[Segurança] A História do Hacking

O pessoal da Duo Security publicou um infográfico com um timeline bem legal e detalhado dos principais eventos de segurança e hacking. Batizado de "A History of Hacking", ele mostra vários eventos desde 1903 até o ano passado, chegando até o Heartbleed.

[Segurança] Relembrando a BSides Latam 2016

Vale a pena relembrar como foi a primeira BSides Latam através desse vídeo curto, criado pelos nossos amigos da Gravento:

A BSides Latam aconteceu em São Paulo, nos dias 11 e 12 de Junho deste ano  Esta foi a primeira edição das BSides organizada em conjunto e juntando os organizadores de todas as Security BSides da América Latina. Ainda estamos planejando como será a edição do ano que vem, mas é muito provável que ela ocorra na Colômbia, em Setembro.

Enquanto a BSides Latam não chega, nos visite na próxima BSides São Paulo, que vai acontecer daqui a pouco, nos dias 19 e 20 de novembro de 2016.

[Cidadania] O Cadastro Nacional de Acesso à Internet

A nossa Câmara dos Deputados está discutindo um Projeto de Lei (PL) que, sob o pretexto de proteger as crianças e adolescentes de conteúdo impróprio na Internet, ele pretende criar o "Cadastro Nacional de Acesso à Internet".

Este projeto, o PL 2390/2015, pretende alterar a Lei nº 8.069 (o Estatuto da Criança e do Adolescente) para criar uma aberração batizada de "Cadastro Nacional de Acesso à Internet" (eu vou chamar isso de "cadastro único", para facilitar a escrita e leitura desse post), que deve conter os dados de todos os usuários da Internet no Brasil e uma relação de sites considerados "com conteúdo inadequado". Além disso, ele exige que todos os computadores e smartphones comercializados no Brasil tenham um aplicativo pré-carregado que, além de exigir o cadastro do usuário nesse "cadastro único", ele vai identificar que site a pessoa está acesando com a finalidade de proibir o acesso de crianças e adolescentes aos sites "inadequados".

Na minha humilde opinião, isso está criando a censura na Internet Brasileira!!!

OK, respira fundo...

Segue abaixo os principais trechos das sugestões propostas nesse projeto de lei, que serão incluídas na Seção do Estatuto da Criança e do Adolescente que trata sobre as medidas de prevenção no acesso adequado a "Informação, Cultura, Lazer, Esportes, Diversões e Espetáculos" (negritos são por minha conta, para destacar algumas aberrações mais relevantes):

Art. 80-A. O Poder Público manterá Cadastro Nacional de Acesso à Internet, que conterá:
I – relação de usuários da internet no Brasil;
II – relação com sítios na internet que divulguem conteúdos inadequados para acesso por crianças e adolescentes.
§ 1º A instalação, operacionalização, carregamento, manutenção e atualização do Cadastro Nacional de Acesso à Internet será de responsabilidade do Poder Público
§ 2º Os provedores de informação na internet que mantenham conteúdos de livre acesso ao público geral e que sejam inadequados para crianças e adolescentes deverão informar ao órgão responsável pela operação do Cadastro Nacional de Acesso à Internet que os conteúdos por eles disponibilizados devem ser bloqueados para acesso por crianças e adolescentes.
§ 3º Para inscrição no cadastro de que trata o caput, o usuário deverá fornecer, entre outras informações, o nome completo, endereço completo, número do documento oficial de identidade e número de registro no Cadastro de Pessoas Físicas (CPF) do Ministério da Fazenda.
Art. 80-B. Os terminais de acesso à internet comercializados no País deverão ser embarcados com aplicativo ativado que, cumulativamente:
I – permita a inscrição do usuário no Cadastro Nacional de Acesso à Internet;
II – exija a identificação do usuário a cada conexão à internet, acesse o Cadastro e, caso o usuário não conste do Cadastro ou tenha idade inferior a dezoito anos, proceda ao bloqueio automático do acesso aos sítios que divulguem conteúdos inadequados para crianças e adolescentes que constam do Cadastro;
(...)
Parágrafo único. Para efeitos deste artigo, consideram-se terminais de acesso à internet os computadores, aparelhos de telefonia móvel e demais equipamentos eletrônicos que ofereçam ao usuário a possibilidade de acessar a internet (...).

