[Segurança] NSA, Até o Papa !?!?

As denúncias de espionagem descontrolada e descabida por parte da Agência de Segurança Nacional americana (NSA) não param de chegar.

Se até pouco tempo atrás as denúncias de espionagens contra chefes de estado estavam restritas a presidenta do Brasil, Dilma Roussef, e ao presidente do México, agora vários outros países já ficaram sabendo de que foram alvos da mega-estrutura de cyber espionagem montada pela NSA. Incluindo, até mesmo, o Papa...

Segundo o The Guardian, a NSA espionou ligações telefônicas de 35 líderes mundiais. Além do mais, entre 08 de fevereiro e 8 de Março de 2013, a NSA coletou 124,8 bilhões de informações de telefonia em todo o mundo e 97,1 bilhões de informações oriundas de dados de computador.

Vejamos o que dizem as principais noticias até o momento...

• Soubemos, através do Fantástico, que a NSA espionou as ligações telefônicas da Dilma
• Também pelo Fantástico, vimos que a NSA interceptou mensagens de SMS do celular do atual presidente mexicano, Enrique Peña Nieto, quando ele ainda era candidato.
• A NSA também espionou mais de 70 milhões de chamadas de cidadãos franceses em apenas um mês, incluindo o presidente da França, François Hollande.
• Também foi alvo de monitoração a chanceler do governo alemão Angela Merkel.
• Recentemente, a revista alemã Der Spiegel divulgou que a NSA espionou o presidente Mexicano Felipe Calderón quando ele ainda era presidente, entre 2006 e 2012.
• O jornal australiano The Sydney Morning Herald denunciou que a NSA utilizou as embaixadas australianas na Ásia para espionar diversos líderes locais, inclusive da Indonésia
• A NSA também espionou o Vaticano, incluindo o papa Bento XVI antes da sua renúncia e o então cardeal Jorge Bergoglio, antes de sua eleição para novo Papa. Segundo as notícias, a espionagem no Vaticano também ocorreu durante o conclave deste ano, e os EUA buscariam vantagens diplomáticas e segredos financeiros.

Mas isso não é o pior. Uma nova revelação indica que a NSA, em parceria com a agência de espionagem britânica GCHQ, também espionava os links de comunicação utilizados por grandes empresas de Internet, como o Google e Yahoo!. Ou seja, mesmo que a comunicação entre os usuários e os sites seja protegida pela criptografia SSL, a NSA percebeu que a comunicação interna entre os servidores e os datacenters destas empresas raramente é criptografada. Assim, interceptando estes links de comunicação entre os datacentes, a NSA conseguiu interceptar a comunicação dos usuários deste serviço.

A NSA percebeu que mesmo gigantes como o Google se preocupam mais com a segurança de perímetro do que com a segurança interna. Afinal, normalmente as empresas acreditam que suas redes internas são naturalmente seguras. Mas grandes empresas com vários escritórios e até mesmo com vários data centers tem um calcanhar de Aquiles: a interconexão entre suas redes, que normalmente é realizada através de empresas de telefonia contratadas para este fim. Poucas empresas (ou melhor, quase nenhuma) jamais se preocupou em proteger estas comunicações, o que pode ser realizado facilmente com equipamentos próprios de criptografia VPN.

O pessoal do Estadão construiu um Infográfico que distribui as principais denúncias contra a NSA em uma linha de tempo. Ótima referência.

[Segurança] Roteadores sob suspeita

A recente história do backdoor encontrado nos roteadores D-Link assustou muita gente, mas não representa a primeira nem a última vez em que são descobertas vulnerabilidades nos roteadores domésticos, expondo seus usuários a riscos desnecessários. Justo eles, que estão presentes hoje em dia em milhões de lares e pequenas empresas.

