abril 27, 2017

[Cyber Cultura] Sobre a Baleia Azul

 Essa história de um jogo chamado "Baleia Azul" causando o suicídio de adolescentes é tão surreal que me parece lenda urbana. Já vi muitas notícias sobre isso serem compartilhadas em redes sociais, mas eu comecei a me preocupar quando recebi algumas mensagens nos meus grupos familiares do Whatsapp como a mensagem abaixo, que é falsa segundo a polícia:


Caso você viva em uma caverna e não saiba que p* é essa de "Baleia Azul" ("Blue Whale", em inglês), este é um suposto jogo de desafios, conduzido através das redes sociais, que aparentemente surgiu na Rússia em 2015 e agora (neste mês) virou febre no Brasil. Os participantes tem que realizar 50 desafios, alguns inofensivos como assistir um filme de terror as 4:20 da madrugada ou subir num guindaste, vários desavios que envolvem se auto-mutilação, se cortando com uma lâmina e, no último nível, o jogador deve cometer o suicídio. Os participantes seriam selecionados por meio de contato com grupos fechados nas redes sociais, como o Facebook, WhatsApp e Instagram. Na sequência, o administrador do grupo, chamado de curador, começa a ditar os desafios e algum mecanismo macabro proibe o jogador de desistir do jogo. Os participantes tem que tirar foto ou filmar a realização do desafio, e compartilhar com o curador via WhatsApp.

Procurando na Internet, encontra-se algumas notícias que citam vítimas desse jogo em diversos cantos do Brasil, como por exemplo, um adolescente de 13 anos que tentou suicídio em Jaú, SP, uma adolescente de 16 anos no Mato Grosso, além de 8 casos em Curitiba. Os relatos são vários, embora alguns sejam imprecisos (como no caso da reportagem da BandNews aonde o prefeito de Curitiba inicialmente disse que haviam 7 vítimas no Estado, depois disse que houve 2). Facilmente encontramos notícias que dizem haver mais de 130 casos de suicídio na Rússia que estão atrelados ao jogo "Blue Whale". Alguns tablóides ingleses dizem que já surgiram alguns casos na Inglaterra. Até mesmo o seriado "13 Reasons Why" do Netflix está sendo acusado de motivar os casos de suicídio entre jovens, pois ele conta a história de uma adolescente que se suicidou e deixou uma série de fitas explicando seus motivos.

Mas também há aqueles que acham que o jogo é um boato, uma lenda que apenas liga o suposto jogo com os casos de suicídio que acontecem diariamente. Este artigo, no Estadão, é interessante por afirmar categoricamente que isso é um boato, opinião também compartilhada pelo Delegado Mariano, de São Paulo, especialista em crimes cibernéticos. Curiosamente, a maioria das notícias sobre o assunto mostram sempre as mesmas fotos, o que para mim mostra que a maioria dessas notícias são repeteco de notícias anteriores, sem necessariamente uma validação de fatos.

Em uma reportagem bem interssante, Júlio Boll do jornal Gazeta do Povo, se fez passar por adolescente para tentar participar do jogo. O que ele encontrou, na verdade, foram jovens se passando como curadores tentando ajudar os candidatos a saírem do jogo.



A teoria mais exdrúchula que eu já vi até o momento é a que diz que os mentores do Baleia Azul são robôs (bots) programados para interagir com os jogadores como se fossem humanos, uma vez que o game se baseia em um menu fixo de 50 desafios, sempre na mesma ordem, sugerindo uma participação não humana. Teoria estranha, mas que convida a uma reflexão interessante: “Caso se confirme a hipótese, teremos na sociedade global uma combinação explosiva de robotização das relações sociais associada a um grande potencial de epidemias psicóticas”.

E, claro, o boato da "Baleia Azul" já deu origem a muita zoeira e vários memes. Até mesmo o Bispo Arnaldo, da Igreja Evangélica Pica das Galáxias, já pregou sobre isso.


Tem um ótimo vídeo do e-Farsas chamado "9 Mentiras e 1 Verdade sobre o desafio da BALEIA AZUL!", que resume as hipóteses de que o jogo é um grande boato.


