julho 31, 2014

[Segurança] Internet das Coisas

A Internet das Coisas (em inglês "Internet of Things", ou "IoT") é uma tendência tecnológica que prevê a inclusão de poder computacional e conectividade em diversos objetos e equipamentos do dia-a-dia, tais como carros e aparelhos domésticos (automação residencial, geladeiras e TVs são os exemplos mais comuns).

Isso significa que, a cada dia, teremos mais dispositivos ao nosso redor coletando dados, acessando a Internet e compartilhando informação. Ou seja, já começamos a imaginar centenas, milhares ou milhões de novos dispositivos expostos na Internet, aguardando para serem hackeados.



Um pequeno artigo publicado recentemente no blog da RSA cita três preocupações sobre a adoção da IoT:
  • Segurança: geralmente a segurança não é priorizada no desenvolvimento de novos dispositivos ou serviços. Mas, quando pensamos em um equipamento doméstico que executa um programa, pode coletar dados e se conectar à Internet, surge o risco deste aparelho ser invadido ou comprometido, por falta de controles básicos de segurança. Isto pode facilitar o roubo de dados ou uso malicioso do dispositivo. Por exemplo, no início deste ano foi descoberta uma geladeira conectada a Internet que foi invadida e, por isso, fazia parte de uma botnet e enviava SPAMs. Recentemente pesquisadores de segurança conseguiram controlar uma lâmpada inteligente, pois ela era cntrolada via WiFi sem criptografia e com autenticação fraca, facilitando a re-engenharia de seus protocolos de comunicação e de controle. Idealmente, a segurança deveria fazer parte de um produto desde a sua concepção;
  • Interface e configuração limitadas: Muitos dos novos aparelhos da IoT não têm interface direta com o usuário, o que limita a capacidade do usuário de customizar configurações de privacidade e segurança, ou mesmo instalar softwares adicionais de segurança (como, por exemplo, anti-vírus);
  • Privacidade e guarda de dados: não sabemos como e onde os dados coletados por estes aparelhos serão armazenados, e assim surge a preocupação com a possibilidade destes dados serem roubados ou se a empresa que produziu o equipamento irá compartilhá-los com terceiros. Pense na situação em que o seu refrigerador pode conter dados sobre seus hábitos de consumo, que podem ser vendidos para empresas do setor alimentício. Ou pior: no início desde ano um pesquisador de segurança descobriu que as SmartTVs da LG coletavam dados dos clientes e os enviava para a LG.
Um sério problema é a invasão de um equipamento doméstico de forma que seja possível tomar controle dele, alterando seus comandos. Isto já aconteceu de forma até mesmo engraçada no ano passado: pesquisadores descobriram que uma "privada inteligente" muito popular no Japão (que pode ser controlada por um aplicativo no Android via Bluetooth) usava uma senha fraca para ser acessada, e assim qualquer pessoa poderia alterar os comandos da privada do vizinho.



Mas os problemas de segurança não se aplicam somente a aparelhos domésticos, na nossa cozinha ou no banheiro de casa. Os problemas começam a ficar especialmente graves quando tratamos de aparelhos médicos ou vislumbramos a crescente automatização de automóveis e pensamos nos riscos que podem surgir caso alguém obtenha acesso remoto a um marca-passo, uma bomba de insulina ou um carro.

E isto não é ficção científica. Recentemente, por exemplo, pesquisadores chineses conseguiram hackear um carro da Tesla Motors e, com isso, controlar funções vitais (incluindo abrir portas e janelas) enquanto o carro estava em movimento. O vídeo abaixo, de 2013, mostra dois pesquisadores de segurança demonstrando para um jornalista da Forbes como eles conseguiram obter controle total de um carro.



De vez em quando ouvimos notícias de problemas de segurança em aparelhos domésticos conectados na Internet. A tendência é cada vez surgirem mais desses problemas na medida em que popularizarem as tecnologias e produtos relacionados a IoT. Isso porque os fabricantes de software e hardware ainda não se acostumaram a aplicar boas práticas e cuidados básicos de segurança durante o projeto e desenvolvimento de novos produtos. O OWASP (Open Web Application Security Project), por exemplo, tem muito material que descreve boas práticas no processo de desenvolvimento, que eliminam pelo menos os erros mais rudimentares.

julho 30, 2014

[Segurança] Décima edição da Co0L BSidesSP em Novembro

No dia 23 de novembro deste ano realizaremos a décima edição da Co0L BSidesSP, um evento gratuito sobre segurança da informação e cultura hacker.

Esta edição acontecerá novamente no campus Consolação da PUC-SP e a data escolhida foi o domingo anterior a Black Hat São Paulo. Ainda estamos preparando a agenda, mas pretendemos seguir a tradição de realizar diversas atividades legais simultaneamente, tais como:
  • Duas trilhas de palestras técnicas
  • Um debate
  • Duas trilhas com oficinas
  • Diversas competições no Capture The Flag (CTF), incluindo uma competição de robótica amadora e de drones
  • A "Hacker Job Fair" com palestras e discussões sobre carreira
  • A Brazilian Arsenal, para apresentação de ferramentas open source de segurança desenvolvidas por brasileiros
  • Palestras Relâmpago (Lightning Talks)
  • A BSidesSP 4 Kids, com atividades específicas para crianças e adolescentes
  • Uma área de descompressão, com lojinhas
  • “Churrascker” gratuito para os presentes.
Algumas das atividades acima foram criadas pensando em fortalecer a nossa comunidade, como a Hacker Job Fair, a Brazilian Arsenal e as competições de CTF.

Neste ano a BSides Las Vegas, que foi a primeira Security BSides em todo o mundo, completa seu 5o ano de existência. Nestes 5 anos, já foram realizadas mais de 130 edições, em mais de 60 cidades, cobrindo onze países, como por exemplo os EUA (que concentra a maioria das BSides), Alemanha, Inglaterra, Austria, Portugal, África do Sul e Austrália - entre outros.

Contando um pouquinho da história da Co0L BSidesSP, nossa primeira edição aconteceu em maio de 2011, como uma forma de apoio do Garoa ao You Sh0t the Sheriff (YSTS). A idéia inicial era fazer alguma atividade no Garoa na véspera do YSTS, justamente para divulgar o nosso espaço e atrair o pessoal de segurança para o Garoa, que tinha sido inaugurado fazia pouco mais de 6 meses. A idéia da BSidesSP surgiu em uma troca de e-mails entre eu e o Alberto Fabiano, enquanto discutíamos entre nós dois como poderíamos viabilizar o apoio do Garoa ao YSTS. Assim que começamos a nos empolgar com a idéia de fazer uma BSidesSP, consultamos o pessoal do YSTS (Luiz Eduardo, Nelson e Willian) e algumas pessoas da diretoria do Garoa, que nos apoiaram.

Veja abaixo uma transcrição parcial dos primeiros e-mails sobre esse assunto:
Date: Thu, 17 Mar 2011 18:39:00 -0300
From: Anchises Moraes
To: Aleph
Subject: Re: YSTS & GHC
Oi Alberto
(...)
Ca entre nos, todo ano o YSTS faz um leilao beneficiente p/ o pessoal que montou o HCF (Hackers Construindo Futuro), e eu estou so esperando eles me responderem s/ o apoio p/ eu perguntar, em seguida, se podemos pegar uma carona no leilao :)
De qquer forma, podemos ate mesmo pensar em fazer um "BSidesSP - YSTS" no domingo, o q vc acha?