Veja outros exemplos recentes:

• No caso recém alardeado dos roteadores D-Link, basta acessar a interface web do roteador tendo definido, em seu browser, a identificação do agente do seu navegador como sendo "xmlset_roodkcableoj28840ybtide" (sem aspas - note que, lido de trás para frente, isso diz "escrito por 048882 joel backdoor"). Ao fazer isso, você pode acessar a interface web sem qualquer tipo de autenticação, podendo visualizar e alterar as configurações do equipamento.
• Os roteadores wireless da Tenda podem ser explorados através de um simples pacote UDP, pois possuem um backdoor que permite executar comandos como administrador
• Os roteadores wireless da Netgear podem ser explorados para comandar o equipamento via sua interface web sem autenticação ou para forçar um buffer overflow que irá executar comandos localmente.
• Em Janeiro deste ano a Rapid7 divulgou que falhas na implementação do protocolo UPnP (Universal Plug and Play) afetavam milhares de dispositivos como roteadores, impressoras, servidores de mídia, câmeras IP, SmartTVs, entre outros. Vulnerabilidades no Portable UPnP SDK e no MiniUPnP permitiriam a atacantes abrir um shell de comandos no sistema vulnerável, realizar ataques de negação de serviço (DDoS) e de execução de código remoto. Equipamentos da Belkin, Cisco, Netgear, D-Link e Asus estariam vulneráveis.

E o que isso significa? Que os roteadores wi-fi e roteadores domésticos pode ser explorados por governos ou ciber criminosos, podendo ser reconfigurados para controlar e redirecionar os acessos dos usuários.

E isso não é ficção científica: em 2012 o Fabio Assolini, da Kaspersky, divulgou que um cibre criminoso Brasileiro conseguiu invadir 4.5 milhões de roteadores DSL explorando uma vulnerabilidade em alguns fabricantes, e usava os modens invadidos para redirecionar as vitimas para sites falsos alterando a configuração de DNS dos modens.

[Cyber Cultura] Stop Watching Us

Stop Watching Us é uma campanha contra o esquema de espionagem e vigilância massiva criado pela NSA, a agência de segurança americana. Além disso, representa uma coalizão, batizada de StopWatching.us, com mais de 100 empresas, organizações de defesa da cidadania e pessoas - incluindo o Tim Berners-Lee, o aclamado "criador da Internet".

Neste sábado, dia 26/10, o grupo realizou um protesto em Washington que atraiu milhares de pessoas que manifestaram contra a espionagem por parte da NSA e que gritaram palavras de apoio ao ex-analista da CIA Edward Snowden, que divulgou milhares de documentos sobre este esquema governamental de espionagem e inteligência.

Recentemente a Electronic Frontier Foundation (EFF) lançou um vídeo promocional da campanha, que contou com diversas celebridades, ativistas, juristas, e outras figuras proeminentes falar contra a vigilância em massa pela NSA. O vídeo foi dirigido por Brian Knappenberger (que fez o documentário "We Are Legion: The Story of the Hackivists") contou com a participação de personalidades como o diretor Oliver Stone, o produtor Phil Donahue e os atores Maggie Gyllenhaal, John Cusack, Wil Wheaton e Molly Crabapple, além de alguns ex-profissionais da NSA.



Na área de segurança, o Bruce Schneier tem se envolvido muito com as denúncias de espionagem da NSA e ajudado o jornal britânico The Guardian. Por isso mesmo, ele se tornou uma voz ativa na crítica a NSA. Ele escreveu alguns artigos excelentes sobre este assunto, dois dos quais merecem destaque:

• "The US government has betrayed the internet. We need to take it back"
• "Why the NSA's attacks on the internet must be made public"

Em tempo: a EFF mantém uma ótima página sobre todas as denúncias de espionagem e vigilância da NSA.

[Segurança] Governos pós-Snowden

O Sandro Suffert publicou recentemente mais um excelente post em seu blog sobre o "Espionagem contra o Brasil e o Marco Civil no Forno - Brasil pós Snowden", ou seja, sobre a reação da presidenta Dilma frente as denúncias de espionagem do governo americano, realizadas pelo Edward Snowden, que atingiu o governo brasileiro (incluindo comunicações da Presidenta do Brasil e informações do Ministério das Minas e Energia), além da Petrobrás.