Eu, particularmente, acredito que essa história era originalmente um boato, mas algumas pessoas resolveram aproveitar a grande divulgação que teve para criar um jogo verdadeiro, na medida que cresceu o interesse e a procura pelo assunto. Ou seja, a tal da "Baleia Azul" surgiu como uma notícia falsa divulgada nas redes sociais e acabou ganhando adeptos verdadeiros, e toda esta polêmica serviu para dar ainda mais força ao jogo.

Pesquisando no Google Trends, verificamos facilmente que os assuntos "Baleia Azul" e "Blue Whale" é popular no Brasil, mas é um fato recente, desde Abril deste ano.



De fato, procurando por "Baleia Azul" nas comunidades no Facebook encontramos dezenas de comunidades relacionadas ao jogo, algumas delas são fechadas, aparentemente promovendo o jogo (todas elas com um número muito baixo de participantes), mas a grande maioria das comunidades com esse tema são contra o jogo, satirizando-o ou foram criadas para apoiar as pessoas que procurem por isso, tentando ajudar quem tem possível propensão ao suicídio. Há, inclusive, uma comunidade de "hackers" que tenta desmascarar os organizadores do jogo - em alguns casos, eles citam suspeitos curadores que, coincidência ou não, tem perfil falso no Facebook que foi criado em Abril deste ano (época em que surgiram as histórias da "Baleia Azul").



Ou seja, há mais comunidades no Facebook contra o jogo do que a favor. É o caso, por exemplo, da Baleia Rosa, uma página criada no Facebook que manda mensagens positivas, com a finalidade de divulgar e combater os efeitos do jogo "Baleia Azul", tentado prevenir o suicídio de jovens.


O mesmo aconteceu quando resolvi procurar pela hashtag "#i_am_whale" nas redes sociais: a maioria dos posts eram sobre críticas ao jogo, algumas pessoas procurando curadores e alguns poucos posts com apenas a hashtag. Isso precisaria de mais trabalho de investigação para saber se os posts são adolescentes em crise ou alguém investigando o caso, mas claramente as mensagens de críticas, zoeiras ou tentativas de ajuda são a maioria.



Como disse o psicólogo Daniel Martins de Barros, "a notícia da baleia azul pode ser exagerada, mas os perigos que ela traduz são tão presentes que todo mundo acreditou". Isso acontece não só pela nossa dependência nas redes sociais, e nosso desconhecimento do seu poder influenciador, mas principalmente porque o suicídio entre jovens é assustadoramente comum e é um grande tabu na nossa sociedade. Como disse muito bem o YouTuber Felipe Neto (que, a propósito, mais grita do que fala), a depressão é uma doença séria, pode levar a pessoa ao suicídio, mas é tratada com grande preconceito.


A depressão e suicídio entre jovens é um caso sério. Segundo um estudo recente do Programa de Depressão na Infância e na Adolescência (Prodia) do Hospital de Clínicas de Porto Alegre com 1.065 estudantes de 14 a 16 anos denescolas estaduais da área central de Porto Alegre, 8,5% dos adolescentes já haviam pensado em se matar. Entre as meninas, o índice chegava a 12,3%.

Como bem lembrou o pessoal do site Hacker Culture, uma pesquisa sobre o uso da internet por crianças e adolescentes no Brasil do Comitê Gestor da Internet no Brasil (CGI), chamada TIC Kids Online, aponta um número crescente de crianças e adolescentes que relatam terem tido acesso à páginas na Internet que ensinam formas de se machucar e de cometer suicídio. Em 2012, 7% dos entrevistados acessaram conteúdos de autolesão, contra 13% em 2015. Enquanto isso, 3% tiveram acesso a conteúdos sobre formas de cometer suicídio em 2012, e em 2015 esse número subiu para 9%.

Quero também destacar o comentário do meu amigo Spooker, sobre o assunto, pois compartilho da mesma opinião, que se este jogo tem atraído os jovens, é porque precisam de mais apoio familiar:
"Com todo respeito, mas se você tem que conversar com seu filho(a) adolescente que ele não pode ser multilar, não pode ser matar ou fazer algo que faça mal a ele mesmo, o problema familiar é maior do que você imagina. Meus pais jamais teriam que falar pra eu não fazer isso e nem se mandassem eu faria. Que mundo doido, eu hein. Dar mais atenção aos filhos e pensar menos no dinheiro, pessoal"

Segundo o advogado criminalista Luiz Augusto Filizzola D’Urso e o advogado e perito em direito digital, José Antônio Milagre, o crime cometido pelos criadores e administradores do suposto jogo é o de induzimento ou instigação ao suicídio, previsto no artigo 122 do Código Penal Brasileiro, podendo ser extensivo a qualquer pessoa que convide ou compartilhe informações para outra pessoa jogar. Este crime se consuma quando o jogador realiza o desafio final de tirar a própria vida. A pena prevista para esse crime é de reclusão de 2 a 6 anos, podendo ser duplicada se a vítima for menor de 18 anos (o que parece ser o caso mais comum de vítimas deste jogo).

