[Segurança] Device Fingerprint

"Device Fingerprint" é o nome dado a técnica de criar uma identificação única (ou melhor, o mais única possível) para o dispositivo utilizado pelos usuários. Na área de segurança, essa identificação do dispositivo pode ser utilizada para associar um usuário ao dispositivo que ele normalmente utiliza para navegar na Internet, seja um computador, o browser ou o dispositivo mobile (smartphone). Assim, teremos uma informação a mais que pode ser usada para identificar um usuário no momento em que ele acessa o nosso site ou serviço.

A identificação de dispositivos permite melhorar a assertividade da autenticação, ao tentar associar um dispositivo "único" a um determinado usuário. Por isso, ela é muito utilizado para detecção e prevenção de fraudes, quando ocorrer um acesso originário de um dispositivo desconhecido, e também é usado para monitoramento e espionagem de usuários, rastreando o acesso do dispositivo que a vítima utiliza.

Esse "fingerprint" deve identificar um equipamento da fora mais única possível, de modo que hajam poucos dispositivos semelhantes. Quanto mais único, mais preciso. A impressão digital de um navegador pode ser criada a partir da coleta de dados sobre a configuração do navegador e do sistema operacional de um usuário quando esse usuário visita um web site. Diversas informações podem ser coletadas sem necessidade de intervenção ou aprovação do usuário, e assim são correlacionadas na tentativa de criar o fingerprint do dispositivo como. Além das informações enviadas no cabeçalho HTTP, várias outras também podem ser utilizadas para este fim, como dados do computador do usuário e até mesmo a lista de plugins utilizados.

O site AmIunique.org, por exemplo, nos permite testar o quanto nosso browser fornece de informação e o quanto isso favorece a nossa identificação.

Esse paper, por exemplo, lista 38 identificadores implícitos que podem ser obtidos dos aparelhos Android que cobrem informações sobre características físicas, da camada de aplicação e da camada de usuário que podem ser utilizados para formar a impressão digital do dispositivo. O interessante é que essas informações podem ser coletadas sem solicitar qualquer permissão.

Um bom sistema para fingerprint de dispositivos deve possuir as características abaixo:

• Diversidade: o principal critério para um algoritmo de impressão digital é saber quantos atributos ele necessita para gerar um fingerprint único. Ele deve aceitar um conjunto de atributos  e calcular o fingerprint com uma entropia aceitável. Ou seja, o algoritmo deve aceitar um conjunto de dados diversos o suficiente para prover uma quantidade aceitável de identificações com alta probabilidade de serem únicas;
• Estabilidade: indica quantas vezes uma impressão digital pode alterar seu valor ao longo do tempo. Devemos considerar o número total de mudanças durante a vida do dispositivo, o tempo médio entre as mudanças, uma razão percentual média de quantas amostras foram modificadas para esses dispositivos, etc;
• Tamanho do código - à medida que o número de impressões digitais coletadas aumenta, assim como as bibliotecas necessárias para processamento, o tamanho do código do algoritmo se torna uma limitação - podendo causar impacto na capacidade de incluir esse código em uma aplicação existente (o overload causado), ou até problemas de performance. Impressões digitais podem depender de um processamento demorado, inviabilizando o seu uso;
• Comprimento da impressão digital - quanto maior o tamanho da impressão (em termos de números de caracteres), menor a chance de gerar colisão, porém, haverá a demanda por maior capacidade de armazenamento desses dados!

Diversos sites nos permitem testar o quanto nossos cesso a internet pode ser rastreável:

• https://panopticlick.eff.org
• https://amiunique.org
• http://webkay.robinlinus.com

Referências bem interessantes:

• Device Fingerprinting and Targeted Marketing: The Next Digital Privacy Battleground?
• Device Fingerprinting: Analysis of Chosen Fingerprinting Methods
• Do you know how much the browser knows about you?
• Fingerprinting mobile devices: A short analysis
• Beauty and the Beast: Diverting modern web browsers to build unique browser fingerprints
• On the Robustness of Mobile Device Fingerprinting
• Efficient Fingerprinting-Based Android Device - Identification With Zero-Permission Identifiers

[Segurança] BSides Vitória

Mais uma BSides vai se juntar a família global de conferências Security BSides, mas dessa vez tem algo de especial no ar: No ano que vem teremos a BSides Vitoria, no Espírito Santo, que assim se torna a segunda BSides no Brasil!!!