Esse PL do "cadastro único" também prevê penalidades para as empresas que não cumprirem a lei:

• Não instalar o "cadastro único" (Art. 258-D): multa de R$ 5.000 a R$ 20.000;
• Comercializar equipamentos de acesso à Internet que não tenham o aplicativo do "cadastro único" (Art. 258-E ): multa de R$ 1.000 a R$ 3.000 (dobrada em caso de reincidência); 
• Não comunicar ao responsável pelo "cadastro único" que o seu conteúdo online é inadequado para "clientes" (ops, eu achei um erro: aqui deveria ser "crianças") e adolescentes (Art. 258-F): multa de R$ 1.000 a R$ 3.000 (dobrada em caso de reincidência).

Além de instaurar a censura prévia na Internet, esse projeto de lei deixa várias preocupações em aberto, que são muito importantes. em poucos minutos eu já penseu em algumas:

• Quem vai definir que tipo de conteúdo deve ser considerado "inadequado"?
• Quem, do "Poder Público", cuidará da criação e manutenção desse "cadastro único"?
• Quem vai garantir a segurança e privacidade desses dados cadastrais? Quem seria responsável por um eventual vazamento de dados?
• Quem será responsável pela criação e manutenção desse "aplicativo" que deve ser previamente ativado em todos os computadores comercializados no Brasil?
• Quem vai garantir a seguranca desse "aplicativo" que deve vir instalado em todos os computadores? Isso é pior que um backdoor!
• Esse aplicativo pode ser utilizado para qualquer tipo de censura!
• Esse aplicativo vai manter registro de tudo o que acessamos? Vai enviar essa informação (de navegação) para o responsável pelo "cadastro único"?
• Se sim, isso não poderia ser utilizado pelo governo para vigiar as pessoas?
• Não tem como evitar que alguém burle a autenticaçào do aplicativo!!! Um adolescente poderia facilmente criar um cadastro falso ou, simplesment,e utilizar a senha de um adulto (que alguém emprestou, que ele descobriu ou roubou).

O Comitê Gestor da Internet (cgi.br) divulgou uma nota oficial sobre esse projeto de lei, aonde citou algumas dificuldades técnicas para a sua implantação, que representam "uma grande possibilidade de falhas em todo o processo". Ele também destacou que esse PL "marginaliza o papel dos pais em exercer controle sobre qual tipo de conteúdo seus filho(a)s deveriam consumir" e representa "um estímulo à coleta maciça e desnecessária de dados". Segundo nota da ABRANET, esse PL "ameaça o Marco Civil da Internet".

O PL 2390/2015 é de autoria do deputado Pastor Franklin, do PTdoB/MG, e está seguindo os trâmites burocráticos do congresso - neste exato momento, esse PL está prestes a ir para avaliação na Comissão de Ciência e Tecnologia, Comunicação e Informática (CCTCI). Ele está em tramitação há mais de 1 ano e o último parecer que recebeu, do Relator da CCTCI em 01/06/2016 (Dep. Missionário José Olimpio do DEM-SP), foi pela sua aprovação.

Para saber mais:

• Leia o texto completo do PL 2390/2015;
• Acompanhe como está a tramitação dessa bizarrice do PL 2390/2015;
• Artigo "Ativistas e especialistas atacam projeto que cria Cadastro Nacional de Acesso à Internet".

[Segurança] Lá vem a Ekoparty !!!

Nesta semana, de 26 a 28 de outubro, acontece em Buenos Aires a Ekoparty, que é, na minha opinião, um dos maiores e melhores eventos técnicos de segurança na América Latina. A grade de atividades é formada por uma trilha de palestras e uma de workshops, além de competição de CTF, área de exposição e algumas atividades em paralelo. Nesse ano eu percebi um destaque muito grande (e interessante) para hacking de automóveis, inclusive com uma oficina sobre o assunto!

Comparando com os eventos brasileiros, a "Eko" tem um público possivelmente maior do que o Roadsec São Paulo (que não é tão tecnicamente profundo como a Eko) e tem uma qualidade equivalente a H2HC, com muitas palestras de conteúdo excelente (mas a H2HC tem tamanho menor se comparado com a Eko). Eu vi a grade deste ano e fiquei maravilhado.

