Eu pixo Tu pixas Ele pixa Nós pixamos Vós pixais Eles pixam
Eu pixei Tu pixaste Ele pixou Nós pixamos Vós pixaistes Eles pixaram
O PIX se popularizou no Brasil de forma meteórica. Segundo a Febraban, o Pix encerrou o ano de 2022 com mais de 24 bilhões de transações, média de 66 milhões de operações diárias. As transações do Pix superam as de cartão de débito, boleto, TED, DOC e cheques no Brasil, que juntas totalizaram 20,9 bilhões de transações. Foram transacionados R$ 10,9 trilhões pelo Pix no ano passado.
Portanto, não é a tôa que o celular é o canal dominante para realização de transações bancárias. Dentre os vários canais de atendimento disponibilizados pelas instituições financeiras, o preferido em 2022 foi o celular (66%), seguido dos pontos de venda no comércio (15%), computador (11%), outros canais (3%), caixas eletrônicos (3%), agências bancárias (2%). Ao todo, os brasileiros fizeram 163,3 bilhões de transações no ano passado.
OBS: Pelos meus remotos conhecimentos de gramática, eu acredito que o verbo Pixar é Transitivo Indireto.
Nessa Security BSides São Paulo vai ser lançanda a coleção de cartas "Masters of Pwnage", uma forma divertida de homenagear a comunidade brasileira de segurança da informação e hacking - em um formato de jogo de cartas no estilo do jogo Magic: The Gathering.
Por trás da iniciativa estão os auto-entitulados "Arqu1t3t0s". Um deles teve a idéia inicial, com um visual um pouco mais simples (as cartas finais ficaram com uma temática um pouco cyberpunk ou medieval ou os dois, com as imagens criadas por IA - sim, Midjourney ou Lensa). A idéia surgiu do Arqu1t3t0_180K, e teve a colaboração do Arqu1t3t0_daquelaempresa e do Arqu1t3t0_fofoqueiro. A maior parte do trabalho foi dos dois primeiros, tanto é que até poucos meses atrás o fofoqueiro nem sabia o que é o Magic nem como jogar.
Durante a BSidesSP a grande maioria dessas cartas serão distribuídas gratuitamente e algumas serão vendidas para os participantes (a distribuição será de forma bem aleatória, para uma parcela pequena dos inscritos). Como o tema dessas cartas é a comunidade hacker / de segurança brasileira, cada carta representa uma criatura, magia ou terreno relacionado ao mundo da cibersegurança - com uma identidade visual e descritivo inspirada no Magic. Foram criadas várias cartas de terrenos representando comunidades, eventos e algumas empresas de segurança (que ajudaram patrocinando os custos), cartas de magia representando algumas ferramentas e cartas de criaturas para diversas pessoas que compõe a nossa comunidade.
As cartas são classificadas por raridade: Mítica, Lendária, Rara e Incomum. Para essa primeira edição, foram feitas 46 cartas temáticas diferentes, com tiragem variando para cada uma delas (as raras tem apenas 100 cópias, enquanto algumas chegaram a 400). As cartas serão distribuídas em conjuntos ("bossts") com 12 cartas aleatórias (em geral, 4 de terreno, 4 de personagem e 4 de magia). A galera pode trocar cartas entre si para colecionar suas favoritas e montar um conjunto único. Acredita-se que será possível jogar com as cartas do Masters of Pownage, mas a idéia é que elas também serão colecionáveis.
Se a receptividade da comunidade for positiva, já existem planos para fazer mais cartas com novos temas para os próximos eventos de segurança (o objetivo é fazer cartas especiais para os eventos organizados pela comunidade). Na verdade já existe um roadmap de cartas para serem criadas para a H2HC, Nullbyte e BHack, com vários colegas da área, mais ferramentas e muito mais.