A BSides Vitoria é organizada por um grupo de profissionais do Espírito Santo. Sua organização é independente da BSides São Paulo, e todas se reportam para o grupo global de BSides.
Atualmente já temos mais de mais de 420 edições em 34 países, incluindo os EUA, Alemanha, Inglaterra, Austria, Portugal, África do Sul, Austrália, Chile, Colômbia, Peru e México. No Brasil, a BSidesSP surgiu em Maio de 2011 e foi a pioneira em toda a América Latina. Em Junho de 2016 realizamos a primeira BSides Latam, atraindo os organizadores das conferências BSides em toda a América Latina.

Conheça mais sobre a BSides Vitoria e acompanhe as novidades:

• Site do evento: http://bsides.vix.br
• Página no Face: https://www.facebook.com/bsidesvitoria/
• Twitter: https://twitter.com/bsidesvitoria

[Cyber Cultura] Truques úteis ao fazer busca no Google

Todo profissional de segurança deveria saber de cor e salteado pelo menos os truques mais simples para fazer buscas no Google. O termo "Google Hacking" surgiu para isso: as diversas formas de usar buscas no Google para encontrar sites vulneráveis ou fazer busca por informações que podem ser utilizadas para reconhecimento do alvo, ataques ou ações de engenharia social.

Na Wikipedia, por exemplo, tem uma lista com os principais comandos interessantes que podem ser utilizados no Google para buscar informações específicas sobre sites e alvos. O projeto Google Hacking Database (GHDB) mantém uma lista mais completa.

Recentemente eu vi um artigo no Medium com um infográfico bem legal e mais algumas dicas adicionais de como usar o Google de forma mais eficiente: "40+ Best Google Search Tips, Tricks & Hacks for 2018 [Infographic]". Veja o infográfico abaixo:

Para saber mais:

• Google Hacking Database (GHDB)
• Google Hacking for Penetration Testers (3rd Edition)

Posts que nunca foram escritos

Chega novamente aquele momento de limpar o backlog...

Paper gigante e bem interessante, do MITRE: Ten Strategies of a World-Class Cybersecurity Operations Center

Conheça o "NIST Cybersecurity Framework"

Outro material interessante do NIST, que mapeia as principais carreiras na área de segurança: "NICE Cybersecurity Workforce Framework" (paper)

Aproveitando a carona, vale a pena ver esse guia do NIST sobre como criar um programa de conscientização: "Cybersecurity is Everyone’s Job".

Já visitou o OWASP Internet of Things Project?

Paper sobre tecnologias de 2o fator de autenticação: "Security Keys: Practical Cryptographic Second Factors for the Modern Web" (PDF).

Alguns sites oferecem exemplos e templates para você criar a politica de segurança da sua organização. O SANS Institute tem um punhado de templates disponíveis online: “Information Security Policy Templates”.

Alguns checklists para desenvolvimento de aplicativos mobile:

• Mobile Apps Testing: Sample Test Cases & Test Scenarios
• Basic mobile testing checklist (infographic)

Vídeos, vídeos e mais vídeos: The Linux Basics Course 50 vídeos

• O primeiro vídeo da playlist é o "Linux Sysadmin Basics -- Course Introduction":
• The Essential Launch Checklist for Web Apps and Mobile Apps

Operação Serenata de Amor: Um grupo de voluntários criou um aplicativo para analisar gastos dos nossos políticos. Eles também criaram um robô no Twitter chamado @RosieDaSerenata para notificar publicamente os gastos suspeitos da Câmara dos Deputados. (link para apoiar a iniciativa)

Se você procura uma solução de VPN que garanta a sua privacidade, a opinião dos profissionais na área é unânime: "construa a sua própria VPN", usando um servidor e os aplicativos específicos. Um caso mostra que não dá para confiar cegamente nas empresas que vendem serviço de acesso anônimo: a empresa PureVPN forneceu para o FBI os logs de acesso de um usuário que estava sob investigação.

Como se preparar para um mega ciber ataque? Veja esse artigo no blog da RSA.

So What Does A Modern Encryption Key Look Like?

Artigo sobre uma história bem interessante, de como um grupo de franceses conseguiram explorar uma rede de telecomunicação rudimentar na França, há 100 anos atrás: "Here’s How the First Cyber Attack Went Down"

Interessante: Mobile Apps Testing: Sample Test Cases & Test Scenarios

[Segurança] Mapas de ciber ataques

Diversos fabricantes de segurança disponibilizam online mapas visuais com dados e estatísticas de ciber ataques. São gráficos bem interessante para vermos estatísticas de forma visual e, as vezes, em tempo real.

