[Cyber Cultura] Nova e-zine sobre Hardware Hacking

O Julio Della Flora acabou de lançar um e-book sensacional, com 50 páginas que dão uma grande visão do universo do Hardware Hacking. Ele cobre um pouco da história e um pouco das principais ferramentas utilizadas, incluindo o Arduino e o Flipper Zero, que está muito na moda ultimamente.

Batizado de Cyberpunk Guide, o e-book foi criado no mesmo formato de uma revista virtual, aproveitando o visual das antigas revistas de games e computação dos anos 2000. Ele está disponível gratuitamente para download no site juliodellaflora.com.

Veja aqui uma entrevista dele para o Gabriel Pato:

[Segurança] Cuidado com o golpe do presente de aniversário!

Aniversariante? Cuidado com o “Golpe do Falso Presente de Aniversário”.

Nessa variação do golpe do delivery, de repente você recebe uma encomenda, uma suposta entrega de presente (que pode ser flores, perfume, ou caixa de chocolates de marca conhecida, etc). Em vários casos, o golpista manda uma mensagem por Whatsapp avisando da entrega,  para dar mais credibilidade na estória. Às vezes eles dizem que mandaram um entregador para o endereço, mas passam um endereço errado. Isso vai ser usado para justificar uma cobrança de uma taxa extra de entrega.

Quando o entregador aparece, é nesse momento que entra o golpe: o motoboy pede o pagamento de uma taxa de entrega, mas usa uma maquininha adulterada e faz cobrança de um valor muito alto. Ainda alega falta de sinal e faz várias “tentativas” de cobrança - o quanto for necessário para limpar seu limite. Os prejuízos podem ser superiores a 5 mil reais, chegando a até 50 mil.

Em outra variação, ele pede para tirar uma foto sua com o presente, para comprovar a entrega. Na verdade ele vai usar sua imagem comi selfie para autenticar alguma fraude bancária em seu nome.

Veja essa reportagem do SBT News sobre o golpe:

Veja algumas dicas da Febraban para não cair nesse golpe:

• Nunca aceite presentes e brindes inesperados, sem saber quem realmente mandou;
• Nunca entregue seu cartão para alguém inserir na maquininha e realizar o pagamento. Sempre faça este processo você mesmo;
• Ao digitar sua senha, garanta que não esteja visível para quaisquer pessoas ao seu redor;
• Não aceite realizar pagamentos se o visor da maquininha estiver danificado, impedindo que você veja o valor real que está pagando.

Moral da história: não podemos nem fazer aniversário em paz! Sempre desconfie e nunca aceite pagamento de taxas de entrega direto com o motoboy.

Para saber mais:

• Veja essa notícia da Febraban sobre esse golpe: Bandidos usam novas abordagens para golpes antigos, alerta Febraban
• Golpe do Presente: 8 dicas para não ser enganado
• Idoso cai em 'golpe do presente' e perde R$ 5 mil no dia do aniversário
• Moradora da Zona Sul de SP cai no 'golpe do presente de aniversário' e leva prejuízo de R$ 25 mil
• Golpistas usam nome de loja famosa e vítimas perdem quase R$ 50 mil

[Carreira] Semana de Capacitação Online do NIC.br

Se você é profissional de tecnologia (principalmente da área de redes), programe-se para participar da Semana de Capacitação Online do Nic.br, que acontecerá de 24 a 28 de abril. São diversos minicursos gratuitos e online, de alto nível técnico, que serão transmitidos todos os dias, sempre das 9h as 12h:

• 24/04: IRR na prática: Uma ferramenta para auxiliar nas configurações BGP
• 25/04: Uso de Flows de rede para análise de tráfego e para detecção de ameaças de segurança
• 26/04: Protegendo a sua rede: Jornada Pfsense
• 27/04: Monitoramento de ativos em provedores utilizando o Zabbix como solução
• 28/04: Conceitos e Implementação de CGNAT

Dá para ver que a lista acima inclui alguns temas relacionados a segurança ;)

Essa é uma ótima oportunidade de atualização para profissionais de tecnologia se aprofundarem em tecnologias e boas práticas.

Os cinco dias de minicursos gratuitos acontecerão das 9h às 12h (horário de Brasília/UTC-3), com transmissão pelo canal NICbrvideos no YouTube (https://youtube.com/nicbrvideos) e pelo perfil do Nic.br no Facebook.

Faça agora sua inscrição e confira a agenda completa no site da Semana de Capacitação, em https://semanacap.bcp.nic.br/6-online/. A inscrição não é obrigatória, mas é necessária para receber um certificado de participação.