OBS: Não foi possível fazer a quantidade de cartas planejada inicialmente, por isso mesmo algumas cartas de pessoas e ferramentas que seriam lançadas na BSidesSP serão produzidas para os próximos eventos.
Veja alguns spoilers das cartas, assim que saíram da gráfica:
Siga a iniciativa nas redes sociais: @mastersofpwnage (instagram e twitter).
Neste ano a Security BSides São Paulo (BSidesSP) chega na sua maioridade, na sua 18a edição. O evento vai ocorrer nos próximos dias 24 e 25 de junho, o último final de semana deste mês e estamos na contagem regressiva.
No sábado (24/06) teremos três mini-treinamentos e no domingo (25/06) ocorrerá o evento completo, com palestras e villages. Além de 3 trilhas de palestras, teremos 6 villages:
Village de Cloud Security, organizada pela Trenchi
Village de Forense, organizada pela AFD
Village do Garoa Hacker Clube
Village Cyber Woman, organizada pelas comunidades Ciber Security Girls e Womcy
Espaço BSides 4 Kidz, com apoio da Hekate, Sec4Kids e da WOMCY
Neste ano temos uma novidade importante, a mudança no local. Em vez da PUC, que nos proporcionou um excelente espaço e apoio por vários anos, desta vez iremos realizar a BSidesSP 2023 no centro de convenções do Novotel Jaragua, que fica no coração da região central de São Paulo. A BSidesSP ocupará 2 andares do espaço de eventos (Piso I e II), com as palestras divididas em um teatro e em 3 salas grandes, além de 4 salas para as villages.
Uma grande vantagem é que, nesse espaço, as salas de atividades serão maiores e estarão mais próximas, facilitando o deslocamento entre uma sala e outra (por exemplo, de uma palestra para uma village e vice-versa). O hotel é bem localizado e de fácil acesso, ficando bem próximo aos metrôs Anhangabaú e República. Para quem vier de carro, além do estacionamento no hotel (que é pago, R$ 38 por 12 horas), há opções mais econômicas de estacionamento na Rua Major Quedinho (R$ 15 o período) e na Rua Martins Pontes (R$ 20 o período).
Devido a necessidade de realizar o evento em um hotel, infelizmente tivemos que enfrentar algumas restrições. Dessa vez não teremos o nosso bar, nem os espetinhos e o dogão (que era fornecido voluntariamente por profissionais da área). Também não teremos a banda e DJ nos intervalos. Por isso, desta vez a galera deverá se alimentar por conta própria - mas felizmente estaremos em uma região bem servida de restaurantes para todos os bolsos, incluindo o famoso Bar e Lanches Estadão. Além disso, nesse domingo haverá uma feira livre ao lado do hotel, na Rua Major Quedinho, com suas barraquinhas de pastel (já provei e aprovei).
Espero que a galera goste e se divirta com as atividades e com o tema do evento (sem spoiler, sorry). Ah, amanhã vou comentar aqui sobre um tal de "Masters of Pownage".
PS/2: O ingresso do envento com pré-venda de camisetas já está esgotado. Mas, como sabemos que vocês vão gostar muito do tema que escolhemos, vamos colocá-las a venda no site da Imaginario Nerd a partir do domingo.
A premiação Top Women in Cybersecurity da WOMCY (LATAM Women in Cybersecurity) chega na sua quarta edição neste ano, para homenagear as mulheres que se destacaram no mercado de segurança e que podem inspirar suas colegas e pessoas interessadas em entrar na área.
Mas neste ano a Womcy trouxe uma grande novidade: serão duas premiações em uma só! Além de homenagear as mulheres que trabalham no setor de cibersegurança na América Latina, como acontece desde a primeira edição em 2020, a WOMCY se uniu à comunidade Latinas In Cyber para homenagear também as mulheres de origem latina que fizeram grandes contribuições para o mercado nos Estados Unidos.
Agora a premiação se tornou a "Top Women in Cybersecurity Americas 2023".