Date: Thu, 17 Mar 2011 18:53:51 -0300
Subject: Re: YSTS & GHC
From: Aleph
To: anchises
Cara, acho a idéia bem legal... no fundo eu estava comentando isto ontem com uns malucos lá no SNight.
Por outro lado, tem uns caras que estão só de look no movimento do Garoa mas não apareceram por lá ainda, (...), fazendo um BSidesSP se bobear eles aparecem também.

Date: Thu, 17 Mar 2011 19:19:22 -0300
Subject: Re: YSTS & GHC
From: Anchises Moraes
To: Aleph
Meu maior receio eh que um "BSidesSP" possa atrair mais pessoas do que temos capacidade de comportar, mas nao vejo isso como um gde problema....
(...)
Mas, ca entre nos, agora q pensei na ideia do Bsides, fiquei empolgado. Como vc disse, isso possivelmente vai atrair muito mais pessoas do que fazermos uma simples festa. Poderiamos fazer as apresentacoes no estilo light talk, das 13h as 17h na area de vivencia (terreo), com oficinas no porão e tudo isso com cerveja e bebidas (vendidas), o que emendaria com uma festa a noite.
[]s
Anchises

Reparem nas datas dos e-mails: a idéia surgiu cerca de 2 meses antes do YSTS daquele ano. Após intensa troca de e-mails por alguns dias, começamos a organizar o evento. No dia 16 de Abril eu enviei um e-mail para a lista pública do Garoa anunciando publicamente a idéia e no dia 20 outro e-mail foi enviado buscando voluntários para ajudar na organização. Com isso, o Ranieri e o Ponai se juntaram a mim e ao Alberto. Em paralelo, eu entrei em contato com o pessoal da Security BSides pedindo autorização para realizar a "BSides São Paulo". Meu e-mail para eles também foi enviado no dia 16 de Abril e, após uma rápida troca de e-mails, recebemos a resposta final deles na semana seguinte: não nos autorizavam a realizar o evento pois acreditavam que era impossível organizá-lo em cerca de mês. A resposta final foi educada, no estilo próprio dos americanos de dizer "não". Veja o pequeno trecho derradeiro:
Date: Sat, 23 Apr 2011 11:54:19 -0700
(...)
In your earlier email you said you wanted the event to raise awareness of the hacker space that you started. We feel it would be better to host a BSides SaoPaulo another time of the year when you can focus on local participants and get a planning team together.
(...)
We want this to be positive for you, the participants, and the community.

Mas nós somos Brasileiros e não desistimos nunca... Por isso, resolvemos fazer uma BSides que não fosse uma BSides, ou seja, um evento seguindo a idéia e a receita-de-bolo da BSides, mas com outro nome, e assim surgiu a idéia de batizar o evento de "Conferência o Outro Lado (Co0L)". E, acreditem, no começo achamos a idéia do nome "Co0L" bem legal e não reparamos no cacófato :(


Por este motivo, as duas primeiras edições se chamavam apenas "Co0L". No final do ano, agora com mais tempo de antecedência, entramos em contato novamente com o pessoal da BSides nos EUA e pedimos novamente a autorização para fazer uma BSidesSP na véspera do YSTS de 2012. Eu estava nos EUA a trabalho e aproveitei para me encontrar pessoalmente com um dos fundadores da BSides, o Jack Daniel. Nosso jantar durou mais de 3 horas, com uma excelente conversa e um ok verbal para a primeira BSides São Paulo, que também foi a primeira BSides na América Latina :) Por isto, desde Maio de 2012 nós assumimos o status oficial de BSides São Paulo e decidimos adotar o nome de Co0L BSidesSP, para manter nossas origens :)

É importante lembrar que nada disso teria acontecido sem o apoio do pessoal do Garoa e do YSTS, sem o esforço e dedicação trio Alberto, Ranieri e Ponai, e sem o apoio de todos os patrocinadores (pois são eles que nos permitem fazer um evento de qualidade, gratuito, com comida e bebida oferecidos a vontade para os presentes). A primeira edição foi patrocinada pela Conviso e pela Trend Micro, e a Trend Micro é a única empresa que nos apoiou em todas as edições em que tivemos patrocinadores !

julho 29, 2014

[Cyber Cultura] Apple CarPlay

Na falta de algo como um iCar (meu favorito é esse aqui), bem que eu me contentaria com o Apple CarPlay.



Anunciado pela primeira vez em Março deste ano, o CarPlay é uma interface da Apple para uso em painéis de carros, que permite uma facil integração com o iPhone. Assim, o CarPlay oferece uma interface incrivelmente intuitiva para fazer chamadas, visualizar mapas, ouvir músicas e acessar mensagens com apenas uma palavra (via o Siri) ou um toque. Além de permitir instalar alguns aplicativos adicionais. Assim, é possível integrar o sistema do carro com o iPhone para fazer chamadas com acesso aos contatos do telefone, alé, de ouvir e responder mensagens usando o Siri.

Inicialmente o CarPlay foi disponibilizado para carros da Ferrari, Mercedes-Benz, Volvo, Honda e Hyundai, mas o site da Apple cita vários fabricantes de automóveis que também devem ter este recurso, tais como Audi, BMW , Ford, GM, Kia, Mitsubishi, Nissan, Peugeot, Citroën e Toyota. Hum, acho que não sobrou ninguém... tem até a FIAT na lista ;)

Sei que este post parece propaganda, mas na verdade é pura e simples babação mesmo...

julho 28, 2014

[Cidadania] Você Fiscal

O professor Diego Aranha, da Unicamp, lançou um projeto bem interessante para ajudar a sociedade a validar os resultados das eleições deste ano, chamado Você Fiscal.

A idéia do projeto é criar um aplicativo para que os próprios eleitores possam ajudar a auditar os resultados das eleições, através de uma totalização independente dos resultados. Após o final das eleições, os mesários fixam um "boletim de urna" em cada seção eleitoral, com a contagem de votos das urnas daquela seção. Com o aplicativo, qualquer pessoa poderá escanear o resultado impresso em sua seção eleitoral e enviar para um servidor central, que irá comparar o resultado impresso na seção com o divulgado pelo TSE, e depois vai totalizar um resultado independente (por amostragem, pois não terá acesso a todas as urnas) e vai comparar com o resultado oficial da eleição divulgado pelo TSE.



Para sair do papel, o projeto está pedindo doações através do Catarse.


O Diego Aranha é um dos principais críticos das nossas urnas eletrônicas. No site do projeto Você Fiscal ele destaca alguns dos problemas das urnas eletrônicas:
  • Falta segurança: Apesar do que é divulgado, a urna eletrônica brasileira tem falhas gravíssimas de segurança, conforme já foi comprovado nas poucas auditorias externas que o TSE permitiu serem realizadas;
  • Falta transparência no processo eleitoral: Ninguém da sociedade civil tem acesso aos detalhes de como os votos são contados pelo software da urna;
  • Falta auditoria: Os últimos testes, mesmo limitados e curtos, quebraram com facilidade o sigilo do voto. Novos testes foram suspensos neste ano, então não temos como saber se as falhas encontradas foram corrigidas nem temos como verificar se há mais problemas nas urnas.
Este projeto foca única e exclusivamente na totalização dos votos que é a única parte de todo o processo eleitoral aonde é possível realizar algum tipo de auditoria totalmente independente do TSE, graças aos boletins de urna. Mas, que fique claro que isso não resolve a maioria dos problemas existentes nas urnas eletrônicas, mas pelo menos ajuda a população a validar o único pedacinho aonde é possível fazer algum esforço de auditoria independente.

julho 25, 2014

[Cyber Cultura] Quando o espírito de Comunidade falha

Recentemente foi anunciado que o hackerspace de São José dos Campos, o SJCHC (também conhecido carinhosamente como "Sabugosa") vai fechar as portas.

