janeiro 31, 2018

[Segurança] A História dos Vírus de Computador

O Felipe Prado acabou de publicar um artigo bem legal, aonde ele descreve a história e a evolução dos vírus de computador, desde as primeiras discussões teóricas e experimentos nas décadas de 60 e 70, passando pelos primeiros vírus na década de 80 e chegando até perto dos dias atuais, quando depois do início dos anos 2000 o foco principal dos malwares passou para o ganho financeiro, através do roubo de dados, criação de botnets e permitir a extorsão (ransomwares). Hoje, somos perseguidos pelos vírus para celular e os ransomwares, e somos assombrados pelos malwares para disppositivos IoT e contra caixas eletrônicos (ATMs).

A  propósito, a Wikipedia também possui uma excelente "timeline" dos vírus de computador, que lista os principais códigos maliciosos de forma detalhada e que vale a visita.

Os códigos maliciosos foram evoluindo de diversas formas no decorrer do tempo. De uma forma rápida e simplificada, temos os fatores abaixo:
  • Infecção: Os vírus surgiram infectando o boot dos sistemas operacionais ou atuando como vermes (ou seja, se transmitiam automaticamente sem necessidade de um "arquivo hospedeiro"). Em seguida surgiram os vírus que se propagavam através de arquivos executáveis, depois vieram os vírus de macro (que utilizavam recursos de script de automação em aplicações, principalmente o Microsoft Office);
  • Forma de contaminação: até mesmo pela limitação tecnológica da época, os primeiros vírus infectavam quando você bootava um computador com um sistema operacional infectado. Depois a contaminação passou a ser automaticamente pela rede, nos casos dos worms, ou quando a vítima manualmente executava algum programa que estava em um arquivo executável (normalmente o vírus inclui seu código em outro programa, aumentando o tamanho do arquivo original, mas sem desabilitar o funcionamento do programa original) ou um arquivo com macros maliciosas (como no caso dos vírus de macro do Office). Essas são as formas de contaminaçào mais comuns até hoje. Depois surgiram também alguns vírus que exploravam vulneravilidades de aplicativos ou sistema operacional para se executarem automaticamente, mas felizmente esses vírus são mais raros;
  • Vetor de transmissão: No início, antes da proliferação das redes de computadores, os disquetes eram o único vetor de transmissão dos vírus. Você colocava um disquete em um computador infectado e ele sobrescrevia a área de boot do disquete para incluir o código do virus. Seria necessário iniciar um computador com um disquete infectado para contaminá-lo. Depois vieram os vírus que se espalhavam através da rede local, como os worms, e os que se copiavam (ou melhor, copiavam arquivos em que eles estavam embutidos) através de pen-drives e discos compartilhados na rede, e do envio de anexos em e-mails. Há também os vírus que se espalham através do envio de links contaminados em mensagens em redes sociais e via SMS;
  • Motivação: no início era a curiosidade e pesquisa, ou até mesmo a zueira (como o ping-pong e o cascade, que eram inofensivos, apenas importunavam os usuários). Logo passou para a destruição de dados, depois para o roubo de dados. Vieram os spywares e adwares para roubo de dados e divulgação de propaganda não solicitada, e também os roguewares. Depois surgiu a onda de criação de botnets para envio de SPAM ou realização de outros ciber ataques e o ciber crime entrou de cabeça no uso de malwares para ganho financeiro (roubos de credenciais bancárias e fraudes bancárias, ransomwares, etc);
  • Plataforma: Inicialmente os vírus eram restritos aos computadores pessoais, raramente atacavam servidores. Com a popularização dos dispositivos móveis, vieram os vírus para smartphone, para terminais de pontos de venda (PoS) e agora estamos na onda dos códigos maliciosos para dispositivos IoT e terminais bancários;
  • No ciber crime, inicialmente o foco era em vírus que roubavam dados bancários (aqui no Brasil, a propósito, isso já é uma febre desde os primórdios da Internet) tentando identificar qualdo a vítima acessava o site de algum banco ou passava por páginas de login e de pagamento. Conforme os bancos aumentavam a segurança os malwares se sofisticavam (a captura de senhas, por exemplo, inicialmente era feita por keyloggers, mas chegou a incluir captura de tela para identificar quando o usuário digitava a sua senha nos teclados virtuais). Depois vieram os vírus que permitiam o acesso remoto para que o ciber criminoso controlasse o computador da vítima e acessasse uma sessão aberta no Internet Banking, ou que fizesse ataques de "man in the browser" para injetar transações fraudulentas na sessão do usuário. Os frameworks de malware genéricos foram revolucionados pelo o Zeus, que foi praticamente ignorado no Brasil, mas impulsionou o ciber crime globalmente ao oferecer uma plataforma flexível para criação de malwares bancários, com vários recursos técnicos para roubo de dados, acesso aos computadores das vítimas, etc. Aqui no Brasil, os malwares bancários escritos em Visual Basic reinaram por muitos anos. Depois vieram os malwares para celulares, os malwares para roubar dados de cartões em terminais de ponto de venda (PoS) e, nos últimos anos, tem surgido casos de malwares para caixas eletrônicos. O ciber crime também passou a focar em ransomwares (que já acontece há cerca de 5 anos em todo o mundo, mas virou febre no Brasil apenas recentemente) e, agora, está começando a buscar o roubo de criptomoedas.

Seguem mais alguns comentários pessoais sobre os principais "causos" e minhas experiências com esses códigos maliciosos:
  • Brain (1986): Em uma palestra do Mikko Hypponen no TED, ele contou que foi até o endereço que constava no código-fonte do vírus!
  • Ping-pong: o primeiro caso de vírus que eu me lembro, muito popular na época. Como não existiam antivírus, eu e meus amigos do colégio técnico editávamos o setor de boot dos disquetes para identificar que lá havia o vírus e, se houvesse, simplesmente apagávamos sobrescrevendo zeros. foi seguido pelo Cascade, mas ele não ocorria com a mesma frequência;


  • Sexta-feira 13 e Michelângelo: Os melhores exemplos da geraçãod e vírus do tipo time-bomb. Eles disparavam apenas em datas específicas e, por isso, as revistas de informática dos anos 90 publicavam os "calendários de vírus", com as datas em que alguns vírus iriam disparar;
  • I Love You: Virus bem simples, que se espalhou muito rápido pois usava uma engenharia social bem direta: Vinha em um arquivo que parecia ser um bloco de texto inofensivo (pois usava duas extensões: .txt.vbs) com a promessa de ser uma cartinha de amor: o assunto era "I love you" e o e-mail vinha com uma única frase, dizendo que uma carta de amor ("love letter") estava em anexo. Foi um marco na época, pela velocidade que se espalhou pela Internet, inaugurando a fase das mega-infecções globais (uma experiência que revivemos recentemente, com o WannaCry);
  • No início dos anos 2000 tivemos a febre dos ataques globais de worms, que se espalhavam rapidamente e tiravam empresas do ar. Foi a época dos vermes CodeRed (2001), Nimda (2001), SQL Slammer (2003), Blaster (2003) e Sasser (2004);
  • O verme SQL Slammer, que surgiu em 01/02/2003, demorou aproximadamente 10 minutos para se espalhar mundialmente e no pico da sua infestação, aproximadamente 3 minutos após surgir, escaneava 55 milhões de endereços IP por segundo.