Serão premiadas 25 mulheres na América Latina e 25 mulheres nos Estados Unidos que fizeram contribuições significativas, avançaram a indústria de cibersegurança e abriram o caminho para futuras gerações de profissionais, entre outras contribuições vitais. Esta indicação destina-se a premiar as Latinas nos Estados Unidos e em toda a América Latina.
Então tome muito cuidado, porque lugares com grande concentração de pessoas sempre atraem também o interesse de criminosos, gente que vai lá (e as vezes se necessário compra ingresso) só para tentar faturar com a desgraça alheia. Infelizmente, isso pode acontecer em qualquer tipo de concentração de pessoas, como nos bloquinhos de Carnaval, Virada Cultural e festas populares - até a quermesse de festa junina do seu bairro pode ser arriscada, hoje em dia. Eles aproveitam essa concentração de centenas ou milhares de pessoas distraídas e aproveitam para tentar aplicar vários golpes. Felizmente, a maioria desses golpes são conhecidos e você pode se livrar deles, se estiver atento.
A primeira dica para esses momentos é ir com a menor quantidade de pertences e objetos de valor possível. De preferência, vá com nada, só com a roupa do corpo, a carteira de identidade e um pouco de dinheiro, o suficiente para você comer, beber, pagar a condução de volta e sobrar um troquinho. Mas, infelizmente, poucas pessoas tomam esse cuidado e, portanto, vamos falar sobre os principais golpes e dicas para evitá-los:
Os batedores de carteira são o risco mais comum, mas hoje em dia o principal objetivo deles é roubar aparelhos celulares. E não apenas para revender o aparelho, mas principalmente para tentar acessar a suas contas bancárias. Por isso, evite levar o seu celular, ou mantenha ele sempre guardado de preferência em uma pochete (ou "doleira") sob a camisa. Evite mexer no seu celular em lugar público e, antes de sair de casa, desinstale todos os aplicativos bancários e de compras on-line. Se você realmente quer levar uma carteira ou bolsa, de uma boa olhada direitinho no que tem nela e retire tudo que não for essencial, antes que alguém faça isso por você. De preferência, leve apenas um documento, um pouco de dinheiro, e no máximo um cartão de crédito. Tudo mais que tiver na sua carteira provavelmente não é essencial e você não precisaria levar de qualquer jeito;
Evite comprar com cartão de crédito, pois há vários golpes e dois deles são os mais comuns: o vendedor mal intencionado, pode te devolver um outro cartão, parecido com o seu, e no mesmo momento já começa a gastar todo seu dinheiro (o golpe da troca de cartão). Ao pegar o seu cartão de volta, confira se realmente é o seu. Para facilitar, você pode também colar adesivos no seu cartão, customizando-o. Assim não tem como a pessoa te enganar e entregar um cartão diferente. Outros golpistas costumam usar uma maquininha com o visor danificado para cobrar um valor muito maior do que você comprou. Quando você perceber o golpe, o vendedor já sumiu. Por isso, sempre verifique o valor antes de aproximar o seu cartão ou digitar a senha. Se o visor não estiver funcionando ou o valor não for visível, simplesmente não pague.
Em sua 27ª edição, a Parada do Orgulho LGBT+ de São Paulo acontecerá no dia 11 de junho de 2023 (domingo) com objetivo de reafirmar o compromisso com a luta contra qualquer tipo de discriminação, além de promover o respeito à diversidade e a construção de políticas afirmativas para a população LGBT+.
Para quem acompanha de perto a comunidade brasileira de profissionais de segurança da informação, nos últimos dias diversos profissionais se levantarem contra os "cursos de hacker", depois desse assunto virar foco graças aos cursos e eventos promovidos especificamente pelo Bruno Fraga:
Retirei as frases acima do Linkedin, postadas por profissionais que trabalham há muitos anos na área de segurança. Não estou citando as fontes, apesar dessas pessoas terem manifestado publicamente suas opiniões. Alguns textões também surgiram no Linkedin e vários memes circularam por grupos do Whatsapp (a maioria deles eu prefiro não compartilhar aqui).
