abril 28, 2016

[Segurança] Riscos de Ciber Segurança nas Olimpíadas

Faltam pouco menos de 100 dias para o início dos Jogos Olímpicos de 2016 no Rio de Janeiro e, por isso mesmo, resolvi aproveitar a data para reciclar um antigo post meu, que publiquei em 2014, falando sobre os riscos de ciber ataques na Copa do Mundo.

Os dois eventos são, sem dúvida, os eventos esportivos mais importantes do mundo, e que movimentam milhões de dólares em termos de patrocínios, ingressos, e gastos. Que me desculpem os fãs do SuperBowl (o final do campeonato de futebol americano), mas a Copa e as Olimpíadas são eventos globais, os quais parcicipam atletas representando dezenas de países diferentes.

Pelo dinheiro que movimentam e visibilidade que atraem, a Copa e as Olimpíadas acabam sendo alvo de diversos ciber criminosos, fraudadores online e ciber ativistas. Na minha opinião, as Olimpíadas de Verão (lembre-se que existem duas Olimpíadas, a de Verão e de Inverno, sem falar nas Paralimpíadas) são um evento muito mais globalizado e visado do que a Copa do Mundo, o que acaba representando um maior risco também. Além disso, não custa lembrar que as Olimpíadas já foram alvo de um dos episódios mais tristes e emblemáticos de terrorismo, durante a fatídica Olimpíada de 1972 em Munich.



Os potenciais cenários de crimes, fraudes e protestos relacionados com as Olimpíadas representam diversos riscos de segurança para as empresas, governos, os patrocinadores, atletas, comerciantes e usuários finais, tais como:
  • Protestos, Hacktivismo e Ciber Terrorismo: Os grandes eventos atraem a atenção de ativistas e terroristas que querem aproveitar a chance de visibilidade global para chamar a atenção para uma causa específica, através de diversas formas de protesto. Potenciais alvos são, principalmente, o governo brasileiro, os demais governos, e as entidades que organizam e patrocinam estes eventos. Tais protestos podem ter motivação política, religiosa ou ideológica. Do ponto de vista doméstico, o Brasil vive atualmente uma grave crise política e econômica, causando grande insatisfação entre as pessoas e, principalmente, grande tensão social. Isto pode incluir protestos contra o governo Brasileiro, contra escândalos de corrupção ou super faturamento nas obras, etc. É muito provável que grupos hacktivistas aproveitem as Olimpíadas para realizar ataques contra partidos políticos e membros do governo (federal, estadual e municipal).
    • Há o risco real de ataques de terrorismo e ciber terrorismo durante a Olimpíada, principalmente direcionados a delegações de países que tradicionalmente já enfrentam este tipo de problema (ou seja, EUA, países Europeus, Russia e diversos países do Oriente Médio). Para piorar, o mundo atual vive um momento de grande tensão por causa dos atos de terrorismo realizados pelo ISIS e por outros grupos Islâmicos e que, inclusive, realizaram alguns ataques terroristas recentes na Europa. Ataques ciber terroristas podem, eventualmente, visar a infra-estrutura tecnológica dos jogos ou da cidade do Rio de Janeiro, causando danos ou interrupções nos sistemas de controle das infra-estruturas críticas da cidade ou dos serviços públicos (causando problemas no abastecimento de energia e água, no funcionamento de aeroportos, meios de transporte, empresas de telecom, etc);
      • eu desconheço a existência de algum caso real de ciber terrorismo que já tenha ocorrido até hoje. Infelizmente, uma Olimpíada seria uma ótima oportunidade para termos o primeiro caso :(
      • a nossa vantagem é que a infra-estrutura brasileira é pouco automatizada. Estamos longe da realidade dos EUA e Europa, aonde já se falam de Smart Cities, sensores inteligentes, smart meters, automação residencial, etc. 
    • Protestos nas ruas com ataques físicos a empresas, agências bancárias e caixas eletrônicos, com destruição e roubo de patrimônio;