Mesmo assim, com uma lei que já cobre estes casos, já surgiu no nosso congresso o "PL da Baleia Azul" (PL 7430/2017), que se propõe a punir quem "induzir ou instigar, por disseminação em meios informáticos, eletrônicos, digitais ou comunicação em massa, a automutilação ou outros perigos de vida e saúde". São os nossos políticos trabalhando para o nosso bem.

Como não custa tomar um pouco de cuidado e dar atenção aos filhos, a reportagem do jornal Gazeta do Povo listou algumas atitudes dos adolescentes que podem ser interpretadas como sinal de que eles estão envolvidos com o jogo Baleia Azul - algumas delas bem óbvias:
  • Assistir filmes de terror e psicodélicos com frequência, a tarde ou de madrugada;
  • Presença de ferimentos e cortes (auto-mutilações) na palma da mão ou nos braços (com dizeres F57, F40 e desenhos de baleia), cortes nos lábios ou furos nas mãos com agulhas;
  • Compartilhar imagens ou desenhos de baleia;
  • Posts em redes sociais com os dizeres “#i_am_whale” (“Eu sou uma Baleia”);
  • Sair de casa em horários estranhos – principalmente de madrugada;
  • Arranjar brigas;
  • Evitar conversar durante muitas horas.

abril 26, 2017

[Carreira] Como não se comportar em uma reunião

Recentemente eu fui em um cliente aonde, nas salas de reunião, eles mantém uma ilustração com dicas de como não se comportar em uma reunião, para ajudar as reuniões de negócio a serem mais produtivas.


As dicas são simples e ótimas, que abordam algumas atitudes que acontecem com muita frequência:

  1. Chegar atrasado;
  2. Conversar durante as reuniões (é muito comum formarem pequenas conversas paralelas, que distraem os participantes, tiram o foco do assunto discutido e, além disso, muitas vezes geram ruído atrapalhando os interessados no assunto);
  3. Falar ao celular ou usar o WhatsApp (tira a atenção da reunião - além disso, se a pessoa esta fazendo isso, então provavelmente ela não deveria estra na reunião);
  4. Não prestar atenção em quem está falando (além de tudo, é uma falta de respeito). Além do celular e Whatsapp (citados acima), o notebook aberto é uma grande fonte de distração. Quem nunca foi em uma reunião aonde um dos participantes ficou o tempo todo respondendo e-mails e não particiou das conversas?
  5. Não se esforçar para entender, só para ser entendido - infelizmente as vezes nos deparamos com pessoas mais interessadas em impor a sua opinião, do que em buscar o concenso;
  6. Trabalhar em outros temas;
  7. Não deixar quem está falando terminar e ficar interrompendo com perguntas - ou com comentários. Muitas vezes, as respostas para as perguntas estão na próxima frase ou próximo slide. Anote suas dúvidas em um papel e pergunte quando for pertinente;
  8. Falar demais, e não dar espaço para os outros se manifestarem;
  9. Não ter pauta nem objetivos claros - este é o pior em qualquer reunião, quando não sabemos o que vai ser discutido. Sem pauta, os participantes não tem oportunidade de se preparar para discutir o assunto proposto, o que atrapalha muito a eficiência da reunião;
  10. Focar no Power Point, e não no diálogo - o PPT deve ser apenas uma ajuda visual para o que vai ser discutido, por isso é importante dar espaço para a discussão de idéias.

[Segurança] Cartão de Crédito Biométrico

A Mastercard anunciou o lançamento de um novo tipo de cartão de crédito com Chip, que utiliza biometria para autenticar o uso do cartão, em vez de usar uma senha numérica (PIN), como estamos acostumados. O novo cartão baseia-se na tecnologia de leitura de impressões digitais aplicada para pagamentos em terminais com Chip, que utilizam a tecnologia EMV.