Eles ocupam (ou seria melhor escrever "ocupavam"?) uma casa excelente e bem localizada, próximo ao shopping de SJC e próximo da rodovia Dutra. Mas o problema era financeiro: os custos com a manutenção do espaço eram maiores do que o quanto eles arrecadavam com os associados. Segundo um de seus diretores, a soma das mensalidades em dia todo mês não cobria 1/3 dos gastos fixos (aluguel, água, luz). Em Abril deste ano eles já haviam feito uma campanha para arrecadar doações, mas que infelizmente só serviu para adiar o inevitável :(

Isso me fez lembrar de um ano atrás, quando soube que um hackerspace em Portugal também fechou as portas por falta de dinheiro :(

Isso mostra alguns problemas que são muito comuns em todos os hackerspaces:
  • Ter uma arrecadação superior as despesas do dia-a-dia
  • Atrair novos associados para aumentar a arrecadação
  • Manter um baixo nível de inadiplência (sim, muita gente não paga em dia, o que prejudica muito quando as contas já estão apertadas)
  • Identificar o problema de fluxo de caixa e conseguir resolvê-lo antes que seja tarde demais.
As mensalidades são a principal fonte de receita dos hackerspaces, mesmo porque deveriam garantir uma entrada de dinheiro constante. Além disso, arrecadações esporádicas com doações, festas e venda de comes e bebes dentro do espaço ajudam a engordar um pouco mais o caixa.

Quando eu vejo um hackerspace fechar, a primeira coisa que posso pensar é que falhamos como comunidade.

Afinal de contas, apesar de serem espaços comunitários e abertos, poucas pessoas participam e frequentam os hackerspaces, e mesmo entre elas, poucas realmente colaboram com a manutenção do espaço.

Aparentemente todos sofremos, em algum grau, da Tragédia dos Comuns: o acesso livre e exagerado a um bem comum (formado por recursos finitos) termina por condenar o recurso por conta de sua superexploração. Acostumados a receber tudo de graça, de bandeja, as pessoas não percebem que também depende delas colaborar para ajudar a manter o que conquistamos.

Provavelmente todos os hackerspaces tem pequenas histórias para contar de falta de colaboração no dia-a-dia. Transcrevo abaixo um relato do SJCHC:
"Nós temos um bardentro do clube. Por incrível que pareça, ele ajudava a pagar alguns custos, no início. Porém, inúmeras vezes eu chegava no clube e encontrava garrafas de refrigerante e cerveja levadas pelos frequentadores. Nós vendemos a cerveja gelada a 3 Reais!! Apenas UM Real de lucro bruto! Mais barato que em qqr bar da região (E olha que só tem pé sujo na região). Poxa... Colocamos um espaço seguro pras pessoas se encontrarem, com eletricidade, internet, ferramentas, banheiro. Tudo de graça! Custava deixar UM REAL a mais pela cerveja?"

Isso também acontece no Garoa: temos uma caixinha para as pessoas deixarem dinheiro para ajudar no que consomem, mas frequentemente percebemos que algumas pessoas não contribuem. Eu vivo esse drama a cada edição da BSidesSP: os ingressos gratuitos esgotam-se rapidamente, mas quando colocamos ingressos ao custo de R$ 15, esses saem a conta-gotas. OK, se a pessoa acha que o conteúdo do evento (um dia de palestras e oficinas) não vale R$ 15, pelo menos o evento deveria valer isso por oferecer comida e bebida de graça, a vontade !!! Mas, mesmo assim, as pessoas preferem não colaborar.

Mas o problema não é só financeiro. Poucas pessoas frequentam os hackerspaces:
  • Como é possível um hackerspace em São José dos Campos, um dos principais pólos tecnológicos do país, não ter pessoas o suficiente para manter um hackerspace !?
  • Como é possível um hackerspace em Campinas, uma das maiores cidades de São Paulo, cercada por faculdades e empresas de tecnologia, viver as moscas?
  • Como é possível o hackerspace de São Paulo, a maior cidade do Brasil, ficar vazio 6 dias por semana? (isto é, o Garoa só fica cheio de gente as 5as-feiras, nos demais dias da semana geralmente recebemos em torno de 5 pessoas, ou até menos)
Será que falhamos como comunidade? Será que existe mesmo um espírito de comunidade? Estamos prontos para cooperar e participar de atividades comunitárias?

Frequentemente temos a impressão que uma parcela significativa das pessoas que vão nos hackerspaces estão esperando achar um lugar aonde receberão um "curso" de graça, ou seja, terão um expert dando uma aula com Power Point e tudo mastigadinho. Mas os hackerspaces são laboratórios coletivos e comunitários: a grosso modo são uma bancada aonde as pessoas sentam juntas para fazer qualquer coisa, ou não fazer nada, sem uma ordem ou obrigação definida. Uns ajudam os outros em pé de igualdade. Muito diferente do ensino tradicional ao qual estamos acostumados desde criancinha: um expert na frente de todos, transmitindo o conhecimento de forma unidirecional.

Será que estamos prontos para isso? Será que estamos prontos para compartilhar o conhecimento?


Nota 1 (28/07/14): Ao contrário do que comenta o Coruja de TI, eu não disse que o dois hackerspaces brasileiros estão fechando nem foi minha intenção passar qualquer idéia errônea de que a "onda" dos hackerspaces está acabando: apenas um hackerspace fechou (o Sabugosa), dos 16 hackerspaces brasileiros que conhecemos. Minha intenção não é divulgar o fechamento de um hackerspace, mas sim questionar se existe um espírito de comunidade entre nós e se nós, dentro da nossa cultura, estamos preparados para conviver em um espaço baseado na coletividade, no espírito de empreendorismo, na cultura do faça você mesmo  e do compartilhamento de conhecimento. Como disse em meu texto acima, os hackerspaces tem uma abordagem totalmente diferente da escola tradicional, que todos nós frequentamos desde o prézinho. Além do mais, basta ler o "hackerspace design patterns" para ver que o problema de atrair participantes é recorrente e acontece em todo o mundo. Vi meu post ser comentado em algumas redes sociais e listas de discussão, e fico aliviado em ver que apenas uma pessoa entendeu tudo errado.