[Segurança] Adesão do Brasil à Convenção de Budapeste

Breaking News: Hoje, 13/04, foi publicado no Diário Oficial da União o Decreto Nº 11.491, de 12 de Abril de 2023, que oficializa a adesão do Brasil à Convenção sobre o Crime Cibernético, firmada em Budapeste em 23 de novembro de 2001, ao promulgar os termos da convenção.

Art. 1º Fica promulgada a Convenção sobre o Crime Cibernético, firmada em Budapeste, em 23 de novembro de 2001, anexa a este Decreto.

A Convenção sobre o Crime Cibernético de Budapeste (Tratado 185 do Conselho da Europa), publicada em 23 de novembro de 2001, representa o primeiro tratado internacional sobre o tema e um dos principais marcos legais de combate ao cibercrime com efeito global. A Convenção de Budapeste (ou Convenção sobre o Crime Cibernético) tem como objetivo principal facilitar a cooperação internacional para combater o cibercrime. Ele foi assinado originalmente por 30 países, mas atualmente já conta com 48 assinaturas e 68 países que o ratificaram. A lista completa e atualizada de países signatários pode ser vista na página oficial do tratado.

Em termos práticos, a Convenção de Budapeste traz uma grande lista de medidas legislativas sugeridas para seus signatários que devem ser adotadas para permitir o tratamento de crimes cibernéticos (artigos 02 ao 22). Os artigos seguintes trazem as garantias e comprometimentos mais claros e específicos sobre cooperação internacional (artigo 23), extradição (artigo 24) e regras sobre assistência mútua (artigos 25, 26, 27, 28)  incluindo casos de guarda de provas em computadores e tráfego de redes, definidos nos artigos 29, 30, 31, 32, 33 e 34. Também define regras para existência de um contato disponível em plantão 24x7 (artigo 35). 

O Brasil demorou mais de 20 anos para se tornar signatário da Convenção de Budapest pois, entre outras coisas e independente de existir interesse nisso, até dezembro de 2012 o país não tinha sequer uma legislação sobre crimes cibernéticos, até o momento em que foi promulgada a Lei Carolina Doeckmann (Lei Nº 12.737). Mesmo assim, passaram-se mais quase 10 anos até que em dezembro de 2021 o Senado aprovou a adesão do Brasil à Convenção.

Veja mais:

• Brasil aprova adesão à Convenção de Budapeste que facilita cooperação internacional para combate ao cibercrime
• Aqui no blog:
• Post de 2005: Convenção sobre Cybercrime
• Sobre a Lei Carolina Dieckmann: Habemus Legem

[Cidadania] Escola Segura

 O Ministério da Justiça e Segurança Pública, em parceria com a SaferNet Brasil, criou um canal exclusivo para recebimento de informações e denúncias sobre ameaças e ataques contra as escolas.  Todas as denúncias são anônimas e as informações enviadas serão mantidas sob sigilo.

Essa é uma das ações da Operação Escola Segura, uma iniciativa para enfrentar o risco de ataques as escolas, que aparentemente tem se agravado recentemente.

Para denunciar, acesse a página do Canal de Denúncias.

Após dois ataques recentes a escolas, alguns órgãos de imprensa tomaram a iniciativa de redefir suas políticas de cobertura jornalística para os casos de violência em escolas, uma vez que em geral o principal objetivo dos atacantes é ganhar destaque na imprensa. Assim, alguns veículos de imprensa (como as organizações Globo) passaram a noticiar as tragédias sem divulgar informações sobre o agressor, nem seu nome, fotos, vídeos, detalhes do incidente ou outras informações sobre os autores de ataques. É uma ação simples, mas que ajuda a não inspirar novos ataques.

Para saber mais:

• Governo Federal cria canal de denúncias contra ataques e ameaças a escolas
• Operação Escola Segura: Justiça pede exclusão de 270 contas do Twitter
• Conanda apoia mudanças em cobertura jornalísticas de ataques a escolas
• Grupo Globo muda política sobre cobertura de massacres

[Carreira] Quando o nosso trabalho importa

O Relatório Anual de 2021 do C6 Bank (o mais recente disponível no site deles) dedica quatro páginas para o tema da Segurança, aonde destaca quatro projetos principais:

• Identificação segura - graças ao uso de biometria facial, liveness e ativação do dispositivo seguro (via token)
• Testes de Segurança
• Melhoria contínua
• Prevenção de riscos

Mas, o mais legal, é que o relatório dá destaque a duas iniciativas que eu conduzi enquanto trabalhava no banco: a parceria com o MIT (Instituto de Tecnologia de Massachusetts) e o programa de Bug Bounty.