O cliente, portador de cartão, deve obter o seu cartão com biometria através de sua instituição financeira. No processo de registro, deve ser feita a laitura da impressão digital, que será convertida em um modelo digital criptografado, que ficará armazenado no cartão. Ao comprar e pagar na loja, o cartão biométrico funciona como qualquer outro cartão de chip - com a diferença que o cliente coloca a sua digital no cartão, em vez de digitar uma senha.

Segundo uma reportagem da Hacker News Network, o cartão vai continuar aceitando um PIN, caso a leitura biométrica falhe. Além disso, os novos cartões biométricos funcionam com os leitores atuais de cartão com chip (EMV).

O pessoal da Engadget fez um vídeo explicando como esse novo cartão funciona.


A Mastercard já está testando os novos cartões de chip com biometria na África do Sul em parceria com a rede de supermercados Pick n Pay e o banco Absa Bank, e pretende lançar os novos cartões para o resto do mundo até o final deste ano.

abril 20, 2017

[Segurança] Spam de serviços "hacker"

Eu recebi uma tentativa de postar alguns comentários em meu blog que achei interessante compartilhar. O autor, anônimo, tentou publicar uma propaganda de serviços "hacker" como comentário em alguns posts, e achei curioso ver o conteúdo e a forma que foi escrito (em terceira pessoa, como se tivesse indicando o serviço):
"Tenha cuidado amigos, a maioria dos hackers aqui são falsos e impostores. Sinceramente falando, eu sempre pensei que eu nunca poderia encontrar um hacker legítimo até que um amigo me apresentou a [omitido] que mudou as minhas notas escolares, hack em minha namorada bunda raiva Facebook, sms, e-mail e outra conta de mídia social. Ele também me ajudou com Western Union transferência e eu rastreado e confirmado o dinheiro antes de pagar suas acusações. Ele é um profissional que se envolve em todos os tipos de trabalhos de hackers, tais como; + Conta bancária hack e transferência de fundos, Flipping dinheiro. + Cortar e controlar qualquer robô + Banco de dados hack + Remover registros criminais, facebook hack + Email hack + WhatsApp + Site hack + Acompanhamento de chamadas + Palestras on-line de hacking + Clone do telefone + Alterações de registros on-line + Recuperação de conta hackeada de redes sociais etc. Entre em contato com ele hoje em [omitido]"

Os erros no texto acima (ex: "(...)Ele também me ajudou com Western Union transferência e eu rastreado e confirmado o dinheiro antes de pagar suas acusações.") mostram que este texto foi traduzido automaticamente para o Português. Ou seja, possivelmente o autor do anúncio é gringo. Foi engraçado também ver que o e-mail do "hacker legítimo" usa o nome do Anonymous: anonymoushacktivist[omitido]@[omitido].

abril 18, 2017

[Segurança] O maior ataque a banco de todos os tempos da última semana

Uma reportagem recente na revista Wired chamou atenção do mercado de segurança e do mercado bancário brasileiro: segundo eles, um grande banco nacional teria sido atacado por ciber criminosos, que tomaram controle de diversas operações do banco por algumas horas.


Segundo a reportagem da Wired e o blog da Kaspersky, um "Banco-Que-Não-Deve-Ser-Nomeado" sofreu um ataque relâmpago e bem coordenado as 13h do dia 22 de Outubro de 2016, sábado, que conseguiu alterar todos os registros DNS do banco e, assim, sequestrar os acessos aos serviços de Internet e Mobile banking durante cinco horas. Depois de aparentemente obter acesso ao cadastro DNS no registro.br (possivelmente através de phishing ou engenharia social nos funcionários do banco, segundo o NIC.br), os ciber criminosos redirecionaram as URLs dos sites existentes para sites de phishing hospedados na nuvem da Google.

Para enganar os clientes, os atacantes geraram um certificado digital SSL aparentemente legítimo em nome do banco através do serviço gratuito Let’s Encrypt. Assim, ao cair no site de phishing, as vítimas pensavam que a conexão era válida e segura. Além disso, o site falso distribuía um malware com instalação automática, disfarçado como se fosse o plug-in de segurança da Trusteer. O malware foi projetado para roubar informações de login de bancos, listas de contatos e credenciais de e-mail e FTP.