Disclaimer: Eu não estou discutindo a qualidade desses cursos de qualquer pessoa que seja - para fazer isso, eu deveria assistir o curso primeiro e avaliar tecnicamente seu conteúdo. Esse meu post aqui é para dar a minha opinião e reflexão específica sobre essa treta e a responsabilidade da comunidade de segurança.
Resumindo a treta, de um lado temos os profissionais que trabalham no mercado e formam a comunidade de segurança (que, na verdade, são várias comunidades que se falam ou não), de outro lado temos as pessoas querendo aprender e entrar na área, e também temos pessoas que oferecem cursos, palestras e eventos que prometem, em curto tempo, dar todo o conhecimento para alguém virar um hacker rapidamente.
Vamos ser claros... esses questionamentos e críticas que surgiram recentemente entre os profissionais da comunidade de segurança tiveram uma motivação e alvo bem específico: os cursos e eventos promovidos pelo Bruno Fraga. Ele não foi a primeira e nem será a última pessoa a oferecer cursos prometendo transformar alguém em hacker. Por exemplo, veja esse artigo do blog Bozo Security de 2012 - que criticava os "cursos de hacker" há 11 anos atrás!!! O Fernando Mercês também fez um vídeo há 5 anos atrás sobre isso! Está claro que essa discussão não começou hoje, não é?
Algumas pessoas que oferecem esse tipo de curso podem ser bem intencionadas, ou podem ter uma visão errada de que seja fácil condensar o conhecimento de um "hacker" em poucas horas de palestra ou de treinamento. E pode haver, também, alguém mal intencionado que ofereça um "curso de hacker" com uma falsa promessa de acesso fácil à uma carreira na área (e seus ótimos salários quando comparado a outras profissões).
Na grande maioria das vezes, a comunidade de profissionais de segurança não se manifesta sobre isso, e nada faz. Mas, desta vez, alguns colegas da área se manifestaram contra os "cursos de hacker" principalmente depois que o Julio Della Flora, um professor e pesquisador de hardware hacking, teve um video retirado do YouTube aonde ele criticava tais cursos e explicava a complexidade de conhecimentos da área. Poucos dias depois, ele publicou um texto no Linkedin se retratando sobre o ocorrido (fruto de um acordo extrajudicial entre os dois) e o vídeo voltou ao ar.
Há 5 anos atrás o Fernando Mercês fez um vídeo muito legal, no canal Papo Binário, sobre os cursos de hacker, aonde ele explica o que representa se tornar um hacker, a complexidade de conhecimentos envolvidos e que não é possível se tornar um especialista na área do dia para a noite:
Olha que coincidência: o video foi feito há 5 anos atrás, e curiosamente, na divulgação dos eventos do Bruno Fraga, ele também usou a máscara do Guy Fawkes para se identificar com a cultura hacker.
A maioria dos discursos da comunidade que surgiram nesses últimos dias contra os "cursos de hacker"gira em torno da suposição de que o curso seria de má qualidade, com conteúdo superficial, e também do uso da imagem do hacker para vender tais cursos. Décadas de cultura hacker e toda uma comunidade pulsante de repente vira um estereótipo para vender um curso. Além disso, diversos profissionais manifestaram preocupação com o risco das pessoas pagarem por um curso que poderia não ser útil, principalmente se não ensinar os fundamentos e técnicas realmente úteis para a carreira - ou pior ainda, se ensinar conceitos errados.
Por outro lado, eu vi alguns artigos acusando a comunidade de segurança de não ser receptiva a novos profissionais. Reacionária, hipócrita. Há quem diga que as pessoas de fora da área não recebem orientação e apoio para iniciar no mercado.
