outubro 16, 2017

[Segurança] KRACK: um novo ataque contra redes wireless

Hoje foi divulgado um ataque contra o protocolo WPA2 das redes wireless que tem assustado a comunidade de tecnologis, e de segurança também: o ataque KRACK (nome tirado de "Key Reinstallation Attack").

O ataque KRACK explora uma fragilidade no handshake do protocolo WPA2, que é usado para estabelecer uma chave de criptografia para criptografar o tráfego:
"Decryption of packets is possible because a key reinstallation attack causes the transmit nonces (sometimes also called packet numbers or initialization vectors) to be reset to zero. As a result, the same encryption key is used with nonce values that have already been used in the past".
Há um vídeo no Youtube mostrando o ataque em ação:



O ataque KRACK  permite que os atacantes tenham acesso a chave de criptografia utilizada na rede e, assim, desencriptem os pacotes navegando na rede Wi-Fi. A senha da rede Wi-Fi não é exposta. Mesmo assim, o ataque permite capturar todos os pacotes de rede, e assim ter acesso a todas as comunicações dos usuários (exceto acessos criptografados, como SSL, VPN, SSH, etc), além de injetar pacotes na rede wireless da vítima.

Embora haja notícias de fabricantes trabalhando em correções para o ataque, também há quem diga que o problema é bem complexo pois a fragilidade reside no próprio padrão Wi-Fi, e não nas implementações ou em qualquer produto específico. Assim, qualquer implementação existente do WPA2 provavelmente é afetada,e a lista de equipamentos vulneráveis é grande: Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys, etc.

Já estão surgindo correções e assinaturas contra o ataque:


Para saber mais:
  • Pesquisa original: "Key Reinstallation Attacks: Forcing Nonce Reuse in WPA2"
  • Site https://www.krackattacks.com
  • Aviso do CERT: "CERT/CC Reports WPA2 Vulnerabilities"
  • CVEs relacionados:
    • CVE-2017-13077: Reinstallation of the pairwise encryption key (PTK-TK) in the four-way handshake.
    • CVE-2017-13078: Reinstallation of the group key (GTK) in the four-way handshake.
    • CVE-2017-13079: Reinstallation of the integrity group key (IGTK) in the four-way handshake.
    • CVE-2017-13080: Reinstallation of the group key (GTK) in the group key handshake.
    • cVE-2017-13081: Reinstallation of the integrity group key (IGTK) in the group key handshake.
    • CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.
    • CVE-2017-13084: Reinstallation of the STK key in the PeerKey handshake.
    • CVE-2017-13086: reinstallation of the Tunneled Direct-Link Setup (TDLS) PeerKey (TPK) key in the TDLS handshake
    • CVE-2017-13087: reinstallation of the group key (GTK) while processing a Wireless Network Management (WNM) Sleep Mode Response frame
    • CVE-2017-13088: reinstallation of the integrity group key (IGTK) while processing a Wireless Network Management (WNM) Sleep Mode Response frame.
PS: Assim que tiver mais notícias irei atualizar esse post.
PS/2: Post atualizado em 16/10, 18:24

outubro 11, 2017

[Segurança] Endoscopia em Caixas Eletrônicos

A imprensa americana ficou impressionada com um caso recente descoberto no México: criminosos estão usando aparelhos de endoscopia para arrombar caixas eletrônicos por lá!!!


Segundo a NCR, fabricante de caixas eletrônicos, o equipamento de endoscopia é inserido através da abertura de saída de dinheiro no cofre do ATM para manipular os sensores no dispensador de notas, para simular autenticação física. Isso, assciado com uma "caixa preta" construida para inserir comandos dentro dos ATMs, o que faz o caixa eletrônico liberar o dinheiro.

Aqui no Brasil, já estamos acostumados com um modus operandi mais brutal: em vez de futucar dentro do caixa eletrônico, os nossos criminosos passaram a explodir os caixas para ter acesso ao cofre interno aonde fica o dinheiro.

outubro 09, 2017

[Segurança] Os maiores vazamentos de dados

Ok, talvez ninguém jamais supere o Yahoo!, com seus 3 bilhões de dados de cleintes vazados.

Eu já escrevi algumas vezes no blog sobre os frequentes vazamentos de dados que tem acontecido nos últimos anos, e desta vez resolvi fazer uma lista dos que eu considero serem os maiores e mais relevantes vazamentos de dados. Essa é uma lista formada por empresas e serviços mais populares nos EUA e no mundo, que tiveram dados de milhões de clientes expostos:
  • TJX (2003): dados de 94 milhões de cliendes das lojas T.J. Max e Marshalls
  • Heartland (2008): Uma das maiores processadoras de cartões dos EUA, teve expostos 130 milhões de cartões de crédito e débito
  • Sony PSN (2011): 77 milhões
  • LinkedIn (2012): 110 milhões
  • Target (2013): 70 milhões de dados de cartão de crédito (40 milhões) e dados pessoais de clientes (30 milhões)
  • Yahoo (2013): 3 bilhões de dados
  • Adobe (2013): user names e senhas de 38 milhões de usuários
  • Home Depot (2014): 56 milhões cartões de crédito e débito
  • eBay (2014): nomes, endereços, data de nascimento e senhas de 145 milhões de clientes
  • JP Morgan Chase (2014): dados de 76 milhões de clientes
  • Anthem (2015): dados pessoais de 80 milhões de segurados
  • Myspace (2016): user names e senhas de 360 milhões de contas
  • Spambot (2017): 711 millhões de endereços de e-mail
  • Equifax (2017): milhões de dados pessoais

Para saber mais:

outubro 04, 2017

[Segurança] Deep (Dark) Web

Muito se fala sobre a "Deep Web" como se isso fosse a soma de todos os males do mundo online. Mas há vários aspectos que podem ser vistos e discutidos sobre esse assunto, tirando de lado toda a áurea mitológica criada em volta da Deep Web.

A Deep Web (as vezes chamada em português de "web profunda" - argh! - ou "web oculta"), na verdade é um termo que se refere simplesmente ao conteúdo da World Wide Web que não é indexado pelos mecanismos de busca padrão (ex: Google, Yahoo, etc). Pode ser qualquer tipo de site, como um webmail, um site pequeno, um conteúdo corporativo, um site privado. A Deep Web inclui, também, Intranets, sites com conteúdo protegido por senha, sites com uma área grande de fotos que não foram indexados por buscadores, ou mesmo sites pequenos e irrelevantes.

Qualquer coisa que a grande maioria dos usuários não acessam no dia-a-dia e não conseguem encontrar usando os buscadores forma a Deep Web. Ela também pode ser chamada de "Invisible Web" ("Web Invisível"), um termo criado em 1994!

O contrário da Deep Web, ou seja, os sites que acessamos facilmente através de buscadores, é a chamada Surface Web, a "superfície da web". São os sites que conhecemos e achamos facilmente.

Dentro da Deep Web, por assim dizer, existem a Dark Net e a Dark Web. A Dark Web, essa sim, é a parte da Internet formada por servidores que intencionalmente se mantém escondidos da grande maioria de usuários pois exigem mecanismos especiais de acesso baseados em criptografia que garantem a privacidade e sigilo desses acessos. A Dark Web é como se fosse uma rede paralela a Internet, mas construída usando a estrutura de conectividade da Internet global. São redes como a rede Tor ("The Onion Router"), Freenet e a I2P ("Invisible Internet Project"), formadas por sites que exigem uma ferramenta especial de acesso, normalmente um cliente que vai no micro ou no browser do usuário para garantir o acesso criptografado a estes servidores.

A Dark Net, por sua vez, é a denominação usada para indicar a infra-estrutura de rede, servidores e protocolos que faz a Dark Web funcionar.

Ou seja, quando falamos em "fóruns criminosos escondidos na Internet, acessados pela rede TOR", por exemplo, estamos falando de sites dentro da Deep Web (com conteúdo fora do alcance dos buscadores) que fazem parte da Dark Web (o pedaço da Deep Web acessível somente via "meios especiais") que funciona dentro da Dark Net (a infra-estrutura desses sites).



Embora a Dark Web e a Deep Web sejam normalmente associadas a atividades criminosas, na verdade nem todo o conteúdo e nem todo uso é ilícito ou ilegal. A Dark Web existe principalmente para garantir o anonimato na comunicação e no compartilhamento de informação, o que pode ter um objetivo válido (por exemplo, no caso de ativistas e jornalistas que precisam proteger sua identidade online e de suas fontes). Mas, infelizmente, há sim muito uso ilegal associado a ciber criminosos, por exemplo, nos diversos fóruns que facilitam a realização de crimes como pedofilia, fraude bancária, carding, venda de armas e drogas, etc.

O acesso a sites da Dark Web só pode  ser feito através de ferramentas especiais, que em geral funcionam como um client para fazer a criptografia do acesso ao site. Essa ferramenta pode ser um simples plug-in para os browsers mais conhecidos. Além disso, algumas redes na Dark Web costumam utilizar uma nomenclatura específica para seus sites, como por exemplo os sites na rede TOR que utilizam um nome codificado seguido por .onion no final do nome de domínio, para identificar que o site pertence a rede TOR. Por exemplo: http://kpvz7ki2v5agwt35.onion.

O uso da rede TOR permite ocultar o endereço IP do usuário, pois a comunicação passa por vários nós", aonde cada nó não tem acesso ao IP original da comunicação, apenas do nó anterior. Isso sem falar que a comunicação entre os nós é criptografada.


No caso do TOR, além de um client no browser, há também a opção de usar o Tor Browser, que é um browser dedicado para acessar a rede TOR, já com o client de acesso embutido nele.

Além do client da rede TOR ou do TOR Browser, também é possível acessar sites na rede TOR através do site tor2web.orghttps://tor2web.org, que funciona como um meio de acesso via web para estes sites. Assim, por exemplo, o site Hidden Wiki na Dark Web, que possui o endereço http://kpvz7ki2v5agwt35.onion, pode ser acessado também como http://kpvz7ki2v5agwt35.onion.to ou http://kpvz7ki2v5agwt35.tor2web.org.

Há uma certra imprecisão e, ao meu ver, um pouco de FUD quando discutimos sobre o "tamanho" da Deep Web, mas em geral fala-se que ela é muito maior que a Surface web. Na verdade não é possível ter uma estimativa precisa, pois a Deep Web não é indexável e, assim, não é possível estimar seu tamanho. É muito comum ver sites falando que a Deep Web é 500% maior do que a Surface web, ou represente 96% de todo o conteúdo. Mas, na verdade, esta estatística é baseada em um estudo de 2001 !!! Um estudo feito nos primórdios da Internet!!! O maior buscador hoje em dia, o Google, teve seu IPO em 2004, 3 anos depois desse estudo! Ou seja, o pessoal usa uma estatística baseada em dados que não representam a Internet de hoje!

Outra lenda sobre a Deep Web diz que ela é "composta por diversas camadas". é comum encontrar especulações deque ela seja formada por 7 ou 8 camadas, mas também é comum encontrar outros sites que dizem que isso é um mito. Pelo que eu entendi até hoje, na verdade não existem tais camandas, mas é comum algumas pessoas se referirem a cada rede da Dark Web como se fosse uma camada. Ou seja, algumas pessoas tratam como se a rede TOR fosse uma camada, a rede I2P seria outra, e por aí vai. Mas, na verdade, são redes diferentes.

Esses tópicos, entre outros, foram abordados em uma palestra que eu dei recentemente no Roadsec de Porto Alegre.


Para saber mais:


outubro 03, 2017

[Cidadania] Outubro Rosa

O "Outubro Rosa" é uma campanha que acontece todo ano, desde os anos 90, para conscientizar a população sobre a importância de prevenção conta o câncer de mama.