Em vários momentos, a notícia me pareceu ter um tom bem sensacionalista:
  • "Estima-se que o roubo tenha afetado centenas de milhares ou até milhões de clientes em mais de 300 cidades ao redor do mundo"; (nota: normalmente os bancos tem poucos acessos ao Internet Baning nos finais de semana, por isto esses números me parecem exagerados)
  • "Kaspersky researchers believe the hackers may have even simultaneously redirected all transactions at ATMs or point-of-sale systems to their own servers, collecting the credit card details of anyone who used their card that Saturday afternoon";
  • "Absolutely all of the bank’s online operations were under the attackers’ control for five to six hours";
  • "the DNS attack meant that “you become the bank. Everything belongs to you now";
  • "Ultimately, the hijack was so complete that the bank wasn’t even able to send email."
Embora a reportagem da Wired não tenha citado o nome do banco, uma rápida busca no Google permite descobrir que no ano passado a Kaspersky reportou um ataque no servidor DNS do banco Banrisul (Banco do Estado do Rio Grande do Sul).


Sim, a história é "velha" e ressurgiu agora por causa de uma apresentação que alguns analistas da Kaspersky fizeram no Security Analyst Summit (SAS), um evento anual da empresa, e que virou matéria na Wired. Me parece que o repórter da Wired devia estar na platéia e aproveitou o tom sensacionalista da história para fazer uma reportagem igualmente sensacionalista, com ares catastróficos.

Em um primeiro momento, me pareceu que tinham algumas coisas mal contadas nessa história. O que mais me chamou a atenção foram os trechos da reportagem da Wired aonde diz que o banco não conseguia enviar e-mails e que também foram redirecionados os acessos dos terminais de ponto de venda (PoS) e caixas eletrônicos (ATM): "(...)but also from redirecting ATM and point-of-sale transactions to infrastructure they controlled".

Eu compartilhei essa minha suspeita acima com vários colegas de trabalho, alguns pessoalmente e outros via Whatsapp, inclusive colegas lá do Sul e que me esclareceram algumas dúvidas que eu tinha sobre a atuação do Banrisul na região (por exemplo, ao contrário de alguns bancos de pequeno porte, o Banrisul é emissor de cartão de crédito e opera uma rede de terminais de ponto de venda própria, em vez de utilizar de terceitos - como Cielo e Redecard, logo eles tem servidores de cartões operando em sua infra-estrutura).

