Páginas

outubro 31, 2017

[Segurança] Sobre a 8.8, no Chile

Nos dias 26 e 27 de Outubro aconteceu a 8.8 Security Conference, o evento de segurança mais importante do Chile. O evento tem foco bem técnico, de alta qualidade, e possuia apenas uma trilha de palestras, 8 palestras por dia, e teve um CTF online organizada pelos brasileiros do RTFM.


Esta foi minha primeira vez na 8.8, um evento que já está na sua 7a edição. Logo no início, a qualidade das palestras me chamou muito a atenção: todas as palestras de grande qualidade técnica, com speakers de vários lugares, incluindo vários países da América Latina. Os temas incluiam fraudes em ATM, ataques em IoT e robótica, além de ataques a sistemas web e SCADA. Em termos de qualidade, eram pesquisas muito recentes e avançadas, mas com temas que o público podia facilmente acompanhar.

A 8.8 foi realizada em um teatro na área nobre de Santiago, e os organizadores estimam que haviam cerca de 700 pessoas presentes na palestra de abertura, do rockstar Chema Alonso. Neste ano eles mudaram o local do evento para este teatro, pois o anterior ficou pequeno para eles.




A 8.8 é um evento que merece a nossa visita. Além de ser perto, em Santiago, é um evento descontraído, com uma ótima energia e palestras de grande qualidade.

[Cyber Cultura] A Declaration of the Independence of Cyberspace

Graças a uma palestra recente do Julio Cesar Fort, tomei conhecimento do texto "A Declaration of the Independence of Cyberspace", criado em Davos em 1996. O texto é nem interessante e bem atual, embora tenha sido escrito há 30 anos atrás.