Nota 2 (28/07/14): O Sabugosa está entregando o imóvel aonde eles ficam, mas continuará existindo. Segue a transcrição de uma nota que eles colocaram no Facebook:
"Lendo algumas notícias[1][2] que saíram na internet, comentando que o SJC Hacker Clube havia encerrado suas atividades ou "fechado as portas", resolvemos escrever este texto para esclarecer alguns pontos e explicar o que realmente significa "fechar as portas" no nosso caso. Assim como qualquer hackerspace, existem dificuldades financeiras que atrapalham e até inviabilizam a posse de uma sede própria. No nosso caso, mesmo com a ajuda extra que recebemos depois do apelo que fizemos há alguns meses atrás, não conseguimos manter uma receita suficiente para manter o espaço e tivemos que abrir mão da nossa sede.
No entanto, para evitar qualquer mal-entendido, gostaríamos de deixar uma coisa bem clara e dedicaremos um parágrafo somente para isso:
"O SJC Hacker Clube, embora TEMPORARIAMENTE sem sede própria, CONTINUA com as suas atividades semanais no Parque Santos Dumont, e também CONTINUARÁ a realizar eventos periódicos, como o SJC LIGHTNING TALKS e o HORA EXTRA. A idéia de ter um espaço colaborativo onde é possível compartilhar experiências e conhecimento ainda está viva nos membros do clube. A procura por uma nova sede permanecerá."
Ainda estamos definindo os pormenores dessa nova fase do clube e daremos mais notícias assim que tivermos respostas oficiais. Agora, mais do que nunca, pedimos ajuda a todos vocês para podermos arrumar uma nova sede o quanto antes, e podermos termos o nosso local novamente.
Caso tenham qualquer dúvida, estamos à disposição para esclarecimentos.
Atenciosamente,
SJC Hacker Clube"

julho 23, 2014

[Segurança] Histórias reais de Cyber Extorsão

Como bem lembrou o Coruja de TI, casos de ciber extorsão direcionados a empresas, como o que aconteceu com a Code Spaces, existem há um bom tempo e acontecem frequentemente. Empresas também podem ser vítimas de casos semelhantes aos Ransomwares, embora normalmente este tipo de malware seja direcionado a usuários finais. Nestes casos, ciber criminosos conseguem ter acesso a servidores ou a dados de empresas, impossibilitam o acesso as informações e exigem dinheiro em troca de devolverem o acesso.

Infelizmente poucos casos de extorsão a empresas são de conhecimento público e saem na mídia, então argumentos como "eu sei de N casos mas não posso contar" não tem utilidade prática nenhuma.

Há poucos dias eu achei um artigo no Dark Reading que cita 6 casos que aconteceram nos EUA. Juntando isso há alguns outros que eu me lembro e outros que achei em uma busca rápida no Google, já temos uma pequena lista para começar:
  • Nokia: em 2007 a Nokia pagou milhões de euros para um ciber criminoso que conseguiu roubar uma chave de criptografia usada em seu sistema operacional Symbian. O atacante ameaçou publicar a chave, o que iria permitir a outros criminosos fazer upload de aplicativos como se fossem legítimos em telefones no mundo todo. A Nokia acabou deixando milhões de Euros em um estacionamento com a esperança de que as autoridades poderiam rastrear o criminoso quando este pegasse o dinheiro, mas ele conseguiu fugir com o dinheiro sem deixar rastos;
  • Express Scripts: Esta empresa americana de gerenciamento de benefícios farmacêuticos recebeu uma mensagem em 2008 com dados de 75 clientes e ameaçando divulgar mais dados pessoais de milhões de clientes caso a empresa não pagasse um valor não informado para o atacante;
  • Governo Brasileiro: Segundo relatos do Raphael Mandarino Jr, diretor do DSIC, uma quadrilha do Leste Europeu invadiu um servidor de um órgão público brasileiro, trocou a senha e pediu um resgate de US$ 350 mil para devolver o acesso ao servidor. Com a ajuda de técnicos da Abin e de especialistas de fora do governo, conseguiu-se quebrar a senha e o acesso ao servidor foi recuperado sem a necessidade de pagar o resgate;
  • Cryptome: Em junho de 2013, o site cryptome.org recebeu uma mensagem ameaçando realizar um ataque de DDoS caso eles não pagassem um resgate de 1 Bitcoin;
  • Vimeo, Meetup, Basecamp, Bit.ly, Shutterstock, MailChimp, Moz e Move (uma start-up de financiamento imobiliário online): Estas empresas foram citadas em um artigo no The New York Times por terem sofridos ataques DDoS como forma de extorsão (na maioria dos casos, o atacante exigiu valores em torno de $300 para cessar o ataque);
  • Feedly: Em junho de 2014 a empresa ficou fora do ar diversas vezes devido a uma sequência de ataques DDoS que foram acompanhados por tentativas de chantagem pelos autores, que prometeram suspender os ataques se a empresa pagasse um resgate. A Feedly rejeitou publicamente a tentativa de suborno e trabalhou intensamente com o seu provedor de acesso para restaurar o serviço o mais rápido possível;
  • Evernote: Ao mesmo tempo que a Feedly, a Evernote também foi vítima de ataques DDoS, aparentemente acompanhados por tentativas de chantagem. Segundo o blog da empresa, os ataques chegaram a 35 Gbps mas eles conseguiram mitigar o ataque e restaurar o serviço;
  • One More Cloud: Ainda em Junho deste ano a empresa One More Cloud perdeu o acesso aos painéis de controle dos seus serviços de infra-estrutura de aplicativos de busca Websolr e Bonsai. O atacante comprometeu a conta de acesso ao painel de controle na Amazon (AWS EC2) dos serviços e precisou de apenas 2 minutos para conseguir terminar os serviços. Mas a empresa conseguiu localizar qual chave de acesso a API foi comprometida e revogaram imediatamente, tirando o controle do chantagistaA empresa recuperou seus dados no final de semana e restaurou seu serviço;
  • Domino's Pizza: Mais um caso recente, de Junho deste ano. Um grupo hacker chamado Rex Mundi anunciou publicamente que tinha conseguido roubar os dados de 650 mil clientes da Domino's Pizza na Europa, e ameaçou liberar os registros se a empresa não pagasse um resgate de € 30.000. A empresa se recusou a pagar e disse aos clientes que os dados roubados não continham informações financeiras. Aparentemente, o Rex Mundi não cumpriu sua ameaça;
  • Departamento de Polícia de Durham (EUA): O departamento de polícia desta pequena cidade americana foi infectado em junho deste ano pelo malware Cryptowall, que criptografa os arquivos no disco e exige o pagamento de uma taxa para desencriptá-los. Eles se recusaram a pagar os criminosos e usaram os backups para restaurar os dados que foram perdidos com o ataque;
  • Benjamin F. Edwards Co.: Este banco de investimentos americano teve dados roubados após um funcionário ser infectado pelo Cryptowall, um ransomware que encriptou os arquivos no computador do empregado e os enviou para um endereço IP externo.
Infelizmente poucos casos de ciber ataques saem na mídia. Recentemente eu ouvi o relato de um caso de um executivo de empresas que teve o seu notebook infectado por um ransomware e ele pagou o resgate para ter seus dados de volta - e depois disso avisou a equipe de TI. Não sei se ele tentou pedir reembolso disso no relatório de despesas daquele mês... Mas, como nada saiu publicamente na mídia, não é possível usar tal caso como referência, e isso acaba virando simples "fofoca corporativa".

Atualização (24/07/14): O Banco Central Europeu informou que alguém invadiu e roubou os dados de uma base de dados que continha e-mails e telefones de pessoas que se registraram em eventos deles. O criminoso tentou exigir dinheiro para não divulgar os dados.

julho 21, 2014

[Segurança] Segurança das Urnas Eletrônicas

Frequentemente surgem notícias sobre a urna eletrônica brasileira que, por tabela, trazem de volta a eterna discussão sobre a segurança (ou melhor, "falta de segurança") da nossa urna.