Desde meus primeiros dias no C6 Bank eu fui colocado em contato com o pessoal do consórcio interdisciplinar Cibersecurity at MIT Sloan, que permitiu uma grande troca de conhecimento nesses últimos 4 anos. Além de ter tido a oportunidade de escrever 2 papers de pesquisa captaneado pelo Nelson Novaes Neto (e junto com a Natasha Malara), eu participei de um estudo de caso sobre o projeto de conscientização do banco, realizei 5 apresentações para os membros do consórcio (sobre esses papers, sobre o programa de Bug Bounty do C6 Bank e sobre as perspectivas pós-pandemia) e participava religiosamente de todas as reuniões semanais e encontros periódicos do grupo. Foi uma oportunidade de aprendizagem única. Infelizmente, eu era a única pessoa do time de segurança que se interessava e se dedicava a essa tarefa.

O meu comprometimento com o programa de Bug Bounty surgiu no momento da contratação, quando recebi a responsabilidade por esse projeto. O C6 Bank ainda não possuía um aplicativo bancário, que ainda estava em desenvolvimento e não havia empresas brasileiras publicamente realizando tais programas. Mesmo assim, eu já estava em contato com as grandes empresas do segmento buscando um parceiro. No final de 2018 fui responsável pela assinatura do contrato de parceria com a HackerOne, que até hoje é a plataforma utilizada pelo banco para o seu programa de recompensas. Desde então, eu fui responsável pela gestão do programa, incluindo a primeira triagem, interação com pesquisadores e pelo encerramento dos chamados (incluindo o pagamento de recompensas, quando aplicável). Foi uma grande oportunidade de interagir com os times de resposta a incidentes e red team, pois juntos fazíamos as análises e encaminhávamos internamente o tratamento dos reports recebidos. Nesse tempo, eu vi o mercado de bug bounty surgir no Brasil e começar a crescer. Tive o privilégio de realizar diversas palestras sobre o assunto nos últimos 4 anos, compartilhando minha experiência.

Revendo esses anos de experiência, vejo como foi gratificante ter tido a experiência de liderar projetos tão únicos e pioneiros. Também sinto que pude colaborar na criação de uma comunidade brasileira de profissionais de conscientização e na popularização do bug bounty no mercado nacional.

https://cms-assets-p.c6bank.com.br/uploads/relatorio-anual-2021-pt.pdf

[Segurança] Lei do silêncio oculta realidade dos incidentes de segurança

Uma pesquisa recente da Bitdefender joga luz a uma realidade pouco falada no mercado de segurança: existem empresas que omitem informações sobre seus incidentes de segurança. Sempre que possível, as empresas omitem que um incidente ocorreu e, quando não há alternativa para ocultar o fato, tentam amenizar o ocorrido.

Veja os números apresentados pelo pessoal entrevistado pela Bitdefender:

• 42% dos profissionais de TI e de segurança (mais de 2 a cada 5 pessoas) disseram que foram instruídos a manter os casos de violações de segurança sob sigilo, mesmo quando sabiam que ela deveria ser reportada;
• 71% dos profissionais de TI/segurança nos EUA foram foram instruídos a ficar quietos, seguidos pelo Reino Unido com 44%, Itália com 36,7%, Alemanha com 35,3%, Espanha com 34,8% e França com 26,8%;
• 30% disseram que cumpriram essa ordem, mantendo confidencial  a ocorrência de uma violação;
• 55% dos entrevistados estão preocupados com a possibilidade de sua empresa enfrentar uma ação legal devido ao tratamento incorreto de uma violação.

Ao mesmo tempo, 52% dos entrevistados nessa pesquisa disseram que sua empresa sofreu uma violação ou vazamento de dados nos últimos 12 meses. Ou seja, o risco de uma empresa sofrer incidentes e vazamento de dados é grande. Essa possibilidade, aliada a pressão esmagadora para silenciar os funcionários, faz com que os profissionais de segurança se vejam em uma situação difícil, que só faz aumentar o stress na profissão.

Para saber mais:

• New Bitdefender Survey Reveals Top Cybersecurity Challenges and Concerns for Businesses Globally
• The Cybersecurity Challenges Businesses Are Facing in 2023
• 2023 Cybersecurity Assessment Report

[Segurança] Cyber, Artilharia, Propaganda. Visão geral das dimensões da agressão russa

Esse texto, produzido pelas autoridades ucranianas e publicado em janeiro deste ano, descreve o papel da guerra cibernética dentro do conflito do governo russo com a Ucrânia. Ele destaca em vários momentos que as ações de guerra cibernética fazem parte de uma estratégia maior de enfrentamento. Eu gostei tanto dele que decidi publicá-lo aqui, traduzido para o Português.