Eu discordo: embora existam alguns profissionais que são menos receptivos ou chegam a ser agressivos e tóxicos, eles são minoria. Eu me arrisco a dizer que a maioria do pessoal que trabalha na área é receptiva e está disposta a acolher novos talentos interessados em aprender e entrar no mercado. E como evidência disso, basta ver as diversas comunidades que existem no mercado de tecnologia e segurança.
Ou seja, na minha opinião esse movimento recente de vários colegas da área não se trata simplesmente de uma crítica infundada ou comportamento tóxico. É a comunidade preocupada com a possibilidade de termos pessoas se aproveitando da falta de informação para explorar outras pessoas mais vulneráveis.
Esse atigo do Luiz Felipe Silva traduz muito bem o posicionamento que existe na comunidade dobre esse assunto. Veja num trecho:
A fraude nesses "cursos de hackers" existe há anos e é bem conhecida pela galera de segurança. Infelizmente ninguém no mainstream fala disso e portanto a fraude continua sendo desconhecida por quem quer entrar na área, que acabam gastando até o que não tem em cursos inúteis para realizar um sonho que vai ficar cada vez mais distante. A verdade é que esses cursos "promentem" que vão te ensinar sobre segurança da informação, "promentem" que vão te deixar "muito bem preparado" para o mercado de trabalho, "promentem" que tu vai se tornar "hacker" fazendo o curso mas, no fim das contas, o curso meramente ensina a usar ferramentas.
Para exemplificar o esforço da comunidade em disseminar o conhecimento, eu listo abaixo algumas das diversas iniciativas existentes para formar profissionais de segurança, compartilhar conhecimento de qualidade e promover a pesquisa na área. E note que eu corro o risco de deixar muitas outras iniciativas de lado, pois existe muito conteúdo bom e de grande qualidade a disposição de todos (essa lista é apenas a ponta do iceberg). Muitos profissionais se esforçam para compartilhar conteúdo gratuito para ajudar a comunidade.
Aqui no Brasil, a Mente Binária é a minha melhor referência, com seu site, fórum, artigos, vídeos (Papo Binário) e cursos online e gratuitos - incluindo o Do Zero ao Um;
Sim, temos eventos que incluem conteúdo para pessoas que estão iniciando na área: a BSidesSP (gratuito) e o Roadsec (com dezenas de palestras boas disponíveis online);
Algumas comunidades são bem estruturadas e que produzem conteúdo de excelente qualidade e gratuito, como a OWASP, Cloud Security Alliance;
Isso sem falar das centenas de livros sobre o assunto.
É verdade que alguém interessado em trabalhar com segurança da informação vai ter dificuldade de começar pois há uma barreira de entrada muito grande. Além da dificuldade natural que qualquer pessoa encontrará para conseguir o seu primeiro emprego, para trabalhar em segurança é necessário uma bagagem de conhecimentos muito grande. Isso porque o conhecimento básico necessário para trabalhar com segurança da informação é muito extenso, e inclui uma grande base em tecnologia. Idem se você quiser se tornar um "hacker"- são anos de estudo para chegar nesse nível.
Ou seja, existem diversos caminhos para trilhar a sua formação como profissional de segurança, mas todos eles demandam anos de estudos, cursos, certificações e experiência prática. Vou repetir: "anos de estudo". Um profissional de segurança (ou um "hacker") deve conhecer sistemas operacionais, redes de computadores, programação (preferencialmente em várias linguagens), computação em nuvem, banco de dados, e muitos outros temas técnicos. Só depois disso ela deveria começar a aprender segurança em si. Não existe uma fórmula mágica para resumir o conteúdo de toda a carreira em segurança em apenas um curso de 1 hora, 8 horas e nem mesmo em uma semana.
Para piorar esse cenário, embora haja muito material disponível na Internet, a pessoa que está no início dos estudos vai encontrar dificuldade em separar o que é conteúdo de qualidade e o que não é. Ainda mais quem estiver procurando um "atalho", um material fácil e bem mastigadinho.