A Dilma já fez biquinho, já cancelou uma visita ao Obama e fez discurso cheio de mimimi na ONU. Como se nenhum governo nunca tivesse espionado ninguém - nem o governo Brasileiro.

Nessa semana a chapa esquentou do lado do Obama, com novas denúncias de espionagem a governantes, mas dessa vez com gente grande: a chanceler do governo alemão Angela Merkel e o presidente da França, François Hollande. Agora não é mais espionagem contra presidentes de países de terceiro mundo, como México e Brasil... e, embora com a Alemanha e a França faça sentido usar o argumento de que "todos os países se espionam mutuamente", a crise diplomática e o mal estar está instalado.

Mas, se é verdade que todos os países se espionam desde que o mundo é mundo, porque tanta polêmica?

Na minha opinião, o problema é a amplitude e o grande grau de invasão da espionagem americana:

• A partir do momento em que a NSA espiona todas as comunicações telefônicas e via Internet em todo o mundo, ela espiona tudo o que fazemos, indiscriminadamente. Afinal, o mundo está conectado e os celulares e a Internet fazem parte do dia-a-dia de todos nós. E isto é assustador.
• Para piorar, a NSA construiu uma enorme estrutura de espionagem, através de acordos com grandes sites e empresas de telecomunicações, backdoors instalados por empresas de tecnologia e, se necessário, captura de comunicação em cabos submarinos ou invasão de computadores. Com isto, o governo americano tme uma capacidade de espionagem inigualável, que nenhum país consegue se proteger nem ao menos chegar perto.
• Para piorar ainda mais, hoje em dia todos os países são altamente dependentes de tecnologia e serviços oferecidos por empresas americanas. A própria Internet é controlada pela ICANN, que é subordinada ao Departamento de Comércio do governo americano.

E aqui no Brasil, quais serão as reações concretas do governo Brasileiro? Por hora, ouvimos notícias sobre diversas iniciativas governamentais desencontadas e, a grande maioria, com pouca chance de resolver algo, tais como:

• Como criar um serviço de e-mail nacional através dos Correios - como se já não possuíssemos diversos provedores locais, como UOL e Mandic, inclusive provedores que oferecem e-mail gratuito
• Obrigar os sites externos que contenham dados de brasileiros (como o Facebook e o Google) a manter servidores no Brasil para armazenar os dados dos brasileiros, como se isso fosse evitar algum tipo de espionagem por parte destas empresas (sem falar que vai facilitar a espionagem do próprio governo Brasileiro)
• Lançar um cabo submarino entre o Brasil e a Europa para evitar espionagem americana, como se os EUA não tivessem submarinos e não soubessem colocar sniffers neles para interceptar a comunicação
• Forçar o Serpro a usar criptografia nos e-mails utilizados por órgãos governamentais, que seria útil, mas é impossível eviar que autoridades, membros do governo e funcaionários públicos em geral usem o e-mail pessoal. Mesmo assim, qualquer comunicação não criptografada com entidades externas continuará sendo interceprada.

O meu maior medo é que o governo possa desfigurar o Marco Civil, sob pretexto de usar ele como uma forma de diminuir o risco de espionagem americana, e assim acabe aprovando às pressas um Frankstein para torná-lo uma peça que facilite a espionagem do próprio governo brasileiro.

[Segurança] Malwares em 2012

Em Abril a Mcaffee publicou um infográfico bonitinho e cheio de estatísticas, chamado "The State of Malware 2013", que na verdade tem os dados do final de 2012.

De qualquer forma, as estatísticas sobre vírus e códigos maliciosos, da McAffee, são asustadoras: 100 mil novos malwares são descobertos todos os dias. Parece muito? poizé, mas eu dei uma olhada nas estatísticas do Vírus Total e, no dia 21/10/2012, eles receberam 323.942 arquivos que pelo menos um antivírus detectou como infectado. Ou seja, a indústria de antivírus convive com centenas de milhares de vírus por dia.

