março 29, 2018

[Segurança] Deus Hackeado!

Recentemente ficamos sabendo que o Carlos Ruas, o cartunista autor da excelente série de quadrinhos Um Sábado Qualquer, perdeu o acesso ao seu grupo no Facebook, que ele usava para divulgar suas charges, vídeos e produtos, e tinha cerca de 2,8 milhões de seguidores.


Segundo uma reportagem do UOL, o Um Sábado Qualquer é o site de tirinhas mais acessado do Brasil. Ele publica tirinhas humorísticas em sua maioria com conteudo religioso, e não raramente mistura vários personagens em uma mesma estória: Deus, Jesus, Adão e Eva, Luci, Odin, Oxalá, Orus, Maomé, Darwin, etc. As vezes suas charges são mais críticas, mas eu acredito que em sua grande maioria elas não ofendem nem criticam ninguém.


Segundo um vídeo divulgado pelo próprio Ruas no dia em que o incidente aconteceu, ele conta que foi procurado por um suposto candidato a anunciante, utilisando um perfil fake e que o convenceu a assinar um serviço falso de "Facebook Instant Articles", supostamente uma nova tecnologia para anunciantes em páginas. Mesmo tomando vários cuidados (como verificar o perfil da pessoa, entrar em contato com conhecidos dela e verificar que o suposto site do facebook "tinha cadeado"), ele foi convencido a acessar essa página para assinar o serviço. No mesmo instante em que forneceu seus dados na página falsa, a pessoa o bloqueou no Facebook, teve acesso a sua página, deletou todo o conteúdo e apagou o perfil.


A única forma que ele teve para tentar recuperar a página foi notificar o Facebook e enfrentar as exigências burocráticas deles, um processo que já se extende por quase uma semana (o incidente aconteceu no dia 25/3 e até 29/3 a página ainda estava fora do ar.


Há vários aspectos preocupantes nessa história:
  • O nível de esforço e sofisticação que alguém tem para conseguir roubar o acesso a uma página no Facebook;
  • A dificuldade de acesso ao Facebook para suporte e atendimento de emergências, mesmo você sendo dono de uma página com milhões de seguidores (e que, portanto, gera conteúdo e tráfego para o próprio Facebook);
  • A burocracia e a demora para conseguir recuperar acesso ao seu próprio conteúdo no Facebook;
  • O atacante simplesmente apagou a página, sendo que na verdade ele poderia ter roubado o controle da página para fazer vários outros golpes, como chantagear o Ruas, postar mensagens com código malicioso ou propaganda aproveitando a audiência de quase 3 milhões de pessoas, ou renomear a página, aproveitando a audiência.
O último ponto que eu citei acima, da página ter sido apagada, leva a crer que o ataque foi algum tipo de vingança, talvez realizada por algum grupo de intolerância religiosa que ficou ofendido com o conteúdo das charges.

O episódio também serve para refletirmos o quanto os produtores e consumidores de coteúdo estão dependentes do Facebook. Ele é, muito provavelmente, a principal forma de divulgação e compartilhamento de conteúdo hoje em dia.

Resta agora torcer para que o Ruas recupere a sua página com o s eu conteúdo, e volte a nos divertir com suas tirinhas.

Atualização (03/04): Após mais de uma semana de sofrimento, na segunda-feira 02/04 a tarde a página do USQ no Facebook foi recuperada!



março 27, 2018

[Segurança] Quer dinheiro rápido?

O principal desafio dos ciber criminosos não é criar um site de phishing convincente nem um malware super sofisticado. O "calcanhar de aquiles" nas fraudes online reside na dificuldade de materializar o ganho financeiro em algo palpável, como dinheiro ou mercadorias. Essa é, normalmente, a forma mais fácil de um criminoso ser identificado e pego.

Por isso, é comum encontrarmos gangs bem organizadas aonde algumas pessoas tratam especificamente da retirada de dinheiro, ou "cash out", que é o termo que normalmente usamos em inglês para designar essa fase do ciber crime.

Normalmente os criminosos usam contas criadas com identidades falsas ou em nome de outras pessoas, os famosos "laranjas" (em inglês, o termo normalmente usado é "mule", de "mula"mesmo).