Durante este mês, vários monumentos são iluminados de rosa para chamar a atenção para a campanha. A Azul Linhas Aéreas, por exemplo, está com algumas iniciativas bem legais: além de pintar algumas aeronaves com a cor rosa, alguns vôos terão tripulação exclusivamente feminina, além de apoiar o tratamento de pacientes no Hospital de Câncer de Barretos.

Segundo o INCA, esse é o tipo de câncer mais comum entre as mulheres no mundo e no Brasil, depois do câncer de pele não melanoma. O câncer de mama respresenta cerca de 28% dos novos casos a cada ano. Nos homens o câncer de mama é raro, representando apenas 1% do total de casos da doença.

Para saber mais:

outubro 02, 2017

[Segurança] O custo do ciber crime a cada 60 minutos

A RSA criou um hotsite que monta um infográfico com algumas estatísticas interessantes sobre qual é o custo por hora do ciber crime para as empresas.

Veja alguns dos dados que mostram o quanto as empresas sofrem a cada 1 hora:
  • Acontecem 120 ataques de phishing por hora;
  • Globalmente, a cada hora as empresas perdem cerca de 1 milhão de dólares por causa dos ataques de phishing;
  • 486 mil dados pessoais são comprometidos
  • O roubo de contas causa prejuízos de 267 mil dólares por hora;
  • As lojas de e-commerce perdem 660 mil dólares por causa das fraudes.


setembro 29, 2017

[Segurança] Os erros mais comuns dos usuários

Durante o Security Leaders Recife, Rodrigo Jorge, líder de Segurança da Ale Combustíveis e organizador do Security Day em Natal, destacou quais são os erros que ele considera serem os mais comuns cometidos pelos funcionários e que compremetem a segurança corporativa:
  • O uso de senhas fracas pelos funcionários, permitidas pelos sistemas;
  • Colaboradores que conectam um dispositivo USB infectado nos PC corporativos;
  • Funcionários vítimas de ataques de phishing;
  • Discussão de assuntos confidenciais em espaços públicos.
A lista acima foi baseada em suas experiências ao longo de sua carreira, e faz todo o sentido. Rodrigo também destacou que os “Erros humanos causam mais tempo para mitigação e são mais onerosos para as empresas”. Para minimizar esses problemas, o melhor investimento é em conscientização constante, ficar periodicamente martelando na cabeça dos funcionários que eles devem tomar os cuidados básicos necessários.

Em uma estatística divulgada pela Flipside, 27% das violações de segurança são causadas por falha humana.

setembro 28, 2017

[Segurança] Vazamento de dados médicos

Nos últimos anos vivemos um aumento significativo no interesse pelo roubo de dados médicos, uma modalidade de roubo de dados pessoais focado na indústria médica e de plano de saúde.

Esse interesse se justifica pelo fato de que os registros médicos sobre uma pessoa são muito mais detalhados do que os dados existentes em outros sites, como empresas de e-commererce, por exemplo. O acesso a essas informações pessoais facilita crimes de extorsão e também de roubo de identidade. Para facilitar ainda mais a vida dos atacantes, os hospitais, médicos e planos de saúde não tem o hábito de investir muito em tecnologia da informação, e menos ainda em segurança.

Nos EUA, o Department of Health and Human Services mantém um hotsite com informações sobre os vazamentos de dados médicos, batizado de "muro da vergonha" ("wall of shame"). Este site mostra algumas informações interessantes sobre os casos reportados e que podem ser utilizadas para gerar diversas estatísticas.

Por exemplo, lá é possível ver que, desde Setembro de 2009, foram identificados mais de 2.000 vazamentos de dados médicos relacionados a pelo menos 500 pacientes cada um.

Eu dei uma olhada no site enquanto escrevia este artigo e lá estavam listados 2.066 casos no total, dos quais 60 deles não tinha identificação de número de clientes afetados e 369 casos aconteceram nos últimos 24 meses e ainda estão sob investigação.