[Segurança] Mapa de Ataques DDoS

O Google, em parceria com lançou o site Digital Attacks Map, que mostra um mapa interativo e muito legal sobre os ataques DDoS que estão acontecendo em todo o mundo.


O Mapa de Ataques exibe estatísticas de ataques DDoS em todo o mundo em um determinado dia. Os ataques são mostrados como linhas pontilhadas, dimensionadas de acordo com o tamanho do ataque e colocados de acordo com os países de origem e destino do ataque.

O mapa é muito interativo e permite a visualização de diversos dados, incluindo uma lista de quais são os 12 países mais ativos naquele dia, como origem ou destino de ataques. É possível visualizar as estatísticas de ataques em uma tabela também, mas certamente não é tão divertido quanto o mapa em si. Na lateral esquerda, pode-se ver as estatísticas dos principais tipos de ataque, duração e principais portas de origem ou destino. Passando o mouse sobre uma linha representando o ataque, é possível ver as estatísticas daquele ataque específico. Clicando em um país, o mapa destaca os ataques partindo ou chegando naquele país. O pessoal do Google também criou um vídeo curtinho que explica como o mapa funciona.

O legal mesmo é dar o "play" no gráfico de quantidade de ataques por tempo, que fica no canto inferior direito da tela: ele faz com que o mapa fique mostrando os ataques no decorrer do tempo, dia-a-dia desde 01 de Junho deste ano. Clicando em um ponto específico do gráfico, o mapa mostra os ataques para aquele dia selecionado.

Os dados foram obtidos do sistema de monitoramento da Arbor Networks conhecido como ATLAS, que recebe informações de mais de 270 provedores de acesso em todo o mundo e são atualizados a cada hora. O site também tem uma página que explica rapidamente o que são os ataques DDoS e traz algumas estatísticas adicionais:

• Com US$ 150 é possível contratar um ataque DDoS contra um site por uma semana
• 1/3 das quedas ou paradas de sites são causadas por ataques DDoS
• A Arbor identifica mais de 2000 ataques DDoS por dia em todo o mundo.

É um mapa muito legal para colocar no telão do seu SOC e impressionar o chefe :)

[Segurança] Que tipo de profissional de segurança é você?

Na RSA Confernce do ano passado (sim, essa história é antiga, mas só fiquei sabendo dela recentemente), o pessoal da própria RSA fez uma ação de marketing bem interessante, que convidava os presentes a identificar que perfil de profissional mais condizia com eles:

• Rockstar: são a voz do mundo da segurança da informação. Todos temos algumas pessoas que idolatramos ou olhamos como acima da maioria de seus pares na indústria. Os Rockstars assumem o trabalho adicional e os riscos de se expressarem publicamente para ter suas idéias publicadas, e em troca da sua perseverança recebem o estrelato e são reverenciados. É muito fácil encontrar um Rockstar nas reces sociais ou em cima de um palco!
• Ninja: é o guerreiro profissional que se baseia em sua discrição, agilidade e velocidade para neutralizar seus alvos. Os Ninjas treinam suas técnicas incansavelmente e são habilidosos, realizando suas tarefas bem debaixo dos nossos narizes. Eeles são os guardiões e observadores silenciosos do mundo digital.
• Esquilos: são pensadores, estudiosos, curiosos e, às vezes, brincalhões. Eles gostam de entender como as coisas funcionam e podem completamente desmontar e remontar algo e no final fazê-lo funcionar como o esperado. E ainda podem fazer algumas modificações para torná-lo melhor (ou pior). Dado um problema extremamente complexo, esquilos descobrir as coisas quando ninguém mais pode. Os esquilos são tão propensos a analisar as vulnerabilidades como são para explorá-las.
• Troll: aqueles com má reputação, que ficam aguardando uma oportunidade para usar o anonimato para direcionar comentários negativos para alguém. Os Trolls, por vezes, podem ser indesejáveis, mas também tem suas vantagens: eles tendem a ser inteligentes e usar suas habilidades críticas e de sarcasmo para levar as pessoas a pensar sobre questões difíceis, sob uma perspectiva diferente. Podem ser influentes em várias comunidades. De qualquer forma, vale sempre a regra: "Não alimente os trolls", dando informações ou motivos para incitá-lo contra você.
• Unicório: são aqueles profissionais mitológicos e muito raros. Suas habilidades e lendas viram folclore na área de infosec e entre seus colegas. Muitos tentam imitar, mas poucos conseguem encarnar o verdadeiro espírito do unicórnio. Eles são tão raros que as pessoas pensam que eles não existem.