Por exemplo, recentemente o Tribunal Superior Eleitoral (TSE) anunciou que não fará nenhum teste das urnas antes das eleições de outubro de 2014. Os últimos testes públicos foram realizados em 2012, quando uma equipe da Universidade de Brasília (UnB) conseguiu colocar os votos na ordem em que foram digitados.

Eu não conheço nenhum profissional de segurança da informação que acredite que nossas urnas são minimamente seguras. E argumentos para questionar o TSE existem aos montes: a falta de transparência do processo, a impossibilidade de realizar uma recontagem dos votos, a falta de auditoria pública do software utilizado pela urna, os testes públicos realizados até agora foram totalmente controlados pelo TSE, etc.

A principal característica do nosso sistema eleitoral é que todo o processo fica nas mãos de uma única entidade, o Tribunal Superior Eleitoral (TSE). Ou seja, nossa única opção é acreditar cegamente que tudo o que o TSE faz é confiável e infalível. O TSE controla todo o processo de regulamentação, definição, preparação, realização, contagem e auditoria das eleições (e, consequentemente, das urnas). A ninguém é permitido questionar ou validar este processo, a menos que qualquer forma de auditoria seja realizada seguindo as normas e procedimentos do próprio TSE. Ou seja, eles tem um controle absoluto do processo.

O vídeo abaixo, do Canal do Otário, foi publicado no final de 2013 e faz uma crítica objetiva e bem humorada as nossas urnas eletrônicas:


OBS 1: existe também uma "versão comentada" deste vídeo.
OBS 2: na descrição do vídeo, há uma excelente lista de sites que serviram de referência sobre o assunto

Montar um sistema de votação eletrônica que garanta ao mesmo tempo o sigilo do voto e a auditoria do sistema não é algo trivial. E dificilmente chegaremos em um processo "100% seguro e auditável". Mesmo porque, nem mesmo o voto em papel é seguro: a eleição com votos em papel é facilmente burlável, como já foi provado em diversos casos de fraudes em eleições no mundo todo. Prova dessa dificuldade em criar um processo eletrônico é que os países que hoje utilizam votação eletrônica demoraram muito tempo até escolher algum mecanismo que pudesse ser confiável.

Há alguns anos atras eu assisti uma palestra do Bruce Schneier aonde ele discutiu este assunto, e eu gostei muito da sugestão que ele deu na época: um sistema aonde o eleitor escolhe um candidato, a urna imprime o voto em papel (que não deve conter nenhuma identificação do eleitor, mas pode ser conferido visualmente por ele) e, em seguida, o eleitor deposita o voto de volta na urna. Neste momento a urna lê o papel e computa o voto. Assim, a contagem do resultado é feita eletronicamente mas as urnas podem ser facilmente auditadas: basta contar manualmente os votos em papel depositados na urna e comparar com o resultado da contagem eletrônica.

Mas, infelizmente, o TSE já descartou a possibilidade de imprimir os votos nas nossas urnas eletrônicas.

Para quem deseja saber mais sobre este assunto, o Sandro Suffert possui em seu blog um excelente e completo apanhado de artigos sobre a "(in)segurança" da urna eletrônica brasileira.

julho 18, 2014

[Segurança] Ciber Extorsão

O caso recente da Code Spaces chamou a atenção para os ataques de "ciber extorsão", aonde criminosos exigem dinheiro em troca de parar algum tipo específico de ciber ataque. Este tipo de ameaça é muito comum nos países da Europa, Rússia e EUA há vários anos, mas para nossa sorte, acontece com pouca frequência aqui no Brasil. Isso porque nossos ciber criminosos já ganham bastante dinheiro com fraude em Internet Banking. Os casos ciber extorsão que acontecem no Brasil normalmente são de usuários locais infectados acidentalmente por ataques realizados por ciber criminosos lá de fora.

O site The Huffington Post publicou um artigo recentemente que cita os principais tipos de "ciber extorsão" existentes:
  • Ransomware: é o ataque mais comum e normalmente é direcionado a usuários finais. Um malware especializado (chamado de "ransomware") é utilizado para infectar o computador de uma vítima e bloqueá-lo, normalmente criptografando todos os arquivos locais ou mostrando uma janela com uma mensagem falsa, de que o usuário recebeu uma "multa" por ter arquivos protegidos por direito autoral ou pornográficos. A vítima é obrigada a pagar uma taxa para desbloquear seu computador. Exemplos: CryptoLocker, CryptoWall (CryptoDefense), CryptorBit, RevetonUrausy e WinLocker;
  • Ransomware para Smartphones: Também existem ransomwares direcionados para dispositivos Android, tal como o Simplocker (já encontrado na Rússia e Ucrânia). Ele se faz passar por uma app do Android, mas uma vez instalado pela vítima, ele encripta os arquivos do dispositivo.
  • Seqüestro de contas: Ao conseguir invadir contas de serviços online, o ciber criminoso pode ameaçar apagar os dados ou liberar publicamente os arquivos armazenados nessas contas. Alvos comuns são contas em serviços populares como o Facebook, Twitter, LinkedIn, Dropbox, Google Play e iCloud;
  • Sextortion: quando o ciber criminoso rouba fotos ou vídeos íntimos de uma pessoa e, então, pede alguma forma de pagamento para não divulgá-los online. Pode acontecer de várias maneiras: invadindo o computador para ter acesso aos arquivos locais ou a webcam, um ex-parceiro pode compartilhar as imagens com um terceiro, a vítima pode ser seduzida ou ameaçada a compartilhar imagens íntimas (acontece frequentemente com crianças e adolescentes), ou o atacante pode invadir uma conta online que armazena essas imagens;
  • Negação de Serviço: os ciber criminosos usam os ataques de Denial-of-Service (DoS) ou DDoS para tirar o site de uma empresa do ar. Em seguida, ele exige dinheiro em troca de parar o ataque;
  • Extorsão Corporativa: ataque direcionado a empresas, que pode ser realizado de várias formas, tal como invadindo a empresa e ameaçando divulgar dados sensíveis dela (geralmente informações de clientes, tais como cartões de crédito, endereço, e-mail, etc). Outras formas de ataque incluem ameaçar a empresa com comentários negativos online, reclamações para órgãos públicos, ou até mesmo realizar pedidos fraudulentos.
Além das dicas no próprio artigo do The Huffington Post, um artigo no blog da RSA dá algumas dicas de como as empresas podem se proteger para minimizar o impacto desses tipos de ataques:
  • Backup, backup e mais backup: faça backups dos dados importantes, dos servidores, e mantenha-os em um lugar seguro, preferencialmente com cópias off-line;
  • Cuidado redobrado ao armazenar dados sensíveis: isto se aplica aos bancos de dados de clinetes, para as empresas, e arquivos pessoais dos usuários finais;
  • Políticas de segurança: é importante ter uma política que defina as regras de acesso administrativo aos recursos de TI;
  • Documentação dos processos e sistemas: Uma correta documentação do ambiente facilita uma correta gestão de mudanças, a identificação de alterações no ambiente e de pontos fracos na infra-estrutura, e auxiliam a rápida resposta a qualquer problema;
  • Gestão de contas e segregação de funções: Qualquer conta administrativa só deve ter acesso às funções mínimas necessárias para o seu papel. É um recurso fundamental para minimizar o impacto de um acesso indevido a uma conta administrativa. Além disso, as contas de administração não devem ser compartilhadas - cada indivíduo deve ter uma conta própria, para facilitar o controle e auditoria;
  • Autenticação forte, baseada em risco: O nível de autenticação aos sistemas da empresa deve ser compatível com o nível de risco para cada função, principalmente em caso de acessos administrativos. O uso de políticas de senhas fortes e dispositivos de autenticação forte (de dois fatores) não deveria ser novidade para ninguém;
  • Monitoramento do ambiente: Todas as atividades nA console de gerenciamento devem ser registradas em log e cuidadosamente monitoradas, incluindo atividades como a criação de uma nova conta de administrador, a exclusão de uma grande quantidade de dados, etc. Sempre que possível, atividades críticas deveriam requerer a revisão e aprovação antes da execução - ou ser revistas rapidamente após sua execução para garantir a sua validade.