Segue ele traduzido para o Português:
Governos do Mundo Industrial, vocês são gigantes cansados ​​feitos de carne e aço, eu venho do Ciberespaço, o novo lar da Mente. Em nome do futuro, peço que o passado nos deixe em paz. Vocês não são bem-vindos entre nós. Vocês não tem soberania onde nos reunimos.
Não temos um governo eleito, nem é provável que tenhamos um, então eu me dirijo a vocês sem autoridade maior do que aquela com a qual a própria liberdade sempre fala. Eu declaro que o espaço social global que estamos construindo deve ser naturalmente independente das tiranias que vocês procuram nos impor. Vocês não tem nenhum direito moral para nos governar, nem possui métodos aplicação da lei que possamos ter motivos verdadeiros para temer.
Os governos obtêm seus poderes justos com o consentimento dos governados. Vocês não solicitaram nem receberam a nossa. Nós não os convidamos. Vocês não nos conhece, nem conhecem nosso mundo. O ciberespaço não está dentro das suas fronteiras. Não pensem que vocês podem construí-lo, como se fosse um projeto de construção pública. Vocês não podem. É um ato da natureza e cresce através de nossas ações coletivas.
Vocês não se envolveram em nossa conversa grande e coletiva, nem criaram a riqueza de nossos mercados. Vocês não conhecem nossa cultura, nossa ética ou os códigos não escritos que já proporcionam a nossa sociedade mais ordem do que poderia ser obtida por qualquer uma das suas imposições.
Vocês afirmam que existem problemas entre nós que vocês precisam resolver. Vocês usam esta reivindicação como uma desculpa para invadir nossos recintos. Muitos desses problemas não existem. Onde há conflitos reais, onde há erros, nós os identificaremos e abordaremos por nossos meios. Estamos formando nosso próprio Contrato Social. Essa governança surgirá de acordo com as condições do nosso mundo, e não as suas. Nosso mundo é diferente.
O ciberespaço consiste em transações, relacionamentos e pensamento próprio, dispostos como uma onda permanente na web de nossas comunicações. O nosso é um mundo que é em todos os lugares e em lugar algum, mas não é onde os corpos vivem.
Estamos criando um mundo que todos possam entrar sem privilégio ou preconceito de raça, poder econômico, força militar ou local de nascimento.
Estamos criando um mundo em que qualquer um, em qualquer lugar, possa expressar suas crenças, por mais singular que seja, sem medo de ser forçado a ficar em silêncio ou em conformidade.
Seus conceitos legais de propriedade, expressão, identidade, movimento e contexto não se aplicam a nós. Todos são baseados em posições estabelecidas, e não há exigências aqui.
Nossas identidades não têm corpos, então, ao contrário de vocês, não podemos obter ordem por coerção física. Acreditamos que, da ética, do interesse próprio esclarecido e do bem comun, nossa governança surgirá. Nossas identidades podem ser distribuídas em muitas das suas jurisdições. A única lei que todas as nossas culturas constituintes reconheceriam em geral é a Regra de Ouro. Esperamos que possamos construir nossas soluções específicas nessa base. Mas não podemos aceitar as soluções que vocês estão tentando impor.
Nos Estados Unidos, vocês criaram uma lei hoje, a Lei de Reforma das Telecomunicações, que repudia sua própria Constituição e insulta os sonhos de Jefferson, Washington, Mill, Madison, DeToqueville e Brandeis. Estes sonhos devem agora nascer de novo em nós.
Vocês estão aterrorizados com seus próprios filhos, pois eles são nativos em um mundo onde vocês sempre serão imigrantes. Porque vocês os teme, vocês confiam em suas burocracias com as responsabilidades paternas que vocês são muito covardes para assumir por si só. Em nosso mundo, todos os sentimentos e expressões da humanidade, desde o degradante até o angélico, são parte de um todo sem costura, a conversa global de bits. Não podemos separar o ar que nos sufoca do ar sobre o qual as asas batem.
Na China, na Alemanha, na França, na Rússia, em Cingapura, na Itália e nos Estados Unidos, vocês estão tentando afastar o vírus da liberdade ao erguer os postos de guarda nas fronteiras do ciberespaço. Estes podem manter o contágio por um pequeno período de tempo, mas eles não funcionarão em um mundo que em breve será coberto em mídia sustentada por bits.
Suas indústrias de informação cada vez mais obsoletas se perpetuariam propondo leis, na América e em outros lugares, que reivindicam o controle das conversas em todo o mundo. Essas leis declarariam que as idéias seriam outro produto industrial, não mais nobre do que o ferro. Em nosso mundo, tudo o que a mente humana pode criar pode ser reproduzido e distribuído infinitamente, sem nenhum custo. O transporte global do pensamento já não exige que sejam produzidas em suas fábricas.
Essas medidas cada vez mais hostis e coloniais colocam-nos na mesma posição que os defensores prévios da liberdade e da autodeterminação, que tiveram que rejeitar as autoridades de poderes distantes e desinformados. Devemos declarar o nosso eu virtual imune às suas soberanias, mesmo enquanto continuamos a consentir os seus controles sobre os nossos corpos. Nós nos espalhamos pelo Planeta para que ninguém possa prender nossos pensamentos.
Criaremos uma civilização da mente no ciberespaço. Que seja mais humano e justo do que o mundo que seus governos fizeram até agora.
OBS: Post atualizado em 31/10 com alguns links.

outubro 30, 2017

[Cyber Cultura] Hackers desde 1950

A origem do termo hacker vem desde bem antes do surgimento da Internet e dos computadores pessoais, e está associada ao Instituto Tecnológico de Massachusetts (MIT) e ao Tech Model Railroad Club (TMRC), um grupo formado pelos estudantes desde 1946 e ativo até hoje em dia, que se tornou um dos mais famosos clubes de ferromodelismo do mundo. Eles mantinham um espaço com uma enorme maquete coom vários modelos de trens, totalmente automatizada, aonde experimentavam seus cnhecimentos de engenharia, eletrônica e automação.


Como explica um artigo da Wired extraido do livro "Hackers: Heroes of the Computer Revolution", o termo "hacker" surgiu dentro do MIT, inicialmene para representar algumas "pegadinhas" que acontecem tradicionalmente no instituto, mas depois foi assumida e popularizada pelo TMRC.

Dentro da subcultura dos participantes do clube, eles chamavam de "hack" qualquer projeto ou um produto construído não apenas para cumprir algum objetivo construtivo, mas que tivesse também algum enorme prazer em seu desenvolvimento. Para se qualificar como um hack, a façanha deveria ter alguma inovação, estilo e qualidade técnica. As pessoas que mais trabalhavam na área de "Signals and Power" do TMRC se auto-intitulavam "hackers" com grande orgulho.

O TMRC e seus hackers já eram bem ativos nos anos 50, antes mesmo do primeiro curso sobre programação em computadores ter sido oferecido no MIT, o que só aconteceu em 1959.