CYBER, ARTILHARIA, PROPAGANDA. VISÃO GERAL DAS DIMENSÕES DA AGRESSÃO RUSSA

VISÃO GERAL DAS DIMENSÕES DA AGRESSÃO RUSSA

Os autores do estudo acompanharam a coordenação de ataques com mísseis contra governos locais e ataques cibernéticos a serviços comunitários, coordenação precisa de ataques com mísseis e cibernéticos contra mídia e centros de comunicação, e a preparação e implementação de ataques cibernéticos contra instituições que ajudam a Ucrânia (logística, apoio a refugiados e até eventos culturais), etc.

- A guerra russa contra a Ucrânia tem muitas dimensões: convencional, econômica, cibernética, informativa e cultural. Só a compreensão da interação dessas dimensões permite avaliar adequadamente as ações do Estado agressor.

- A primeira guerra cibernética em grande escala do mundo não demonstrou novos "tipos de armas" no ciberespaço atual. Todos os ataques são realizados usando técnicas previamente conhecidas. Os ataques usados pela Rússia há muito são categorizados e têm soluções diretas para contra-ataque.

- Os ataques cibernéticos são totalmente consistentes com a estratégia militar geral da Rússia. Além disso, os ataques cibernéticos são frequentemente coordenados com outros ataques: ataques convencionais no campo de batalha e operações de informação psicológica e de propaganda. Esse efeito foi demonstrado no outono e inverno de 2022, quando, após uma série de ataques cibernéticos ao setor de energia, a Rússia lançou várias ondas de ataques com mísseis à infraestrutura de energia. Ao mesmo templo, lançou simultaneamente uma campanha de propaganda para transferir a responsabilidade pelas consequências (quedas de energia) para as autoridades estatais ucranianas, governos locais ou grandes empresas ucranianas.

- Essa coordenação de ataques em diferentes dimensões de agressão é generalizada, embora a coordenação não seja uma regra constante e absoluta.

- Doutrinariamente, a Rússia frequentemente considera as dimensões cibernética e de informação como um único domínio de "confronto de informação". Esse confronto pode incluir campanhas de pura informação ou algo mais complexo. No entanto, em qualquer caso, o objetivo é a manipulação da informação, à qual todos os regimes democráticos são naturalmente vulneráveis.

- Os ataques cibernéticos, como os ataques convencionais da Federação Russa, não reconhecem nenhuma regra - infraestrutura, organizações humanitárias e empresas privadas e estatais estão sob ataque. Os hackers russos não aceitam restrições e não reconhecem as fronteiras internacionais, atacando diferentes países se eles cooperarem com a Ucrânia.

- Não há razão para acreditar que a intensidade dos ataques cibernéticos diminuirá. A única questão é o que eles irão focar.

● O estudo mostra que é necessário adaptar as doutrinas militares aos desafios modernos, usando as lições da guerra Ucraniana-Russa para prever e modelar táticas para enfrentar efetivamente a Rússia e outros regimes autoritários.

● Mudar as abordagens legais para a definição de agressão, expandindo significativamente as interpretações legais relevantes;

● Restringir o acesso dos regimes autoritários às tecnologias modernas através do reforço das sanções, incluindo sanções contra os setores mais críticos da economia desses regimes.

A multidimensionalidade da agressão russa se manifestou antes mesmo da invasão em grande escala. Exemplos são as chamadas "guerras econômicas" e poderosas campanhas de propaganda hostil. Mas em 24 de fevereiro de 2022, a correlação entre diferentes tipos de ataques tornou-se sistêmica.

A Rússia praticou essa tática em conflitos armados anteriores (por exemplo, durante a agressão contra a Geórgia). Se não for estudada e efetivamente combatida, essa tática será usada no futuro contra outros países. Por exemplo, suponha que a Rússia ainda não tenha recebido uma resposta sólida para todas as suas ações agressivas contra a Ucrânia. Se nenhuma ação pesada for tomada, ela retornará com ataques ainda mais ousados que não se limitarão apenas à Ucrânia ou à nossa região.

A necessidade de proteção contra agressões multidimensionais cria uma demanda por

- informações multidimensionais e previsões multidimensionais (não isoladas);
- estratégias multidimensionais de contra-ataque;
- responsabilidade jurídica multidimensional do agressor.

Outra questão crítica é a necessidade de isolamento econômico completo do estado agressor. Em primeiro lugar, trata-se de restringir o acesso a todas as tecnologias modernas. Afinal, todas elas são usados pela Rússia como arma.

Infelizmente, a comunidade internacional carece desses componentes necessários para o sucesso. Por essa razão, a maioria dos desenvolvimentos precisam ser suficientemente sistematizados. Portanto, é essencial mudar todas as abordagens com urgência.

É uma crença comum que os ataques cibernéticos são a arma do futuro. No entanto, a guerra na Ucrânia provou que esse futuro já chegou. Portanto, as doutrinas de defesa e as leis internacionais devem se adaptar rapidamente.