Uma das formas mais comuns de consequir sacar o dinheiro desviado via Internet de uma conta corrente é através de laranjas que, em troca de um ganho financeiro, fazem o trabalho de interceptação de mercadorias ou receber as transferências de valores, e assim eles repassam isso para o criminoso. Isso pode ser feito, por exemplo, transferindo dinheiro para a conta corrente do laranja a partir de uma conta invadida, e então o laranja recebe esse dinheiro e repassa uma parte dele ao criminoso, ficando com uma "comissão".

É um bom negócio para os dois: o laranja ganha dinheiro fácil e o criminoso arranja algu''em para ser rastreado e preso no lugar dele.

No país dos "espertos" e do "jeitinho", os ciber criminosos não tem dificuldade em recrutar laranjas.

Para exemplificar isso, recentemente alguém tentou publicar um anúncio em meu blog que foi barrado pelo controle anti-spam. O anúncio está em espanhol:
"¿NECESITA UN DINERO RÁPIDO? Acabo de recibir una tarjeta de cajero automático vacía de los Estados Unidos ahora y está programado para retirar hasta 1,000 dólares por día y 18,000 en dos meses ... Estoy muy feliz, mi familia está viviendo muy bien ahora. Lo obtuve de un pirata informático en los Estados Unidos y su nombre es OMITIDO. Su número de whatsapp es +1 NNN-NNN-NNNN .. condición [Mi porcentaje es 70 y le envío 30 por ciento]"
Ou seja, os ciber criminosos enviam um cartão de crédito ou débito para a pessoa, que ela utiliza para sacar dinheiro de um caixa automático - até 1.000 dólares por dia. Isso pode ser um cartão do tipo pré-pago ou de uma conta corrente, tanto faz. O laranja fica com 70% do dinheiro que sacou e envia apenas 30% para o criminoso. Os dois ficam no lucro.

E olha que esse criminoso é bem bonzinho!



março 26, 2018

[Segurança] Segurança para Cloud Computing no governo Federal

O Departamento de Segurança da Informação e Comunicações (DSIC), o órgão de segurança do governo Brasileiro subordinado ao Gabinete de Segurança Institucional (GSI) da Presidência da República, publicou recentemente uma revisão da norma complementar sobre os requisitos de segurança para a contratação de serviços de Cloud Computing.

A Norma Complementar nº 14/IN01/DSIC/GSIPR1, divulgada pelo GSI em 19/03/2018, foi publicada originalmente em 30 de janeiro de 2012. Ela estabelece quais são os princípios, diretrizes e responsabilidades de Segurança da Informação que os órgãos e entidades do governo federal devem considerar na contratação e no tratamento da informação em ambientes de Computação em Nuvem. A norma vale para todos os órgãos da Administração Pública Federal (APF), direta e indireta.

Esta norma tem como objetivo orientar a Alta Administração de cada órgão ou entidade da APF sobre como considerar os riscos dos ambientes de Cloud Computing na Gestão de Riscos de Segurança da Informação e Comunicações (GRSIC) existente, de modo a salvaguardar dados, informações e serviços sob sua responsabilidade, de acordo com os interesses de entidade, da sociedade e do Estado.

É interessante notar que a norma estabelece a obrigatoriedade de armazenamento dos dados em território nacional (item 5.3), limitando assim a contratação de Cloud Computing a empresas que tenham infraestrutura baseada no Brasil, e também estabelece que é vedado o armazenamento de dados sigilosos em ambiente na Nuvem (item 5.2.2).