Eu gosto muito do evento pela qualidade das palestras, pela qualidade do local (um centro cultural bem charmoso), e pelo capricho da organizaçào (que a cada ano escolhem um tema e fazem toda uma decoração em volta desse tema). Sem falar que Buenos Aires é pertinho e é uma cidade sensacional!!!

Como nem tudo são flores, ir na Ekoparty exige uma dose muito grande de cuidados:

• Roubo de notebooks: isso acontece com muita frequência no evneto. Já tive dois amigos roubados: um deles deixou o notebook no palco porque ia palestrar, e saiu um segundo para pegar uma garrafa de água - quando voltou, o note não estava mais lá. Outro amigo estava sentado com mochila no chão, ao seu lado, e quando olhou para o lado a mochila sumiu. com o HD de backup junto! Ou seja: não levem notebook no evento. Lá tem muito roubo de notebook, muito mesmo!
• Dinheiro falso nos taxis: Cuidado nos taxis, pois os taxistas costumam dar troco com nota falsa ou, se você der uma nota de 100 pesos, ele diz que você deu dinheiro falso e te devolve uma nota falsa como se fosse a sua. antes de pagar a corrida do taxi, veja os últimos numeros de série da nota, pois se o taxista reclamar você pode ter certeza de que a nota é sua;
• Verifique o caminho que o taxi está fazendo. Eu já desci do taxi no meio do trajeto pois o motorista estava fazendo um caminho desnecessariamente longo.

Esses problemas acima poderiam acontecer em qualquer lugar do mundo, mas infelizmente acontecem com maior frequência na Ekoparty :(

Algumas dicas extras:

• Para evitar o problema com os taxis, utilize Uber. Há muita disponibilidade de carros, apesar dos protestos dos taxistas argentinos;
• Ao viajar para Buenos Aires, prefira ir para o Aeroparque (AEP) do que para o aeroporto Internacional de Ezeiza (EZE). O Aeroparque fica pertinho do centro da cidade, e Ezeiza fica bem longe. Fazendo isso, você economiza tempo e dinheiro;
• Compre pesos no Banco de La Nacion no aeroporto. embora normalmente ele tenha uma fila grande, vale pela economia. As casas de câmbio no aeroporto utilizam uma taxa de câmbio desfavorável;
• Durante o evento, desligue o Bluetooth e o Wi-Fi do seu celular. Se você tem um smart watch ou um fitbit da vida, está acostumado a deixar o bluetooth ativo e nem lembra disso. Deixe eles em casa também. Se possível, deixe o seu smartphone offline (em modo avião) a maior parte do tempo e limite quais aplicativos podem usar a sua rede de dados.

Para saber mais, veja esses meus 2 posts que eu escrevi sobre a Eko:

• Listo para Ekoparty!
• Cuidado com a EKO, que a EKO te pega...

OBS: Post atualizado em 26/10.

[Segurança] 10 mandamentos de segurança contra Phishing

O pessoal da empresa El Pescador fez algumas atividades legais durante a H2HC, realizada neste final de semana. Dentre elas, havia uma pessoa vestido de pirata que leu os "10 mandamentos de segurança":

1. Não clicarás!
2. Não fornecerás credenciais em sites desconhecidos;
3. Não serás persuadido por banners pornográficos;
4. Verificarás a procedência de ofertas mirabolantes;
5. Duvidarás dos erros gramaticais;
6. Conferirás o teor das mensagens recebidas;
7. Não usarás plug-ins pecaminosos como Java e Flash;
8. Não efetuarás downloads de servidores misteriosos;
9. Não desabilitarás o Javascript;
10. Evitarás vazamentos de nudes bloqueando a webcam.

Estas dicas são muito boas para compartilhar com usuários, pois representam erros muito comuns que acarretam no roubo de dados ou infecção de seu computador por malware

O pessoal do El Pescador também tem um "guia completo sobre ataques de phishing", que é um e-book ilustrado e interativo sobre Phishing, suas modalidades e como se proteger.

OBS: Post atualizado em 25/10 para corrigir alguns erros de digitação e para incluir o vídeo dos 10 mandamentos, gravado durante a H2HC.

[Segurança] USB Kill

Recentemente, uma empresa de Hong-Kong lançou o USB Killer 2.0, um dispositivo parecido com um pendrive que promete "fritar" o computador em que ele esteja conectado.

