outubro 20, 2017

[Segurança] Senhas e roupas íntimas

Uma analogia muito utilizada para conscientizar os usuários a tomarem cuidado com suas senhas é compará-las com roupas íntimas (cueca, calcinha, etc). É uma analogia que soa de forma divertida e, ao mesmo tmepo, didática:

  • Troque regularmente;
  • Não deixe elas jogadas em qualquer lugar;
  • Não as empreste para ninguém.

As duas fotos abaixo são exemplos desse tipo de campanha, e foram compartilhadas em um grupo de amigos:

 


outubro 19, 2017

[Segurança] Uma BSidesSP por ano

Não foi uma decisão fácil. Foi preciso muita coragem, muita discussão interna e superar uma grande dose de frustração, mas ao final nós, da organização da Security BSides São Paulo, decidimos a partir de agora realizar apenas uma edição da BSidesSP por ano. Desde quando começamos a organizar o evento, em 2011, realizamos 2 ou 3 edições por ano, totalizando 14 edições da BSidesSP e uma BSidesLatam (em 2016).

Neste ano realizamos a 14a edição da BSidesSP no primeiro semestre, nos dias 20 e 21 de Maio. O evento foi um sucesso, com muitas atividades bem legais, e atingimos um público record de 770 pessoas.

Mas esse sucesso veio com um preço alto: o evento ficou muito grande para conseguirmos organizar 2 edições por ano. E aí precisamos tomar a decisão de dar um pequeno passo para trás e focar nossos esforços em fazer apenas uma edição por ano.

Resumindo, o principal motivo para tomarmos essa decisão que foi porque o evento ficou grande demais para nossa capacidade atual de organiza-lo. O evento é totalmente realizado por voluntários, em nosso tempo livre do trabalho, e nunca tivemos um time com pessoas dedicadas unicamente a organizar eventos. E somos um time pequeno: os responsáveis pela BSidesSP são 5 pessoas (os que tomam as decisões estratégicas e cuida do financeiro), com mais 12 amigos que ajudam na organização e atuam como voluntários no dia, que batizamos carinhosamente de "Hand of King". Além de sermos um time pequeno, naturalmente existem algumas pessoas se dedicam mais e outras menos, e assim, a BSidesSP está consomindo muito esforço de algumas pessoas chave.

Além do problema acima, a PUC-SP ficou muito pequena para nós, o que pode ser percebido pelos participantes principalmente na hora do almoço e na cerimônia de encerramento, quando lotamos o espaço disponível para essas atividades. Assim, precisamos de um tempo maior para organizar a próxima edição, o que inclui pensar em formas de aproveitar melhor a infra-estrutura da PUC-SP ou, então, buscar um outro local.

A partir deste ano, vamos então realizar sempre uma edição da BSidesSP por ano, e até segunda ordem, ela sempre será no 1o semestre do ano, próximo ao You Sh0t the Sheriff.

Atualização (20/10): Há dois motivos principais para que tenhamos preferência por realizar a BSidesSP no primeiro semestre de cada ano:

  • O segundo semestre sempre é muito mais lotado de eventos, principalmente dos principais eventos da área. Já o primeiro semestre é bem mais tranquilo, com poucos eventos relevantes acontecendo. Menos evento significa mais interesse do público, mais disponibilidade de datas, maior disponibilidade de patrocinadores e palestrantes;
  • Como nós queremos realizar a BSidesSP em finais de semana e próximo a outros eventos importantes da área, a escolha no 1o semestre sempre foi bem tranquilo, pois a YSTS acontece as segundas-feiras e fica um ótimo arranjo para realizarmos a BSides no final de semana anterior. Assim, quem vai no YSTS consegue facilmente aproveitar um dia a mais (na véspera) para ir na BSidesSP também. Já no 2o semestre,os 2 eventos que mais gostamos (H2HC e RoadsecSP) acontecem no final de semana, então teríamos que ter a BSidesSP no final de semana anterior ou posterior. Nesses casos, a BSidesSP ficaria bem distante do outro evento, o que é algo ruim para nós.


outubro 16, 2017

[Segurança] KRACK: um novo ataque contra redes wireless

Hoje foi divulgado um ataque contra o protocolo WPA2 das redes wireless que tem assustado a comunidade de tecnologia e de segurança: o ataque KRACK (nome tirado de "Key Reinstallation Attack").

O ataque KRACK explora uma fragilidade no handshake do protocolo WPA2 (Wi-Fi Protected Access II), que é o processo usado para estabelecer uma chave de criptografia entre o dispositivo e o access point, e assim permite criptografar o tráfego na rede Wireless.

O ataque explora o handshake e a negociação de chaves no momento em que um dispositivo se conecta no ponto de acesso da rede, e consegue forçar o cliente a reutilizar uma chave de sessão mais antiga. Com isso, a criptografia usada pelo padrão WPA2 fica enfraquecida e o atacante tem acesso ao tráfego de rede:
"Decryption of packets is possible because a key reinstallation attack causes the transmit nonces (sometimes also called packet numbers or initialization vectors) to be reset to zero. As a result, the same encryption key is used with nonce values that have already been used in the past".
O handshake (veja abaixo) acontece logo no início de uma conexão a uma rede Wi-Fi, quando um cliente quer se conectar a uma rede wireless protegida. O handshake de 4 vias é usado para confirmar que o cliente e o access point possuem as credenciais corretas (por exemplo, a senha pré-compartilhada da rede que utilizamos na maioria dos casos) e também negocia a chave de criptografia que será usada para criptografar todo o tráfego subseqüente.


Há um vídeo no Youtube mostrando o ataque em ação, contra um smartphone Android:


No vídeo acima, os pesquisadores levantam um access point falso, com o mesmo nome da rede da vítima (mas em outro canal) e forçam o dispositivo a se conectar no access point falso, para poderem capturar os pacotes da rede entre a vítima e o access pointo verdadeiro, fazendo um ataque "Man in the Middle" (MITH). Neste momento, eles podem manipular mensagens para o cliente e atacar o processo de handshake.

O ataque funciona contra o protocolo WPA1 e o WPA2, e contra qualquer conjunto de cifras que esteja sendo usado (WPA-TKIP, AES-CCMP e GCMP).

O KRACK  permite que os atacantes manipulem a chave de criptografia utilizada na rede e, assim, desencriptem os pacotes trafegando pela rede Wi-Fi. A senha da rede Wi-Fi não é exposta. Mesmo assim, o ataque permite capturar todos os pacotes de rede, e assim ter acesso a todas as comunicações dos usuários (exceto acessos criptografados, como SSL, VPN, SSH, etc), além de injetar pacotes na rede wireless da vítima.

Embora haja notícias de fabricantes trabalhando em correções para o ataque, também há quem diga que o problema é bem complexo pois a fragilidade reside no próprio padrão Wi-Fi, e não nas implementações ou em qualquer produto específico. Assim, qualquer implementação existente do WPA2 provavelmente é afetada, e a lista de equipamentos vulneráveis é grande: Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys, etc.

Segundo os pesquisadores, esse ataque é excepcionalmente devastador contra equipamentos rodando Linux e Android versão 6.0 ou superior, pois eles podem ser enganados para reinstalar uma chave de criptografia com valor totalmente zero.

O assustador, neste ataque, é que o WPA2 é o padrão atual de segurança para as redes wireless, e é amplamente utilizado por praticamente todo mundo.


Já estão surgindo correções e assinaturas contra o ataque:
A Wi-Fi Alliance criou uma ferramenta para detectar se o seu dispositivo está vulnerável ao ataque KRACK, mas ela está disponível apenas para menbros da Wi-Fi Alliance :(

Para saber mais:

PS: Assim que tiver mais notícias irei atualizar esse post.
PS/2: Post atualizado em 18/10, 20:10

outubro 11, 2017

[Segurança] Endoscopia em Caixas Eletrônicos

A imprensa americana ficou impressionada com um caso recente descoberto no México: criminosos estão usando aparelhos de endoscopia para arrombar caixas eletrônicos por lá!!!


Segundo a NCR, fabricante de caixas eletrônicos, o equipamento de endoscopia é inserido através da abertura de saída de dinheiro no cofre do ATM para manipular os sensores no dispensador de notas, para simular autenticação física. Isso, assciado com uma "caixa preta" construida para inserir comandos dentro dos ATMs, o que faz o caixa eletrônico liberar o dinheiro.