Na minha opinião, dentre as diversas diretrizes listadas nessa norma, os pontos mais importantes são os seguintes:
5 PRINCÍPIOS E DIRETRIZES

5.1 O órgão ou entidade da APF deve observar, no mínimo, ao adotar o tratamento da informação em ambiente de Computação em Nuvem:
5.1.4 As informações tratadas em ambiente de computação em nuvem devem passar por um processo de GRSIC;
5.1.9 A prevalência da legislação brasileira sobre qualquer outra.
5.2 Sobre o tratamento da informação:
5.2.1 Informação sem restrição de acesso: pode ser tratada, a critério do órgão ou entidade da APF, em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC;
5.2.2 Informação sigilosa: como regra geral, deve ser evitado o tratamento em ambiente de computação em nuvem, conforme disposições a seguir:
5.2.2.1. Informação classificada: é vedado o tratamento em ambiente de computação em nuvem;
5.2.2.2. Conhecimento e informação contida em material de acesso restrito: é vedado o tratamento em ambiente de computação em nuvem;
5.2.2.3. Informação com restrição de acesso prevista em legislação vigente: a critério do órgão ou entidade da APF, pode ser tratado em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC. O órgão ou entidade da APF deve adotar medidas que assegurem a disponibilidade, integridade, confidencialidade e autenticidade (DICA);
5.2.2.4. Documento Preparatório: a critério do órgão ou entidade da APF, pode ser tratado em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC. O órgão ou entidade da APF deve adotar medidas que assegurem a DICA;
5.2.2.5. Documento preparatório que possa originar informação classificada deve ser tratado conforme o item 5.2.2.1; e
5.2.2.6. Informação pessoal relativa à intimidade, vida privada e imagem: a critério do órgão ou entidade da APF, pode ser tratado em ambiente de computação em nuvem, considerando a legislação vigente e os riscos de SIC. O órgão ou entidade da APF deve adotar medidas que assegurem a DICA.
5.3 Deve ser assegurado que dados, metadados, informações e conhecimento, produzidos ou custodiados por órgão ou entidade da APF, bem como suas cópias de segurança, residam em território brasileiro;
Esta norma tem um objetivo claro de alinhar a contratação de serviços em nuvem com as normas, políticas e procedimentos existentes (incluindo gestão de risco e tratamento de incdentes), além de explicitar a proibição de armazenamento de informações fora do território brasileiro e a preocupação com o sigilo dos dados.

março 22, 2018

Posts que nunca foram escritos

Chegou a hora de limpar novamente um pouco do meu backlog de posts pendentes. Algumas notícias são velhas, mas valem a pena serem relembradas.

Novos vazamentos de dados:

No ano passado, o ISC2 lançou a versão em Português do programa para educação de segurança infantil “Safe and Secure Online”, para conscientização de  jovens usando cartoons do Garfield.

Que feio! Os storages da Western Digital vem com um usuário e senha hardcoded! Qualquer um pode acessar o seu storage! "Critical Unpatched Flaws Disclosed In Western Digital 'My Cloud' Storage Devices"

Artigo bem legal sobre como os Russos influenciaram as eleições presidenciais americanas: "Anatomy of a Russian Information Warfare Campaign"

Para pensar: "Por que a comunidade de SI, precisa parar os "especialistas" da Globo."

Sobre a epidemia de notícias falsas:


março 20, 2018

[Segurança] Os 7 hábitos das pessoas altamente “inhackeáveis”

O Alberto J Azevedo escreveu um artigo com uma proposta bem legal, de indicar "Os 7 hábitos das pessoas altamente “inhackeáveis”", ou seja, alguns hábitos "para se tornar uma pessoa altamente proficiente e eficaz em segurança da informação e, com isso, diminuir sensivelmente as chances" de ser hackeado ou ter sua identidade roubada.

Resumindo o artigo, o Alberto recomenda alguns cuidados relacionados ao uso de nossas senhas e identidades online, que ele traduziu em alguns hábitos que devemos adotar. Os dois primeiros foram os seguintes:
  1. Tenha uma política sólida de senhas: O Alberto indica que a melhor forma de resolver o problema de gestão de senhas fortes e não reutilizar senhas de maneira alguma é usando um gerenciador de senhas e criando uma senha diferente para cada site ou serviço, usando senhas randômicas que misturem letras maiúsculas e minúsculas, números e caracteres especiais e letras maiúsculas. Outros cuidados incluem não usar o recurso de autocompletar os campos no browser, prestar atenção em alertas de tentativas de uso de suas senhas, ao registrar perguntas secretas, use respostas falsas;
  2. Use um segundo fator de autenticação sempre que possível: Os principais serviços online de e-mail, redes sociais e alguns serviços online fornecem opção de usar uma senha extra enviada por SMS ou calculada no celular. Nesses casos, tenha o cuidado extra de desabilitar o recurso de pré-visualização de mensagens SMS no seu celular (mesmo com a tela bloqueada)