O artigo também conta como foi a primeira vez que um administrador de sistemas foi atacado por um hacker. Isso aconteceu quando um dos responsáveis por manter o IBM 704 sofreu uma "pegadinha" dos estudantes. Na época os estudantes não tinham acesso ao computador: eles entregavam seus programas escritos em cartões perfurados e recebiam o resultado de volta, impresso, alguns dias depois. Era proibido aos alunos encostar no computador. Para se vingar de um dos funcionarios que mantinham o IBM, um dos alunos, Peter Samson, encontou em uma loja de eletrônicos uma placa parecida com a utilizada para fixar os tubos a vácuo do computador da IBM. No meio da madrugada ele chegou para o operador e disse que o computador não estava funcionando, mas ele achou o problema, mostrando a placa como se ele a tivesse retirado lá de dentro. O cara quase desmaiou de desespero ao ver a cena.

O mais legal desse artigo, ao meu ver, é destacar que o termo hacker surgiu entre os estudantes de eletrônica que ocupavam o TMRC, ou seja, antes mesmo de existir a cultura de computação. Hoje o termo foi adotado pela área de segurança, mas suas origens estão lá, no mundo do hardware, da eletrônica.

O TMRC mantém uma página na qual explicam qual é o entendimento deles sobre o que significa a palavra hacker:
"We at TMRC use the term "hacker" only in its original meaning, someone who applies ingenuity to create a clever result, called a "hack". The essence of a "hack" is that it is done quickly, and is usually inelegant. It accomplishes the desired goal without changing the design of the system it is embedded in. Despite often being at odds with the design of the larger system, a hack is generally quite clever and effective."

outubro 25, 2017

[Segurança] Criptografia sob ataque!!!

Recentemente vimos notícias catastróficas de alguns ataques relacionados a protocolos ou produtos de criptografia, que foram anunciados pela mídia com uma elevada dose de sensacionalismo:
  • O ataque KRACK ("Key Reinstallation Attack"), que explora uma fragilidade no handshake do protocolo WPA2 (Wi-Fi Protected Access II). Pelo que podemos deduzir das notícias sobre o ataque, ele promete tornar todas as redes wireless do mundo inseguras e todo o tráfego em redes wireless poderia ser capturado;
  • A vulnerabilidade ROCA (Return of Coppersmith’s Attack) (CVE-2017-15361), uma falha na geração de chaves de criptografia RSA em Smart Cards, chips, tokens e Trusted Platform Modules (TPM) da empresa alemã Infineon Technologies. Tratada como devastadora, promete acabar com qualquer chave criptográfica RSA do mundo;
  • O ataque DUHK (Don't Use Hard-coded Keys), que é uma vulnerabilidade que afeta equipamentos usando o gerador de números aleatórios (Random Number Generator, RNG) ANSI X9.31 junto com sementes de chave gravadas no código (hard-coded). Isso faz parecer que qualquer VPN do mundo pode ser explorada, mas na verdade a falha afeta apenas 12 produtos, e o mais famoso deles é da Fortinet, o FortiOS 4.3.0 a 4.3.18 (que são versões antigas, anteriores a 2011).
Corram paras as montanhas!?

As falhas acima são preocupantes, mas em termos práticos, eu diria que o KRACK é assustador por afetar qualquer rede wireless, mas tem correção fácilmente aplicável, o ROCA parece ser direcionado a dispositivos mais específicos mas é mais difícil de ser atualizado por usuários finais (pois pode inplicar em atualizar firmwares), e o DUHK é um ataque bem restrito a poucos dispositivos.

Nota: de acordo com o artigo original dos pesquisadores da vulberabilidade DUHK, ela afeta apenas 12 produtos no total:

  • BeCrypt Cryptographic Library 2.0
  • Cisco Aironet 7.2.115.2
  • DeltaCrypt FIPS Module
  • Fortinet FortiOS v4 4.3.0 to 4.3.18
  • MRV Communications LX-4000T/LX-8020S v5.3.8
  • Neoscale Systems \CryptoStor 2.6
  • Neopost Technologies Postal Security Devices v28.0
  • Renesas Technology America AE57C1 v2.1012
  • TechGuard Security PoliWall-CCF v2.02.3101
  • Tendyron OnKey193 v122.102
  • ViaSat FlagStone Core v2.0.5.5
  • Vocera Cryptographic Module v1.0

outubro 24, 2017

[Cyber Cultura] Information Wants to Be Free

Existe uma história bem interessante por trás da famosa frase "Information Wants to Be Free", que é considerada quase um "mantra" dentro da cultura .

Frequentemente associada a cultura hacker e ao movimento de software livre, Steven Levy nos conta que esta frase surgiu durante um debate sobre a ética hacker em uma conferência em São Francisco, em Novembro de 1984.

Proferida por Stewart Brand, a frase completa e verdadeira foi assim:
"On the one hand information wants to be expensive, because it’s so valuable. The right information in the right place just changes your life. On the other hand, information wants to be free, because the cost of getting it out is getting lower and lower all the time. So you have these two fighting against each other."


outubro 23, 2017

[Segurança] "Tudo" o que você queria saber sobre TOR e a Deep Web

O site WhoIsHostingThis fez um infográfico bonitinho (abaixo) resumindo as informações principais sobre o que é a Deep Web e como usar. É um material legal para informar o público leigo.

O principal problema é que ele confundiu "Deep Web" com "Dark Web" e tratou tudo como se fosse uma coisa só. Além disso, mostra estatísticas imprecisas sobre o suposto tamanho da Deep Web: diz que a "surface web" representa 4% do conteúdo, mas o gráfico do iceberg não é proporcional a essa porcentagem - e em seguida diz que a deep web é 500 vezes maior do que a surface web (proporção que não confiz com a estatística de 4%).


outubro 20, 2017

[Segurança] Senhas e roupas íntimas

Uma analogia muito utilizada para conscientizar os usuários a tomarem cuidado com suas senhas é compará-las com roupas íntimas (cueca, calcinha, etc). É uma analogia que soa de forma divertida e, ao mesmo tmepo, didática:

  • Troque regularmente;
  • Não deixe elas jogadas em qualquer lugar;
  • Não as empreste para ninguém.

As duas fotos abaixo são exemplos desse tipo de campanha, e foram compartilhadas em um grupo de amigos:

 


outubro 19, 2017

[Segurança] Uma BSidesSP por ano

Não foi uma decisão fácil. Foi preciso muita coragem, muita discussão interna e superar uma grande dose de frustração, mas ao final nós, da organização da Security BSides São Paulo, decidimos a partir de agora realizar apenas uma edição da BSidesSP por ano. Desde quando começamos a organizar o evento, em 2011, realizamos 2 ou 3 edições por ano, totalizando 14 edições da BSidesSP e uma BSidesLatam (em 2016).

Neste ano realizamos a 14a edição da BSidesSP no primeiro semestre, nos dias 20 e 21 de Maio. O evento foi um sucesso, com muitas atividades bem legais, e atingimos um público record de 770 pessoas.

Mas esse sucesso veio com um preço alto: o evento ficou muito grande para conseguirmos organizar 2 edições por ano. E aí precisamos tomar a decisão de dar um pequeno passo para trás e focar nossos esforços em fazer apenas uma edição por ano.

Resumindo, o principal motivo para tomarmos essa decisão que foi porque o evento ficou grande demais para nossa capacidade atual de organiza-lo. O evento é totalmente realizado por voluntários, em nosso tempo livre do trabalho, e nunca tivemos um time com pessoas dedicadas unicamente a organizar eventos. E somos um time pequeno: os responsáveis pela BSidesSP são 5 pessoas (os que tomam as decisões estratégicas e cuida do financeiro), com mais 12 amigos que ajudam na organização e atuam como voluntários no dia, que batizamos carinhosamente de "Hand of King". Além de sermos um time pequeno, naturalmente existem algumas pessoas se dedicam mais e outras menos, e assim, a BSidesSP está consomindo muito esforço de algumas pessoas chave.

Além do problema acima, a PUC-SP ficou muito pequena para nós, o que pode ser percebido pelos participantes principalmente na hora do almoço e na cerimônia de encerramento, quando lotamos o espaço disponível para essas atividades. Assim, precisamos de um tempo maior para organizar a próxima edição, o que inclui pensar em formas de aproveitar melhor a infra-estrutura da PUC-SP ou, então, buscar um outro local.

A partir deste ano, vamos então realizar sempre uma edição da BSidesSP por ano, e até segunda ordem, ela sempre será no 1o semestre do ano, próximo ao You Sh0t the Sheriff.

Atualização (20/10): Há dois motivos principais para que tenhamos preferência por realizar a BSidesSP no primeiro semestre de cada ano:

  • O segundo semestre sempre é muito mais lotado de eventos, principalmente dos principais eventos da área. Já o primeiro semestre é bem mais tranquilo, com poucos eventos relevantes acontecendo. Menos evento significa mais interesse do público, mais disponibilidade de datas, maior disponibilidade de patrocinadores e palestrantes;
  • Como nós queremos realizar a BSidesSP em finais de semana e próximo a outros eventos importantes da área, a escolha no 1o semestre sempre foi bem tranquilo, pois a YSTS acontece as segundas-feiras e fica um ótimo arranjo para realizarmos a BSides no final de semana anterior. Assim, quem vai no YSTS consegue facilmente aproveitar um dia a mais (na véspera) para ir na BSidesSP também. Já no 2o semestre,os 2 eventos que mais gostamos (H2HC e RoadsecSP) acontecem no final de semana, então teríamos que ter a BSidesSP no final de semana anterior ou posterior. Nesses casos, a BSidesSP ficaria bem distante do outro evento, o que é algo ruim para nós.


outubro 16, 2017

[Segurança] KRACK: um novo ataque contra redes wireless

Hoje foi divulgado um ataque contra o protocolo WPA2 das redes wireless que tem assustado a comunidade de tecnologia e de segurança: o ataque KRACK (nome tirado de "Key Reinstallation Attack").

O ataque KRACK explora uma fragilidade no handshake do protocolo WPA2 (Wi-Fi Protected Access II), que é o processo usado para estabelecer uma chave de criptografia entre o dispositivo e o access point, e assim permite criptografar o tráfego na rede Wireless.

O ataque explora o handshake e a negociação de chaves no momento em que um dispositivo se conecta no ponto de acesso da rede, e consegue forçar o cliente a reutilizar uma chave de sessão mais antiga. Com isso, a criptografia usada pelo padrão WPA2 fica enfraquecida e o atacante tem acesso ao tráfego de rede:
"Decryption of packets is possible because a key reinstallation attack causes the transmit nonces (sometimes also called packet numbers or initialization vectors) to be reset to zero. As a result, the same encryption key is used with nonce values that have already been used in the past".
O handshake (veja abaixo) acontece logo no início de uma conexão a uma rede Wi-Fi, quando um cliente quer se conectar a uma rede wireless protegida. O handshake de 4 vias é usado para confirmar que o cliente e o access point possuem as credenciais corretas (por exemplo, a senha pré-compartilhada da rede que utilizamos na maioria dos casos) e também negocia a chave de criptografia que será usada para criptografar todo o tráfego subseqüente.


Há um vídeo no Youtube mostrando o ataque em ação, contra um smartphone Android:


No vídeo acima, os pesquisadores levantam um access point falso, com o mesmo nome da rede da vítima (mas em outro canal) e forçam o dispositivo a se conectar no access point falso, para poderem capturar os pacotes da rede entre a vítima e o access pointo verdadeiro, fazendo um ataque "Man in the Middle" (MITH). Neste momento, eles podem manipular mensagens para o cliente e atacar o processo de handshake.

Portanto, o ataque KRACK exige que o atacante tenha acesso local na rede wireless, levante um hotspot falso, estabeleça uma conexão Man-in-the-Middle e ataque o handshake do WPA de cada dispositivo conectado em sua rede (se você tiver 10 computadores, tem que realizar o ataque 10 vezes). Isso não é complexo e em breve teremos ferramentas para fazer isso de forma automatizada. E não e tão difícil ter acesso a uma rede wireless, pense num cara numa van ao lado do seu escritório ou, mais fácil, um computador da empresa com malware.

O ataque funciona contra o protocolo WPA1 e o WPA2, e contra qualquer conjunto de cifras que esteja sendo usado (WPA-TKIP, AES-CCMP e GCMP).