A primeira coisa que eu questionei foi que, ao contrário do acesso a um site web, serviços de e-mail e as infraestruturas de ATMs e PoS não deveriam ser totalmente afetados por problemas no DNS público. São serviços internos e que deveriam ser mais controlados, pensei. Vamos, então, discutir cada um desses pontos, por partes:
  • Serviço de e-mail - sim, é possível "atrapalhar" a comunicação sem comprometer o servidor de correio: com o registro de DNS comprometido, é possível facilmente redirecionar o recebimento de e-mails para um servidor de terceiros (alterando o registro "MX" no cadastro feito no novo servidor que passa a responder pelo domínio). Mas, a grosso modo, o envio de e-mails a partir da rede do Banrisul poderia continuar - ao contrário do que disse a nota da Kaspersky. Poderia, sim, mas como me lembrou o professor Nelson Brito em uma conversa que tivemos sobre esse assunto, atualmente muitos servidores de e-mail verificam o DNS reverso do rementente antes de encaminhar uma mensagem - uma prática de segurança muito comum para evitar SPAM. Assim, mesmo que os servidores de correio eletrônico do banco não tenham sido atacados nem comprometidos, é possível evitar que os servidores de e-mail do banco enviem ou recebam mensagens se o seu registro DNS for adulterado;
  • Comprometimento dos caixas eletrônicos (ATMs) - isso jamais deveria acontecer e me parece muito improvável ser afetado por problema no DNS: Os ATMs são um serviço crítico que deveriam utilizar apenas uma rede interna do banco e jamais deveriam acessar a Internet - e muito menos utilizar um DNS público. Isso já deve valer para os caixas eletrônicos dentro de agências (que devem se conectar na rede da agência, que se comunica via rede privada utilizando um DNS interno), mas mesmo os ATMs em shopping centers e lugares públicos deveriam acessar a rede do banco via uma rede privada ou, no mínimo, rede pública com VPN. Mesmo no pior caso em que os caixas eletrônicos se conectem ao banco via Internet, acredito que há grande dificuldade para capturar dados da comunicação, pois o ciber criminoso deveria ter um sistema para emular a autenticação de acesso e a troca de mensagens, algo que não é impossível de ser feito, mas muito trabalhoso. Além do mais, se a comunicação do ATM com a infra-etrutura central do baco for criptografada, não haveria como o atacante obter dados sensíveis, mesmo que redirecionasse o tráfego para um gateway sob controle dele e snifasse o tráfego;
  • Comprometimento de terminais de ponto de venda (PoS) - me parece muito improvável ser afetado por problema no DNS: Antigamente os terminais de PoS só se comunicavam com as redes dos bancos ou das empresas especializadas através de conexões discadas para as próprias empresas, via modem. Mas hoje em dia muitos dos terminais de PoS se comunicam com a central de processamento de cartões do banco via rede 3G ou 4G, além da possibilidade do lojista utilizar um tablet ou smartphone com um leitor de cartões e app próprio para funcionar como se fosse um "terminal de PoS". Nestes casos a comunicação é feita pela Internet e, portanto, é vulnerável a problemas no DNS do banco. Os terminais de PoS até poderiam ser afetados por um envenenamento de DNS, que faria com que eles tentassem se comunicar com um servidor errado. Mas, para isso acontecer e expor dados dos clientes, os ciber criminosos teriam que montar um servidor falso capaz de emular a comunicação com o PoS, pois além de falar um protocolo próprio, eu espero que o PoS tenha controles para proteger e autenticar a comunicação com o servidor. Ou seja, esse tipo de comprometimento me parece muito trabalhoso (embora não impossível) para ser feito. Mas, conversando com o Thiago Bordini durante o YSTS (após a primeira publicação desse post), ele me contou que já viu esquemas complexos de fraude de cartão aonde os criminosos emulavam a comunicação com o servidor do banco. Os ataques mais comuns e mais conhecidos contra PoS normalmente são baseados em técnicas de memory scrapping, aonde se busca um conjunto de números de cartões dentro da memória do próprio PoS ou do computador aonde ele está conectado.
Um ponto importante para tirar a limpo esta história é que o Banrisul tem rede própria de caixas eletrônicos e também de PoS (chamada "Vero"), logo cabe ao banco tomar as medidas de segurança e boas práticas para evitar incidentes nestes serviços. Aqui em São Paulo, ao contrário, somente os grandes bancos (Itau, Bradesco, BB, Caixa) tem rede própria de ATMs, enquanto a grande maioria dos bancos médios e pequenos utilizam a rede do Banco 24h. E no caso das redes de processamento de transações de cartões com PoS, estas são de empresas dedicadas a prestar este serviço, como a Cielo, Redecard e recentemente algumas menores (como o PagSeguro).


Assim, embora a descrição do comprometimento aos servidores web (com certificado digital e trojan bancário) sejam bem convincentes, os relatórios falham em detalhar a suposta acusação de comprometimento dos servidores de e-mail, caixas eletrônicos e terminais de cartão (PoS). Aparentemente o Banrisul não gostou do tom da reportagem e está ameaçando processar a Kaspersky.

De fato, é comum observar que alguns bancos brasileiros não gostam de admitir quando sofrem incidentes de segurança e crucificam se alguém externo expõe isso. Eu mesmo tenho dúvidas se deveríamos deixar os clientes alienados e expostos. Por um lado, devemos conscientizar os usuários sobre os riscos e cuidados que devem tomar no dia-a-dia. Mas, por outro lado, o usuário médio de Internet tem pouco conhecimento técnico e qualquer notícia mal explicada ou mal interpretada pode criar pânico desnecessário (ainda mais se tiver um tom sensacionalista).

Post atualizado em 21/10/17.

abril 17, 2017

[Segurança] Lavajato e a Criptografia usada a favor da corrupção

Algumas notícias recentes relacionadas a Operação Lava-Jato e Operação Eficiência mostraram como os envolvidos no esquema de propina no Rio de Janeiro usavam a seu favor a tecnologia e alguns “macetes” para esconder sua comunicação, incluindo o uso de criptografia e steganografia.