    • Protestos online através de defacement, ataques DDoS ou roubo e divulgação de dados (DOX), normalmente associadas a alguma "operação" específica, tais como as tradicionais operações criadas pelo grupo Anonymous:
      • defacement de sites como forma de protesto contra as Olimpiadas;
      • o roubo e divulgação de dados (DOX) das empresas visa promover o descrédito da organização através da exposição de informações confidenciais, incluindo planos estratégicos, informações de negócio ou dados pessoais de clientes, executivos e funcionários;
      • ataques de negação de serviço (DDoS) tradicionais, baseados em redes, como parte de grandes campanhas de hacktivismo contra o evento ou contra alvos específicos (empresas ou governos). Os ataques DDoS atualmente podem chegar facilmente a mais de 500 Gbps (meio Terabyte de dados por segundo!!!), um volume que pode facilmente tirar grandes sites do ar;
      • ataques de DDoS ou DoS aproveitando lógica de negócio, tal como o uso de scripts automatizados para executar um número excessivo de acessos ao site da empresa com objetivo de simplesmente impedir o acesso ao site ou, em última instância, bloquear contas de usuários;

  • Ciber Fraude e Ciber Crime
    • Envio de mensagens de SPAM relacionadas a Olimpíadas, para enganar usuários finais e infectá-los com malwares em geral, incluindo os malwares destinados a roubo de dados pessoais;
    • Sites de Phishing imitando sites dos Jogos Olímpicos ou de patrocinadores dos Jogos, divulgando, por exemplo, promoções e concursos falsos com o objetivo de roubar dados pessoais;
    • Sites falsos para venda de ingressos dos jogos, enganando usuários e fazendo vendas fraudulentas (vende, obtém o dinheiro da vítima e/ou dado de cartão de crédito e não entrega nada);
    • Diversas fraudes de cartão de crédito e débito, aproveitando o grande fluxo de turistas extrangeiros com cartões de crédito de outros países:
      • Clonagem de cartões de crédito: muitos países ainda não adotaram cartões com tecnologia de Chip, e assim são bem mais fáceis de serem clonados;
      • Aumento de casos de transações e compras fraudulentas com cartões clonados no comércio online e no comércio físico: um dos problemas é que os turistas de outros países utilizam cartões de bancos ou empresas de cartões que os logistas não conhecem, logo estes logistas terão maior dificuldade para identificar visualmente um cartão clonado.


Pelos motivos expostos acima, diversas empresas trabalham constantemente para evitar fraudes atreladas a estes grandes eventos. Um investimento importante tem sido feito em equipes de segurança cibernética para trabalhar durante os jogos.

Para saber mais, veja as reportagens abaixo:
Notas:
  • Post atualizado em 11/07/16 para incluir algumas reportagens como referência;
  • Atualização em 20/07/16 para pequena revisão no texto sobre terrorismo e ciber terrorismo, e para incluir alguns link extras, incluindo a reportagem do fantástico sobre risco de terrorismo nas Olimpíadas. Mais dois links foram adicionados em 21/07.
  • Incluí duas imagens em 29/07, para ilustrar mais o post e incluí um link para o artigo no portal IOPub.
  • Atualizado em 08/08 com o artigo "The Risks at Play at the Summer Olympics" da empresa Stratfor

[Segurança] Ciber Segurança, a buzzword que veio para ficar

O termo "Ciber Segurança" ("Cybersecurity") em inglês deixou de ser uma simples "Buzzword da moda", como eu comentei há quase um ano atrás.

Eu tenho notado cada vez mais o a expressão "ciber security" sendo utilizada no mercado e na imprensa no lugar de "segurança da informação". Ou seja, não se fala mais "segurança da informação" para designar a nossa área ou sub-áreas de atuação ou conhecimento.

Talvez já esteja na hora (ou melhor, já passou da hora) de atualizarmos nosso LinkedIn e trocar qualquer referência a "segurança da informação" por "Ciber Segurança".

abril 26, 2016

[Segurança] Cybersecurity Maturity Assessment

O pessoal da RSA lançou o "Cybersecurity Maturity Assessment", uma pesquisa online, através de auto-avaliação, para que as empresas possam avaliar, gratuitamente, o nível de maturidade do seu programa de segurança da informação. A avaliação é baseada no Framework do NIST para infra-estruturas críticas, abençoado pelo Obama em Fevereiro deste ano.