Infelizmente, algumas pessoas querem achar o caminho fácil e milagroso. Essa pessoa imediatista vai gastar dinheiro em alguns cursinhos rápidos, vai conhecer superficialmente 2 ou 3 ferramentas fáceis de usar e vai pensar que aprendeu algo. Mas, em algum momento, ela vai descobrir que seu suposto conhecimento, na verdade, de nada vale. Ela não vai conseguir um emprego na área porque, simplesmente, ela não tem o conhecimento básico nem o específico para realizar o trabalho. Aí, ou a ficha cai e a pessoa vai procurar conhecimento de qualidade, ou ela vai repetir a eterna ladainha de que o mercado é injusto e que ela é uma vítima que foi excluída de uma suposta "panelinha" imaginária.
Para fechar esse post, não faz sentido falar em "curso de hacker" pois, simplesmente, essa profissão não existe! Você nunca vai achar uma empresa com vaga aberta para "hacker". Hacker é uma cultura, é um jeito de vida, é uma forma de você encarar o mundo e a tecnologia ao seu redor. Como eu já disse uma vez (em 2013), se você está procurando um "curso de hacker" ou um curso oferecido por um "ex-hacker", é porque você não sabe nem o que é um hacker nem o que é segurança da informação.
Compartilho aqui alguns dos diversos textos que foram divulgados recentemente sobre essa treta:
PS: Post atualizado em 10/06 para incluir o texto do Ivan Salles e do Céu Balzano e uma correção (pois, segundo o Rubira Branco, a H2HC University não é destinada a pessoas novas na área). Pequena atualização em 20/06 para incluir o texto do Igor Rincon. Atualizado em 27/06 pata incluir um vídeo bem legal do Lucas Silveira e do Penegui e alguns links a mais para meus postas anteriores aqui no blog. Atualizado em 21/07 para incluir um link para o "How To Become A Hacker".
A Verizon acaba de lançar a nova edição do Data Breach Investigations Report (DBIR), um relatório muito tradicional e respeitado na indústria por fazer um raio X bem detalhado do cenário de ameaças com base na análise e investigação de incidentes de segurança reais.
Veja um rápido resumo das principais conclusões no relatório deste ano:
83% das violações ("breaches") envolveram atores externos, a grande maioria relacionados ao crime organizado (cerca de 70%), cuja principal motivação continua sendo financeira (94,6% dos casos). Atores internos (por ex, funcionários e colaboradores) foram responsáveis por apenas 19% das violações;
74% das violações envolvem a exploração do elemento humano, com o comprometimento das pessoas (ex: erro, abuso de privilégio, roubo de credenciais ou engenharia social);
50% de todos os incidentes de Engenharia Social em 2022 usaram a técnica de pretexto ("pretexting"), quando um cenário inventado induz alguém a fornecer informações ou cometer um ato que pode resultar em uma violação;
49% das violações envolveram o uso de credenciais roubadas;
Os ataques de Business Email Compromise (BEC) representam mais de 50% dos incidentes envolvendo Engenharia Social;
As três principais formas pelas quais os invasores acessam uma organização são através de credenciais roubadas (49%), phishing (12%) e exploração de vulnerabilidades (apenas cerca de 5% dos casos);
24% de todas as violações envolveram o uso de Ransomware, uma ameaça que atinge igualmente organizações de todos os tamanhos e indústrias;
Os ransomwares representaram mais de 62% dos incidentes cometidos pelo crime organizado e 59% dos incidentes com motivação financeira;
A lista de principais ataques ("actions") relacionados aos incidentes investigados é liderada pelos ataques de negação de serviços (DoS), representando cerca de 40% dos casos, seguido pelos Ransomwares (15,5%), perda de dispositivos e uso de credenciais roubadas;
Aplicações web, e-mail e falta de cuidado foram os 3 principais vetores de ataque nos incidentes e violações analisados.