Atualização (09/08/14): O pessoal da FireEye e FoxIT criou um serviuço online chamado Decryptcryptolocker para desencriptar arquivos de vítimas do Cryptolocker. Você submete um arquivo encriptado e ele te retorna a chave de descriptografia e um link para usar uma ferramenta deles para desencriptar tudo.

julho 17, 2014

[Segurança] Project Zero e os hackers

O lançamento recente do "Project Zero", pelo Google, pode ajudar a trazer uma luz positiva sobre os hackers, mais precisamente, os que são dedicados a pesquisa de vulnerabilidades.

O Project Zero é uma iniciativa na qual o Google vai formar um grupo de pesquisadores em segurança dedicados a localizar falhas de segurança nas aplicações populares existentes na web. O grupo irá identificar possíveis vulnerabilidades zero-day (aquelas que não possuem correção quando são descobertas) e se encarregará de notificar as empresas para corrigí-las. O Google citou o recente caso do bug do Heartbleed como um exemplo da importância deste tipo de pesquisa, para evitar que bugs desconhecidos sejam explorados por ciber criminosos, governos e agências de inteligência.

Hoje em dia existem centenas de pesquisadores independentes de segurança em todo o mundo, que normalmentre comunicam suas descobertas diretamente as empresas afetadas ou através de algumas poucas empresas de segurança que tem programas de compra de vulnerabilidades. Ou anunciam suas descobertas em eventos especializados, como a Defcon.

Esta iniciativa do Google me fez lembrar de uma palestra apresentada no início deste ano no TED, que chama os hackers de "o sistema imunológico da Internet". Nesta palestra, a Keren Elazari fala sore a importância dos pesquisadores de segurança e dos hacktivistas para discutir e consertar a tecnologia e o mundo que nos cerca.

Seguem alguns trechos relevantes da palestra da Keren Elazari:
  • "existem (...) hackers que apenas gostam de quebrar coisas, e são exatamente esses hackers que podem encontrar os elementos mais fracos no nosso mundo e fazer com que os consertemos";
  • "Tornar as vulnerabilidades conhecidas ao público é uma prática chamada "Full Disclosure" na comunidade hacker, e isso é controverso, mas faz-me pensar em como os hackers têm um efeito evolutivo nas tecnologias que utilizamos no dia-a-dia";
  • "a alternativa de lutar cegamente contra todos os hackers é ir contra um poder que não se pode controlar, ao custo de sufocar a inovação e controlar o conhecimento";
  • "os hackers são uma força de influência social, política e militar. (...) Eles estão moldando o palco do mundo. (...) Isto porque o acesso às informações é uma importante moeda de poder";
  • "os hackers talvez sejam os únicos ainda capazes de desafiar governos que abusam da autoridade e empresas que escondem informações";
  • "se continuarmos os considerando como bandidos, como eles [os hackers] poderão ser também os heróis?"
  • "[Os hackers] não conseguem ver algo quebrado no mundo, e deixar assim. Eles são compelidos ou a explorá-lo, ou a tentar mudá-lo, e assim eles encontram as vulnerabilidades em nosso mundo de rápidas mudanças. Eles nos forçam a consertar as coisas ou a exigirmos algo melhor".



julho 16, 2014

[Cyber Cultura] #ForçaLaerte

Normalmente eu evito ver quais são os Trend Topics do Twitter, pois em geral são assuntos totalmente banais, que só me fazem pensar como a Internet é lamentavelmente dominada por uma multidão incapaz de compartilhar conteúdo interessante.

Mas hoje eu me assustei quando reparei que #ForçaLaerte era Trend Topic no Brasil.



A primeira vista, fiquei preocupado se poderia ter acontecido algo com o cartunista Laerte. Mas bastou uma rápida olhada no Twitter para perceber que a hashtag era relacionada com o personagem Laerte, da novela global Em Família. Mais um assunto banal no TT...

Mas, em uma olhada rápida nos Tweets, uma grande quantidade dos posts eram de usuários criticando ou satirizando que o #ForçaLaerte era Trend Topic! E essas reclamações ajudam a popularizar ainda mais o assunto. É a materialização, no mundo virtual, do famoso ditado "Falem mal, mas falem de mim".



O interessante, na verdade, é o fato que um assunto tão non-sense se tornou um dos itens mais comentados no Twitter não apenas pelo "mérito" do assunto em si, mas com uma ajudazinha das pessoas reclamando sobre ele. Assim como o Laerte, já vi em outras ocasiões assuntos polêmicos se tornarem populares no Twitter por causa da grande quantidade de críticas ao assunto, em vez de mensagens de apoio.

julho 14, 2014

[Cyber Cultura] Estupro digital

Um tribunal brasileiro tomou uma decisão recente de dar arrepios na espinha: ao julgar o caso de uma mulher que teve fotos íntimas expostas pelo ex-namorado, o TJ/MG julgou que a vítima também foi culpada pela divulgação indevida das suas imagens, pois quando posou para as fotos, ela assumiu o risco de que fossem divulgadas.

Este é um caso típico de "revenge porn", quando um dos conjuges se vinga do outro expondo fotos íntimas do casal ou da outra parte, para causar sua humilhação. E a Internet, redes sociais e softwares de comunicação instantânea ajudam a espalhar tais fotos rapidamente, além de tornar quase impossível a remoção das fotos depois que elas foram publicadas abertamente.

A decisão foi tomada pelos desembargadores Francisco Batista de Abreu e Otávio de Abreu Portes, da 16ª Câmara Cível do TJ/MG. No caso em questão, uma mulher acusa o ex-namorado de ter gravado cenas íntimas dela e divulgado a terceiros. A autora relatou que transmitiu imagens de cunho erótico para o companheiro através da sua webcam, que foram capturadas por ele e posteriormente retransmitidas a terceiros.

A decisão inicial, em juízo de 1º grau, condenou o ex-namorado ao pagamento de indenização, mas em segunda instância, os desembargadores reduziram a indenização de R$ 100 mil para R$ 5 mil. Segundo o desembargador, a vítima "ligou sua webcam, direcionou-a para suas partes íntimas. Fez poses. Dialogou com o réu por algum tempo. Tinha consciência do que fazia e do risco que corria". E, posteriormente, complemetou com mais algumas pérolas:
  • o namoro era irrelevante para o caso: "E não vale afirmar quebra de confiança. O namoro foi curto e a distância. Passageiro. Nada sério."
  • a vítima não cuida da moral: "Quem ousa posar daquela forma e naquelas circunstâncias tem um conceito moral diferenciado, liberal. Dela não cuida".