O NIST criou o "Framework for Improving Critical Infrastructure Cybersecurity" contando com a colaboração entre a indústria e o governo para promover a proteção da infra-estrutura crítica e gerenciar riscos relacionados com a segurança cibernética. O site da NIST tem, entre outras coisas, o documento em PDF e uma planilha em Excel com a lista dos ítens tratados no Framework.

abril 20, 2016

[Cyber Cultura] Garotas e redes sociais

A revista Veja desta semana publicou uma reportagem pequena e um pouco superficial sobre como as adolescentes femininas tem sido vítimas constantes de bullying e sexting nas redes sociais e no Whatsapp.

A reportagem não traz grandes novidades, mas tem algumas informações que achei interessante compartilhar:
  • Todos os dias, mais de 1 milhão de selfies são tirados em todo o mundo;
  • Segundo o estudo "SelfieCity", as mulheres tiram auto-retratos com muito mais frequencia do que os homens - segundo a reportagem da Veja, isso é uma consequência da ditadura da beleza;
  • 8 em cada 10 meninas americanas de 1 a 18 anos usam smartphone ou tablet;
  • As garotas enviam, em média, 30 mensagens (de WhatsApp, SMS e outras) por dia;
  • Em mégia, as garotas publicam 3 selfies por dia;
  • 53% dos adolescentes que praticam sexting são mulheres;
  • 22% das garotas enviam nudes;
  • 26% das jovens já sofreram cyber bullying.
A reportagem também destaca que os adolescentes costumam sofrer de ansiedade e, as vezes, depressão, por não receber "likes" em suas publicações online.

abril 16, 2016

[Segurança] Explicando a criptografia

De repente os usuários do WhatsApp começaram a receber uma notificação dentro do aplicativo de que suas mensagens estavam sendo criptografadas.



O pessoal de segurança reagiu com um mixto de comemoração e desconfiança - apesar da criptografia no WhatsApp já existir há alguns anos.

Mas os usuários finais provavelmente não entenderam nada.

O Danilo Gentili aproveitou e, em seu programa, deu uma explicação ótima e, obviamene, bem humorada sobre o que significa ter criptografia nas nossas mensagens...

abril 12, 2016

[Segurança] Algumas dicas de segurança para a Computação Vestível

A Computerworld publicou algumas dicas da Fortinet sobre como os usuários podem tentar proteger as suas informações pessoais quando usam dispositívos vestívels ("wereables"), tais como smart watches, o quase falecido Google glass ou qualquer outra coisa do tipo. São dicas simples e eficientes para que os usuários tenham alguns cuidados básicos:

0. Antes de começar a usar o seu dispositivo vestível, revise todas as configurações de privacidade dele e dos aplicativos relacionados, principalmente se eles armazenam informações na nuvem (acho quea grande maioria faz isso);

1. Enquanto não estiver usando o dispositivo vestível, desative o Bluetooth para reduzir a possibilidade de um ataque;

2. Para evitar a infecção e proliferação de vírus que possa causar impacto a dados sensíveis, evite conectar o seu wearable ao notebook do trabalho ou a outro computador que tenha informações críticas; tenha, preferencialmente, um único dispositivo para conectar ao seu wereable;

3. Tenha cuidado ao compartilhar informações nas redes sociais ou em sites específicos do dispositivo vestível, como sites de esportes. Ative todos os elementos necessários para salvaguardar a privacidade das informações que você compartilha;

4. Sempre que possível, faça o upload das informações do seu wearable diretamente para o computador dedicado para ele;

5. Ao fazer o upload de dados, exclua as informações do wearable. Caso você perca o dispositivo, não haverá informações pessoais no aparelho sobre a sua rotina de exercícios que possam ser comprometer a sua privacidade ou, por exemplo, que possam ser usadas para localizá-lo;

6. Investigue bem antes de adotar um wearable e as aplicações relacionadas. Busque marcas ou empresas reconhecidas, com grande número de usuários. Você terá uma maior garantia de resposta por parte da fabricante caso haja algum problema.


abril 07, 2016

[Segurança] Sequestro no hospital

Um hospital americano, o Baltimore Union Memorial Hospital, é um dos mais recentes alvos de ransomware, aqueles malwares que "sequestram o computador" ao criptografar os arquivos locais e exigir dinheiro em troca de desencriptar tudo. Os responsáveis pelo ransomware, chamado Samsam, pediram um resgate de 45 bitcoins (cerca de US$ 18.500) para fornecer as chaves de criptografia que iriam liberar os dados.