Aqui no Brasil, já estamos acostumados com um modus operandi mais brutal: em vez de futucar dentro do caixa eletrônico, os nossos criminosos passaram a explodir os caixas para ter acesso ao cofre interno aonde fica o dinheiro.

outubro 09, 2017

[Segurança] Os maiores vazamentos de dados

Ok, talvez ninguém jamais supere o Yahoo!, com seus 3 bilhões de dados de cleintes vazados.

Eu já escrevi algumas vezes no blog sobre os frequentes vazamentos de dados que tem acontecido nos últimos anos, e desta vez resolvi fazer uma lista dos que eu considero serem os maiores e mais relevantes vazamentos de dados. Essa é uma lista formada por empresas e serviços mais populares nos EUA e no mundo, que tiveram dados de milhões de clientes expostos:
  • TJX (2003): dados de 94 milhões de cliendes das lojas T.J. Max e Marshalls
  • Heartland (2008): Uma das maiores processadoras de cartões dos EUA, teve expostos 130 milhões de cartões de crédito e débito
  • Sony PSN (2011): 77 milhões
  • LinkedIn (2012): 110 milhões
  • Target (2013): 70 milhões de dados de cartão de crédito (40 milhões) e dados pessoais de clientes (30 milhões)
  • Yahoo (2013): 3 bilhões de dados
  • Adobe (2013): user names e senhas de 38 milhões de usuários
  • Home Depot (2014): 56 milhões cartões de crédito e débito
  • eBay (2014): nomes, endereços, data de nascimento e senhas de 145 milhões de clientes
  • JP Morgan Chase (2014): dados de 76 milhões de clientes
  • Anthem (2015): dados pessoais de 80 milhões de segurados
  • Myspace (2016): user names e senhas de 360 milhões de contas
  • Spambot (2017): 711 millhões de endereços de e-mail
  • Equifax (2017): milhões de dados pessoais

Para saber mais:

outubro 04, 2017

[Segurança] Deep (Dark) Web

Muito se fala sobre a "Deep Web" como se isso fosse a soma de todos os males do mundo online. Mas há vários aspectos que podem ser vistos e discutidos sobre esse assunto, tirando de lado toda a áurea mitológica criada em volta da Deep Web.

A Deep Web (as vezes chamada em português de "web profunda" - argh! - ou "web oculta"), na verdade é um termo que se refere simplesmente ao conteúdo da World Wide Web que não é indexado pelos mecanismos de busca padrão (ex: Google, Yahoo, etc). Pode ser qualquer tipo de site, como um webmail, um site pequeno, um conteúdo corporativo, um site privado. A Deep Web inclui, também, Intranets, sites com conteúdo protegido por senha, sites com uma área grande de fotos que não foram indexados por buscadores, ou mesmo sites pequenos e irrelevantes.

Qualquer coisa que a grande maioria dos usuários não acessam no dia-a-dia e não conseguem encontrar usando os buscadores forma a Deep Web. Ela também pode ser chamada de "Invisible Web" ("Web Invisível"), um termo criado em 1994!

O contrário da Deep Web, ou seja, os sites que acessamos facilmente através de buscadores, é a chamada Surface Web, a "superfície da web". São os sites que conhecemos e achamos facilmente.

Dentro da Deep Web, por assim dizer, existem a Dark Net e a Dark Web. A Dark Web, essa sim, é a parte da Internet formada por servidores que intencionalmente se mantém escondidos da grande maioria de usuários pois exigem mecanismos especiais de acesso baseados em criptografia que garantem a privacidade e sigilo desses acessos. A Dark Web é como se fosse uma rede paralela a Internet, mas construída usando a estrutura de conectividade da Internet global. São redes como a rede Tor ("The Onion Router"), Freenet e a I2P ("Invisible Internet Project"), formadas por sites que exigem uma ferramenta especial de acesso, normalmente um cliente que vai no micro ou no browser do usuário para garantir o acesso criptografado a estes servidores.

A Dark Net, por sua vez, é a denominação usada para indicar a infra-estrutura de rede, servidores e protocolos que faz a Dark Web funcionar.