Ao ser conectado na porta USB de um computador, o USB Kill 2.0 rapidamente carrega os seus capacitores através da alimentação da porta USB, e depois descarrega 200V pela porta USB, em questão de segundos. Isso é feito repetidas vezes (carrega e descarrega), podendo assim danificar os controladores de disco a ponto de que tornar impraticável a recuperação de dados.

O dispositivo custa US$ 49, e pode ser comprado com um "Test shield", opcional.

Esse é mais um bom motivo para você pensar 2 vezes antes de colocar em seu computador um pen-drive que achou jogado no chão ;)

[Segurança] Guia para segurança em IoT

A Cloud Security Alliance (CSA) lançou recentemente um guia sobre segurança em IoT, batizado de "Future-proofing the Connected World: 13 Steps to Developing Secure IoT Products".

O guia tem 76 páginas e identifica 13 recomendações principais:

1. Start with a Secure Development Methodology
2. Implement a Secure Development and Integration Environment
3. Identify Framework and Platform Security Features
4. Establish Privacy Protections
5. Design in Hardware-based Security Controls
6. Protect Data
7. Secure Associated Applications and Services
8. Protect Logical Interfaces / APIs
9. Provide a Secure Update Capability
10. Implement Authentication, Authorization and Access Control Features
11. Establish a Secure Key Management Capability
12. Provide Logging Mechanisms
13. Perform Security Reviews (Internal and External)

O documento é bem completo, pois além de descrever as recomendações acima, ele também inclui um capítulo sobre as necessidades e sobre os desafios relacionados a adoção de dispositivos IoT.
Esta é a iniciativa mais madura que eu conheço para discutir detalhadamente como tratar segurança no mundo IoT. Há um ano atrás, eles já tinham publicado um relatório inicial sobre este tema.
O relatório pode ser baixado gratuitamente do site da CSA.

Atualização (11/11): Eu criei uma apresentação que resume estes principais tópicos e recomendações do reltório da CSA. Ela está disponível no meu slideshare.

Segurança em IoT é possível ! Dicas de desenvolvimento seguro de dispositivos IoT from Anchises Moraes

[Segurança] Técnicas, ferramentas e processos dos ciber ataques

A RSA tem um vídeo curto, simples e objetivo que explica rapidamente como normalmente funcionam os ciber ataques contra empresas. Batizado de "Understanding Hacker TTPs" ele dá uma visão superficial das técincas utilizadas em um ataque. A ropósito, TTP é um termo utilizado na área de segurança que significa "Tactics, Techniques and Procedures" ("Táticas, Técnicas e Procedimentos").

Para saber mais, a RSA disponibilizou um whitepaper sobre este assunto.

[Segurança] Regras do ciber crime

Alguns posts recentes com anúncio de venda de dados roubados mostram como são algumas das regras que normalmente os ciber criminosos utilizam para a comerialização de informações nos mercados underground:

• Nunca venda o mesmo dado para mais de uma pessoa ("I never sell the same CC, CVV to more than a person");
• Não forneça dados de graça ("I don't share CC, CVV for test free") - na verdade. é comum os ciber crimonosos fornecerem um pequeno conjunto de dados como "exemplo", para provar que realmente possuem os dados que querem vender;
• Os dados vendidos são verdadeiros ("All my CC, CVV always are fresh and live"). - e, na verdade, normalmente eles oferecem uma espécie de "garantia" (ou "replacement policy") na qual o criminoso fornece gratuitamente um novo dado (por exemplo, número de cartão) se algum dado vendido não estiver mais válido (o que pode acontecer caso o cliente ou operadora cancele o cartão);
• Os dados são verificados previamente pelo ciber criminoso ("All my CC, CVVs are checked") - e isso é feito até mesmo para o ciber criminoso estipular o preço pela informação sendo vendida (por exemplo, o acesso a uma conta corrente com mais saldo ou limite vale mais no mercado underground).

Normalmente os ciber criminosos fornecem suporte aos seus "clientes" através de e-mail e softwares de mensagem, caso haja problemas com os dados que foram bendidos.

[Segurança] The Internet of Ransomware Things

O portal de charges The Joy of Tech publicou recentemente uma charge muito legal batizada de "The Internet of Ransomware Things", que mostra como seria uma residência moderna totalmente automatizada e tomada pelos ransonwares: