatibilidade do novo sistema com os dados armazenados no sistema antigo. ou seja, vira um problema tão grande que as empresas preferem manter o sistema velho funcionaneo do jeito que está, do que tentar colocar algo novo e mais seguro;
  • Necessidade de compatibilidade com a aplicação: a grande maioria dos sistemas que rodam em servidores (desde bancos de dados a aplicações específicas) possuem uma lista de sistemas operacionais para os quais foram homologados pelo fabricante do software. Consequentemente, a área de TI só pode atualizar o sistema operacional ou instalar um patch no servidor se essa atualização for previamente homologada pelo fornecedor do sistema ou software que roda naquele determinado servidor. Infelizmente, essas homologações do fabricante de software podem demorar meses ou acontecer raramente. eu acredito que este é provavelmente um dos grandes impeditivo para qualquer atualização em servidores;
  • Empresas com grande quantidade de servidores e equipamentos: Quando a empresa tem dezenas, centenas ou milhares de equipamentos para atualizar, o processo de atualização pode durar dias ou até mesmo meses. Isso porque quanquer atualização tem que ser monitorada, testada e, muitas vezes, realizada em horários específicos, para não impactar na operação do dia-a-dia. Engana-se quem pensa que uam atualização em servidores pode ser aplicada do dia para a noite. Há necessidad ede planejamento, coordenação e aprovação de várias áreas. pense também que o processo de atualização pode demorar alguns minutos ou horas, e multiplique isso pela quantidade de servidores da sua rede. Voilá, de repente uma instalação de um patch em 100 servidores pode demorar algumas semanas;
  • "Freezing" do ambiente de TI: É comum que empresas "congelem" o seu ambiente de tecnologia em determinados momentos, normalmente associados a épocas críticas ao negócio (como, por exemplo, datasde grande processamento de pedidos ou nas festas de final de ano, quando vários funcionários entram em férias). Durante esses períodos, não é permitida qualquer modificação no ambiente: nem a inclusão de novos serviçod ou equipamentos, nem é permitida a modificação ou atualização dos servidores existentes. Se esse períuodo coincidor com o lançamento de um novo patch, provavelmente sua instalação será postergada para após o término do período de "freezing".
Não é a tôa que o ataque do WannaCry conseguiu atingir justamente empresas de grande porte, com milhares de computadores, locais ou instalações com baixa visão de segurança (por exemplo, órgãos públicos) ou lugares que costumam ter equipamentos desatualizados (como pode ter sido o caso dos hospitais no Reino Unido).

Há pouco tempo atrás o Fernando Mercês publicou um vídeo bem interessante sobre este assunto:


Quando não há possibilidade de manter seus equipamentos atualizados, a alternativa é manter esses equipamentos em redes específicas, separadas da rede corporativa principal, e isoladas da Internet, usando, por exemplo, equipamentos de firewall para criar esta rede segregada.

maio 26, 2017

[Cidadania] Dicas de Segurança Pessoal

Recentemente a área de segurança da empresa aonde eu trabalho compartilhou algumas dicas de segurança física para o nosso dia-a-dia. Por mais óbvias que sejam, muitas pessoas não tomam os devidos cuidados ou, por distração, acabam se expondo desnecessariamente a situações de risco, por isso achei que seria legal comentar sobre essas dicas.