Estes gráficos podem ser utilizados em campanhas de conscientização ou até mesmo no telão do seu NOC e SOC, como forma de ilustrar os ataques que acontecem no mundo.

Abaixo eu listei os gráficos que encontrei e destaquei meus preferidos ;)

• Kaspersky - O meu favorito, pelo aspecto visual. O gráfico é bem impressionante. Também tem uma versão "widget", para você embutir em uma página web. (veja aqui uma demo)

• Digital Attack Map, da Arbor - um dos mais populares, este mapa da Arbor mostra os ataques DDoS que acontecem no mundo, e tem a opção de visualizarmos dados históricos. Embora seja relativamente útil, os recursos gráficos são um pouco simples e consome muitos recursos do navegador. (veja uma demo)

• Bitdefender - Eu gostei desse mapa, achei um dos mais simples ela o mesmo tempo, causa boa impressão visual;

• Cybercrime Threat Map, da ThreatMetrix - mapa em tempo real com dados de tentativas de fraude online, incluindo roubo de contas, fraudes de pagamentos e tentativas de roubo de identidade.

• Threat Map da Looking Glass - eu ahem esse mapa legal; ele plota ataques de botnets em ym mapa mundi.

• Norse - embora seja citado por 10 entre 10 profissionais de segurança, várias vezes eu tenteia cessar esse mapa sem sucesso, obtendo um erro de Connection Refused :(

• ThreatCloud cyber attack map da Checkpoint

• Fortinet

• FireEye

• Akamai - Eles tem algumas páginas com mapas e estatísticas, que são bem interessantes:
• Eles tem uma página com diversas estatísticas de ataques, que tem o link para os demais mapas (abaixo);
• Real Time Web Monitor - Mostra um heat map estático sobre volume de tráfego ou quantidade de ataques no mundo.
• Enterprise Threat Monitor - Bem mais interessante, este mapa mostra estatísticas de ataques de Malware, Phishing e C&C.

• Botnet Connection Dashboard, da Trend Micro - mapa bem sem graça, xoxo.

• Blueliv Cyber Threat Map - mais um mapa sem graça. Para piorar, após 5 minutos ele pede que você se registre.

• Threatbutt Internet Hacking Attack Attribution Map - apesar do nome pomposo, esse mapa é totalmente fake, pura zoeira... além do visual tosco, simples, ele mostra alguns dados bem falsos, como ataques do Morris Worm, Stuxnet, Slammer, etc. A cada ataque, ele faz um barulho, para aumentar o grau de tosquice ;)

• Live Cyber Threat Map, da Checkpoint ThreatCloud

Segundo um artigo da CSO Online, a maioria dos mapas disponíveis não trabalham com dados reais, ao vivo, mas sim com um conjunto de dados pré-gravados e dados de captura sanitizados. Segundo eles, o valor desses mapas não está na informação que apresentam, mas sim na possibilidade deles iniciarem uma conversa ou discussão sobre o assunto.

Para saber mais:

• 8 top cyber attack maps and how to use them
• 6 Live Cyber Attack Maps
• Global Cyberthreat Real-Time Maps

PS: Post atualizado em 04/09/23.

[Segurança] O golpe de R$ 400 milhões

Algumas reportagens, como essa da revista Época e essa do Yahoo! detalham o funcionamento do esquema criminoso milionário que foi desmascarado recentemente pela polícia, que permitiu a uma quadrilha ganhar milhões de reais através de fraudes online. O caso chamou muito a atenção por causa dos gastos mega-extravagantes dos criminosos presos, que incluíram a compra de diversos carros importados, mansões, viagens para a Europa, passeios frequentes de helicóptero, etc.

O grupo, preso em outubro pela Polícia Civil de São Paulo e pelo Ministério Público, foi acusado de arrecadar cerca de 400 milhões de reais em 18 meses, através de transações fraudulentas pela Internet. Estima-se que pelo menos 23 mil contas correntes foram lesadas em 23 estados.

Apesar do valor total arrecadado pelo grupo criminoso ser absurdamente alto, eles cometiam golpes simples pela Internet, que nada mais são do que o "arroz com feijão' do ciber crime.