março 19, 2018

[Segurança] Comunicando incidentes de Vazamento de Dados

Lendo uma notícia recente sobre o vazamento de dados da NetShoes, fiquei sabendo que o Ministério Público do Distrito Federal e Territórios (MPDFT) tem, desde novembro de 2017, uma Comissão de Proteção dos Dados Pessoais, a primeira iniciativa nacional dedicada exclusivamente à promover a proteção dos dados pessoais e da privacidade dos brasileiros.


Entre outras iniciativas, eles mantém um formulário online para Comunicação de Incidentes de Segurança, aonde as empresas poderão registrar ocorrências de vazamento de dados que impactem seus clientes.

março 16, 2018

março 14, 2018

[Segurança] Evitando dados pessoais em formulários online

Uma pesquisa recente realizada pela RSA mostrou um dado interessante: 41% dos consumidores em todo o mundo falsificam suas informações ao preencher dados em formulários on-line.

Além disso, cerca de 78% limitam a quantidade de dados pessoais que disponibilizam online ou compartilham com empresas.

O estudo da RSA, chamado "RSA Data Privacy and Security Survey", entrevistou 7.500 consumidores nos EUA, França, Alemanha, Itália e Inglaterra, e também identificou que...
  • 59% dos respondentes fazem isso para evitar receber mensagens não solicitadas (SPAMs) ou mensagens de marketing (55%);
  • 55% evitam repassar seus dados para que empresas os revenda ou use esses dados sem consentimento;
  • 35% dos consumidores mentem ou omitem seus dados por preocupação com a privacidade e segurança de seus dados.


março 12, 2018

[Segurança] Ataque do momento: Memcached DDoS

Nos últimos dias vimos um aumento significativo no poder de fogo dos ataques de negação de serviço distribuídos (Distributed Deny of Service, ou DDoS, em inglês). Isso aconteceu por causa da incorporação de uma nova técnica de ataque no ferramental existente, o que deu origem ao temido...

Ataque Memcached DDoS


Essa nova técnica de amplificação de ataques usando servidores Memcached vulneráveis na Internet (CVE-2018-1000115) já trouxe novos volumes record de ataques DDoS, atingindo recentemente 1,7 Tbps de tráfego em um ataque identificado contra um cliente da Arbor nos EUA. E a tendência obvia é que o tamanho dos ataques deve aumentar ainda mais, para a alegria dos ciber criminosos especializados em fazer extorsão (eles exigem uma certa quantia para não derrubar o seu site).

Estima-se que existam 95 mil servidores Memcached expostos na Internet, e que portanto podem ser utilizados em ataques DDoS.


Segundo uma empresa chinesa especializada em mitigação de ataques DDoS, os ciber criminosos já lançaram quase 15.000 ataques com a técnica Memcached contra 7.113 sites nos últimos dez dias, com alvo sites nos Estados Unidos, China, Hong Kong, Coréia do Sul, Brasil, França, Alemanha, Reino Unido, Canadá e Holanda. Segundo eles, no máximo 20.612 servidores Memcached vulneráveis participaram de um mesmo ataque.

A Cloudfare estima que a maioria dos servidores utilizados para amplificar os ataques estão localizados nos EUA, Alemanha e Hong Kong.



Como disse a Arbor muito bem, "O rápido aumento da frequência desses ataques indica que este vetor de ataque relativamente novo foi automatizado e começou a sero amplamente utilizado por atacantes dentro de um intervalo relativamente curto". O exploit dessa vulnerabilidade já está disponível online.

Segundo uma noticia recente, usando informações da NETSCOUT, esse ataque já está chegando ao Brasil. A NETSCOUT e a Arbor afirmam que desde o dia 16 de fevereiro elas tem observado um aumento do tráfego Memcached no Brasil, com tendência de alta para março. Elas especulam que isso indica a criação e crescimento de botnets que usam memcached para amplificação, possivelmente usando hosts zumbi comprometidos no Brasil.