Na prática, esta decisão criminaliza e pune a vítima, e não a pessoa que fez o ato indevido e desrespeitoso. Seria como se uma mulher, após ser estuprada, fosse acusada de estimular o ato violento por usar saia curta !

Um dos problemas nesse tipo de caso de "revenge porn" é que, durante a relação, existe uma sensação de confiança entre o casal. Mas, quando o relacionamento chega ao fim, esse pacto de confiança deixa de existir e, se um dos dois deseja se vingar do outro, as fotos íntimas são um prato cheio - ainda mais em uma sociedade machista que tem a tendência de criminalizar a mulher.

A melhor forma de evitar um caso de exposição de fotos íntimas é não tirar essas fotos, e muito menos, compartilhar com alguém. Considero isso um pouco de bom senso. Quanquer foto comprometedora e desnecessária pode, posteriormente, causar dores de cabeça indesejáveis.

julho 12, 2014

[Segurança] Afinal, quanto é o prejuízo causado pelo ciber crime?

A notícia sobre o malware de boleto gerou algumas discussões e críticas, principalmente por conta do valor identificado como sendo o potencial da fraude, os tais R$ 8,5 bilhões. Uma das principais críticas é que este valor está muito acima do total dos prejuízos causados pelo ciber crime, segundo divulgado pela Febraban.

O interessante é aproveitar essa discussão sobre o valor potencial da fraude de boleto identificada pela RSA (que é o total da tentativa de fraude estimada em 2 anos, o que dá cerca de R$ 4,2 bi/ano), para compararmos as estatísticas disponíveis no mercado (semelhante ao que eu já fiz no passado):
Ou seja, as estimativas da McAffe e da Symantec são cerca de 10x acima do valor da Febraban. É uma diferença enorme e que mostra que algum desses números está fora da realidade. Além disso, os dados da cAffee e Symantec estão cerca de 4x acima do valor da fraude de boleto apontado pela RSA, lembrando que os dados da RSA são o valor "máximo e improvável" calculado a partir das  centenas de milhares de transações que o malware de boleto analisado tentou realizar.

julho 08, 2014

[Segurança] O golpe de 8 bilhões de reais

Recentemente a RSA divulgou um relatório sobre o malware de boleto, aonde a empresa estima que o valor potencial da fraude, em dois anos, pode ter atingido até R$ 8,57 bilhões.

O número é assustador, e a imprensa adora esse tipo de noticia: estatísticas assustadoras sobre fraudes que chamam a atenção dos leitores. Não é a tôa que essa pesquisa foi amplamente divulgada na mídia nacional e internacional.

Mas esta estatística também despertou a desconfiança dos profissionais da área (veja, por exemplo, a reação do pessoal da Linha Defensiva): afinal de contas, a Febraban diz que sofreu "apenas" R$ 1,4 bilhões de prejuízo com as fraudes eletrônicas em 2012 (que inclui todo o tipo de ciber crime). Ou seja: a estatística da RSA é aproximadamente 3 vezes maior do que a fraude anunciada pelos bancos (8,5 bilhões em 2 anos versus 1,4 bilhão por ano).

Mas, porquê será que o valor estimado pela RSA é tão grande?

Como o relatório explica, foi realizada uma simples soma dos valores referentes as tentativas de transações fraudulentas que estavam registradas no servidor de controle do malware de boleto, independente se elas tiveram sucesso ou não.

Os valores indicados para cada transação são obtidos a partir das transações originais das vítimas. Isso porque, da forma que funciona o golpe de boleto, o malware faz um pagamento alterando o código de barras de um boleto de forma a manter o seu valor original, para dificultar que o usuário final perceba a fraude. Desta forma, os valores indicados no servidor do malware são os mesmos valores dos boletos originais. Ou seja, se a vítima tentou pagar uma conta de R$ 100, o malware desviou esses mesmos R$ 100 para o fraudador e registrou esse valor no servidor. Ídem se a vítima pagou um boleto de 100 mil reais. Mas o malware não valida estes valores (isto é, ele não vai pensar "ah, isso é um pagamento para um colégio e portanto nào pode ser acima de R$ X"): o valor do boleto que ele interceptar é o valor que o malware vai tentar fraudar.

Desta forma, o cálculo do valor real da fraude é praticamente impossível por dois motivos principais, na minha opinião:

  • Não é possível identificar se a transação foi efetivada pelo banco: Não há como estimar que porcentagem dessas transações fraudulentas foi efetivada pois não sabemos por quanto tempo cada boleto foi pago repetidamente antes de ser identificada a fraude. Isso porque um boleto fraudulento só será negado pelos bancos depois que a fraude for detectada pela primeira vez (geralmente quando a vítima abre uma reclamação assim que percebe que seu pagamento original não foi realizado). Assim, um código de boleto pode ser usado várias vezes, em bancos diferentes, até que os bancos comecem a negar suas transações. O próprio relatório indica que foram realizadas quase 500 mil tentativas de transações, que foram realizadas com "apenas" 8 mil boletos únicos - ou seja, os fraudadores realmente tentam pagar o mesmo boleto dezenas ou centenas de vezes;
  • Não é possível saber se os valores das transações são reais ou não: o relatório da RSA tem um gráfico que mostra a distribuição dos valores do boleto: a grande maioria está abaixo de R$ 1.500, mas há boletos de até R$ 100 milhões. Isso mesmo: um boleto de R$ 100 milhões, que provavelmente faria a festa para qualquer fraudador. Isso pode parecer surreal, e que de quebra aumenta a estimativa total da fraude. Mas não há como ter certeza absoluta se esses valores altíssimos são de transações reais: o usuário pode ter digitado o código de barras errado (e o malware tentou pagar esse valor exorbitante assim mesmo), ou eventualmente o malware deu a sorte de infectar o computador da área financeira de uma grande empresa e o usuário estava realmente pagando uma conta desse valor. Talvez o malware tenha dado sorte e identificou cerca de 100 boletos referentes a transações acima de 1 milhão de reais (isso dá cerca de 0,02% dos quase 500 mil boletos originais nos últimos 2 anos).



Nota (adicionado em 15/08): Eu talvez não tenha deixado claro, mas o boleto do malware pode afetar pessoas físicas ou empresas, igualmente. Embora as pessoas físicas (isto é, nós, pessoas comuns) costumem pagar contas de valor baixo, as empresas também utilizam boletos para pagar suas contas de fornecedores, e estes valores podem ser gigantescos. Por exemplo, no início de agosto/2014 uma empresária teve o pagamento das contas dos fornecedores da sua empresa desviadas por um malware de boleto. O valor desviado dela foi de R$ 183 mil - em apenas um mês.

julho 02, 2014

[Segurança] Malware de Boleto

A RSA publicou um relatório em que analisa um tipo de malware específico do Brasil: o malware de boleto (veja também reportagem sobre isto na Folha de São Paulo, no The New York Times e no blog do Brian Krebs). Este estudo foi baseado em uma família de malware analisada pelos especialistas da RSA e a análise do servidor de controle (C&C) do malware encontrou algumas coisas interessantes:
  • Foram identificados quase 496 mil transações fraudulentas com boletos, com data de pagamento nos últimos dois anos, segundo os dados obtidos nos servidores da quadrilha;
  • Estas transações correspondem, na verdade, a cerca de 8 mil boletos únicos, uma vez que a maioria deles foi paga diversas vezes;
  • O valor potencial da fraude, baseado nos boletos identificados, corresponde a cerca de R$ 8,57 bilhões (obviamente, nem todos os boletos foram processados pelos bancos);
  • Cerca de 192 mil computadores foram infectados (estimativa baseada nos endereços IPs identificados);
  • O esquema de fraude envolve boletos de pelo menos 34 instituições bancárias, incluindo os maiores bancos brasileiros.