Ou seja, quando falamos em "fóruns criminosos escondidos na Internet, acessados pela rede TOR", por exemplo, estamos falando de sites dentro da Deep Web (com conteúdo fora do alcance dos buscadores) que fazem parte da Dark Web (o pedaço da Deep Web acessível somente via "meios especiais") que funciona dentro da Dark Net (a infra-estrutura desses sites).



Embora a Dark Web e a Deep Web sejam normalmente associadas a atividades criminosas, na verdade nem todo o conteúdo e nem todo uso é ilícito ou ilegal. A Dark Web existe principalmente para garantir o anonimato na comunicação e no compartilhamento de informação, o que pode ter um objetivo válido (por exemplo, no caso de ativistas e jornalistas que precisam proteger sua identidade online e de suas fontes). Mas, infelizmente, há sim muito uso ilegal associado a ciber criminosos, por exemplo, nos diversos fóruns que facilitam a realização de crimes como pedofilia, fraude bancária, carding, venda de armas e drogas, etc.

O acesso a sites da Dark Web só pode  ser feito através de ferramentas especiais, que em geral funcionam como um client para fazer a criptografia do acesso ao site. Essa ferramenta pode ser um simples plug-in para os browsers mais conhecidos. Além disso, algumas redes na Dark Web costumam utilizar uma nomenclatura específica para seus sites, como por exemplo os sites na rede TOR que utilizam um nome codificado seguido por .onion no final do nome de domínio, para identificar que o site pertence a rede TOR. Por exemplo: http://kpvz7ki2v5agwt35.onion.

O uso da rede TOR permite ocultar o endereço IP do usuário, pois a comunicação passa por vários nós", aonde cada nó não tem acesso ao IP original da comunicação, apenas do nó anterior. Isso sem falar que a comunicação entre os nós é criptografada.


No caso do TOR, além de um client no browser, há também a opção de usar o Tor Browser, que é um browser dedicado para acessar a rede TOR, já com o client de acesso embutido nele.

Além do client da rede TOR ou do TOR Browser, também é possível acessar sites na rede TOR através do site tor2web.orghttps://tor2web.org, que funciona como um meio de acesso via web para estes sites. Assim, por exemplo, o site Hidden Wiki na Dark Web, que possui o endereço http://kpvz7ki2v5agwt35.onion, pode ser acessado também como http://kpvz7ki2v5agwt35.onion.to ou http://kpvz7ki2v5agwt35.tor2web.org.

Há uma certra imprecisão e, ao meu ver, um pouco de FUD quando discutimos sobre o "tamanho" da Deep Web, mas em geral fala-se que ela é muito maior que a Surface web. Na verdade não é possível ter uma estimativa precisa, pois a Deep Web não é indexável e, assim, não é possível estimar seu tamanho. É muito comum ver sites falando que a Deep Web é 500% maior do que a Surface web, ou represente 96% de todo o conteúdo. Mas, na verdade, esta estatística é baseada em um estudo de 2001 !!! Um estudo feito nos primórdios da Internet!!! O maior buscador hoje em dia, o Google, teve seu IPO em 2004, 3 anos depois desse estudo! Ou seja, o pessoal usa uma estatística baseada em dados que não representam a Internet de hoje!

Outra lenda sobre a Deep Web diz que ela é "composta por diversas camadas". é comum encontrar especulações deque ela seja formada por 7 ou 8 camadas, mas também é comum encontrar outros sites que dizem que isso é um mito. Pelo que eu entendi até hoje, na verdade não existem tais camandas, mas é comum algumas pessoas se referirem a cada rede da Dark Web como se fosse uma camada. Ou seja, algumas pessoas tratam como se a rede TOR fosse uma camada, a rede I2P seria outra, e por aí vai. Mas, na verdade, são redes diferentes.

Esses tópicos, entre outros, foram abordados em uma palestra que eu dei recentemente no Roadsec de Porto Alegre.


Para saber mais:


outubro 03, 2017

[Cidadania] Outubro Rosa

O "Outubro Rosa" é uma campanha que acontece todo ano, desde os anos 90, para conscientizar a população sobre a importância de prevenção conta o câncer de mama.