A boa notícia é que descobriram uma forma de interromper um ataque DDoS usando essa técnica, aonde a vítima pode enviar um comando de "shutdown" ou "flush" volta para cada um dos servidores Mencached que estejam amplificando o ataque.

Para saber mais:

março 08, 2018

[Cyber Cultura] Grace Hopper: Legends and Lies

Aproveitando o Dia Internacional da Mulher, nada melhor do que olhar um pouco as grandes mulheres que marcaram a história da computação em todo o mundo. E uma das principais figuras históricas, sempre  lembrada por todos, é a Grace Hopper (1906-1992), uma das pioneiras na área de informática.

Através do Barata Elétrica eu vi um vídeo bem legal, de meia-hora, com uma palestra sobre a vida da Grace Hopper. Nesse vídeo, ficamos sabendo de muitas coisas sobre a sua vida, que entrou na Marinha americana em 1937 e imediatamente teve a oportunidade de trabalhar no Mark I, um dos primeiros computadores da história.


A Melissa Pierce, quem apresenta a palestra, é produtora e diretora do documentário "Born with Curiosity: The Story of Grace Murray Hopper", e por isso colecionou muitas histórias sobre ela. Veja o pequeno trailer sobre o documentário:


Há várias curiosidades sobre a vida da Grace Hopper, tais como...
  • Quando ela tirou seu PHD em Matemática em Yale, no ano de 1934, apenas cerca de 30 mulheres já tinham se formado em PhD nos EUA;
  • Durante a Segunda Guerra Mundial ela desejou entrar para a Marinha. Ela tentou 3 vezes antes de ser aceita, aos 37 anos;
  • Na Marinha, Grace trabalhou no Mark I e Mark II, dois dos primeiros computadores da história da computação. Ela não conhecia nada sobre computadores quando a Marinha lhe designou para trabalhar no Mark I. Assim, Grace aprendeu a programar quando tinha 37 anos;
  • Como ela constantemente contava a história de como encontrou um inseto que interrompeu o funcionamento do Mark II, ela ficou conhecida por popularizar a expressão "bug de computador";
  • Ela é considerada a "avó do COBOL", pois Grace criou um programa chamado FLOW-MATIC, que serviu de base para a equipe que construiu o COBOL;
  • Um navio da Marinha Americana foi batizado em homenagem a ela, o destroier USS Hopper.
Também vale a pena assistir uma entrevista curta e divertida que ela deu no programa David Letterman há um tempão atrás, quando ela tinha 79 anos de idade:


Para finalizar esse post, que tal um vídeo bem curtinho sobre "Quem Foi Grace Hopper"?


março 07, 2018

[Segurança] Ciber Cyber Ciber

De vez em quando surgem alguns eventos no mercado de segurança que tentam pegar carona em alguma buzzword da moda.

Claro que já surgiu um evento para falar de "ciber security", como notaram alguns amigos em um grupo do Whatsapp:


A menos que você tenha interesse bem específico em um assunto específico, a minha recomendação geral é que sempre avalie muito bem o evento que você vai participar (seja como patrocinador, palestrante ou simples participante na platéia). Evite eventos que falam muitas buzzwords, tanto na descrição do evento quanto nos títulos das palestras, e avalie principalmente o conteúdo da agenda e a qualidade dos palestrantes.

março 06, 2018

[Segurança] DDoS record... de novo!

Não durou nem 1 semana o record batido pelo ataque DDoS ao GitHub anunciado na sexta-feira passada, que atingiu 1,35 Tbps de tráfego. De acordo com a Arbor, um cliente deles nos EUA recebeu um ataque DDoS que atingiu...

1,7 Tbps


Um novo record! Novamente, a causa deste volume record de DDoS é apontada para a nova técnica de amplificação usando servidores memcached.

Eles também publicaram um gráfico que mostra o crescimento do tamanho dos ataques DDoS nos últimos 10 anos. O maior ataque registrado pela Arbor, até então, era de 650 Gbps.