OBS: O DBIR faz uma distinção entre incidentes e violações ("breaches"). Resumindo, uma violação (ou vazamento) é um incidente em que houve o comprometimento e exposição de informações internas.
Os gráficos sobre os Padrões de Classificação de Incidentes ao longo do tempo são um dos destaques do relatório. Os ataques de negação de serviço (DoS) estão no topo da lista de padrões de incidentes, enquanto a invasão de sistemas lidera os casos de violação.
Uma das principais novidades deste ano é que o DBIR fez o mapeamento das técnicas mais relevantes utilizadas de acordo com o MITRE ATT&CK para as três principais categorias de incidentes: intrusão de sistemas, engenharia social e ataques a aplicações web. Além disso, eles também listaram os controles mitigatórios do CIS para cada um deles.
Por exemplo, no caso de intrusão de sistemas:
No final, o relatório destaca as principais características dos incidentes por setores da indústria (10 ao todo), traz uma análise específica para o mercado de pequenas e médias empresas e também faz um sumário das principais estatísticas por região geográfica, permitindo visualizar as semelhanças e diferenças entre América do Norte, América Latina, Europa e Ásia.
A Apura é a única empresa brasileira que participou da elaboração do DBIR,e já fez isso por cinco anos consecutivos. Isso é legal para garantimos que este relatório também reflita a realidade do nosso mercado. Por exemplo, a edição de 2015 do DBIR não considerou dados de incidentes no Brasil.
A Kaspersky divulgou a descoberta de uma operação altamente sofisticada de espionagem que envolve a invasão silenciosa de dispositivos usando o sistema iOS, ou seja, nossos iPhones. No dia seguinte, o governo russo acusa formalmente os EUA de espionagem pelo mesmo motivo. A Kaspersky batizou esse spyware de "Triangulation".
Segundo um relatório publicado pela Kaspersky em 01 de junho e detalhado no portal Securelist, a empresa descobriu que seus funcionários de média e alta gestão estavam com seus celulares infectados por um spyware que eles batizaram de "Triangulation". A investigação começou quando a empresa identificou um tráfego de rede estranho em sua rede wireless dedicada para os dispositivos móveis e, devido as limitações de acesso nativas dos celulares iPhone, foi necessário fazer a investigação a partir do backup dos dispositivos infectados.
Analisando os celulares de seus funcionários, a Kaspersky identificou que eles foram infectados por um spyware que foi disseminado através do envio de mensagens invisíveis para a vítima pelo serviço iMessage, contendo um anexo malicioso que, ao explorar algumas vulnerabilidades de execução de código no sistema iOS (que não foram detalhadas no artigo), é executado sem necessidade de intervenção do usuário (técnica chamada de "zero-click") e acaba por instalar um spyware. O código no exploit realiza o download de vários estágios de infecção disponíveis no servidor C&C, que inclui novos exploits que permitem a escalação de privilégios. A mensagem inicial e os exploits são apagados do dispositivo após seu uso, dificultando a investigação. Inicialmente a Kaspersky não divulgou quais vulnerabilidades foram exploradas.
A análise forense da Kaspersky identificou que o spyware utilizou o processo BackupAgent, nativo do IiOS, durante sua execução no dispositivo. Também usou o processo MTransferAgent para realizar o download do servidor C&C.
Uma vez instalado, o spyware silenciosamente transmite informações privadas para um servidor remoto, incluindo gravações do microfone, fotos de apps de mensagem instantânea, geolocalização e dados sobre atividades do dono do iPhone.
Segundo a Kaspersky, o caso mais antigo de infecção ocorreu de 2019, indicando que provavelmente essa operação está no ar desde essa data. A mais recente versão de sistema operacional vulnerável a esse ataque é o iOS 15.7.