A multidimensionalidade da guerra é um novo desafio de segurança (que poderia ter sido previsto, mas ainda precisa ser adequadamente prevenido). Não há dúvida de que a Rússia não é a única ameaça à segurança internacional. Outros regimes autoritários também concluirão e usarão essas abordagens no futuro.

Paradoxalmente, os ataques convencionais podem eventualmente ceder lugar aos ataques cibernéticos em suas consequências negativas. Ainda hoje, no exemplo da agressão russa, podemos ver hackers atacando todos os objetos. No entanto, tem como prioridade:

- instituições estatais (como os centros de decisão responsáveis pela manutenção da estabilidade no país),
- infraestrutura civil e energética (porque a Rússia é uma terrorista que quer aumentar o sofrimento dos civis sem ter sucesso no campo de batalha),
- mídia e comunicações (esses ataques fortalecem a propaganda russa, uma arma comprovada do regime de Putin).

O principal objetivo dos hackers russos mudou desde o início da guerra. Antes da invasão e no primeiro mês da guerra, os ataques cibernéticos foram direcionados ao departamento de comunicação, que deveria limitar a funcionalidade dos militares e do governo na Ucrânia. Porém, após a primeira derrota na frente de combate, o agressor russo concentrou-se em infligir o máximo dano à população civil. Essa mudança de estratégia pode ser rastreada em todas as dimensões da agressão. O ataque à infraestrutura de energia é o melhor exemplo. Este ataque foi bem pensado tanto em termos de timing quanto de alvos. Durante a onda de frio, ocorreram os primeiros ataques massivos à infraestrutura de energia para aumentar a pressão sobre a população civil, que se adapta a inconvenientes muito piores do que os militares.

Portanto, a principal tarefa da Ucrânia e de nossos parceiros internacionais é identificar todas as correlações nas ações da Federação Russa e desenvolver uma estratégia abrangente para combater esses ataques.

INTERCONEXÕES ENTRE OS EVENTOS DE DIFERENTES DIMENSÕES DA AGRESSÃO RUSSA

A intensificação dos ataques cibernéticos em grande escala precedeu a invasão convencional em total escala.

Em 15 de fevereiro, hackers russos lançaram o mais poderoso ataque DDoS da história da Ucrânia, que, entre outras coisas, visava o setor financeiro (ataque DDoS a 15 sites bancários, sites com o domínio gov.ua, bem como sites do Ministério da Defesa, das Forças Armadas e do Ministério da Reintegração dos Territórios Ocupados Temporariamente, que durou cerca de 5 horas). Em 23 de fevereiro, antes da invasão russa da Ucrânia, vários sites governamentais e bancários foram atacados novamente. De acordo com a operadora estatal do sistema de transmissão de eletricidade Ukrenergo, o pico de ataques cibernéticos contra o setor de energia ocorreu quando a rede elétrica ucraniana foi conectada à ENTSO-E europeia (ou seja, em 23 e 24 de fevereiro). Durante alguns ataques a Ukrenergo, os hackers russos nem tentaram esconder sua origem e usaram endereços IP russos para escanear a rede da operadora estatal de energia.

Assim, os ciberataques foram concebidos para aumentar o caos de uma invasão convencional, reduzir a governabilidade do país e danificar as infraestruturas críticas.

Informações detalhadas no arquivo anexo. (link para o arquivo em PDF)

CONCLUSÕES E RECOMENDAÇÕES

A agressão armada russa contra a Ucrânia começou em 2014 e foi multidimensional desde o início. Além disso, a Rússia usou constantemente ataques híbridos (guerra econômica, campanhas de propaganda, etc.) para atingir seus próprios objetivos. Além do mais, a agressão russa não convencional continua contra a Ucrânia; tais ataques são realizados contra todos os países "hostis". Esses ataques representam ameaças globais. Portanto, a correlação entre as diferentes dimensões da agressão precisa ser estudada em detalhes, e todas as potências mundiais (exceto alguns aliados da Federação Russa) estão interessadas em reagir efetivamente a esses ataques.

Recomendação 1: A experiência ucraniana deve ser sistematizada e usada para combater a Rússia e outros regimes autoritários.

A invasão em grande escala da Rússia demonstrou muitas conexões lógicas entre diferentes tipos de ataques. A agressão russa contra a Ucrânia não tem análogos na história moderna da Europa. Ao mesmo tempo, esta guerra indica as abordagens que podem ser usadas em futuros conflitos armados.

O confronto entre democracia e autoritarismo só ganha força e será decisivo para moldar a agenda global das próximas décadas. Portanto, a experiência da Ucrânia é a chave para a vitória da democracia. A principal fraqueza dos regimes autoritários é que eles usam as experiências uns dos outros e são sempre semelhantes. Sua centralização e previsibilidade não são uma força, mas o calcanhar de Aquiles.

Recomendação 2: As doutrinas de defesa devem adaptar-se às exigências dos tempos. Conexões lógicas entre diferentes dimensões da agressão russa podem ser usadas para previsão e modelagem.

Alguns dos dados usados para modelar as guerras até 24 de fevereiro de 2022 estavam errados. E não é só que muitos analistas subestimaram a Ucrânia e superestimaram a Rússia. O problema também é que muitos pressupostos teóricos nunca foram testados na prática.

As doutrinas de defesa devem considerar que existem outras formas de infligir danos significativos aos adversários. E quanto mais digitalizado o mundo se torna, mais mortais podem se tornar os ataques cibernéticos.

Portanto, todos os documentos estratégicos devem considerar a multidimensionalidade da guerra moderna.

Recomendação 3. As abordagens legais internacionais para a definição legal de agressão devem mudar (a agressão no século XXI não é apenas convencional). Além disso, a responsabilidade deve estender-se a todas as manifestações de agressão, não apenas às clássicas.

A definição legal de agressão foi formulada pela Resolução 3314 da Assembléia Geral das Nações Unidas em 1974. Desde então, a comunidade internacional não ousou questionar a relevância dessa definição. Infelizmente, o direito internacional também ignora quase completamente o conceito de agressão econômica. Embora a Resolução 3314 estabeleça que agressão é "o uso de qualquer arma por um Estado contra o território de outro Estado", atualmente não há uma resposta clara sobre se "qualquer arma" inclui armas econômicas, de informação e cibernéticas. A maioria dos advogados terá dúvidas. E essa ambiguidade é utilizada pelo Estado agressor (e será utilizada por outros regimes autoritários). Portanto, a definição de agressão deve ser atualizada.

Recomendação 4. Os ataques cibernéticos podem ser equiparados a crimes de guerra. Portanto, o direito humanitário internacional deve estabelecer uma estrutura mais rígida para ataques não convencionais.

As tentativas da Rússia de destruir o sistema de energia ucraniano demonstraram que os ataques cibernéticos geralmente acompanham os ataques convencionais contra a infraestrutura crítica. Em teoria, os ataques cibernéticos não podem causar menos danos e sofrimento aos civis do que os ataques com mísseis. Consequentemente, os ataques cibernéticos podem ser crimes de guerra. Assim, o direito internacional humanitário deve tornar-se mais preditivo e oferecer uma regulamentação adequada para as relações jurídicas relevantes.

Recomendação 5. A multidimensionalidade da agressão russa comprova a necessidade de sanções contra os setores mais críticos da economia. As sanções devem ser fortalecidas e as empresas internacionais devem deixar o mercado russo. Hoje, a cumplicidade na agressão não é apenas a venda de drones, mas também o fornecimento de acesso à tecnologia.

O poder de ataques não convencionais agrava ainda mais a necessidade de isolamento econômico completo do Estado agressor.

Além disso, agressões peculiares (principalmente ataques cibernéticos russos) não têm restrições geográficas. Isso significa que as empresas ocidentais que continuam a fornecer à Rússia as tecnologias mais recentes não apenas contribuem para a continuação da agressão contra a Ucrânia. Além disso, eles minam a segurança de seus próprios países porque ninguém sabe contra quem um ataque russo será lançado amanhã.

Fonte: Cyber, Artillery, Propaganda. General overview of the dimensions of Russian aggression (artigo original)

[Cyber Cultura] Batalha pelas bibliotecas online

Quatro grandes editoras (*) entraram com um processo na justiça americana contra o compartilhamento online de livros, caso conhecido como Hachette v. Internet Archive. O alvo desse processo é o Internet Archive, site muitíssimo popular de arquivamento e compartilhamento de informações, que mantém o projeto OpenLibrary, um catálogo online aberto e editável. Eu, particularmente, conheço o Internet Archive há muitos anos graças ao maravilhoso projeto Wayback Machine, que mantém versões antigas de sites web.

(*) Hachette, HarperCollins, Wiley e a Penguin Random House

O processo alega que o formato de empréstimo digital controlado (CDL) se trata de uma violação dos direitos de cópia das obras. Isso significa dizer que as bibliotecas, em geral, não teriam posse e, muito menos, direito de compartilhamento dos livros digitais que possuem. Infelizmente o julgamento em primeira instância teve um resultado negativo, e a Internet Archive fará apelação do caso e no dia 08 de abril haverá uma mobilização para apoiar a Internet Archive.