Me parece que o tamanho dos ataques DDoS ainda vão crescer muito com essa nova técnica de amplificação, já que ela consegue multiplicar um ataque por cerca de 50 mil vezes. Novos records devem ser vatidos nos próximos dias :(

Para saber mais:

março 05, 2018

[Segurança] Mais um DDoS monstrão

Há pouco mais de um ano atrás, em novembro de 2016, estávamos assustados com um ataque distribuído de negação de serviço contra o provedor Dyn, causado pela botnet Mirai, que atingiu 1,2 Terabit de dados por segundo.

Agora, de repente, o GitHub (aquele site bonzinho de repositório de projetos de software, em especial código open source, com um gatinho como logo e mais de 28 milhões de usuários) bate o record e sofre o maior ataque DDoS registrado até agora: 1,35 Tbps.


Segundo o time de engenharia do GitHub, o site ficou indisponível por 5 minutos, entre 17:21 UTC e 17:26 UTC do dia 28/2, e intermitente nos 4 minutos seguintes. Assim que identificaram o início do ataque, que atingiu 1,35 Tbps e 126,9 milhões de pacotes por segundo, a equipe do GitHub redirecionou o tráfego  para o seu site para a Akamai, que foi responsável por mitigar o ataque.

Esse ataque DDoS alcançou nível record pois utilizou uma técnica de amplificação de ataques via UDP que explora servidores expostos na Internet rodando Memcached, um software open-source de cache usado para melhorar a performance de sites. Essa nova técnica consegue amplificar  um ataque na ordem de 51.000 vezes.

A propósito, o pessoal da Imperva fez um infográfico bem legal explicando os principais conceitos sobre ataques DDoS, apesar de usar algumas estatísticas velhas (de 2014 e 2015) junto com um post no Blog deles que explica o infográfico:


março 02, 2018

[Segurança] Olympic Destroyer

Durante as olimpíadas de inverno em PyeongChang, na Coréia do Sul, o comitê olímpico sofreu alguns ciber ataques, batizados de "Olympic Destroyer".


Logo no início dos jogos, eles receberam a primeira leva de ataques antes e durante a abertura dos jogos. Os ataques incluiram a derrubada do site oficial dos Jogos de Inverno por 12 horas, o colapso da rede Wi-Fi no estádio Olímpico de PyeongChang e problemas nas comunicações de televisão e Internet no principal centro de imprensa.

Os problemas aconteceram porque a rede oficial dos jogos de inverno sofreu um ataque por um malware do tipo "wiper", batizado de "Olympic Destroyer". Esse malware usava password stealers para obter credenciais do sistema e do browser da máquina infectada, em seguida tenta se espalhar pelos computadores próximos usando essas credenciais roubadas e, depois, deleta vários arquivos do sistema para deixar o equipamento fora de uso.

De acordo com o blog da Cisco que dissecou o malware responsável pelo ataque, "o autor do malware sabia muitos detalhes técnicos da infra-estrutura dos Jogos Olímpicos, como nomes de usuários, nomes de domínio, nomes de servidores e, obviamente, senhas".

Desde o início dos ciber ataques já se especulava que a origem poderia ser a Rússia, uma hipótese que a inteligência americana considera verdadeira, em resposta ao banimento que o comitê olímpico impôs a delegação russa por causa de denúncias de doping patrocinado pelo governo. Mesmo antes das olimpíadas de inverno começarem, grupos russos já estavam atacando o comitê olímpico  e a organização dos jogos de PyeongChang como forma de vingança.


Mas, na verdade, atribuição de um ciber ataque a alguém não é algo fácil, e especula-se também que os criadores do malware deliberadamente plantaram pistas falsas ("false flags") para fazer os pesquisadores acreditarem que a origem poderia ser na China ou Coréia do Norte. O código do malware "Olympic Destroyer" continha partes de outros malwares russos, chineses e norte-coreanos, e os atacantes aparentemente utilizavam endereços IP da Coréia do Norte.

Para saber mais:
PS: Mas o legal mesmo é ver uma competição de ski com robôs durante a olimpíada de inverno!!!

PS/2: Post atualizado em 13/03 para incluir mais uma reportagem sobre as suspeitas de que a atribuição do ataque à Coreia do Norte está equivocada.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.