Segundo a reportagem, o esquema criminoso funcionava da seguinte forma:

• O grupo desenvolveu um sistema de roubo de logins e senhas, que deu origem a um banco de dados utilizado pela quadrilha. O sistema foi criado por um autodidata, Leandro Xavier Magalhães Fernandes, morador de Goiânia, que estudou só até completar o ensino médio;
• Eles aperfeiçoaram o sistema usado para fazer as fraudes, que passou a ser rodado 24 horas por dia, sete dias por semana, capturando logins e senhas de quem entra em sites de bancos;
• Para executar a fraude e extraviar dinheiro das contas correntes invadidas (as vítimas), a quadrilha oferecia, via WhatsApp e Facebook, o pagamento de qualquer tipo de boleto com “50% de desconto”. Assim, quem tivesse uma conta para pagar dava metade do valor da dívida para a quadrilha, e o boleto era pago pelos criminosos a partir das contas das vítimas. O grupo aceitava boletos de contas de ISS, IPVA, celular ou de TV a cabo;
• Se o cliente do banco tinha pouco ou nenhum dinheiro na conta, a quadrilha tomava um empréstimo pré-aprovado e, assim que o valor caía na conta, era imediatamente usado para pagamento de boletos ou transferido para contas em nome de laranjas;
• O dinheiro arrecadado pelo grupo era dividido em cinco empresas diferentes, criadas com a única finalidade de cobrir os atos ilícitos. O grupo possuía um escritório de fachada localizado em um prédio empresarial de alto padrão no bairro do Itaim Bibi, em São Paulo. As empresas eram usadas para dar lastro aos títulos de investidor do mercado financeiro, e para lavagem de dinheiro por meio de bitcoins.

A quadrilha tinha integrantes em Tocantins, Goiás e São Paulo O líder da quadrilha, Pablo Henrique Borges, era morador da periferia de Francisco Morato, em São Paulo, que até 2012 apenas instalava computadores e só em 2015 tirou sua carteira de identidade. Pablo já era conhecido da polícia por pequenos golpes via internet, como venda enganosa de milhagens de companhias aéreas e venda de passagens por valores muito abaixo do mercado, além de compras com senhas roubadas de cartões de crédito.

O uso de pagamento de boletos para desviar dinheiro é um golpe muito comum no Brasil, e é muito fácil achar anúncios desse tipo de "serviço" nas redes sociais. No vídeo abaixo, por exemplo, um fraudador oferece esse serviço através do Youtube.

Veja o texto do anúncio:

"Pagamento de boleto online com desconto de 50% do valor
*Você está endividado ? não aguenta mais cobradores na sua porta te enchendo o saco? CHEGOU A HORA DE MUDAR !!1
PAGO BOLETOS COM PELA METADE DO PREÇO ,COM 50 % DE DESCONTO
FUNCIONA Assim: você envia a foto ou o documento do boleto ,vou te passar um prazo para que o boleto seja pago e envio o comprovante de pagamento, o comprovante é fornecido pelo próprio site do BANCO,após o envio do comprovante você tem 30 minutos para efetuar o pagamento dos 50 % do valor do boleto via depósito ou transferência BANCARIA.
Caso o pagamento não seja feito estornamos o pagamento e seu débito volta a existir,temos várias referencias ,você só fara o pagamento após comprovante ,pago boletos a partir de 600 reais pois cobro caro por meus conhecimentos ,pagamos"

Ou seja, a pessoa endividada passa os dados do boleto para o criminoso, paga para ele 50% do valor da dívida, e o ciber criminoso invade a conta de uma vítima e usa essa conta para pagar o valor integral do boleto. O criminoso ganha o dinheiro e a vítima fica no prejuízo.

[Segurança] As senhas mais usadas de todos os tempos

O pessoal do Techmundo fez um artigo em 2011 sobre "as senhas mais usadas de todos os tempos", um erro muito comum entre os usuários finais, e que os tornam alvos fáceis de ataques baseados em adivinhação de senha - os ataques mais básicos para tentar acessar a conta de uma vítima.

As senhas mais comuns (sem ordem de preferência), segundo o Techmundo, são:

• 1234567
• 123456
• 12345
• 123123
• 000000
• password
• qwerty
• asdfgh
• zxcvbnm
• qazwsx
• abc123
• blink182
• lol123
• 7777777
• 666666
• jesus
• brasil/brazil
• letmein
• iloveyou
• hello123
• matrix
• admin
• hotmail
• babygirl

Dá para perceber, na lista acima, que ela mistura vários termos em inglês (como "letmein") com um em português: "brasil". Obviamente, as senhas mais utilizadas variam de acordo com o idioma da vítima - a chance de encontrar um usuário brasileiro usando uma senha "hello123" é bem baixa.

Além disso, o artigo mostrou quais temas são os mais escolhidos na hora de cadastrar uma senha:

• O nome ou sobrenome do próprio usuário ou de membros da família;
• O nome do clube de futebol favorito;
• A data de nascimento do usuário ou de pessoas próximas;
• O número do seu telefone ou do cônjuge;
• O nome do próprio site do cadastro (como “facebook” ou “twitter”);
• Teclas que estejam lado a lado no teclado (como em “qwerty” ou “123456”);
• O mesmo nome de usuário utilizado no login.

O artigo tem algumas dicas interessantes e, apesar de ter sido escrito há 7 anos atrás, continua bem atual.

[Segurança] Você é um alvo!

O pessoal do SANS Institute, em conjunto com o Brian Krebs, criaram um poster de conscientização para os usuários finais que destaca porque os usuários devem se preocupar com segurança.

Batizado de "You Are A Target", o pôster lista brevemente os principais riscos em termos de senhas, e-mails, informações financeiras, extorsão, roubo de identidade, fraudes em e-commerce, ameaças de botnets e de hospedar conteúdos no computador da vítima.

O poster é um bom material de conscientização, pena que eles disponibilizaram o material feito com cores muito claras, que deixam o material de difícil leitura.

[Segurança] Leis para Proteção de Dados Pessoais e a origem da LGPD

Diversos países em todo o mundo já possuem ou estão elaborando leis específicas para a proteção de dadospessoais. A popularização da Internet, do e-commerce e das redes sociais trouxe o hábito de compartilharmos online fotos, opiniões e dados pessoais, que estão em mãos de diversas empresas. Em contra partida, isso trouxe o grande risco de roubo e vazamento de dados, além do mal uso por terceiros (como, por exemplo, empresas que vendem dados cadastrais de seus usuários para outras).

Esse cenário tem fomentado o surgimento de leis específicas em todo o mundo. A União Européia, por exemplo, possui uma lei de proteção de dados desde 1995 e, neste ano, entrou em vigor a famosa GDPR, a General Data Protection Regulation.

No Brasil, temos a Lei Geral de Proteção de Dados (LGPD). Antes dela, o Marco Civil já possuía diversos artigos que abordam a necessidade de proteção de dados pessoais e da privacidade dos usuários online. Também existe o Projeto de Lei 3558/2012, que dispõe sobre a proteção de dados pessoais e sobre a utilização de sistemas biométricos. O problema é que este projeot de lei trata a proteção de dados de forma superficial.

A LGPD juntou alguns projetos existentes no Congresso. O principal deles foi criado pelo Ministério da Justiça, que criou um projeto de legislação específica sobre a proteção de dados pessoais através de um esforço público, batizado de Anteprojeto de Lei de Proteção de Dados Pessoais, Tal trabalho foi similar ao processo de criação do Marco Civil da Internet, e iniciou em 2011 por meio da Secretaria Nacional do Consumidor (Senacon) em conjunto com a Secretaria de Assuntos Legislativos do Ministério da Justiça. O projeto foi criado de uma forma colaborativa através de discussões online e presenciais com a sociedade, através de diversas discussões e colaborações recebidas (veja alguns detalhes aqui e aqui). No total foram recebidas mais de 2.000 contribuições. Também colaboraram o Comitê Gestor da Internet no Brasil (CGI.br) e a Universidade Federal de Minas Gerais (UFMG). A última versão do anteprojeto está disponível aqui.

A tramitação do projeto de lei na Câmara dos Deputados começou em 13 de maio de 2016, e recebeu o nome de Projeto de Lei 5276/2016.

Este projeto foi juntado ao PL 4060/2012, do deputado Milton Monti (PR-SP), que já tramitava no congresso, dando origem a nossa LGPD.

[Segurança] Os cinco principais desafios para os líderes de segurança

O pessoal da Fortinet preparou um pequeno infográfico com alguns dados sobre o que eles consideram serem os cinco principais fatores que estão gerando as mudanças no cenário das ciberameaças.

Segundo eles, os principais desafios são relacionados a proliferação de dispositivos IoT, a dificuldade de proteger ambientes na Nuvem, os ataques dos Ransomwares, os ataques que passam desapercebidos por utilizarem comunicação criptografada e a falta de profissionais de segurança.