Também foi criado a iniciativa BattleforLibraries.com para apoiar o Internet Archive nesse processo judicial. Esse site tem muitas informações sobre o caso. A EFF também está acompanhando e mantém muitas informações sobre essa batalha judicial.

Se as editoras ganharem esse processo, isso pode trazer sérias consequências para o compartilhamento online do conhecimento e da cultura. Por isso, é importante nos unirmos e apoiarmos o Internet Archive nessa luta.

Como forma de apoio, diversas entidades brasileiras assinarem uma nota de apoio.

Para saber mais:

• Hachette v. Internet Archive (EFF)
• BattleforLibraries.com
• Stand with Internet Archive as we fight for the digital rights of all libraries
• Don’t Delete Our Books! Rally

[Segurança] Um ano de guerra (cibernética) na Ucrânia

Recentemente, no dia 24 de fevereiro, chegamos na triste marca de um ano desde o início da invasão da Ucrânia pela Rússia. Não vou falar sobre essa guerra em si, pois todos os canais de notícias estão repletos de matérias e retrospectivas sobre esse conflito, com estatísticas, infográficos e muita coisa para contar.

Acima de tudo, merece a nossa admiração a grande força e resistência do povo ucraniano, que conseguiu resistir a invasão de uma das maiores potências mundiais. Ao pensar em um país do porte e poderio militar da Rússia enfrentando a pequena Ucrânia, qualquer pessoa acreditaria que seria uma guerra rápida. Mas a história nos mostra que as guerras são imprevisíveis. Quando os americanos iniciaram a Guerra de Secessão (de 1861 a 1865), eles achavam que seria um conflito rápido, no máximo 3 meses, possivelmente terminando na primeira grande batalha entre esses dois exércitos. Por sinal, o local dessa batalha é atualmente um parque nacional, que pode ser visitado e conhecer sobre o conflito, incluindo algumas curiosidades: na época, a elite da cidade fez pic-nic próximo ao local da batalha, para assistir o conflito. Uma das primeiras mortes foi de uma senhora de 85 anos que estava em sua casa, localizada num local bem próximo do centro do conflito. Como não havia padronização nos uniformes, no calor da batalha os soldados não sabiam identificar quem era amigo ou inimigo.

Voltando a guerra na Ucrânia, eu tenho um artigo que mantenho atualizado com uma cobertura sobre os principais aspectos relacionados ao conflito cibernético. Para acompanhar o desenrolar dessa guerra cibernética, eu recomendo a leitura desses 3 posts:

• A Guerra cibernética na Ucrânia
• Indicadores dos ciber ataques durante o conflito entre a Russia e Ucrânia
• Novas táticas e tecnologias de guerra cibernética no conflito entre Rússia e Ucrânia

Segundo o próprio governo ucraniano, "a guerra russa contra a Ucrânia tem muitas dimensões: convencional, econômica, cibernética, informativa e cultural". Embora o conflito entre a Rússia e a Ucrânia não represente o primeiro caso de guerra cibernética, certamente entrará para a história como o primeiro caso de guerra cibernética generalizada e de longo prazo. Ou melhor, a primeira guerra cibernética em grande escala.

Mas, depois de um ano, que lições essa guerra cibernética nos trouxe? Na minha opinião, merece destaque os temas abaixo, alguns mais óbvios e outros não:

• A guerra cibernética como parte integrante da operação militar, o que pode ser visto nos grandes esforços de ataque e defesa cibernética em ambos os lados do conflito, além de diversos casos de sincronismo entre os ataques cinéticos (físicos) com os ataques cibernéticos;
• Ciber ataques a infra-estrutura crítica, principalmente a serviços de telecomunicação na Ucrânia, incluindo empresas de comunicação via satélite, no início do conflito, e ataques ao setor de energia com a proximidade do período de inverno;
• Uso de malwares do tipo "wiper" para realizar ciber ataques destrutivos contra a Ucrânia e impactar as operações das empresas atingidas. A ESET publicou uma lista com todos ciber ataques em 2022;
• Múltiplas estratégias e ações de guerra cibernética acontecendo simultaneamente, em paralelo. Há uma grande variedade de técnicas de ataques e de atores envolvidos, como ataques DDoS, phishing, malwares, fake news, etc;
• Os ciber ataques ocorrem em ritmo constante, desde o primeiro dia do conflito
• Ciber ataques realizados por militares e civis, incluindo grupos ciber ativistas, grupos ciber criminosos e voluntários, como no caso do "IT Army" (ou "cyber army") da Ucrânia;
• Uso de drones civis adaptados como armas de guerra;
• Diversas ações de propaganda e contra-informação online, incluindo o uso de deepfake;
• Eu deixei por último essa observação feita pelo governo ucraniano: "A primeira guerra cibernética em grande escala do mundo não demonstrou novos "tipos de armas" no ciberespaço existente. Todos os ataques são realizados usando técnicas previamente conhecidas. Os ataques usados pela Rússia há muito são categorizados e têm soluções diretas para contra-ataque."