Para saber mais:

janeiro 30, 2018

[Segurança] Preparativos para a Defcon 2018

Já está na hora de começarmos a planejar a nossa viagem para a Defcon este ano! O evento acontecerá de 9 a 12 de Agosto, no hotel Caesars Palace, em Las Vegas.


Afinal, falta um pouco mais de 6 meses para este, que é o maior evento hacker do mundo, e já estamos em um bom momento para pesquisar e começar a comprar as passagens de avião, pois elas representam o maior custo da viagem.

Ir para a Defcon é menos impossível do que pode parecer a primeira vista! É possível comprar vôos a bons preços e parcelados no cartão de crédito, os hotéis em Las Vegas são relativamente baratos (e com conforto) e há muitas opções de lugares para comer uma boa refeição por um bom preço. Até mesmo as redes de restaurante Outback e Applebees, tão populares e elitistas aqui no Brasil, são super acessíveis e com preços justos lá nos EUA. e o ingresso para a Defcon é relativamente barato, pela qualidade do evento!

Isso sem falar que a viagem para os EUA te abre a oportunidade de boas opções de compra de roupas e eletrônicos por excelentes preços. O que você economiza nas compras compensa os gastos de viagem!

A boa novidade neste ano é que é a compania aérea LATAM lançou um novo vôo direto de São Paulo para Las Vegas em um período experimental de junho até agosto, felizmente pegando os dias da Defcon! Esses vôos de ida e volta estão disponíveis apenas 3 dias por semana, mas é possível enquadrar para o período do evento. A grande vantagem é que este vôo é direto e demora cerca de "apenas" 12 horas, enquanto normalmente gastamos pelo menos 18 horas em qualquer opção de vôo com conexão. Não se engane, não existe vôo direto do Brasil para a costa oeste dos Estados Unidos, logo se você pretende ir para Las Vegas, Los Angeles ou São Francisco, por exemplo, é preciso fazer conexão em algum lugar. Por isso mesmo  essa opção da LATAM está tão atrativa! Você vai gastar um pouco a mais de dinheiro, mas ganha em tempo e conforto (sem falar que não tem risco de, por azar, perder uma conexão na ida ou na volta).

A regra de ouro é, se você conseguir comprar uma passagem para os Estados Unidos por até $1.000 dólares (menos de R$ 3 mil) você está pagando um ótimo preço. Mas, quanto mais próximo você estiver na data do evento, mais cara será a passagens e você tem menos opções de vôos, preços e escalas.

O William Caprino, que tem muitos anos de experiência participando da Defcon e da Black Hat, se associou a uma agência de viagens (Carpe Diem Personal Travel) e preparou pacotes de viagem para o evento, onde ele consegue oferecer este vôo da LATAM por um bom preço! Além disso, ele também oferece pacote com hotel e carro.

A minha sugestão é que você se programe para ficar a semana inteira em Las Vegas (por exemplo, de domungo 05/8 ao outro domingo, 12/8), assim no início da semana você pode escolher entre fazer turismo, fazer compras, ir na BSides Las vegas ou ir na Black Hat - ou fazer um pouquinho disso tudo! A Defcon vai até o domingo dia 12/08, mas na verdade como este dia é meio morto no evento, você pode optar por pegar o seu voo de volta no domingo mesmo e chegar no Brasil na segunda-feira (13/8) de manhã, pronto para o trabalho!

Se você puder estender um pouquinho mais a sua estadia nos Estados Unidos sugiro considerar duas opções interessantes:
  • na semana anterior a Defcon acontecerá em Las Vegas uma convenção para fãs da série Star Trek, de 1 a 5 de Agosto, no hotel Rio. é uma oportunidade legal para nerds, mesmo que você não seja fã fervoroso da série. É possível comprar ingressos para todos os dias do evento ou apenas para alguns dias específicos, e eu acredito que vale a experiência!
  • Nos dias 20 a 22 de Julho acontecerá a conferência The Circle of HOPE (Hackers On Planet Earth) em Nova York, um evento de segurança que existe desde 1994. Com isso, em um período de um mês, é possível conhecer as duas cidades e os dois eventos na mesma viagem!


Já é hora de planejar a sua viagem e não dexe para depois! É possível ir para a Defcon sem gastar muito dinheiro. Olhando com antecedência, é possível comprar passagens com bons preços e reservar bons hotéis pagando pouco.

Para saber mais:

janeiro 26, 2018

janeiro 23, 2018

[Segurança] Eventos de Segurança no primeiro semestre de 2018

Vamos planejar a nossa agenda para 2018?

Segue abaixo a minha tradicional lista com os eventos de segurança brasileiros que acontecem no primeiro semestre desse ano. São os eventos que eu considero serem interessantes e/ou importantes no mercado, e que, na minha opinião, trazem conteúdo de qualidade.

Uma novidade para este ano é que a Flipside diminuiiu a quantidade de Roadsecs regionais no decorrer do ano e substituiu o "Roadsec Pro" pelo novo "Mind The Sec Summit", com a proposta de fazer um evento mais robusto e com melhor conteúdo.