Este tipo de notícia não é novidade, pois usuários e empresas de todo o mundo vem sofrendo com este tipo de praga já há bastante tempo. Recentemente, outro hospital de Los Angeles, pagou 17 mil dólares para recuperar os seus dados.

Já o interessante no caso do Baltimore Union Memorial Hospital, é que ele faz parte do grupo MedStar, que possui 10 hospitais na região de Baltimore e Washington. Segundo o THN, eles já tinham sido atacados por este ransomware na semana passada. Mas, diferente de outras vítimas, o pessoal do MedStar preferiu não pagar a extorsão !!!

Eu, particularmente, achei legal a imagem que utilizaram na notícia do site The Hacker News, bem dramátca...



Felizmente, o departamento de TI do hospital MedStar agiu rápido e foi capaz de detectar a invasão do malware em seus servidores rapidamente, e assim conseguiram evitar que o ransomware se espalhasse ainda mais em sua rede interna ao desligar alguns de seus equipamentos de rede. Além disso, a equipe de TI conseguiu restaurar com sucesso o backup de seus três principais sistemas de informação clínica.

[Segurança] Autenticação com o seu Apple Watch

Acabei de ver um vídeo de demonstração de uma solução de autenticaçào de segundo fator que utiliza o Apple Watch do usuário como segundo fator de autenticação.

A solução em questão, RSA Via Access, é uma solução de Single Sign-on (SSO) e autenticação forte que pode ser integrada com aplicações web tradicionais ou em nuvem (Software as a service - SaaS) que, entre outras coisas, permite que o usuário aprove seu acesso com o simples clicar de uma opção em seu Apple Watch.


A idéia é utilizar um segundo fator de autenticação, que é a posse física de algo (o seu Apple Watch).

O que me impressiona neste caso é a facilidade para o usuário final: basta ele saber utilizar o seu smart watch e  clicar em uma opção dentre os dois botões disponíveis: aprovar ou negar o acesso. Bem bolado !!!!

abril 04, 2016

[Segurança] Mc Hackudão

Quando a gente pensa que já viu e ouviu tudo, alguém compartilha a música do Mc Hackudao com a banda Kali Linux. São 4 músicas disponíveis no canal dele no You Tube, falando sobre ataques, defacements, vulnerabilidades, etc. Não deixa de ser interessante e até mesmo engraçado.

São quatro vídeos no Youtube:
Veja abaixo um deles, o "HACKER DE FAVELA" e a letra:



Eles cai na rede, nois hackeia memo
Elas cai na rede, nois hackeia memo
Duvidou de nois, não to entendendo
Mexeu com A The Cybers, vai pegar um virus tremendo

Kali linux baile de favela
Nmap, é baile de favela
E o Aircrack é baile de favela
Exploit preparados pra foder com a galera (vai)

Backdor, é baile de favela
Invasão, é baile de favela
Na pagina fake, baile de favela
Exploit ta preparado pra foder com a galera (vai)

Que o Reaver, é baile de favela
A Wireshark, é baile de favela
E na Deep Web? Baile de favela
Exploit preparados pra foder com a galera

Eles cai na rede, nois hackeia memo
Elas cai na rede, nois hackeia memo
Duvidou de nois, não to entendendo
Mexeu com A The Cybers, vai pegar um virus tremendo

Kali linux baile de favela
Nmap, é baile de favela
E o Aircrack é baile de favela
Exploit preparados pra foder com a galera (vai)

Backdor, é baile de favela
Invasão, é baile de favela
Na pagina fake, baile de favela
Exploit ta preparado pra foder com a galera (vai)

Kali linux baile de favela
Nmap, é baile de favela
E o Aircrack é baile de favela
Exploit preparados pra foder com a galera (vai)

Backdor, é baile de favela
Invasão, é baile de favela
Na pagina fake, baile de favela
Exploit ta preparado pra foder com a galera (vai)

Que o Reaver, é baile de favela
A Wireshark, é baile de favela
E na Deep Web? Baile de favela
Exploit preparados pra foder com a galera
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.