O KRACK  permite que os atacantes manipulem a chave de criptografia utilizada na rede e, assim, desencriptem os pacotes trafegando pela rede Wi-Fi. A senha da rede Wi-Fi não é exposta. Mesmo assim, o ataque permite capturar todos os pacotes de rede, e assim ter acesso a todas as comunicações dos usuários (exceto acessos criptografados, como SSL, VPN, SSH, etc), além de injetar pacotes na rede wireless da vítima.

Embora haja notícias de fabricantes trabalhando em correções para o ataque, também há quem diga que o problema é bem complexo pois a fragilidade reside no próprio padrão Wi-Fi, e não nas implementações ou em qualquer produto específico. Assim, qualquer implementação existente do WPA2 provavelmente é afetada, e a lista de equipamentos vulneráveis é grande: Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys, etc.

Segundo os pesquisadores, esse ataque é excepcionalmente devastador contra equipamentos rodando Linux e Android versão 6.0 ou superior, pois eles podem ser enganados para reinstalar uma chave de criptografia com valor totalmente zero.

O assustador, neste ataque, é que o WPA2 é o padrão atual de segurança para as redes wireless, e é amplamente utilizado por praticamente todo mundo.


Já estão surgindo correções e assinaturas contra o ataque:
A Wi-Fi Alliance criou uma ferramenta para detectar se o seu dispositivo está vulnerável ao ataque KRACK, mas ela está disponível apenas para menbros da Wi-Fi Alliance :(

Para saber mais:

PS: Assim que tiver mais notícias irei atualizar esse post.
PS/2: Post atualizado em 15/10, 1am

outubro 11, 2017

[Segurança] Endoscopia em Caixas Eletrônicos

A imprensa americana ficou impressionada com um caso recente descoberto no México: criminosos estão usando aparelhos de endoscopia para arrombar caixas eletrônicos por lá!!!


Segundo a NCR, fabricante de caixas eletrônicos, o equipamento de endoscopia é inserido através da abertura de saída de dinheiro no cofre do ATM para manipular os sensores no dispensador de notas, para simular autenticação física. Isso, assciado com uma "caixa preta" construida para inserir comandos dentro dos ATMs, o que faz o caixa eletrônico liberar o dinheiro.

Aqui no Brasil, já estamos acostumados com um modus operandi mais brutal: em vez de futucar dentro do caixa eletrônico, os nossos criminosos passaram a explodir os caixas para ter acesso ao cofre interno aonde fica o dinheiro.

outubro 09, 2017

[Segurança] Os maiores vazamentos de dados

Ok, talvez ninguém jamais supere o Yahoo!, com seus 3 bilhões de dados de cleintes vazados.

Eu já escrevi algumas vezes no blog sobre os frequentes vazamentos de dados que tem acontecido nos últimos anos, e desta vez resolvi fazer uma lista dos que eu considero serem os maiores e mais relevantes vazamentos de dados. Essa é uma lista formada por empresas e serviços mais populares nos EUA e no mundo, que tiveram dados de milhões de clientes expostos:
  • TJX (2006): dados de 94 milhões de cliendes das lojas T.J. Max e Marshalls
  • Heartland (2008): Uma das maiores processadoras de cartões dos EUA, teve expostos 130 milhões de cartões de crédito e débito
  • Sony PSN (2011): 77 milhões
  • LinkedIn (2012): 110 milhões
  • Target (2013): 70 milhões de dados de cartão de crédito (40 milhões) e dados pessoais de clientes (30 milhões)
  • Yahoo (2013): 3 bilhões de dados
  • Adobe (2013): user names e senhas de 38 milhões de usuários
  • Home Depot (2014): 56 milhões cartões de crédito e débito
  • eBay (2014): nomes, endereços, data de nascimento e senhas de 145 milhões de clientes
  • JP Morgan Chase (2014): dados de 76 milhões de clientes
  • Anthem (2015): dados pessoais de 80 milhões de segurados
  • Myspace (2016): user names e senhas de 360 milhões de contas
  • Spambot (2017): 711 millhões de endereços de e-mail
  • Equifax (2017): 143 milhões de dados pessoais
  • Uber (2017): 57 milhões de usuários

Para saber mais:
Nota: Post atualizado em 15/12/17.

outubro 04, 2017

[Segurança] Deep (Dark) Web

Muito se fala sobre a "Deep Web" como se isso fosse a soma de todos os males do mundo online. Mas há vários aspectos que podem ser vistos e discutidos sobre esse assunto, tirando de lado toda a áurea mitológica criada em volta da Deep Web.

A Deep Web (as vezes chamada em português de "web profunda" - argh! - ou "web oculta"), na verdade é um termo que se refere simplesmente ao conteúdo da World Wide Web que não é indexado pelos mecanismos de busca padrão (ex: Google, Yahoo, etc). Pode ser qualquer tipo de site, como um webmail, um site pequeno, uma rede corporativa, um site privado, etc. A Deep Web inclui, também, Intranets, sites com conteúdo protegido por senha, sites com uma área grande de fotos que não foram indexados por buscadores, ou mesmo sites pequenos e irrelevantes.

Qualquer coisa que a grande maioria dos usuários não acessam no dia-a-dia e não conseguem encontrar usando os buscadores forma a Deep Web. Ela também pode ser chamada de "Invisible Web" ("Web Invisível"), um termo criado em 1994!

O contrário da Deep Web, ou seja, os sites que acessamos facilmente através de buscadores, é a chamada Surface Web, a "superfície da web". São os sites que conhecemos e achamos facilmente.

Dentro da Deep Web, por assim dizer, existem a Dark Net e a Dark Web. A Dark Web, essa sim, é a parte da Internet formada por servidores que intencionalmente se mantém escondidos da grande maioria de usuários pois exigem mecanismos especiais de acesso baseados em criptografia que garantem a privacidade e sigilo desses acessos. A Dark Web é como se fosse uma rede paralela a Internet, mas construída usando a estrutura de conectividade da Internet global. São redes como a rede Tor ("The Onion Router"), Freenet e a I2P ("Invisible Internet Project"), formadas por sites que exigem uma ferramenta especial de acesso, normalmente um cliente que vai no micro ou no browser do usuário para garantir o acesso criptografado a estes servidores.

A Dark Net, por sua vez, é a denominação usada para indicar a infra-estrutura de rede, servidores e protocolos que faz a Dark Web funcionar.

Ou seja, quando falamos em "fóruns criminosos escondidos na Internet, acessados pela rede TOR", por exemplo, estamos falando de sites dentro da Deep Web (com conteúdo fora do alcance dos buscadores) que fazem parte da Dark Web (o pedaço da Deep Web acessível somente via "meios especiais") que funciona dentro da Dark Net (a infra-estrutura desses sites).



Embora a Dark Web e a Deep Web sejam normalmente associadas a atividades criminosas, na verdade nem todo o conteúdo e nem todo uso é ilícito ou ilegal. A Dark Web existe principalmente para garantir o anonimato na comunicação e no compartilhamento de informação, o que pode ter um objetivo válido (por exemplo, no caso de ativistas e jornalistas que precisam proteger sua identidade online e de suas fontes). Mas, infelizmente, há sim muito uso ilegal associado a ciber criminosos, por exemplo, nos diversos fóruns que facilitam a realização de crimes como pedofilia, fraude bancária, carding, venda de armas e drogas, etc.

O acesso a sites da Dark Web só pode  ser feito através de ferramentas especiais, que em geral funcionam como um client para fazer a criptografia do acesso ao site. Essa ferramenta pode ser um simples plug-in para os browsers mais conhecidos ou um programa executado em seu computador. Além disso, as redes na Dark Web costumam utilizar uma nomenclatura específica para seus sites, como por exemplo os sites na rede TOR que utilizam um nome codificado seguido por .onion no final do nome de domínio, para identificar que o site pertence a rede TOR. Por exemplo: http://kpvz7ki2v5agwt35.onion. Sites na rede I2P usam o nome de domínio com final .i2p.

O uso da rede TOR permite ocultar o endereço IP do usuário, pois a comunicação passa por vários nós", aonde cada nó não tem acesso ao IP original da comunicação, apenas do nó anterior. Isso sem falar que a comunicação entre os nós é criptografada.


No caso do TOR, além de um client no browser, há também a opção de usar o Tor Browser, que é um browser dedicado para acessar a rede TOR, já com o client de acesso embutido nele.

Além do client da rede TOR ou do TOR Browser, também é possível acessar sites na rede TOR através do site tor2web.org, que funciona como um meio de acesso via web para estes sites. Assim, por exemplo, o site Hidden Wiki na Dark Web, que possui o endereço http://kpvz7ki2v5agwt35.onion, pode ser acessado também como http://kpvz7ki2v5agwt35.onion.to ou http://kpvz7ki2v5agwt35.tor2web.org.

Há uma grande imprecisão e, ao meu ver, um pouco de FUD quando discutimos sobre o "tamanho" da Deep Web, mas em geral fala-se que ela é muito maior que a Surface web. Na verdade não é possível ter uma estimativa precisa, pois a Deep Web não é indexável e, assim, não é possível estimar seu tamanho. É muito comum ver sites falando que a Deep Web é 500% maior do que a Surface web, ou represente 96% de todo o conteúdo. Mas, na verdade, esta estatística é baseada em um estudo de 2001 - ou seja, um estudo feito nos primórdios da Internet!!! O maior buscador hoje em dia, o Google, teve seu IPO em 2004, 3 anos depois desse estudo! Ou seja, o pessoal usa uma estatística baseada em dados de uma época em que não existiam os buscadores que conhecemos hoje e que não representam a Internet atual!

Outra lenda sobre a Deep Web diz que ela é "composta por diversas camadas". É comum encontrar especulações de que ela seja formada por 7 ou 8 camadas, mas também é comum encontrar outros sites que dizem que isso é um mito. Pelo que eu entendi até hoje, na verdade não existem tais camandas, mas é comum algumas pessoas se referirem a cada rede privada dentro da Dark Web como se fosse uma camada. Ou seja, algumas pessoas tratam como se a rede TOR fosse uma camada, a rede I2P fosse outra, a Freenet outra, e por aí vai. Mas, na verdade, são redes diferentes, onde cada uma exige uma ferramenta específica para ter acesso.

Esses tópicos, entre outros, foram abordados em uma palestra que eu apresentei recentemente no Roadsec de Porto Alegre.


Para saber mais:
Nota: Post atualizado em 21/02/18. Atualizei em 15/01/19 para incluir a referência ao artigo do pessoal da Watchguard. Pequenos ajustes no texto em 13/08/2020.

Atualização em 13/08/2020: Eu achei um artigo bem legal sobre a Dark Web, seu funcionamento e como acesso-la no blog da Comparitech: "Step by step guide to safely accessing the dark web". Vale a pena a leitura para se informar mais sobre o assunto. Pequena atualização em 07/07/21 para incluir um link para um artigo da Kaspersky sobre o assunto. Atualizado em 19/07 para incluir a indicação de um artigo da CryptoID. Aatigo atualizado em 27/12/22 para incluir o artigo Introducing Tor e atualizado em 16/06/23 para incluir o artigo Dark Web — How to get started. Post atualizado em 04/10/2024 para incluir mais referências e links para ferramentas online para acessar algumas redes.

outubro 03, 2017

[Cidadania] Outubro Rosa

O "Outubro Rosa" é uma campanha que acontece todo ano, desde os anos 90, para conscientizar a população sobre a importância de prevenção conta o câncer de mama.

Durante este mês, vários monumentos são iluminados de rosa para chamar a atenção para a campanha. A Azul Linhas Aéreas, por exemplo, está com algumas iniciativas bem legais: além de pintar algumas aeronaves com a cor rosa, alguns vôos terão tripulação exclusivamente feminina, além de apoiar o tratamento de pacientes no Hospital de Câncer de Barretos.

Segundo o INCA, esse é o tipo de câncer mais comum entre as mulheres no mundo e no Brasil, depois do câncer de pele não melanoma. O câncer de mama respresenta cerca de 28% dos novos casos a cada ano. Nos homens o câncer de mama é raro, representando apenas 1% do total de casos da doença.

Para saber mais:

outubro 02, 2017

[Segurança] O custo do ciber crime a cada 60 minutos

A RSA criou um hotsite que monta um infográfico com algumas estatísticas interessantes sobre qual é o custo por hora do ciber crime para as empresas.

Veja alguns dos dados que mostram o quanto as empresas sofrem a cada 1 hora:
  • Acontecem 120 ataques de phishing por hora;
  • Globalmente, a cada hora as empresas perdem cerca de 1 milhão de dólares por causa dos ataques de phishing;
  • 486 mil dados pessoais são comprometidos
  • O roubo de contas causa prejuízos de 267 mil dólares por hora;
  • As lojas de e-commerce perdem 660 mil dólares por causa das fraudes.