A área de segurança da informação é cheia de personalidades, que podemos agrupar de acordo com algumas características em comum. Esta brincadeira criada pela RSA é apenas uma forma de ver os diversos tipos de profissionais que temos no mercado. Não há um perfil que seja melhor ou pior do que outro: todos tem suas vantagens e desvantagens, e o ideal é conseguir montar uma equipe heterogênea, com profissionais diferentes que se ajudam e se complementam.

[Cyber Cultura] Hacktivismo animal!

Nesta sexta-feira, acordamos com a notícia de que um grupo de defensores dos animais invadiram um laboratório de pesquisas em São Roque. Segundo os manifestantes, os animais resgatados seriam sacrificados para não serem usados como provas das atrocidades cometidas no laboratório.

Rapidamente a notícia se espalhou pelas redes sociais e foi ganhando milhares de apoiadores, que divulgaram ainda mais notícias, imagens e vídeos sobre o protesto e publicaram fervorosas mensagens de apoio. "Instituto Royal" virou Trend Topics no Twitter. O grupo Anonymous também entrou na briga e lançou a "Operação Royal" (#OpRoyal) para ajudar nos protestos, tirando do ar o site do laboratório. Além disso, eles publicaram no Pastebin dados da empresa e dados pessoais dos diretores do Instituto Royal.

O que vemos no caso do Instituto Royal é algo que já se tornou comum em todo o mundo: hoje em dia a Internet é um grande palco de protestos. Mais do que isso, os protestos no mundo real acontecem em conjunto com o mundo virtual. Qualquer manifestação hoje em dia é acompanhada e apoiada por milhares, ou milhões de pessoas, através da Internet.

Isto se tornou particularmente verdadeiro desde o final de 2010, quando o grupo Anonymous ganhou grande destaque na imprensa mundial por conta dos ataques a grandes sites como Visa, Mastercard, Paypal e Amazon para apoiar o Wikileaks e o Julian Assange. Desde então o grupo Anonymous ganhou apoiadores em praticamente todo o mundo, que foram responsáveis por diversos protestos online em vários países. E o termo hacktivismo se popularizou - ou seja, o uso e manipulação das tecnologias online como forma de protesto político, ideológico ou religios - seja através de ataques ou do uso de ferramentas tecnológicas.

O caso dos protestos contra o laboratório Instituto Royal tem elementos que exemplificam como o mundo online é usado para apoiar protestos no mundo real:

• Como "Cyber Ativismo" puro, ou seja, uma forma de usar a Internet para organizar, promover e divulgar os resultados de um protesto. Seja criando um site ou uma página nas redes sociais para divulgar o protesto (como a página no Facebook divulgando uma manifestação contra o Instituto Royal marcada para o sábado dia 19/10). A Internet também é utilizada para divulgar notícias sobre os protestos, e assim fugir do controle da informação, distorção ou censura eventualmente realizada por governos ou pela própria mídia tradicional.
• Como "Hacktivismo danoso", que utiliza técnicas de cyber ataques para causar danos a empresa, governo, entidade ou pessoa que é alvo do protesto. Isto inclui o uso de ataques de negação de serviço (DDoS) para tirar o site do ar, pichação de páginas web (defacement) para divulgar uma mensagem de protesto em sites de terceiros, ou o roubo e vazamento de informações da entidade ou das pessoas envolvidas. Estes ataques visam, normalmente, expor, humilhar e até mesmo causar algum tipo de dano ao alvo dos protestos. Esta é a forma mais conhecida atualmente de protesto online. Mas, devido ao seu caráter danoso, quem sabe, um dia, passemos a chamar isso de "Cracktivismo". O Instituto Royal sentiu isso  a pele: o site foi derrubado e informações pessoais dos seus diretores (incluindo telefones, e-mails e endereços residenciais) foram divulgados.
• Como um "Hacktivismo construtivo", ou seja, que visa usar a tecnologia para beneficiar um grupo que seja vítima de algum tipo de opressão ou problema político/sociel/econômico/etc. É o caso do desenvolvimento de ferramentas para garantir a privacidade das pessoas contra governos que não respeitem as garantias individuais e a liberdade de expressão (são exemplos normalmente citados: China, Cuba, Rússia e, hoje em dia, até mesmo os EUA). PGP e Tor são bons exemplos. Durante a Primavera Árabe, vários países tentaram cortar a Internet para que os protestos não fossem divulgados e para evitar que as pessoas se organizassem online. Diversos ativistas contribuíram com recussos para criar meios de que as pessoas que estavam no protesto pudessem acessar a Internet, apesar da tentativa fde censura dos governos.
• Como um "Hacktivismo Vingativo", que ocorre como uma forma de reação a ações consideradas desproporcionais, violentas ou falsas por conta das entidades ou pessoas alvo do protesto - ou mesmo das autoridades policiais. Neste caso, é comum ver hacktivistas reagindo e protestando online contra excessos por parte das autoridades durante manifestações pacíficas. Um caso que ficou famoso foi o "Pepper Spray Cop", um meme que surgiu na Internet como forma de protestar contra policiais que jogaram spray de pimenta em participantes do "Occupy Wall Street" na Universidade da Califórnia, em Novembro de 2011. Da mesma forma, a posição da diretoria do Instituto Royal de negar os maus tratos a animais só tende a aumentar a raiva das pessoas que apoiam o protesto.

[Segurança] A NSA causa tempestade nas Nuvens!

Segundo uma pesquisa realizada recentemente pelo instituto de pesquisa Information Technology and Innovation Foundation (ITIF) e Cloud Security Alliance americana, a indústria de Computação em Nuvem pode ser impactada diretamente pelos escândalos de espionagem envolvendo a NSA (a Agência de Segurança Nacional dos EUA), revelado pelo Edward Snowden.

Por conta do risco de espionagem e a consequente preocupação com privacidade, empresas e instituições estrangeiras estão cancelando contratos e reduzindo o uso de provedores de serviços em nuvem baseados, pois a espionagem  podem afetar diretamente a confidencialidade de dados armazenados na nuvem. Afinal de contas, as revelações do Snowden mostram um programa sofisticado e abrangente de espionagem do governo norte-americano focado na coleta massiva de dados eletrônicos de empresas e usuários, muitas vezes com a conivência forçada de empresas de tecnologia baseadas nos EUA, como Facebook, Google, Microsoft, Apple, Yahoo e muitas outras - incluindo empresas de telecomunicações.

Como consequência, o ITFI estima que a indústria de computação em nuvem nos Estados Unidos pode perder entre US$ 25 bilhões e US$ 35 bilhões em receita nos próximos três anos.

Em uma outra pesquisa realizada há pouco tempo pela Cloud Security Alliance com 500 executivos, 10% dos entrevistados não americanos disseram ter cancelado um projeto com um fornecedor de Cloud Computing baseado nos EUA, enquanto 56% afirmaram ser menos propensos a usar um serviço de nuvem com base nos EUA. Entre as empresas com sede nos EUA, 36% indicaram que as divulgações sobre a espionagem da NSA tornaram mais difícil a elas fazer negócio fora do país.