Durante este mês, vários monumentos são iluminados de rosa para chamar a atenção para a campanha. A Azul Linhas Aéreas, por exemplo, está com algumas iniciativas bem legais: além de pintar algumas aeronaves com a cor rosa, alguns vôos terão tripulação exclusivamente feminina, além de apoiar o tratamento de pacientes no Hospital de Câncer de Barretos.

Segundo o INCA, esse é o tipo de câncer mais comum entre as mulheres no mundo e no Brasil, depois do câncer de pele não melanoma. O câncer de mama respresenta cerca de 28% dos novos casos a cada ano. Nos homens o câncer de mama é raro, representando apenas 1% do total de casos da doença.

Para saber mais:

outubro 02, 2017

[Segurança] O custo do ciber crime a cada 60 minutos

A RSA criou um hotsite que monta um infográfico com algumas estatísticas interessantes sobre qual é o custo por hora do ciber crime para as empresas.

Veja alguns dos dados que mostram o quanto as empresas sofrem a cada 1 hora:
  • Acontecem 120 ataques de phishing por hora;
  • Globalmente, a cada hora as empresas perdem cerca de 1 milhão de dólares por causa dos ataques de phishing;
  • 486 mil dados pessoais são comprometidos
  • O roubo de contas causa prejuízos de 267 mil dólares por hora;
  • As lojas de e-commerce perdem 660 mil dólares por causa das fraudes.


setembro 29, 2017

[Segurança] Os erros mais comuns dos usuários

Durante o Security Leaders Recife, Rodrigo Jorge, líder de Segurança da Ale Combustíveis e organizador do Security Day em Natal, destacou quais são os erros que ele considera serem os mais comuns cometidos pelos funcionários e que compremetem a segurança corporativa:
  • O uso de senhas fracas pelos funcionários, permitidas pelos sistemas;
  • Colaboradores que conectam um dispositivo USB infectado nos PC corporativos;
  • Funcionários vítimas de ataques de phishing;
  • Discussão de assuntos confidenciais em espaços públicos.
A lista acima foi baseada em suas experiências ao longo de sua carreira, e faz todo o sentido. Rodrigo também destacou que os “Erros humanos causam mais tempo para mitigação e são mais onerosos para as empresas”. Para minimizar esses problemas, o melhor investimento é em conscientização constante, ficar periodicamente martelando na cabeça dos funcionários que eles devem tomar os cuidados básicos necessários.

Em uma estatística divulgada pela Flipside, 27% das violações de segurança são causadas por falha humana.

setembro 28, 2017

[Segurança] Vazamento de dados médicos

Nos últimos anos vivemos um aumento significativo no interesse pelo roubo de dados médicos, uma modalidade de roubo de dados pessoais focado na indústria médica e de plano de saúde.

Esse interesse se justifica pelo fato de que os registros médicos sobre uma pessoa são muito mais detalhados do que os dados existentes em outros sites, como empresas de e-commererce, por exemplo. O acesso a essas informações pessoais facilita crimes de extorsão e também de roubo de identidade. Para facilitar ainda mais a vida dos atacantes, os hospitais, médicos e planos de saúde não tem o hábito de investir muito em tecnologia da informação, e menos ainda em segurança.

Nos EUA, o Department of Health and Human Services mantém um hotsite com informações sobre os vazamentos de dados médicos, batizado de "muro da vergonha" ("wall of shame"). Este site mostra algumas informações interessantes sobre os casos reportados e que podem ser utilizadas para gerar diversas estatísticas.

Por exemplo, lá é possível ver que, desde Setembro de 2009, foram identificados mais de 2.000 vazamentos de dados médicos relacionados a pelo menos 500 pacientes cada um.

Eu dei uma olhada no site enquanto escrevia este artigo e lá estavam listados 2.066 casos no total, dos quais 60 deles não tinha identificação de número de clientes afetados e 369 casos aconteceram nos últimos 24 meses e ainda estão sob investigação.

O caso registrado com maior numero de vitimas foi em Março de 2015, aonde 78,8 milhões de clientes da Anthem, Inc. tiveram seus dados roubados em uma invasão ao ambiente de TI.


Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.