Vejamos então a agenda de eventos para o primeiro semestre:
  • Janeiro/2018
    • 30/01 a 04/02: Campus Party (twitter @campuspartybra) - A CPBR não é um evento de segurança, mas por ser um mega-evento de tecnologia, vale a visita. É possível pescar algumas atividades sobre Segurança na programação e vale a pena visitar o espaço para os hackerspaces brasileiros no evento;
  • Fevereiro/2018
    • 24/02: RoadSec João Pessoa (twitter @roadsec) - O Roadsec começa o ano visitando o pessoal de Jampa, a primeira cidade do Roadsec em 2018. Os participantes poderão aproveitar um dia repleto de palestras, oficinas e competições, incluindo a competição de CTF (HackaFlag);
  • Março/2018
    • 03/03: RoadSec Belém (@roadsec) - Belém (PA) é a segunda cidade brasileira a receber o Roadsec em 2018;
    • 16/03: Mind The Sec Summit Fortaleza (@mindthesec) - Fortaleza (CE) é a primeira cidade a receber o novo "Mind The Sec summit", um evento para o público corporativo com palestras de qualidade;
    • 17/03: RoadSec Fortaleza (@roadsec) - O Roadsec visita Fortaleza (CE) com oficinas, competições e palestras;
    • 21/03: Workshop Seginfo (Rio de Janeiro) (@SegInfo): Evento de segurança carioca direcionado para os executivos de segurança da informação;
    • 22/03: Security Leaders Brasília - O Security Leaders promete visitar 9 cidades em 2018, e começa o no com a versão regional de Brasília, que segue a fórmula de convidar executivos para painéis de debate com conteúdo superficial, com uma pequena área de exposições. Evento fraco de conteúdo, mediano em termos de negócios e com boa oportunidade de networking. A presentça dos executivos agrada aos patrocinadores;
  • Abril/2018
  • Maio/2018
    • 04 e 05/05: CryptoRave (twitter @cryptoravebr) (CFP) - Excelente evento gratuito, com palestras e atividades sobre criptografia, direito à privacidade, política, cultura de segurança, noções de anonimato e sobre os perigos da vigilância na rede. Acontece em 2 dias seguidos, varando a noite adentro;
    • 10/05: MindTheSec Rio de Janeiro - Edição do MindTheSec no Rio de Janeiro;
    • 12/05: Roadsec Rio de Janeiro (RJ) (@roadsec);
    • 19 e 20/05: BSides São Paulo (BSidesSP) (Página no Facebook; twitter @bsidessp) - décima-quinta edição deste evento gratuito com foco técnico segurança e cultura hacker na véspera do YSTS. Mini-treinamentos no sábado a tarde e a conferência completa no domingo: palestras, oficinas e competições diversas, além de uma trilha inteira de atividades para crianças, a BSides 4 Kids;
    • 21/05: You Sh0t the Sheriff (YSTS) (twitter @ystscon) (CFP) - O YSTS é um dos eventos de segurança mais importantes no Brasil, com palestras de excelente qualidade, mas a participação é restrita a convidados dos patrocinadores. Se você quer participar, então aproveite e envie uma proposta de palestra bem legal no CFP;
    • 22 a 24/05: GTS - Grupo de Trabalho em Segurança de Redes (Florianópolis, SC) (twitter @gtergts) - 31ª Reunião do GTS, um evento de conteúdo técnico organizado pelo NIC.br e pelo CGI.br, O evento é gratuito e transmitido online, ao vivo;
    • 23/05: Security Leaders Rio de Janeiro - versão regional do Security Leaders (data a confirmar, pois as informações no site estão desencontradas)
    • 25/05: Mind The Sec Summit Belo Horizonte (@mindthesec) - Mini-me do Mind The Sec em BH, para o público corporativo;
    • 26/05: RoadSec Belo Horizonte (@roadsec): Minas também recebe o Roadsec aberto ao público em geral;
  • Junho/2018
    • 08/06: Mind The Sec Summit Recife (@mindthesec) - Recife também recebe a versão mini-me do Mind The Sec;
    • 09/06: RoadSec Recife (@roadsec) - Roadsec aporta em Pernambuco
    • 12 a 14/06: CIAB - Mega-evento de tecnologia para o setor financeiro organizado pela Febraban, que atrai dezenas de fornecedores de diversas tecnologias bancárias, incluindo caixas aletrônicos, equipamentos para contagem de notas, segurança de agências, etc. Atrai também os maiores fabricantes de TI e de segurança. Vale a visita pela gigantesca área de exposição;
    • 12/06: Security Leaders Porto Alegre - versão regional do Security Leaders (data a confirmar, pois as informações no site estão desencontradas).
Se você tiver a oportunidade de participar em poucos eventos, a minha recomendação é que, aqui no Brasil, não deixe de ir na BSidesSP, no YSTS (se tiver convite) e na CryptoRave.

Aproveite também para visitar alguns eventos internacionais em 2018. Os principais e mais interessantes eventos são os seguintes:
Aqui tem uma lista exagerada e imprecisa com eventos nos EUA, Europa e Asia no primeiro semestre desse ano: "51 Cybersecurity Conferences you Need to Attend in 2018"
Normalmente o segundo semestre é bem lotado de eventos aqui no Brasil, e alguns deles já divulgaram suas datas:
Aproveite para já reservar sua agenda, planejar viagens, etc.

Para ver uma lista mais completa com os eventos de segurança no mundo, eu recomendo dar uma olhada no site nacional Agenda de TI e no gringo concise-courses.com.

Se eu esqueci de algum evento brasileiro importante, me avisem.

OBS:
  • Post atualizado em 15/2 para incluir o Security Leaders Brasília (no site deles não constam as datas das demais edições do evento).
  • Atualizado em 07/03 para incluir o GTS.
  • Atualizei em 12/3 para incluir as datas da BSides Las Vegas, BHack e do Security Leaders (na maioria deles eu considero que a data ainda está a confirmar, pois as informações no site estão desencontradas).
  • Post atualizado em 16/3 para ajustar as datas do Security Leaders no RJ e BH.
  • Pequena atualização em 20/03 para incluir a data da Ekoparty. Em 23/3 também incluí a data do Latinoware (embora não seja um evento de segurança, está cada vez mais atraindo proficcionais de infosec).
  • Em 03/04 eu retirei a Andsec (@andseccon), na Argentina do post, pois os organizadores anunciaram que não vão ter o evento neste ano.
  • Pequeno ajuste em 19/04 para incluir a data da H2HC e para ajustar 2 datas que estavam como 2017 em vez de 2018.

janeiro 22, 2018

[Segurança] Quais as principais tendências para os próximos anos?

Recentemente eu gravei uma conversa para o canal do Luiz Felipe Ferreira aonde, perto do final, ele me perguntou qual é a minha opinião sobre as tendências para o nosso mercado no futuro proximo.

Ele não estava se referindo as tendências para este ano (que eu já comentei aqui no blog), mas sim ao que deve acontecer nos próximos 5 anos ou um pouco mais, e que podem impactar em nosso mercado de trabalho.

Futurologia é algo difícil de ser bem feito, e se nem o pessoal da Singularity University sabe dizer qual é a próxima grande tendência tecnológica, quem seria eu para me arriscar?

Mas, como sou cara de pau mesmo, eu acredito no seguinte:
  • Os problemas de segurança vão continuar sempre crescendo, com o ciber crime e a ciber espionagem governamental dominando o cenário. Enquanto os governos focam em trojans e backdoors altamente sofisticados, o cibercrime está e continuará ganhando muito dinheiro com ransomwares e o bom e velho phishing;
  • Bitcoin e moedas virtuais tendem a amadurecer e se popularizar, mesmo se a bolha do bitcoin estourar. Isso está começando a atrair interesse o cidadão comum, e já é muito explorado pelos investidores, ciber criminosos e cada vez mais atrairá o interesse do pessoal que precisa lavar dinheiro;
  • Do ponto de vista de mercado de trabalho em segurança, estamos numa necessidade crescente de profissionais com background em desenvolvimento (AppSeg), mas as próximas duas grande demandas serão em profissionais que se especializem em IPv6 e em IoT;
  • Duas tecnologias que hoje prometem revolucionar o mercado de segurança são o block chain e a inteligência artificial (ou "machine learning", se preferir chamar assim), mas para ser sincero eu tenho minhas dúvidas se elas vão deixar de ser buzzwords e, no caso do block chain, se ele realmente vai ser aplicado a algo realmente útil, além de criptomoedas.

janeiro 19, 2018

[Geek] Explicando DHCP em uma imagem

A imagem abaixo é ótima para exemplificar como funcionaria o protocolo DHCP se o implementássemos na mão:


Ou seja, se você quer conectar o seu computador na rede (cabeada ou wireless), você escolheria um endereço IP entre os endereços marcados nos pregadores de roupa, e aí configuraria os parâmetros de rede manualmente.

Eu achei a idéia divertida e bem engenhosa. Eu vivi os primórdios da adoção das redes TCP/IP nas empresas, com cabeamento estruturado e tudo, e no início era muito comum os admoinistradores de rede irem distribuindo endereços IP aleatoriamente. Já vi empresas aonde o endereçamento da rede interna foi escolhido baseado na data de nascimento do chefe, e já vi empresas aonde, para dar um novo IP para um usuário, o admin pingava numeros aleatórios até achar um IP que não respondia ao ping. Se o novo usuário der azar, aquele IP estava com outra pessoa com o computador desligado naquela hora, e assim que o usuário original ligasse seu computador, iria dar colisão de IPs na rede.

O protocolo DHCP (Dynamic Host Configuration Protocol) veio salvar a pele de galera, permitindo que os computadores recebam um novo endereço IP na rede de forma dinâmica.

janeiro 16, 2018

[Segurança] Como foram os eventos de Segurança em 2017

Finalmente chegou a hora de comentar como foram os eventos de Segurança em 2017, uma análise  sincera e divertida que eu faço todo o ano sobre nosso mercado. Esse texto eu fico escrevendo aos poucos no decorrer do ano, por isso sempre fico feliz em vê-lo pronto!

O objetivo desse post é compartrilhar publicamente alguns elogios e críticas que eu tenho sobre os eventos no Brasil, para que juntos possamos discutir como melhorar cada vez mais o nosso mercado e nossos eventos.
Lembre-se: Este texto reflete única e exclusivamente a minha opinião pessoal sobre os eventos citados.
Para começar, devo dizer que neste ano eu tive algumas felicidades e algumas frustrações pessoais relacionadas a minha participação nos eventos de segurança:
  • Pela primeira vez, finalmente consegui ir em vários Roadsecs, também fui no hackercamp que acontece a cada 4 anos na Holanda (o SHA 2017) e fui na 8.8, um evento muito legal no Chile. Adorei essas experiências!


  • Infelizmente, neste ano não pude ir no MindTheSec pois coincidiu com uma viagem a trabalho, nem na BSides Latam (que aconteceu na Colombia), na BSides Lisboa (muito próxima ao RoadsecSP) e também fiquei mais um ano sem ir ainda na Nullbyte, um evento que tenho muita vontade de conhecer pela qualidade técnica do evento, pelos excelentes organizadores e porque amo Salvador e amo o Raul Hacker Clube.
  • Outros eventos que eu gostaria muito de ter ido mas não consegui foram o Security Day em  Natal, o JampaSec, o Latinoware e o DISI da RNP #frustrado :(
Talvez o principal destaque de 2017 foi que o ano ficou marcado por um número record de tretas relacionadas aos eventos de segurança. Vejam só:
  • O pessoal da Alligator bem que tentou fazer um CFP treteiro, mas nada supera a treta sobre a paternidade da H2HC, talvez a maior treta pública na história da comunidade de infosec brasileira;
  • Pela segunda vez, o prometido John McAffee furou a sua vinda para o Brasil, e deixou o MindTheSec no Rio de Janeiro órfão de keynote speaker. Para a sorte do evento, o WannaCry tinha acontecido alguns dias antes e eles conseguiram incorporar esse tema na agenda na última hora;
  • Faltando poucos dias para o Roadsec São Paulo, surge uma série de tweets denunciando que o Capitão Crunch é um abusador sexual de jovens adolescentes. Justamente ele, uma celebridade histórica da cena hacker, que viria para o Brasil pela primeira fez para ser o keynote speaker do Roadsec! Sem nenhum alarde, outro palestrante foi colocado em seu lugar e o Roadsec São Paulo ficou seu o seu pop-star internacional;
  • Com isso, o Anderson Ramos confirmou seu pé-frio para trazer palestrantes internacionais. Mas, considerando que ele já trouxe o Mikko Hypponen e o Schneier, ele ainda está com um restinho de crédito ;)
  • Tivemos o tradicional leak na H2HC, com informações de uma pequena galerinha publicada no pastebin e até mesmo um belo poster a venda durante o evento com uma coletânea de algumas senhas. Nada de novo, pois essas senhas eram senhas velhas que foram vazadas nos leaks que aconteceram no decorrer do ano (ex: leak do Yahoo).