Vale a pena relembrar e compartilhar algumas dicas básicas de segurança pessoal para o nosso dia-a-dia, que ajudm a diminuir nossa chance de sermos vítimas de assalto e, no pior caso, diminuem o transtorno causado por isso:
  • Mantenha consigo apenas o minimo de documentos necessários. Nós temos a tendência de encher a bolsa (mulheres) ou carteira (homens) com todos os documentos, cartões de crédito, etc. Em caso de assalto ou sequestro relâmpago, os criminosos podem usar estes documentos para coagir você ou sua família, além de terem acesso a mais dados pessoais ou contas bancárias do que o essencial;
    • Mantenha somente sua Carteira Nacional de Habilitação (CNH) ou a Carteira de Identidade (RG), além da carteira do convênio médico. Não carregue outros documentos com dados pessoais e bancários (ex.: título eleitoral, cartão do CPF, extratos bancários, talões de cheque, anotações com senhas, etc.);
    • Leve na carteira somente 2 cartões de crédito, e deixe em casa os cartões de débito e de crédito que você não utiliza regularmente.
  • No caso de mulheres, mantenha sempre a bolsa próxima da de você e a sua vista, pretedencialmente na frente do corpo (evite carregá-la de lado);
  • No caso de homens, nunca deixe a carteira em um bolso folgado, que algum tromadinha possa facilmente pegar sem você perceber. O melhor é manter em um bolso na frente da calça;
  • Sempre fique atento ao que está acontecendo ao seu redor e a atitudes suspeitas;
  • Evite andar sozinho;
  • Evite andar (seja a pé ou de carro) em lugares públicos mal iluminados e desertos, principalmente em horários impróprios;
  • Em lugares públicos, não use nem carregue objetos de alto valor monetário como mochilas contendo computador/tablets, joias, relógios caros, anéis, celulares, brincos, pulseiras ou correntes de ouro;
  • Ao ser abordado por um estranho na rua, mantenha sempre uma distância segura (pelo menos 1 braço de distância) e fique atento ao redor, evitando ser abordado por uma 2a pessoa;
  • Cuidados em caixas eletrônicos (ATMs):
    • Evite usar caixas eletrônicos em lugares públicos externos ou isolados;
    • Dê preferência a usar sempre os mesmos caixas eletrônicos, em shoppings, super-mercados ou lojas de conveniência;
    • Ao utilizar o caixa eletônico, verifique antes se não há pessoas suspeitas a sua volta;
    • Ao digitar suas senhas, use seu corpo e a mão para tapar a visibilidade de pessoas próximas;
    • Ao sacar o dinheiro, coloque-o imediatamente na carteira ou bolsa, e saia. Não fique contando nem conferindo dinheiro em lugares públicos;
  • Cuidados no uso de celular:
    • Não use o telefone celular ou fone de ouvido enquanto caminha em áreas públicas. Além de atrair atenção para o seu celular, pessoas distraídas são um alvo preferencial de criminosos;
    • Se alguém te perguntar as horas, não consulte o celular. É melhor responder que não sabe do que mostrar para um estranho que você tem um celular no bolso;
    • Não grave na memória de seu telefone celular fotografias pessoais e nomes como: casa, esposa, pai, mãe e outras referências que possam ser facilmente usadas por criminosos se eles tiverem acesso ao seu telefone;
  • Em bares e baladas:
    • Evite acompanhar estranhos(as) a supostos locais de diversão, festa, baile, samba, desfile ou outro evento que você nem imagina onde é e, muito menos, o que irá encontrar;
    • Se for a um local desconhecido, vá com compania, em grupo;
    • Nunca aceite bebidas ou drinks de estranhos;
    • Tome conta do seu copo ou latinha de bebida, evite deixá-lo sozinho;
    • Evite levar celulares e carteira se for a algum lugar com grande concentração de pessoas, como passeatas, carnavais de rua, etc
  • No transporte público
    • Evite pontos de ônibus distantes, mal iluminados e isolados;
    • Ao utilizar táxi, dê preferência aos localizados em pontos fixos oficiais, por aplicativo ou rádio-táxi;
    • Evite embarcar e/ou desembarcar em locais de risco. Muitas abordagens/assaltos ocorrem no momento em que o passageiro está pagando o motorista ou desembarcando do veículo;
    • Ao usar o UBER ou um táxi por aplicativo, antes de embarcar no veículo certifique-se que o nome do motorista, placa e características do carro são os mesmos informados no aplicativo;
  • No carro:
    • Ao dirigir à noite ou em locais de risco, prefira fazê-lo em grupo;
    • Antes de viajar de carro, faça uma revisão mecânica e descanse;
    • Tenha em mãos uma lista de telefones úteis e dos serviços de emergência das rodovias a serem ulitilzadas;
    • Não dirija em áreas de alto risco em velocidade muito lenta;
    • Não compre ou consuma alimentos e bebidas, principalmente água, vendidos nos semáforos e nas ruas. Criminosos podem adicionar anestésicos a estes produtos para atacar os motoristas;
    • Não utilize aparelhos eletrônicos dentro de automóveis que chamem atenção das pessoas que estão na rua;
    • Jamais permaneça dentro de veículo estacionado em lugar público;
    • Estacione seu carro em áreas privadas (estacionamento com segurança), nunca em vias públicas;
    • Não deixe objetos de valor no interior do veículo, principalmente em lugar visível. Bolsas e mochilas devem ir no chão ou no porta-malas;
    • Na devolução do veículo de aluguel, inspecione detalhadamente o estado do mesmo. Reporte e registre as avarias ou problema identificado ao responsável pelo local, antes de ir embor;.
    • Nunca deixe para procurar as chaves do seu carro quando estiver parado em frente à porta. Dirija-se ao veículo com a chave em punho, pronto para abrir a porta, dar a partida e sair;
    • Quando estacionar ou entrar em seu carro, esteja atento à presença ou aproximação de estranhos. Tenha em mente que pessoas desconhecidas podem estar observando você estacionar e sair de seu veículo e caso você guarde algum objeto no porta malas eles podem entender que você estará deixando algo de valor neste local e você se tornará alvo deles;
    • Alguns amigos tem a "carteira do ladrão", uma segunda carteira com documentos e dinheiro próxima ao painel do carro, para ser entregue ao criminoso em caso de abordagem;
  • Em caso de assalto, não reaja e/ou faça movimentos bruscos com braços e mãos. Atenda imediatamente à todas as exigências dos criminosos. Após, procure imediatamente a Polícia para registro do caso.
Infelizmente, a violência urbana não está mais limitada as grandes cidades em países de terceiro mundo. Devemos tomar cuidado em qualquer lugar, mesmo quando andamos por lugares conhecidos. Ao segui-las você estará reduzindo os riscos de incidentes e aumentando sua segurança pessoal.