Mas a verdade é que esse tipo de malware não deveria ser novidade para ninguém. O portal Linha Defensiva e o Fabio Assolini, da Kaspersky, já abordaram esse tipo de golpe desde o ano passado (incluindo através de uma extensão maliciosa do Chrome ou sites que prometem gerar uma segunda via de boletos vencidos).

O jornalista Brian Krebs, em seu blog, cita o caso de uma central de controle de boleto descoberta por uma fonte dele que, indica que foram realizadas 383 transações com boletos fraudulentos entre Fevereiro e Junho deste ano, totalizando cerca de 250 mil dólares de fraude nesse período (veja abaixo o sceenshot da central de controle do malware de boleto, com a lista de transações realizadas pelo malware).



A fraude de boleto é um crime típico do cenário brasileiro, que não existe em nenhum lugar do mundo. Isso porque os boletos de pagamento são algo específicos do nosso sistema financeiro. em poucas palavras, na fraude de boleto o ciber criminoso paga boletos "seus" (em sua posse) utilizando as contas correntes de suas vítimas.

O ciber criminoso mantém uma base de boletos a serem pagos de forma fraudulenta, que podem ser boletos criados a partir de contas correntes de laranjas, ou podem ser boletos válidos (boletos enviados para consumidores finais que, na impossibilidade de pagar o total da conta, ele/ela recorre a criminosos que cobram apenas uma porcentagem do valor do boleto, e em troca o fraudador paga o valor total utilizando a conta corrente de uma vítima). A fraude com boleto válido faz com que o ciber criminoso receba o dinheiro de forma rápida e fácil, além de dificultar o rastreio da fraude: o banco consegue identificar o dono do boleto pago fraudulentamente, mas não consegue identificar o ciber criminoso.

Os ciber criminosos tem várias formas específicas para forçar o usuário final a pagar um boleto fraudulento:
  • Sites falsos de reemissão de boletos: são sites criados por ciber criminosos que prometem a revalidação de um boleto vencido. Ao fornecer os dados de seu boleto, a vítima recebe um novo código de boleto, mas que na verdade direciona o pagamento utilizando o código do boleto do fraudador;
  • Envio de boletos falsos por correio: Os criminosos podem interceptar a correspondência da vítima e substituir o boleto. Assim, a vítima recebe sua conta impressa em sua casa, mas na verdade esta conta já está com os dados de pagamento adulterados;
  • Malware de Boleto: Ele infecta o computador da vítima pode alterar os dados do boleto de três formas:
    • No pagamento de um boleto no Internet Banking: o trojan troca as informações do boleto (a linha digitável) no momento em que a vítima digita os dados no formulário de pagamento. O Browser do usuário já envia para o banco os dados do boleto fraudulento;
    • Na emissão online de boletos (ao pedir uma segunda via ou escolher fazer um pagamento com boleto): o trojan identifica uma página com dados de boleto e troca as informações pelos dados do boleto fraudulento. Eles alteram o valor da linha digitável e inserem espaços no código de barras para inutilizá-lo (assim a vítima é obrigada a digitar os dados do boleto, que já estão trocados);
    • Infectando as empresas que emitem boletos: ao infectar o compitador de uma empresa, o trojan pode fazer com que ela gere, erroneamente, boletos com os dados de pagamento já redirecionados para a conta do fraudador. O cliente já recebe em sua casa o boleto adulterado :(

O Malware de Boleto comunica-se com o servidor central do ciber criminoso para buscar as informações do boleto que o fraudador quer pagar. Normalmente o malware mantém o valor original da conta, para que a vítima não perceba que pagou um boleto fraudulento e troca apenas o trecho da linha digitável que identifica o cedente, isto é, o destino do pagamento (afinal das contas, quem tem paciência para ficar conferindo a linha digitável dos boletos?). Mas, mesmo que a vítima quisesse comparar a linha digitável, o Malware altera a página de resposta do Internet Banking para que o usuário não perceba a alteração dos dados de pagamento.

O infográfico abaixo, criado pelo pessoal da Folha, mostra como acontece a fraude:



A fraude de boletos representa um dos métodos de roubo de fundos mais populares entre os ciber criminosos brasileiros atualmente, apesar da Febraban informar que os boletos representaram apenas 4,5% do volume de pagamentos e 3% do total de fraudes, em 2013.

Os ciber criminosos adotam mecanismos de fraude populares em um determinado país ou região em que atuam, de acordo com as características dos sistemas de meios de pagamento locais. Há vários métodos para transferir dinheiro a partir da conta corrente de uma vítima, além de uma simples transferência bancária (que pode ser facilmente rastreada). Em alguns países, é comum utilizar compra e venda de ações para transferir os fundos. Aqui no Brasil, os ciber criminosos se especializaram em explorar pagamentos de contas e de impostos, através dos boletos bancários, além de realizar compras online (em lojas de e-commerce) ou compra de créditos pré-pagos para celulares.

O que fazer para evitar a fraude de boleto? É muito difícil, mas em alguns casos não é impossível... as dicas abaixo podem ajudar um pouco:
  • Antes de mais nada, evite ser infectado por malwares!
  • E sempre utilize um computador confiável para acessar o Internet Banking;
  • Uma opção aparentemente segura é utilizar o seu smartphone para pagar boletos, uma vez que o malware só afeta PCs. Para isto, pode-se usar os aplicativos de mobile banking dos bancos;
  • Como a fraude envolve a troca dos dados do boleto, sempre verifique se você está pagando o boleto correto. Não tenha preguiça e compare o código apresentado;
  • Para saber se o seu computador está infectado pelo malware de boleto, um teste simples é digitar a linha de um boleto na tela de busca do Google; algumas versões do malware, que atuam no browser, já trocam a linha mesmo nesta tela, e aí você verá que o autocompletar vai mostrar um valor diferente do que você digitou!
  • Como os criminosos alteram os dados do boleto para enganar a vítima, para conferir um boleto que você recebeu via correio ou que gerou online, a melhor forma é conferir o código inicial do boleto que está sendo pago:
    • os 4 primeiros dígitos identificam o banco; fique de olho se corresponde ao banco que normalmente emite aquela conta que você está acostumado a pagar;
    • a primeira metade do código do boleto identifica o banco e o cedente, ou seja, é um código que identifica a empresa que emitiu aquela conta (que é um cliente daquele banco). Normalmente essa parte do código tem que ser idêntica as contas semelhantes que você pagou no passado. Confira isso ! (ex: se você paga seu aluguel via boleto, o código inicial identifica o banco e sua imobiliária, que todo mês é o mesmo).

Nota: Post atualizado em 03/07 (pequenos ajustes no texto) e referência a botnet de Boleto mencionada pelo Brian Krebs (com fotinha).

Nota (28/07): No início de Julho a Trusteer anunciou a descoberta de duas novas variantes do Malware de Boleto.

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.