O caso registrado com maior numero de vitimas foi em Março de 2015, aonde 78,8 milhões de clientes da Anthem, Inc. tiveram seus dados roubados em uma invasão ao ambiente de TI.


setembro 26, 2017

[Segurança] Ataques DDoS contra bancos

Ataques de negação de serviço contra sites bancários acontecem frequentemente. Entre 2011 e 2013, em particular, diversos bancos americanos de cários portes sofreram com uma onda de ataques hacktivistas, num protesto batizado de "Operation Ababil" e realizado pelo grupo iraniano Izz ad-Din al-Qassam Cyber Fighters. Agora, 5 anos depois, sete membros desse grupo foram indiciados pleo governo americano.

Em janeiro de 2016, por exemplo, o banco HSBC sofreu um ataque DDoS que impactou o acesso ao seu site e na época foi considerado o maior da história.


Ou seja, na noite de ano novo a rede de TV britânica BBC sofreu um ataque DDoS de assustadores 602 Gbps de tráfego - segundo notificado pelos atacantes, o grupo hacktivista New World Hackers.

Os ataques DDoS contra os bancos podem ter várias motivações, e eu acredito que as mais comuns são:
  • Como forma de protesto hacktivista, aonde o site é tirado do ar como forma de chamar atenção a um determinado protesto - independente do banco estar envolvido no motivo do protesto ou não;
  • Para tentar acobertar uma operação de fraude: alguns ciber criminosos tentam utilizar ataques DDoS para "distrair" a equipe de segurança enquanto eles realizam alguma fraude online. Embora isso possa acontecer, nem sempre esta tática é efetiva pois muitos bancos tem equipes diferentes monitorando a segurança contra sua infra-estrutura e outra dedicada a monitoração de fraudes financeiras;
  • Como forma de extorsão, derrubando o site e exigindo dinheiro (em geral, bitcoins) para encerrar o ataque. Alguns grupos tornaram-se famosos recentemente por seguir esta tática, como o DD4BC ("DDoS for Bitcoin"), que teve alguns membros presos em 2016. A extosão em alguns casos era de 100 bitcoins (na época, isso significava "apenas" 45 mil dólares).



setembro 25, 2017

[Segurança] Roubo de identidade

O roubo de identidade é um tipo de fraude extremamente comum, mesmo antes da Internet, aonde criminosos utilizam dados pessoais de terceiros para diversos esquemas de fraude utilizando o nome da vítima, como abris contas em bancos para pedir empréstimos bancários, comprar linhas telefônicas, etc. Os dados de terceiros também podem ser utilizados por criminosos para abrir contas bancárias para receber dinheiro roubado de outras contas, as chamadas "contas de laranjas". Ao usar os dados de outras pessoas, os criminosos conseguem dificultar o rastreamento do golpe.

Há alguns anos atrás aconteceu um caso bem interessante (ou desesperador, se preferir) de roubo de identidade, aonde o CEO de uma empresa teve seus dados pessoais utilizados em 13 casos de fraude em seu nome, entre 2007 e 2008.

Segundo uma reportagem da Wired de 2010, o fundador e CEO da LifeLock, Todd Davis sofreu várias tentativas de fraude em seu nome depois que a empresa criou um anúncio publicitário de seu serviço de proteção de identidade utilizando o seu número de seguridade social (SSN, o equivalente americano ao nosso CPF). Os golpes incluíram, por exemplo, um empréstimo de 500 dólares ou a criação de uma conta na AT&T com despesas em seu nome de US$ 2.390.


Com a grande quantidade de dados roubados e vazados de diversas empresas, os criminosos em todo o mundo tem grande facilidade de obter dados de terceiros. Junte a isso a grande quantidade de informações que nós oferecemos em diversos cadastros e redes sociais, atualmente o roubo de identidade é um crime que pode ser feito com grande facilidade.

Para saber mais:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.