O esquema envolvia o ex-governador do Rio de Janeiro, Sérgio Cabral, e seus doleiros, Marcelo Chebar e Vinícius Claret (“Juca Bala”):
  • Os doleiros se comunicavam pelo extinto MSN, mas toda a comunicação era criptografada com o uso do Pidgin e de um plugin de criptografia que usa o protocolo OTR (Off-the-Record Messaging);
  • Para troca de mensagens por e-mail, na verdade eles compartilhavam uma conta no Gmail (cazaalta@gmail.com) e criavam mensagens de rascunho que nunca eram enviadas e, portanto, não poderiam ser interceptadas. As mensagens e documentos (planilhas, boletos, etc) eram mantidos na pasta de rascunhos da conta do GMail;
  • Os arquivos que baixavam eram armazenados em um pendrive com steganografia, com o software Steganos Safe. Os documentos, como planilhas de Excel que eram usadas para o controle de pagamentos e recebimentos, eram guardados em uma partição escondida em pendrives (com senha) e eram fisicamnte destruídos após o uso.
Segundo o inquérito do Ministério Público Federal, "A organização criminosa operava de forma bastante sofisticada, com a utilização de programas criptografados e senhas para entrega do dinheiro. Ligações telefônicas eram evitadas ao máximo, preferindo-se sempre o contato pessoal". E o documento do MPF descreve também o modus-operandi:
“de posse dos reais enviados por SÉRGIO CABRAL através de CARLOS MIRANDA, entrava em contato com JUCA pelo MSN, por meio do programa PIDGIN, para fechar a taxa de câmbio; QUE foi JUCA que sugeriu a utilização do citado programa, em razão do mesmo ser criptografado; QUE JUCA também utilizava os nomes/apelidos ANA HOLTZ e PETER; QUE uma vez definidos os valores, uma equipe composta normalmente por um liquidante e dois seguranças (funcionários do JUCA) se dirigiam ao escritório dos Colaboradores (...) para retirada dos valores e, em contrapartida, ter suas contas creditadas no exterior; QUE os Colaboradores e JUCA sempre combinavam duas senhas que seriam utilizadas no momento da liquidação; Que uma delas definia e identificava o nome do portador e a outra autorizava a entrega (exemplo: "Fred" vai receber os valores e a senha para entrega seria outra, como "melancia")".

abril 14, 2017

abril 13, 2017

[Cyber Cultura] Prepare-se para a Cryptorave 2017

O pessoal da Cryptorave conseguiu atingir a sua meta de financiamento coletivo! Faltando pouco mais de um dia para o prazo !


A Cryptorave é um evento gratuito, feito por voluntários que discute criptografia e privacidade com um foco maior em aspectos políticos e de liberdade online, atendendo inclusive o público leigo e curioso sobre o assunto. A última edição reuniu mais de 3000 pessoas. Como eles mesmos dizem, "Inspirada no movimento internacional das CryptoParties, a CryptoRave é um esforço coletivo para difundir os conceitos fundamentais de privacidade e liberdade na Internet e o uso de ferramentas de segurança digital.".

Esta edição vai acontecer nos dias 5 e 6 de Maio, em um novo local: a Casa do Povo, bem próximo do metro Luz, uma antiga escola no centro de São Paulo construída por imigrantes judeus logo após a Segunda Guerra Mundial.

O evento terá 24 horas initerruptas de atividades, distribuídas em 6 ambientes com trilhas temáticas, incluindo Política, Hacking, Gênero e Tecnologia, além de Install Fest e festa durante a madrugada. Estão previstos os seguintes espaços, com diferentes temáticas e funções:
  • Aaron Swartz: debates e discussões sobre neutralidade da rede, Marco Civil e outros temas relacionados à regulamentação da Internet;
  • Chelsea Manning: apresentações e palestras sobre os últimos avanços, vulnerabilidades;
  • Edward Snowden: desmistificação e o compartilhamento de técnicas de hacking e exploração dos limites da Internet;
  • Alan Turing: oficinas práticas de instalação e uso de ferramentas de comunicação segura, privacidade e proteção de dados;
  • Ada Lovelace: espaço protagonizado por mulheres cis e trans;
  • Install Fest: instalação de sistemas operacionais livres baseados em GNU/Linux (Debian).

Em tempo:

abril 10, 2017

[Cyber Cultura] Smart Cities

Há algum tempo atrás eu li uma reportagem de 2015 sobre as Smart Cities mais vulneráveis a ciber ataques direcionados aos dispositivos IoT.