maio 25, 2017

[Segurança] A BSidesSP em números

Neste final de semana dos dias 20 e 21/05 realizamos mais uma edição da Security BSidesSP, que aconteceu novamente na PUC-SP, que nos recebeu de braços abertos e salas lotadas.


Com o evento crescendo a cada edição, novamente batemos nossos próprios recordes:
  • 1.093 inscritos
  • 770 participantes presentes
  • 8 trilhas de atividades
  • 3 salas de palestras simultâneas
  • 22 palestrantes
  • 24 horas de CTF
  • 28 jogadores no CTF (80 inscritos)
  • tivemos um número recorde de contribuições nas campanhas Good Hacker e Bloody Hacker
  • recebemos nosso palestrante mais novo (com 15 anos de idade), o Luiz Gustavo (Darkcode)

O evento foi o maior de todas as BSides que já organizamos aqui no Brasil, e tivemos muitos feedbacks super positivos.

Além disso, tivemos muitas coisas legais que aconteceram ao mesmo tempo durante o evento:
  • 3 trilhas de atividades para jovens e crianças (a BSides 4 Kidz)
  • O CTF que durou 24hs, patrocinado pela Trend Micro Brasil
  • Show nos intervalos, com a banda Melhor de Cinco (MD5)
  • 3 DJs tocando durante o CTF: Cleverson Viel, Jefferson e Daniel Lima, organizado pelo Bruno Luiz
  • Tivemos ambulância! (felizmente não precisamos usar desta vez)
  • Implantação de biochip NFC durante o evento, em dois voluntários
  • Gravação do videolog Papo Binário durante o evento
  • Novamente tivemos uma feijoada para o pessoal, feita com muita paixão por um pequeno exército de voluntários: Luiz Brandão, Nelson Brito, Willem, Leonardo e Felipe (que também é o vocalista da banda que tocou no intervalo)
  • Uma sala com atividades de conscinetização sobre Phishing, organizada pelo El Pescador






Conforme prometido, nossa competição de "Capture the Flag" (CTF) durou 24 horas, com diversos jogadores espalhados em 6 times. Ocupamos duas salas: uma para os participantes e outra para a infra-estrutura e organizadores. A maioria dos competidores participou do CTF o tempo todo, inclusive durante a madrugada. Iniciamos aproximadamente as 16h30 do Sábado, um pouco atrasados por causa de problemas inesperados na infra-estrutura. O encerramento e entrega de prêmios foi as 17h do domingo.