Também perece destaque alguns aspectos que podemos identificar nesse conflito ao comparar a guerra cibernética com a guerra física:

• A guerra cibernética requer menos recursos humanos do que as operações militares tradicionais. Além disso, a quantidade de pessoas atuando online se mantém praticamente constante, enquanto a quantidade de soldados em campo diminui conforme acontecem as batalhas. Na guerra da Ucrânia os dois lados tem se esforçado para repor homens e equipamentos militares após as perdas sofridas durante os combates;
• A capacidade de ataque e defesa cibernética exige tempo e conhecimento e, portanto, necessita de preparação. No caso da Ucrânia, o país já havia sofrido diversas ondas de ciber ataques antes do conflito, desde 2014, o que lhes deu tempo suficiente para se prepararem. Assim, a Ucrânia conseguiu resistir às diversas ondas de ataques cibernéticos desde os primeiros dias da invasão;
• Ciber ataques podem ser usados antes mesmo da guerra ser declarada, como nos momentos que antecedem ao início do conflito. Embora os ataques convencionais provoquem uma reação imediata contra o país agressor, os ciber ataques ficam em uma zona militar cinzenta, aonde podem acontecer protegidos pela dificuldade de atribuição e de associação direta com o início do conflito. Eles permitem, por exemplo, causar uma situação inicial de caos sem provocar uma resposta militar.

Segundo a agência de defesa cibernética da Ucrânia (State Service of Special Communication and Information Protection, SSSCIP), até Dezembro de 2022 mais de 2.100 incidentes foram tratados pelo CERT da Ucrânia (CERT-UA), com ataques prioritariamente contra a infraestrutura civil, em vez de militar.

Em dezembro de 2022, segundo a SSSCIP, foram bloqueados 395 ataques DDoS "de alto nível" e identificadas, e bloqueadas, 170.000 tentativas de exploração de vulnerabilidades. Foram identificados 7 novos tipos de malwares e vírus em 2022.

Segundo análise da Google e a Mandiant, os ataques cibernéticos da Rússia contra a Ucrânia aumentaram 250% em 2022 em comparação com dois anos atrás. Os ataques se concentraram em alvos do governo ucraniano e entidades militares, juntamente com infraestrutura crítica, serviços públicos e setores de mídia. A Mandiant observou que "mais ataques cibernéticos destrutivos na Ucrânia durante os primeiros quatro meses de 2022 do que nos oito anos anteriores, com picos de ataques no início da invasão".

Embora o volume de ciber ataques durante o conflito entre a Rússia e Ucrânia tenha sido assustador, o impacto no campo de batalha foi pequeno. Ou seja, os soldados com seus tanques e mísseis continuam mais poderosos e devastadores do que os hackers e seus computadores.

Para saber mais:

• Aqui no blog:
• A Guerra cibernética na Ucrânia
• Indicadores dos ciber ataques durante o conflito entre a Russia e Ucrânia
• Novas táticas e tecnologias de guerra cibernética no conflito entre Rússia e Ucrânia
• Artigo excelente, do próprio Governo da Ucrânia: Cyber, Artillery, Propaganda. General overview of the dimensions of Russian aggression
• Fog of war: how the Ukraine conflict transformed the cyber threat landscape
• A Year of the Russia-Ukraine War: Seven Types of Cyberattacks Used Against Ukraine
• What we've learned from a year of Russian cyberattacks in Ukraine
• Russia’s cyberwar against Ukraine offers vital lessons for the West
• Cyber-attacks have tripled in past year, says Ukraine’s cybersecurity agency
• Excelentes reflexões: What the Russian Invasion Reveals About the Future of Cyber Warfare
• CISA Sounds Alarm on Cybersecurity Threats Amid Russia's Invasion Anniversary (NOVO)
• Google Reveals Alarming Surge in Russian Cyber Attacks Against Ukraine (NOVO)
• Excelente timeline: A year of wiper attacks in Ukraine (NOVO)
• Sobre o conflito em si:
• Guerra na Ucrânia completa 1 ano sem fim à vista; entenda o que mudou (BBC)
• 1 ano de guerra na Ucrânia: entenda as diferentes fases da invasão russa
• Um ano de guerra na Ucrânia: quais consequências do conflito para o mundo?
• A guerra da Ucrânia vai acabar este ano? Veja cenários
• A guerra da Ucrânia em números, um ano depois

PS: Pequena atualização em 12 e 13/04.