Várias cidades ao redor do mundo estão investindo em projetos para se tornarem cada vez mais inteligentes e automatizadas, com sistemas de controle e monitoração conectados à Internet. Isso em uma tentativa de oferecer conveniência e facilidades para as atividades diárias de seus habitantes. Tais recursos incluem:
  • Sistemas inteligentes de controle de tráfego e de transporte público, incluindo (mas não limitado a) semáforos inteligentes
  • Iluminação pública inteligente, capaz de se adaptar as condições climáticas e a iluminação do dia;
  • Sistemas de controle de fornecimento de água e luz;
  • Sistemas de controle de estacionamento;
  • Sistemas de segurança com câmeras de vigilância, incluindo sistemas de identificação de veículos (para multas, controles de acesso em áreas de circulação restrita, etc).
A reportagem identifica as 7 principais cidades que estão desenvolvendo projetos de cidades inteligentes em todo o mundo - lista que inclui uma cidade brasileira:
  • Santander, Espanha
  • Nova York, EUA
  • Águas de São Pedro, Brasil
  • Songdo, Coréia do Sul
  • Tóquio, Japão
  • Hong Kong
  • Arlington, Virginia, EUA
Também em 2015 a revista Forbes fez a sua lista com as 5 principais smart cities:
  • Barcelona, Espanha
  • Nova York, EUA
  • Londres, UK
  • Nice, França
  • Singapura
Um tal de IoT Institute também fez a sua lista, que destaca Singapura, Barcelona, Londres, São Francisco e Oslo.

Ou seja, 3 listas e nenhuma cidade em comum nas três. Nova York, Singapura, Barcelona e Londres estão em duas delas. Isso mostra que o conceito de Smart Cities ainda precisa amadurecer um pouco, principalmente os projetos sobre isso.

Cada nova tecnologia e inovação costuma trazer novos desafios e problemas. Infelizmente é bem provável que estas cidades estejam implementando novas tecnologias de IoT e de connectividade sem as devidas preocupações e testes de segurança. Como atuar em um caso de um ataque cibernético direcionado a estas cidades inteligentes que cause um fornecimento inadequado de eletricidade ou água? Ninguém duvida que vários governos estão de olho nisso.

abril 07, 2017

[Segurança] Posts que nunca foram escritos

Periodicamente tenho feito uma limpada no meu backlog e acabando com os rascunhos de posts que não escrevi por falta de tempo ou por ter perdido o timming. MAs mantenho aqui para referência.

Artigos sobre as revelações do Wikileaks sobre a capacidade de espionagem da CIA
Artigos legais sobre o ciber crime brasileiro:
Artigos interessantes sobre o ciber crime russo
Pesquisa interessante sobre os hábitos de tirar selfies: http://selfiecity.net


A Wikipedia tem uma excelente Linha do Tempo dos Vírus e Vermes de Computador.

Como se planejar para responder a um ciber ataque: https://gcn.com/articles/2016/06/20/nist-recovery.aspx

Os 8 maiores ciber ataques de 2016


[Segurança] Milhares de pessoas caem em golpe com promoção falsa da Kopenhagen

Milhares de pessoas estão caindo em um novo golpe online, que ganhou destaque hoje, aonde criminosos estão capturando dados pessoais através de uma suposta campanha de Páscoa da Kopenhagen. O golpe se espalha através de mensagens no WhatsApp que oferecem ovos de Páscoa gratuitos para quem responder uma pesquisa.


A vítima vai em uma página com três perguntas simples sobre a Kopenhagen. No final, é incentivada a compartilhar o link do cupom com dez amigos, para ganhar o prêmio.



Segundo algumas reportagens, a empresa PSafe divulgou o alerta, e segundo ela, o golpe repete as mesmas artimanhas adotadas em uma campanha maliciosa similar em nome das lojas O Boticário. Ao final, a vítima é direcionada para uma página maliciosa que oferece assinaturas de serviços pagos de telefonia.

Há vários links curtos, criados no bit.ly, que apontam para a página da falsa promoção. Um deles, mostra neste exato momento que mais de 500 mil pessoas clicaram nele - e, muito provavelmente, caíram no golpe.





A Sucuri classifica o site da pesquisa como suspeito.


Em uma postagem em sua página no Facebook, a Kopenhagen orientou os consumidores a deletar a mensagem e não clicar no link.



Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.