Para finalizar, seguem abaixo algumas estatísticas sobre os participantes do evento, retiradas dos dados de cadastro de inscritos:
  • Idade média: 29 anos
    • Participante mais novo (*): 6
    • Participante mais velho (*): 60
  • 81% dos inscritos são do sexo masculino
  • 35% dos inscritos participaram do evento pela primeira vez
  • 43% dos inscritos são profissionais da área
  • 42% dos inscritos são estudantes
  • 37% dos inscritos não compareceram no evento. Se considerarmos apenas os inscritos na categoria gratuita, a porcentagem de no-show sobe para 50%.
(*) Segundo informações fornecidas nos formulários de inscrição. O participante mais novo, na verdade, foi o filho do Ricardo Logan, que tem um pouco menos de 2 anos  :)


Notas:
  • Post atualizado em 26/05, para incluir um link para a banda Melhor de Cinco, citar os DJs, adicionar mais algumas fotos e, principalmente, falar sobre o pessoal que preparou a feijoada.
  • Na verdade a contagem de participantes atingiu 771 pessoas.

maio 20, 2017

[Segurança] É possível se recuperar do ransomware WannaCry

Essa notícia é um pequeno alívio para milhares de vítimas do Wannacry: desde a quinta-feira, dia 18/5, surgiram informações sobre pesquisadores de segurança que descobriram uma forma de recuperar os arquivos encriptados pelo WannaCry, sem necessidade de pagar os ciber criminosos.

Mas ainda é muito cedo para comemorar: as ferramentas só funcionam para algumas versões do Windows e apenas se o usuário não reiniciou a sua máquina.

Assim, surgiram rapidamente algumas ferramentas:
  • Wannakey - primeira ferramenta que surgiu, diz funcionar em Windows XP;
  • WanaKiwi - consegue recuperar os primos em Windows XP, 2003 (x86), Vista, 2008, 2008 R2 e Windows 7.
Aparentemente, a ferramenta WanaKiwi é mais fácil de usar.


Tudo aconteceu por causa de uma falha nas bibliotecas de criptografia da Microsoft existente nos sistemas Windows até a versão Windows 7, que permitiu aos pesquisadores recuperar a chave de criptografia RSA a partir dos números primos utilizados para criá-la, que permanecem armazenados em memória.


Estas ferramentas procuram no processo wcry.exe, em memória, pelos números primos utilizados para gerar a chave privada RSA . Este executável, que faz parte do ransomware WannaCry, utiliza as funções CryptDestroyKey e CryptReleaseContext (que fazem parte da biblioteca Crypto API do Windows) que, nas versões do Windows XP até o Windows 7, apaga as chaves de criptografia da memória, mas mantém os números primos em memória antes de liberar a memória associada ao processo.

Segundo o desenvolvedor do "Wannakey":
"This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I've tested, under Windows 10, CryptReleaseContext does cleanup the memory (and so this recovery technique won't work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup. Moreover, MSDN states this, for this function : "After this function is called, the released CSP handle is no longer valid. This function does not destroy key containers or key pairs.". So, it seems that there are no clean and cross-platform ways under Windows to clean this memory."

Além disso, pesquisadores da Kaspersky anunciaram que descobriram algumas falhas no código do WannaCry que permite recuperar os arquivos originais:
  • Arquivos em folders "importantes" (como as pastas "Desktop" e "Documents") não podem ser recuperados, pois o WannaCry sobrescreve eles antes de apagá-los;
  • Arquivos em outras pastas nas pastas nos discos do sistema operacional são movidos para a pasta escondida "%TEMP%\%d.WNCRYT" (aonde %d representa um número) e depois apagadas, mas de forma que qualquer ferramenta de recuperação de arquivos pode conseguir recuperá-los;
  • Arquivos em discos que não são do sistema são movidos para a pasta “$RECYCLE” e configurados como "hidden+system". Devido a um bug, as vezes os arquivos originais podem ser recuperados por uma ferramenta de recuperação de arquivos;
  • Arquivos com restrição de acesso "ready-only" não são removidos, apenas escondidos no sistema operacional usando a flag de "hidden". Uma busca simples pode encontrá-los.

Veja mais informações nos links abaixo:
Post atualizado em 05/06/17.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.