Indo ao que interessa,  começo compartilhando minhas principais observações sobre alguns dos eventos nacionais deste ano:
  • Os grandes destaques e novidades
    • O surgimento de uma nova safra de jovens palestrantes: Nesse ano eles surgiram e conquistaram seu espaço. Eu espero que mais novos profissionais sigam os exemplos do João Goes, do Luiz Gustavo Corrêa Filho de 15 anos (que palestrou no Roadsec Brasília e BSidesSP, entre outros) e do Matheus "Teteus Bionic", de 11 anos, que estava presente no RoadSec São Paulo. Também tivemos o Jonatas Fil, de 16 anos, vencedor da etapa São Paulo do Hackaflag;
    • Garotas competindo no CTF: A área de tecnologia e a de segurança não deveriam ser dominadas predominantemente por homens. Aos poucos as mulheres vão conquistando o seu lugar de direito e surgem exemplos de excelentes profissionais do sexo feminino. A final do Hackaflag, o campeonato nacional de CTF do Roadsec, teve a felicidade de trazer duas competidoras: a Aghata Sophia de João Pessoa e a Ingrid Spangler de Belo Horizonte;
    • Os times de CTF brasileiro começam a dominar o mundo: nos últimos poucos anos a comunidade de segurança viu uma grande popularização das competições de Capture The Flag (CTF), e a formação de vários times nacionais. Isto é excelente, pois tem ajudado a compartilhar o conhecimento de segurança, tem servido como uma ótima oportunidade de estudo e treinamento e também tem revelado novos talentos profissionais. Mas o grande destaque de 2017, para mim, foi o pessoal do time RTFM. Além de serem competidores sempre presentes em vários compeonatos, eles também organizaram CTFs para alguns eventos: adorei a competição que eles organizaram na Cryptorave, que tinha até desafio de Dumpster Diving, e eu tive o orgulho máximo de vê-los organizarem o CTF em um evento na Argentina (a Andsec) e no Chile (a 8.8). Em todos esses anos nessa indústria vital, eu jamais imaginei que algum dia teríamos Brasileiros organizando competições lá fora! Parabéns!!!
    • O CTF da BSidesSP também merece destaque pelo formato inovador aqui no Brasil: uma competição que durou 24 horas initerruptas no local do evento. Foi uma maratona para todos, para a organização e para os competidores;
    • Roadsec: O RoadSec é sem dúvida alguma o maior evento de segurança nacional, e neste ano a mega edição de encerramento em São Paulo teve 5 mil inscritos. Para ser sincero, no dia do evento o ambiente me lembrou um pouco a Defcon - guardadas as devidas proporções, claro! Em 2017 o Roadsec visitou 18 cidades brasileiras, incluindo São Paulo;
    • Trilha de AppSec no Roadsec São Paulo, organizado pela Conviso: ótima iniciativa, que deu destaque a um dos assuntos que eu acho mais importante no nosso mercado atual, a segurança de aplicações. Parabéns!
    • Os patrocinadores "ponta firme": Um dos maiores desafios para quem organiza eventos é conseguir bons patrocinadores, que topam apoiar financeiramente e, principalmente, que entendem e respeitam o espírito de cada evento. Na minha experiência, a dificuldade aumenta exponencialmente quando fazemos um evento técnico, pois todo mundo quer patrocinar qualquer coisa que tenha CSOs, mas quase ninguém quer aparecer em um evento aonde você diz que vai estudante e a "peãozada" (desculpe pelos termos, mas eu mesmo me incluo no meio da "peãozada")..Por isso, faço questão de agradecer e parabenizar, em nome da comunidade e do mercado brasileiro, a iniciativa de empresas como a Trend Micro, El Pescador, Conviso e algumas outras que sempre estão presentes. Também merece destaque o Itaú, pela iniciativa e coragem de um banco abraçar a cultura de segurança e a comunidade. Eles, o Itaú, pelo segundo ano consecutivo esteve presente como patroicinador do Roadsec e do HackaFlag.
  • Os melhores eventos de 2017
    • Acredito que tivemos vários eventos excelentes, por isso a escolha de melhor evento é bem difícil. Mas vamos lá...
    • YSTS - Novamente o pessoal do You Sh0t the Sheriff arrasou na escolha do local. Evento cheio, com palestras legais e sempre é presença obrigatória. Muita gente fica de fora, com cara de choro;
    • O Roadsec São Paulo, que se tornou o grande festival da área;
    • Security BSides São Paulo (BSidesSP) - Neste ano a BSidesSP bateu novamente seu record de público: 770 pessoas na edição de maio/2017. O evento tinha muitas atividades de qualidade acontecendo em paralelo, e não decepcionou seu público. Trouxe também um estilo de CTF inédito por aqui: uma competiçÃo que durou 24 horas initerruptas, varando a noite de sábado a domingo - pondo em prova o conhecimento técnico e a resistência física e psicológica dos competidores. O evento cresceu tanto que, infelizmente, foi obrigado a pisar no freio: o trabalho adicional fez a organização preferir realizar um evento por ano em vez de limitar o seu crescimento.
  • Os bons eventos de 2017
    • Mind The Sec - O MindTheSec é um evento para "ver e ser visto", ou seja, é a maior "vitrine" dos profissionais de segurança brazucas. Nesse ano, também merece parabenizar a iniciativa de fazer uma edição menor, no Rio de Janeiro;
    • Hackers to Hackers Conference (H2HC) - A H2HC é aquele evento que todo mundo passa o ano inteiro esperando por ele! O desafio de perguntas e respostas da El Pescador, com torta na cara, fez a alegria da galera!
    • Roadsec: As edições regionais cumprem muito bem o papel de levar bom conteúdo para o Brasil afora, atendendo uma galera enorme e sedenta de conhecimento!
    • Cryptorave: Saiu do Centro Cultural São Paulo para um espaço no centrão de São Paulo, mas novamente não decepcionou com suas palestras excelentes;
    • Não podemos nos esquecer dos bons eventos regionais, como a Nullbyte, o Jampasec, a BWCon e o Security Day em Natal.
  • As ótimas surpresas em 2017
    • Para ser sincero, neste ano não vi grandes surpresas no mercado, exceto, talvez...
    • A criatividade do pessoal da El Pescador, que fez algumas ações de marketing bem legais nos eventos. Na BSidesSP, havia uma piscina de bolinhas aonde o participante caia se não conseguisse diferenciar um phishing de um site verdadeiro, e na H2HC fizeram uma competição de perguntas e respostas com torta na cara; 
  • Sentimos saudades
    • Duas edições da BSidesSP em 2017;
  • Não cheirou nem fedeu
    • GTS - Continua sendo um bom evento, com palestras técnicas de boa qualidade e uma infra-estrutura bem caprichada, com transmissão online - mas chama pouca atenção da comunidade de infosec;
    • Security Leaders: Na minha opinião este é um evento com conteúdo fraco e sem graça, com debates superficiais. Mas ele sempre foi o queridinho dos patrocinadores, que aproveitam a premiação e sua área de exposição para contato com clientes. Afinal, o pessoal da Conteúdo Editorial é muito bom de marketing, e conseguem dar uma boa visibilidade ao evento. Neste ano eles inovaram, com o palco principal em formato "arena", integrado a área de exposições. Eles realmente sabem agradar aos patrocinadores!!!


    • CNASI São Paulo - embora seja o nosso evento mais antigo, ele continua não conseguindo chamar a atenção do público da área;
    • Workshop SegInfo (Rio de Janeiro): Esse já foi um evento sensacional, mas desde 2016 virou um evento fechado para empresas convidadas. É uma pena, pois o Rio de Janeiro merece ter um evento dessa qualidade.
  • Não vi mas vou opinar assim mesmo
    • BHack (em Belo Horizonte, MG) - Infelizmente o evento tem perdido um pouco do brilho das primeiras edições, com falhas na organização e tretas associadas a um dos organizadores (ou ex-organizadores?). Assim, aos poucos foi deixando de atrair uma boa parte da comunidade de pesquisadores em segurança de outros estados;
    • Alligator: É o melhor evento da comunidade underground, fechado a 4 chaves, com palestras de grande qualidade técnica e que faz questão de ser exclusiva;
    • Congresso da ISC2: Acaba sendo esquecido e jogado para escanteio, com tantos eventos nacionais e com o YSTS, MindTheSec e Security Leaders para atender o público corporativo.

  • Micos e roubadas
    • Afinal, nem mesmo os melhores eventos estão livres de um probleminha ou outro;
    • Leakon: Francamente, o pessoal cria um evento hackudão secreto, para os amiguinhos do Underground falarem mal dos outros, e convidam um repórter?
    • Hackers to Hackers Conference (H2HC) - A H2HC teve duas tretas nesse ano: uma leve, com um pessoal não identificado lançando alguns leaks e vendendo um poster no evento com algumas informações vazadas que, na verdade, eram senhas de pessoas que já tinham sido vazadas em outros leaks (os Hackers Brazuca continuam sendo especialistas em fazer leak de informação pública). Mas isso não foi nada perto da "mãe de todas as tretas", que foi uma discussão pública no Linkedin sobre quem foram os fundadores da H2HC. O assunto virou piada entre a comunidade e deu origem a vários memes, com stickers sendo distribuídos na RoadsecSP. Só para manter a tradição dos meus posts nos anos anteriores, eu considero o Novotel Morumbi um péssimo local para o evento (é longe de tudo, de difícil acesso, com poucas opções próximas para comer e com um espaço muito pequeno e desajeitado para o evento);
    • Painel do Montanaro no Security Leaders: pelo que me disseram, durante a palestra não teve nenhuma treta, mas se eu fosse o organizador do evento eu teria retirado silenciosamente da programação por causa da grande discussão que a precedeu;

    • Cano pela 2a vez do John McAfee, no MindTheSec Rio de Janeiro É óbvio que a organização do evento não teve culpa, mas para todos rolou um sentimento de frustração;
    • Defcon 25 anos: OK, não é um evento Brazuca, mas quero deixar registrado aqui a minha frustração. Por mais que o evento seja fodástico, o melhor evento de segurança do universo conhecido, ele não se adaptou bem na infra-estrutura do Caesars Palace, e o pior prejudicado foi o CTF, que ficou exprimido em uma salinha minúscula. Mas nada foi mais frustrante e criticado do que o crachá de plástico xexelento entregue aos participantes. Também eu não vi nada de mega-especial que mostrasse que o evento estava comemorando sua 25a edição.

Segue então um resumo e minha "premiação" para os destaques dos eventos brasileiros no ano de 2017...


Resumão 2017
Melhores Eventos Brasileiros YSTS, RoadsecSP, H2HC e BSidesSP
Melhor Novidade 24hs de CTF na BSidesSP
Maior Surpresa Vencedoras femininas no CTF do Roadsec (HackFlag)
Maior Roubada Convidar o John McAffee como speaker
New kid in the block Leakon
Festa estranha com gente esquisita A festa da SaciCon, claro :)
Maior Mico Ausência do John McAffee no MindtheSec Rio
Maior WTF? Chamar um repórter em um evento secreto
Maior Polêmica Quem fundou a H2HC?
Maior Sem Noção Discutir no Linkedin a paternidade da H2HC
Os Patrocinadores Pira Security Leaders
Alternativo BSidesSP e Criptorave
Visual e Infra Caprichados YSTS e MindTheSec
Organização Caprichada YSTS e Flipside (MindTheSec e Roadsec)
Melhor Local YSTS
Pior Local Novotel do Morumbi (H2HC)
Fora do Eixo Rio-São Paulo RoadSec, sem dúvida
Não Pode Faltar no seu Evento Uma competição de CTF organizada pelo CTF-BR ou pelo RTFM
Para Ver e Ser Visto MindTheSec
Para Poucos e Bons YSTS
Para o Público Técnico GTS e BSidesSP
Para o Público Ninja H2HC
Para o Público Underground Alligator e Leakon
Para o Público Gerencial MindTheSec e Security Leaders
Para a Baixa Gerencia e Público de TI Leigo em SI CNASI e Security Leaders
Para o CSO Gartner Security & Risk Management Summit
Para o Usuário Final DISI e CriptoRave
Para o Povão Roadsec SP
Para quem está começando BSidesSP, Roadsec e H2HC University
Para Crianças BSidesSP (com a BSides 4 Kidz)
Para Competir no CTF RoadSec, CTF 24H da BSidesSP
Para Ajudar uma Boa Causa Good Hacker e Bloody Hacker (BSidesSP)
Para ver os Amigos Roadsec SP, H2HC
Para Beber com os Amigos YSTS e BSidesSP
Para Babar o Ovo ou ser Babado Security Leaders
Para ser VIP Roadsec SP. Bônus se você conseguir 4 ou mais pulseiras de cores diferentes.
Para ver palestrante gringo e não entender nada H2HC e SaciCon
Para ir de Graça BSidesSP e GTS
Para pagar caro para ver evento ruim Security Leaders
(se você não é de empresa "usuário final", eles cobram R$ 1.000 ou R$ 1.500 de ingresso)
Para Assistir de Casa GTS, DISI, Edições regionais do Roadsec
Evento Hostil H2HC e Alligator
Evento Paz e Amor Roadsec e BSidesSP
Não fui mas queria ter ido Nullbyte, Jampasec, Security Day (Natal)
Palestrante mais Pica Grossa Stuart McClure
Melhor Palestrante do ano Kelvin Clark
Palestrante de destaque Luiz Gustavo Corrêa Filho
Melhores Palestrantes de todos os tempos Fernando Mercês, Nelson Brito e Rodrigo Rubira Branco
Palestrante para dar IBOPE no seu evento Diego Aranha
Palestrante arroz-de-festa Eugene Kaspersky
Em 2018 você deve ir para... YSTS, H2HC, Roadsec, Mind The Sec, BSidesSP, Defcon, AndSec, Ekoparty e 8.8
Em 2018 eu quero ir na... Nullbyte
Em 2018 eu quero viajar para... Defcon (US), 8.8 (Chile), Eko e AndSec (Argentina), BSides Lisboa
Em 2019 eu quero viajar para... CCC Camp (Alemanha)
Patrocinadores "ponta firme" El Pescador e Trend Micro
Melhor atividade de patrocinador El Pescador (piscina de bolinha na BSidesSP e quiz com torna na cara na H2HC)

Para saber mais:
  • Veja quais foram os principais eventos de segurança no primeiro e segundo semestres de 2017;
  • Veja meus posts sobre os eventos de segurança nos anos anteriores: 2011, 2013, 2014, 2015, 2016.

Importante: As opiniões apresentadas aqui são somente minhas e não necessariamente refletem a opinião dos organizadores nem dos participantes dos eventos citados. Eu também só estou comentando sobre os eventos que considero serem os mais relevantes, para o bem ou para o mal ;) Se algum evento não foi citado, ou é porque eu esqueci ou porque considero que nem vale a pena escrever sobre ele.

OBS: Post atualizado em 17/01 com alguns pequenos ajustes no texto e com a inclusão de um parágrado valorizando os patrocinadores dos eventos. Também aproveitei para incluir um comentário sobre a trilha de AppSec no RoadsecSP.

janeiro 15, 2018

[Segurança] Pagamos Boleto!

Uma das formas mais comuns dos ciber criminosos Brasileiros ganharem dinheiro é através do pagamento de boletos de terceiros.

Uma vez que eles consigam acesso a conta corrente de uma vítima (através de phishing, por exemplo), uma das formas mais fáceis deles roubarem o dinheiro via Internet Banking é o pagamento de contas.

O fraudador se compromete a pagar contas (por exemplo, boleto de cartão de crédito, boleto de imposto, etc) com um desconto atrativo. Alguém é atraído pela possibilidade de se dar bem pagando uma dívida por um valor menor, e repassa o código do boleto e o valor para o criminoso. Então, o criminoso usa a conta corrente da vítima para pagar o boleto. Ele pode fazer isso simplesmente acessando o Internet Banking com as credenciais da vítima, ou até mesmo usando um malware de boleto especializado.

O anúncio abaixo é um exemplo (que recebi de colegas) aonde alguém oferece o serviço de pagamento de boletos cobrando apenas 50% do valor original da dívida.


O pagamento de boletos traz como vantagem, para o ciber criminoso, de que a transação pode ser mais difícil de ser rastreada e extornada do que se ele fizesse uma simples tranferência de valores. Além do mais, a conta não está em nome dele, então fica difícil comprovar a sua participação na fraude.

janeiro 12, 2018

[Segurança] Ransomware é uma epidemia

Conversando recentemente com alguns amigos sobre as tendências para 2018, um assunto foi unânime: os ataques de ransomware já são uma epidemia aqui no Brasil e no mundo. Eles acontecem com tanta frequência que qualquer pessoa ou empresa pode ser infectada ao menor descuido.

Qualquer umpode ser afetado por um ataque de ransomware, independente de ser um mega-ataque global como foi com o Wannacry ou o Petya. Uma boa amostra de que isso é verdade é que no ano passado em alguns momentos eu fui procurado por alguns parentes pedindo ajuda para resolver problemas de ransomware. Quando a sua familia te procura, é sinal que o problema é sério e atingiu as massas!


janeiro 10, 2018

[Carreira] Traduzir, mencionar, copiar ou plagiar

Toda vez que vemos um texto interessante, acho que é normal termos vontade de compartilhá-lo, de repassar esse texto e seus ensinamentos para nossos contatos e colegas. E há várias formas de fazer isso: posso apenas compartilhar o link do texto na minha rede social, posso usá-lo como referência em algum trabalho meu, ou posso também transcrevê-lo, mantendo a referência ao texto original.

Quanto o texto original está em inglês, uma outra forma muito importante de compartilhar o seu ensinamento é traduzi-lo e compartilhar essa tradução Afinal de contas, uma parcela muito grande da nossa população não tem domínio do idioma de Shakespeare, e a tradução é a melhor forma de repassar esse conhecimento em sua forma original.

Citar o texto original e seu autor é, acima de tudo, uma forma de respeito e gratidão pelo ensinamento que você acabou de receber. E, além do mais, mostra que você tem ótimas referências quando está falando de um determinado assunto. Como me lembrou muito bem o professor Nelson Brito, dar crédito ao trabalho original também pode evitar que você passe pro problemas legais devido a leis de copyright (por isso, também vale a pena você conferir qual é o copyright de um texto ou de um material, antes de compartilhá-lo).

Infelizmente, é muito comum encontrarmos quem prefere trilhar o caminho sombrio, de assumir para si a autoria do trabalho de outra pessoa. Isso é um problema universal: acontece em qualquer área do conhecimento, não apenas no nosso mundinho de tecnologia. Acontece com muita frequência em trabalhos acadêmicos, com livros e textos literários, em reportagens e artigos, no mundo musical, etc. O verbete da Wikipedia sobre Plágio traz um exemplo interessante de 1931 (ou seja, está aí um exemplo de que o plágio não é limitado ao mundo online e já existia muito antes de inventarem a Interne).

O nosso YouTuber favorito, o Fernando Mercês, fez um vídeo muito legal sobre esse assunto, o plágio:


Recentemente, tivemos um caso triste, aonde um colega da área compartilhou um artigo muito bom sobre as vulnerabilidades Meltdown e Spectre, inicialmente dizendo que era de sua autoria. Isso aconteceu no grupo público do Roadsec, no Telegram.


Pouco tempo depois o Professor Nelson Brito apontou a semelhança com outro artigo, mas na ocasião o autor insistiu que o texto era dele.

  

Mas basta comparar os dois textos lado a lado para ver a semelhança. Posteriormente, depois que essa discussão ganhou mais destaque, ele colocou uma nota no início do artigo dizendo que era uma tradução do original em inglês. E, depois que a notícia se espalhou, o artigo foi retirado do ar.

O que aprendemos com isso?
  • Hoje em dia, é fácil identificar quando alguém toma para si a autoria do texto de outra pessoa (mesmo que se apodere só de uma parte do artigo original). A Internet, a mesma tecnologia que facilita o acesso a informação e facilita a vida do plagiador, também ajuda na identificação da real autoria de um texto;
  • Se você quer compartilhar um conteúdo que gostou, há várias formas de fazer isso sem correr o risco de ser acusado de plágio.
Por isso, toda vez que você quiser compartilhar um ensinamento de outra pessoa, eu sugiro que siga algum dos seguintes caminhos:
Uma outra situação muito comum, no trabalho do dia-a-dia, é você ser solicitado para representar a empresa aonde trabalha em algum evento, fazendo uma apresentação em nome dela e apresentando um trabalho desenvolvido por outro colega da empresa (ou mesmo um PPT criado pela área de Marketing). Nesse caso específico, como você está representando a empresa, a autoria é dela, e não de você, e não há conflito - contanto que você deixe claro que o conteúdo é da empresa (ou, em alguns casos, deixe claro também que trata de outra área dentro da empresa que conduziu a pesquisa). Jamais pegue esse conteúdo, tire o logo da empresa e diga que é seu! (nem mesmo se você foi o autor original daquele conteúdo, pois tudo o que você faz no expediente de trabalho é de propriedade da empresa). Mesmo nessas situações, você provavelmente terá a liberdade de adaptar o conteúdo padrão a sua experiência, agregando idéias e exemplos seus. Isso enriquece muito a apresentação.

Usar o trabalho de outras pessoas como base para um estudo ou uma pesquisa sua não é vergonha para ninguém, muito pelo contrário, é super normal e faz parte do processo de aprendizagem. O que é vergonhoso, e pode queimar a sua reputação no mercado, é se você se apropriar do material de outra pessoa, como se fosse seu.


OBS: Post atualizado em 10/01. Fiz algumas correções em 11/01.

janeiro 08, 2018

[Segurança] Impressões do Roadsec 2017

Em 2017 o Roadsec passou por mais uma maratona: foram 18 cidades, incluindo o mega-evento de encerramento em São Paulo.


Neste ano eu tive a oportunidade de palestrar em várias edições do evento: Oito, ao todo. Estive no Roadsec Pro e no "normal" em Brasília, nos Roadsecs em Salvador, BH, João Pessoa, Vitória, Porto Alegre e Cutitiba, e ainda fechei o ano com uma palestra na trilha de carreiras na edição de São Paulo. A maioria dessas palestras aconteceram em função de uma parceria de conteúdo entre a Flipside e a empresa aonde trabalho, RSA, aonde nos comprometemos a oferecer palestras diferentes em cada uma das cidades acima.


Para mim, essa foi uma oportunidade excelente de conhecer e vivenciar um pouco como é o verdadeiro espírito do Roadsec, como é conhecer várias cidades e várias pessoas ao redor do país, ver as diferenças entre cada edição e, ainda, a chance de conviver e conversar com vários palestrantes e com o time sensacional da Flipside que faz o Roadsec acontecer.

E a minha conclusão é que a Flipside é formada por um time de heróis e heronias! Quem olha de longe ou participa de uma ou outra edição não tem a idéia do grande esforço que eles tem para fazer o evento acontecer em tantos lugares tão diferentes no decorrer do ano. O esforço inclui, entre outras coisas, cuidar da logística, de ir de cidade a cidade carregando malas lotadas de material do evento, e o sacrifício pessoal de passar vários finais de semana trabalhando longe de casa. Mesmo quando você consegue esticar um dia a mais para curtir a cidade, ainda assim é um esforço muito grande do ponto de vista pessoal.

E, sinceramente, nem sempre o esforço deles é compensado em termos de patrocínio ou de participação da comunidade local. Ver isso me deixou um pouco frustrado, por ser um fã do evento e por acreditar na importância que eles tem, levando um evento de qualidade que tem potencial para fomentar o mercado em todo o país.

Algumas coisas que me saltaram aos olhos:
  • Antes de mais nada: os problemas ou defeitos independem de geografia. A realidade não condiz com o preconceito enraizado de que cidades de algumas regiões são mais ou menos evoluídas em termos de infra-estrutura, tecnologia e comunidade. Vi, por exemplo, edições do Roadsec no Nordeste muito mais cheias e ricas do que em cidades da região Sul, ou uma edição no Sudeste com público abaixo da expecttiva;
  • Vemos uma grande diferença de infra-estrutura entre as cidades. Por ser realizado em várias faculdades diferentes, é visível como algumas faculdades tem infra-estrutura bem melhor do que outras, sem seguir nenhum padrão geográfico. Uma edição podia acontecer em um auditório luxuoso e a próxima em uma faculdade em que o sinal wifi quase inviabilizou o streamming das palestras;
  • Baixo engajamento do público, inclusive em cidades que deveriam ser pólos tecnológicos mais avançados. Eu vi cidades, inclusive, aonde o campeão do Hackaflag (o campeonato local de CTF) foi o único participante a pontuar;
  • Me assustei, principalmente, ao ver locais aonde falta a cultura de valorizar a comunidade em vez do benefício próprio. Vi casos aonde as demais faculdades marcavam prova no dia do Roadsec para que seus alunos não fossem no evento. Pior ainda: em uma cidade o professor de uma outra faculdade foi no Roadsec oferecer para que fizessem a próxima edição na sua instituição, prometendo levar mais alunos do que eles receberam nesse ano. Ou seja, a competição entre faculdades é mais importante do que a troca de conhecimento e a aprendizagem :(
Mas também vi muita gente disposta a aprender e a ensinar. Em todas as cidades os voluntários (roadies) deram um show, e certamente o evento não teria acontecido sem eles.

Não posso encerrar o meu post sem um grande Parabéns para toda a equipe da Flipside que faz o Roadsec acontecer! Parabéns pelo esforço pessoal e profissional, parabéns pelo amor e dedicação, pelo cuidado com o evento e com os participantes, pelo engajamento dos Roadies, por manter as competições vivas e por ter fôlego para inovar a cada ano.

janeiro 05, 2018

[Segurança] Meltdown e Spectre

O ano começou com uma bomba na área de segurança: uma vulnerabilidade grave no kernel dos processadores Intel, AMD e ARM, que tornaram praticamente todo mundo vulneráveis a ataques!

  


O conjunto de 3 falhas, batizadas de Meltdown (CVE-2017-5754) e Spectre (CVE-2017-5753 e CVE-2017-5715), permitem o acesso a áreas protegidas da memória, de forma que um programa malicioso possa acessar áreas de memória do kernel ou de outros processos. Ambos ataques aproveitam uma técnica para otimização de desempenho chamada de "execução especulativa", presente nos processadores modernos. O Meltdown consegue quebrar o isolamento entre as áreas de memória do Sistema Operacional e de outros programas, enquanto o Spectre ataca o isolamento entre diferentes programas.


Como dizem os sites oficiais:
"Meltdown breaks the most fundamental isolation between user applications and the operating system. This attack allows a program to access the memory, and thus also the secrets, of other programs and the operating system."
Fonte: https://meltdownattack.com

"Spectre breaks the isolation between different applications. It allows an attacker to trick error-free programs, which follow best practices, into leaking their secrets. In fact, the safety checks of said best practices actually increase the attack surface and may make applications more susceptible to Spectre."
Fonte: https://spectreattack.com
Resumindo, tanto o Meltdown quanto o Spectre permitem aos usuários comuns (de baixo privilégio) ler informações da memória do mesmo sistema explorando o recurso de Execução Especulativa. A diferença é que o Meltdown explora um problema específico de escalada de privilégios nos processadores da Intel, enquanto o Spectre usa a combinação de Execução Especulativa e Branch Prediction.

Com isso, programas maliciosos conseguiriam acessar áreas de memória de outros programas rodando no mesmo computador, e assim, ler e manipular esses dados. É possível, por exemplo, capturar uma senha que o usuário digita em outra aplicação.


Como a imprensa tem destacado, essa vulnerabilidade afeta todos os chips produzidos pela Intel nos últimos 10 anos, e espera-se que as correções existentes podem causar prejuízo na performance dos chips de até 30%.

Agora imagine o desespero de um gestor de TI que tem que aumentar o tamanho do seu datacenter em 1/3 do dia para a noite!!!

A falha foi descoberta pelo pessoal do Google Project Zero além de outros 3 grupos de pesquisadores (que trabalharam separadamente e, por coincidência, descobriram essas vulnerabilidades em um intervalo de tempo de poucos meses entre um e outro), e foi notificada aos fabricantes pela primeira vez no dia 01 de junho de 2017. Logo após a divulgação do bug, no dia 03/01, vários pesquisadores de segurança correram para criar exploits e formas de testar essas vulnerabilidades. No exemplo abaixo, criaram um programa em JavaScript com 5 linhas de código:


Embora seja, um problema na arquitetura dos processadores modernos (isto é, no hardware), o Meltdown e o Specter podem ser evitados com patches de software. Os fabricantes de sistemas operacionais (Windows, iOS, Linux, etc) trabalharam para preparar patches que pudessem mitigar essa vulnerabilidade, mas tiveram que antecipar o lançamento desses patches devido ao que parece ter sido uma divulgação imprevista do problema. Entretanto, como as vulnerabilidades estão no hardware, as únicas correções reais envolveriam trocar a CPU por uma nova, com uma arquitetura sem essas falhas. Mas como isso ainda não é possível, estamos dependendo de ajustes feitos nos SOs para evitar que essas falhas sejam exploradas.


A correção consiste em separar completamente a memória do kernel dos processos dos usuários, como no caso do recurso batizado de "Kernel Page Table Isolation" (KPTI) incorporado no Linux. O time de desenvolvedores, ao criar essa funcionalidade, pensaram em batizá-la de forma bem criativa como "Forcefully Unmap Complete Kernel With Interrupt Trampolines", ou seja, "FUCKWIT".

Praticamente todos os garndes fabricantes de sistemas operacionais e grandes provedores de serviços em nuvem correram para atualizar seus sistemas contra essas vulnerabilidades. O site The Hacker News fez um excelente apanhado das correções disponibilizadas pelos principais fabricantes, veja aqui: "[Guide] How to Protect Your Devices Against Meltdown and Spectre Attacks".

Algumas explicações sobre o bug e "execução expeculativa"

O Meltdown trouxe a tona uma feature das CPUs modernas que, apatentemente, ninguém estava familiarizado: a "execução especulativa". Em poucas palavras de leigo, para ganhar um pouco mais de performance e conseguir executar mais insctuções, os processadores modernos aproveitam os ciclos de processamento que a CPU deveria estar livre para adiantar a execução das próximas instruções, quando o processamento está parado esperando algum dado ou resposta. Assim, se ele "adivinhar" qual foi a resposta certa, ele ficou na vantagem porque processou algumas instruções durante um tempo que ceveria estra parado. Se errou, então basta descartar o que foi processado, e a vida segue.

Veja esses artigos:
O pessoal do XKCD explicou isso:


Bônus: Humor




Para saber mais
OBS: Post atualizado em 05/01 as 10:20 (para incluir a informação sobre o OpenBSD). Atualizado novamente nos dias 07/01, 08/01 e 09/01. Atualizado em 10/01 e 11/01. Nova atualização em 17/01, 19/01, 23/01 e 24/01. Atualizado em 30/01. Atualizado em 15/02 e 20/02. Atualizado em 04/04/18.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.