junho 30, 2017

[Cyber Cultura] E-mail ou whatsapp?

Eu tenho a impressão de que os aplicativos de comunicação instantânea (principalmente o Whatsapp e Telelegram) estão rapidamente acabando com o uso do correio eletrônico. Mesmo profissionalmente, eu vejo que os grupos de discussão por e-mail dos quais eu participava estão a cada dia com menos troca de mensagens, enquanto já tenho quase uma dezena de grupos que participo no WhatsApp e Telegram que ficam pipocando mensagens o tempo todo. Alguns grupos de e-mail de uso profissional que participo me parecem quase extintos, com raras mensagens sendo trocadas.

Em uma reportagem do UOL há poucos meses atrás, entretanto, os especialistas defenderam que as duas tecnologias de comunicação vão coexistir por muito tempo. E, na verdade, eles tem um ponto interessante: "As mensagens instantâneas e as redes sociais ganham na agilidade, mas são muito fracas na formalidade de conteúdo e registro".

Ou seja, provavelmente as mensagens instantâneas irão se consolidar como meio de comunicação rápida, enquanto os e-mails serão utilizados provavelmente para comunicação formal.

A reportagem também traz algumas estatísticas:

  • Neste ano, calcula-se que 3,7 bilhões de usuários serão responsáveis por 269 bilhões de e-mails enviados e recebidos por dia no mundo, chegando a 319,6 bilhões de e-mails em 2021;
  • O Whatsapp possui 1,2 bilhão de usuários ativos que enviam em média 50 bilhões de mensagens por dia, com pico de 63 bilhões de mensagens trocadas to dia mais movimentado do ano, que é justamente na virada de ano;
  • Já o Facebook Messenger é usado ativamente por mais de 1,2 bilhão de pessoas.

junho 29, 2017

[Segurança] Estatísticas sobre o WannaCry

Passado mais de um mês da infestação global pelo malware Wannacry, já podemos coletar algumas estatísticas sobre a extensão do ataque.

Na verdade, eu não encontrei muitas estatísticas confiáveis. Quase nenhuma, na verdade. Uma reportagem no site The Hacker News, publicada este mês, indica que o Wannacry infectou mais de 300 mil computadores em mais de 150 países em apenas 72 horas.

O mapa de rastreamento do Wannacry, criado pela MalwareTech, por sua vez, indica que o WannaCry chegou a atingir...

570 mil hosts infectados


Tudo isso, tanto trabalho e tanto barulho, para um lucro relativamente pequeno. Segundo estatística do bot @actual_ransom, que monitora as carteiras bitcoins associados ao Wannacry, até 24 de Junho, mais de um mês depois do início do ataque, as vítimas pagaram aos ciber criminosos um total de...

51,9 bitcoins


Esse valor, convertido em dólares, representa aproximadamente...

US$ 142 mil



junho 27, 2017

[Segurança] Petya é responsável pelo novo ataque global de Ransomware

Aproximadamente um mês e meio depois da grande infestação mundial causada pelo Ransomware WannaCry, estamos novamente enfrentando um novo caso de ransomware se espalhando rapidamente pelo mundo.

Há relatos de que esse novo Ransomware, chamado Petya (também chamado de "PetrWrap", ou "NotPetya", "nPetya" e, mais raramente, "SortaPetya", "ExPetr", "GoldenEye" ou "Nyetya"), afetou fortemente empresas na Europa, começando pela Ucrânia, chegando até os EUA e já atingiu inclusive empresas brasileiras. Um caso curioso foi do sistema de monitoramento de radiação em Chernobyl, que foi desligado, forçando os funcionários a usar contadores portáteis para medir os níveis de radiação na zona de exclusão da antiga usina nuclear.

O governo da Ucrânia, por sua vez, já deu sinais de que acredita que o governo Russo está por trás desse malware.

No Brasil, a vítima mais conhecida do Petya foi o Hospital do Câncer de Barretos. Segundo o diretor clínico do hospital, Paulo de Tarso, todos os mil computadores foram infectados às 9h da manhã. Com isso, o atendimento de novos pacientes teve de ser feito manualmente e 350 pacientes em tratamento radioterápicos não puderam realizar suas sessões de radioterapia.

A Kaspersky relatou mais de 2.000 computadores infectados e a Microsoft, por sua vez, contabilizou 12.500 máquinas em 65 países - um número bem baixo, se comparado com o WannaCry.


O ataque que surgiu hoje foi causado por uma nova variante do Petya, um malware existente desde Abril de 2016 e que chegou a ser comercializado como "Software as a Service". O fato de ser uma variante tem causado um pouco de confusão, pois alguns relatórios e notícias disponíveis online com análise do ransomware se confundem ao tratar as características do ataque, e misturam informações das duas versões.

Assim como o WannaCry, o Petya também explora o exploit EternalBlue da NSA e a vulnerabilidade no SMBv1 para se espalhar rapidamente. Mas, na verdade, esta á só uma das formas de propagação que o malware utiliza (veja mais abaixo).

Entretanto, diferente do WannaCry que apenas encripta os arquivos da vítima, o Petya sequestra todo o computador: ele criptografa as tabelas do sistema de arquivos ("master file table", ou MFT), os arquivos em si, e altera o Master Boot Record (MBR) do computador, para garantir que o malware seja iniciado antes do sistema operacional. Esse comprometimento do MBR torna o computador totalmente fora de uso.

Devido as características destrutivas essa nova versão do Petya, associado ao fato de que a Ucrânia foi o país mais atingido, há vários pesquisadores de segurança que acreditam que este ataque foi, na verdade, um ataque destrutivo direcionado a Ucrânia, um "wiper" em vez de um "ransomware".



Então, vamos rapidamente identificar quais são as principais características desse malware, para que as empresas possam tomar alguma ação para evitar ou identificar a infestação.

Como o Petya funciona

Segundo os relatótios da Trend e da Kaspersky, entre outros, o Petya funciona da seguinte forma:
  • Inicialmente o ransomware entra no sistema através de alguma das formas abaixo:
    • usando o exploit EternalBlue, que explora aquela vulnerabilidade já conhecida no Server Message Block (SMB) v1;
    • o exploit EternalRomance, direcionado a equipamentos Windows do XP ao Windows 2008 (atualizado com o MS17-010);
    • ele extrai credenciais de usuários do processo lsass.exe na máquina invadida e utiliza a ferramenta PsExec ou WMIC (Windows Management Instrumentation Commandline) para acessar outros computadores Windows;
    • atacando o software Ucraniano MeDoc;
  • Ele baixa a ferramenta PsExec, um utilitário da Microsoft, que usa para executar processos remotamente, e assim se propagar lateralmente em outras máquinas na rede local;
  • Após infectar o sistema, o Petya usa o processo rundll32.exe para executar;
  • Imediatamente a máquina infectada começa a buscar a rede local por outras máquinas, a serem infectadas, buscando hosts na porta TCP 445;
    • Ele consulta o servidor DHCP para identificar qual é a rede atual e, em seguida, tenta acessar os endereços IP da rede local usando SMB e RPC;
    • Diferente do Wannacry; o Petya não tenta se propagar pela Internet;
  • Ele adiciona uma tarefa agendada, para reiniciar o sistema após uma hora;
  • Para gerar a chave de criptografia e o id único do usuário (que ele usa para identificar os pagamentos e recuperar os arquivos), o Petya usa o algoritmo Elliptic Curve Diffie-Hellman (ECDH);
  • O Master Boot Record é modificado para que o sistema operacional não reinicie e seja exibida a nota de resgate;
  • O computador é reiniciado e uma notificação falsa do CHKDSK é exibida, enquanto a criptografia dos arquivos é realizada;
  • Após o reboot do equipamento, aparece a mensagem de resgate do Ransomware e o computador fica inacessível.

A Trend e a Microsoft criaram uns diagramas para ilustrar o processo de infecção:




Após infectar a máquina, ele também exige o pagamento de 300 dólares, em bitcoins, para a vítima recuperar seus dados.

Já criaram um site para acompanhar o valor que já foi pago os autores do Petya, para conseguir resgatar os arquivos encriptados: até agora, os ciber criminosos já arrecadaram um pouco mais de 3 bitcoins (US$ 7.400).

Mas os usuários infectados não devem pagar o resgate, pois os ciber criminosos responsáveis pelo ransomware não podem mais receber e-mails, já que o provedor de e-mail suspendeu o endereço que está divulgado na mensagem de resgate do Petya (wowsmith123456@posteo.net). Assim, as vítimas não tem como avisar os criminosos que pagaram e, assim, também não podem obter as chaves de descriptografia.

Indicadores de comprometimento (IOCs)
  • Hashes SHA256 de samples associados a esse ransomware:
    • 27cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745
    • 64b0b58a2c030c77fdb2b537b2fcc4af432bc55ffb36599a31d418c7c69e94b1
  • Sample MD5 hash: 17c25c8a7c141195ee887de905f33d7b
  • E-mail: wowsmith123456@posteo.net
  • IPs:
    • 84.200.16.242
    • 95.141.115.108
    • 111.90.139.247
    • 185.165.29.78
  • Domínios:
    • coffeinoffice.xyz
    • french-cooking.com
    • sundanders.online
  • Bitcoin wallet: 1Mz7153HMuxXTuR2R1t78mGSdzaAtNbBWX
  • A Trend Micro já tem detecção para o ransomware, como RANSOM_PETYA.SMA
  • A Kaspersky detecta como Trojan-Ransom.Win32.PetrWrap e PDM:Trojan.Win32.Generic.
Nota: O e-mail informado pelo criminoso para receber notícia do pagamento de resgate foi cancelado pelo provedor alemão aonde ele está cadastrado.

Como Mitigar

Seguem algumas recomendações:
  • Aplicar o patch de segurança da Microsoft MS17-010
  • Desabilitar tráfego na porta TCP 445
  • Restringir acesso de contas dentro do grupo Administrator
  • Desabilite o WMIC (Windows Management Instrumentation Command-line)
  • Há quem diga que o Petya também tem um "kill switch": basta criar o arquivo "C:\Windows\perfc".
Como o Petya criptografa o computador da vítima de reiniciá-lo, se o sistema estiver infectado com o ransomware e ele tentar reiniciar, recomenda-se desligá-lo rapidamente e não ligá-lo novamente. Talvez seja possível recuperar o sistema operacional ou os dados com o uso de um disco de boot.

Ainda não foi descoberta uma forma para recuperar os dados criptografados sem que seja feito o pagamento do resgate. Existe como recuperar os arquivos da versão original do Petya, mas a versão atual utiliza novas técnicas de criptografia.

No início de Julho os autores do ransomware Petya original (de 2016) liberaram a chave mestre de descriptografia, uma semana depois dos autores do "novo Petya" pedirem 100 bitcoins para liberar a chave mestre.

Para saber mais:

Nota: Vou manter este post atualizado assim que descobrir novidades. Última atualização: 10/07.

junho 26, 2017

[Cidadania] O Mapa da Homofobia em São Paulo

O pessoal do G1 fez uma reportagem muito bem completa sobre os crimes de homofobia em São Paulo, com estatísticas, histórias e diversos depoimentos em vídeos. Com dados da Delegacia de Crimes Raciais e Delitos de Intolerância (Decradi), a reportagem "O mapa da homofobia em SP" criou um mapeamento de todos os crimes motivados por homofobia registrados na delegacia e plotou no mapa da cidade.



Em dez anos de existência da delegacia especializada, foram contabilizados 465 vítimas (uma a cada semana, em média) e 393 boletins de ocorrência referentes a crimes motivados por homofobia em São Paulo. No mapa é possível perceber que a maioria casos aconteceram na região central de São Paulo, perto das ruas Augusta e Consolação, na República e no Largo do Arouche

Veja alguns outros dados obtidos pelo G1 junto a Decradi:


Entre as vítimas, há desde um adolescente de 17 anos até um homem de 77 anos, em casos de intolerância a comunidade LGBT, aonde o mais comum são agressões gratuitas, de xingamentos e provocações sem sentido em locais públicos, de humilhações dentro de casa e no meio da rua. Veja, por exemplo, alguns casos que ganharam destaque na mídia:
  • 2006; o adestrador de cães Edson Neris da Silva foi assassinado por um grupo de skinheads na Praça da República;
  • 2009: atentado a bomba na Parada Gay que deixou mais de dez feridos;
  • 2010: quatro adolescentes e um adulto agrediram com lâmpadas fluorescentes um rapaz, que estava com dois amigos homossexuais, na Avenida Paulista;
  • 2011; o ativista do movimento LGBTT e militante político Guilherme Rodrigues foi agredido por quatro rapazes (dois deles de um grupo skinhead) em um posto de combustível na esquina da Augusta com a Rua Peixoto Gomide;
  • 2012: o universitário homossexual André Baliera foi agredido em Pinheiros
  • 2014: o corpo de Kaique Augusto dos Santos, de 17 anos, foi encontrado sob o Viaduto Nove de Julho, no Centro. Ele estava sem todos os dentes e a família acredita que ele foi vítima de homofobia.
Uma das dificuldades é que  homofobia ainda não é crime no Brasil. Ou seja, as denúncias são enquadradas de acordo com a tipificação do crime correlato, e assim acabam tratados como injúria, ameaça, lesão corporal, constrangimento ilegal, entre outros.

Dentre os vários locais existentes para denúncias e apoio jurídico, centros de acolhida e atendimento, vale destacar o contato da delegacia especializada:
Delegacia de Crimes Raciais e Delitos de Intolerância (Decradi)
Rua Brigadeiro Tobias, 527, 3º andar - Centro
Telefone: 3311-3555
e-mail: decradi@policiacivil.sp.gov.br

junho 23, 2017

[Segurança] Como criar a senha perfeita

O pessoal do blog Minuto da Segurança compartilhou um infográfico bem legal com dicas de como criar senhas perfeitas.


Esse infográfico foi criado em 2014 pelo portal WhoIsHostingThis. No mesmo ano eles também criaram outro infográfico, com o título "Is The Password Dead?", mostrando como simples senhas são inseguras e podem ser descobertas facilmente.

Vale muito a pena dar uma olhada nas dezenas de infográficos bem legais que eles mantém no Blog deles. Dá para perder algumas horas lá :)

junho 22, 2017

[Segurança] Verizon Data Breach Investigations Report

Há vários anos a empresa americana Verizon lança regularmente um relatório chamado "Verizon Data Breach Investigations Report", que é um excelente material com estatísticas de mercado sobre como ciber ataques afetam e são tratados pelas empresas, baseados em dados reais.

O relatório é tão popular no mercado de segurança que é comum todas as empresas (mesmo as concorrentes deles) utilizarem suas estatísticas. Atualmente em sua décima edição, as suas 76 páginas são cheias de informação e dados interessantes, tais como:
  • 81% das violações exploraram senhas roubadas e/ou fracas;
  • 43% dos incidentes foram ataques sociais;
  • 51% das violações incluíam malware;
  • 66% dos malwares foram instalados via anexos maliciosos de e-mail;
  • 73% das violações eram financeiramente motivadas;
  • 21% das violações estavam relacionadas à espionagem;
  • 27% das violações foram descobertas por terceiros.


Ao final, o relatório passa algumas recomendações obvias:
  • Seja vigilante: Arquivos de log e sistemas de gerenciamento de mudanças podem dar alerta antecipadamente de uma violação;
  • Faça as pessoas sua primeira linha de defesa: Treine o pessoal para detectar os sinais de alerta;
  • Apenas mantenha os dados quando for necessário e limite os acessos somente aos funcionários que precisam fazer atividades específicas;
  • Atualize seus sistemas prontamente;
  • Criptografar dados sensíveis Faça com que seus dados sejam inúteis se forem roubados;
  • Use autenticação de dois fatores, pois isso pode limitar o dano que pode ser feito com perda de credenciais roubadas;
  • Não se esqueça da segurança física.
O relatório está disponível online em sua versão completa ou seu sumário executivo, uma versão mais curta do documento.

junho 12, 2017

[Segurança] Internet das Ameaças Bancárias

A crescente migração dos usuários Internet para os smartphones, a adoção de meios de pagamentos móveis e a nova onda de dispositivos conectados (IoT) está fomentando o surgimento de novas aplicações financeiras que prometem estimular o crescimento do uso de IoT no dia-a-dia pelos consumidores de serviços bancários. Esse movimento está criando uma nova buzzword: a “FIn-ternet of Things”.

A Internet das Coisas está começando a ser adotada em várias frentes distintas pelo setor financeiro, por bancos e principalmente pelas Fintechs, novas startups de tecnologia e serviços financeiros. Esse "boom" ocorre pois os dispositivos IoT aumentam a eficiência e abrangência do processo de coleta, tratamento e monitoramento de dados financeiros e comportamentais dos clientes, e traz novas possibilidades de interação.


O exemplo mais simples nesse mercado é o uso de smartwatches para visualizar seus dadods bancários. De fato, é fácil encontrar aplicativos bancários para celulares que possuem alguma interface embutida para os relógios digitais. Fazendo uma pequena pesquisa no mercado, eu consegui identificar esta tendência surgindo em várias áreas mais diversas, tais como:
  • Serviços bancários
    • Interação bancária através de dispositivos vestíveis ("weareables"): o exemplo mais óbvio e que já faz parte do nosso dia-a-dia é o acesso aos dados da conta bancária via SmartWatches;
    • Meios de pagamento através de dispositivos vestíveis e NFC
    • Interação com caixas eletrônicos (ATM)
    • Educação e orientação financeira através de aplicativos e gamificação
    • Novos meios de visualização e interação com seus dados bancários, como o "Citi HoloLens"
  • Novos meios de pagamento
    • Transações financeiras e pagamentos a partir ou para dispositivos: uma área com várias possibilidades de dispositivos efetuarem compras e pagamentos. Podemos ter media centers comprando conteúdo automaticamente, refrigeradores (smart fridges) fazendo compras domésticas, carros autônomos ("self-driving car") fazendo pagamentos em trânsito, uma caneca de café integrada com meio de pagamento, como a australiana SmartCup, etc
    • Uso de dispositivos IoT como meio de pagamento seguro, principalmente através da coleta de dados comportamentais e biométricos para autneticar os clientes;
  • Seguros
    • Gestão de seguros através da monitoração de carros, identificando hábitos dos motoristas e adequando a tarifa ao perfil deles, localização de carros em caso de sinistro, sensores para evitar colisões, etc
    • Monitoramento de casas cobertas por seguro residencial, incluindo monitoração de segurança, contra incêndio, etc
  • Segurança
    • Autenticação de clientes
Vejam alguns exemplos de aplicações novas que estão surgindo no mercado bancário:
  • "Self-paying car": assim como teremos o "self-driving car", o automóvel pode eventualmente fazer pagamentos, como pedágios, além do próprio carro se abastecer em um posto de gasolina e ele mesmo pagar pelo seu abastecimento. A Daimler, por exemplo, no início do ano adquiriu a empresa PayCash com o objetivo de lançar o serviço de pagamento "Mercedes Pay”. Inicialmente, este serviço será integrado com alguns serviços móveis, como o servico de compartilhamento de automóveis car2go e o aplicativo de taxi mytaxi;
  • O aplicativo para celular QAPITAL, que ajuda os clientes a economizar dinheiro no dia-a-dia para atingir sonhos através de monitoração de sua economia diária e objetivos financeiros;
  • A pulseira Pavlok, utilizada para reeducação, que dá um pequeno choque no usuário quando o usuário faz gastos excessivos;
  • Pulseira OurocardLançada em Junho de 2017, é um dispositivo vestível à prova d’água do BB que funciona como um meio de pagamento, sendo um espelho do cartão de crédito ou débito principal (Visa Platinum ou Visa Infinite). O acessório permite ao cliente fazer pagamentos por aproximação, utilizando a tecnologia Near Field Communication (NFC). As operações são realizadas por meio de um chip localizado na parte interna da pulseira e quem opera toda a transação é o lojista. O Bradesco lançou uma pulseira similar para uso durante os Jogos Olímpicos do Rio de Janeiro.


Isso significa melhores serviços bancários on-line e móveis, melhor coleta de dados e contextualização, melhores sistemas de pagamento e melhor segurança financeira on-line, todas as áreas visadas pela melhor das atualizações de Fintech de hoje,

Por outro lado, com a adoção de dispositivos IoT no mercado financeiro, a superfície de ataque cresce vertiginosamente. E, como lembrou o meu colega Paulo Pagliusi, “A indústria financeira terá que encarar problemas como credenciais com senha padrão, falta de atualização em firmware, falta de suporte de fornecedores, portas abertas desnecessárias, protocolo transmitindo senhas em texto claro, aberturas ao DDoS”. Isso acontecerá porque os fabricantes de dispositivos IoT são empresas acostumadas a atuar no mercado de hardware, que têm pouca ou nenhuma experiência em software e muito menos em segurança no ambiente Internet.

Tudo isso eu resumi na apresentação abaixo, que utilizei recentemente em um painel sobre "" durante o Ciab, evento organizado pela Febraban.




Para saber mais:

junho 02, 2017

[Segurança] MC Hackudao e o Ransomware

No finalzinho de Abril o MC Hackudao lançou uma música nova em homenagem aos Ransomwares, que está disponível no Soundcloud e no YouTube.



Em tempos de infestação massiva do WannaCry, a música RANSOMWARE (DJ KALI LINUX) [#wannacry] poderia embalar as noites em vários datacenters por aí.


Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.