A Kaspersky recomenda desabilitar o iMessage para evitar exploração pelo malware Triangulation. Para fazer isso, vá seu celular nos Ajustes -> Mensagens e desabilite o iMessage.
A ferramenta não tem recurso de persistência, e portanto o celular acaba sendo reinfectado quando o usuário realiza o reboot de seu aparelho. Um efeito colateral é que o spyware impede que o dispositivo seja atualizado, e isso pode ser um sinal de que seu dispositivo está comprometido. Ao tentar realizar um update em um iPhone infectado, a vítima recebe a mensagem de erro "Software Update Failed. An error ocurred downloading iOS". O malware também é configurado para desaparecer após 30 dias, exceto se o atacante decidir prolongar a persistência no dispositivo da vítima.
A Kaspersky divulgou alguns IOCs, que são os domínios utilizados pela central de comando e controle (C&C) do spyware em comunicações HTTPS.
Em 21 de junho a Kaspersky lançou um novo relatório detalhando uma das fases da invasão, o implante que é utilizado para infectar os dispositivos - batizado de TriangleDB. Esse implante é instalado no dispositivo da vítima após o atacante obter os privilégios de administrador (root) no aparelho, o que acontece após a exploração de uma vulnerabilidade no kernel. Ele roda em memória, o que significa que não deixa rastros no aparelho e desaparece após o dispositivo ser reinicializado. Após ser instalado, o Triangle DB entra em contato com o servidor de comando e controle (C2) através de HTTPS. Ele tenta falar com dois servidores, um primário e outro em caso de falha. (NOVO)
Segundo relatos na imprensa (Ars Technica, Wired), uma das possíveis vulnerabilidades exploradas pelo Triangulation é a CVE-2022-46690, corrigida pela Apple em Dezembro de 2022, no macOS Ventura 13.1 e iOS 16.2. Essa vulnerabilidade permite que uma aplicação execute código arbitrário com privilégios no nível do Kernel. Em 21 de junho a Apple lançou dois patches relacionados a vulnerabilidades no kernel e no Webkit que foram exploradas na Operação Triangulation: CVE-2023-32434 e CVE-2023-32439.
A Kaspersky disponibilizou uma ferramenta gratuita para identificar o spyware "Triangulation" a partir de um backup do dispositivo iPhone, que está disponível e descrita nesse artigo no portal Securelist: In search of the Triangulation: triangle_check utility.
Veja os IOCs compartilhados pela Kaspersky:
Domínios utilizados pela central de comando e controle (C&C)
Embora os relatos da Kaspersky indiquem que os dispositivos infectados pertencem a seus funcionários e não tenha evidência de que outras empresas ou organizações também tenham sido afetadas, a agência de inteligência russa (FSB) divulgou uma nota acusando os EUA de espionagem utilizando vulnerabilidades específicas nos iPhones, atingindo "vários milhares de aparelhos", incluindo de usuários comuns e de seus diplomatas. O portal The Record confirmou que se trata do mesmo malware.
Segundo a Kaspersky, foram utilizadas quatro vulnerabilidades desconhecidas, para as quais foram disponibilizados os patches pela equipe da Apple:
CVE-2023-32434
CVE-2023-32435
CVE-2023-38606
CVE-2023-41990
(Atualizado em 27/12): A Kaspersky divulgou mais uma novidade sobre a Operação Triangulation em uma palestra no Chaos Communication Congress (37C3) aonde detalharam a cadeia de eventos que levou a exploração dos celulares iPhone e como os atacantes conseguiram driblar as proteções de hardware existentes, incluindo ao explorar uma funcionalidade de hardware desconhecida, não documentada pela Apple..
PS: Post atualizado em 02/06 (19h, para indicar a CVE-2022-46690). Pequena atualização em 05/05 para incluir 2 referências, mas sem novidades relevantes. Post atualizado em 26/06 com informações sobre a análise do TriangleDB e novos patches da Apple. Atualizado em 27/11 e 27+28/12.
