março 24, 2017

[Segurança] Quem quebrou a criptografia do Enigma?

O canal Quite Interesting publicou recentemente um vídeo bem legal e divertido, chamado "Who Cracked Enigma?", que mostra uma conversa que começou com a pergunta "Quem foi o primeiro a quebrar o codigo da Enigma?".


Embora o matemático britânico Alan Turing tenha sido imortalizado por Hollywood por ter liderado esse feito na Inglaterra durante a II Guerra Mundial, o apresentador lembrou muito bem que os primeiros a desvendarem o funcinamento da Enigma foram os Poloneses, liderados pelo matemático e criptoanalista Marian Rejewski no início da década de 1930. Antes mesmo da 2a guerra os militares alemães já usavam estas máquinas para criptografar suas comunicações, e os poloneses conseguiram decifrar até 1938, quando uma versão mais complexa da Enigma começou a ser produzida.

Durante a conversa, um dos momentos engraçados foi quando eles lembraram que os britânicos construiram o Colossus, o primeiro computador do mundo, que foi utilizado para decifrar as mensagens dos alemães durante a guerra. por ser um projeto secreto, ninguém sabia disso e por muito tempo os britânicos não tiveram esse reconhecimento. Pior: eles deram os planos do Colossus para a CIA!

março 23, 2017

[Segurança] Buzzword do momento: Machine Learning

Constantemente o mercado de tecnologia (e, em especial, o de segurança) escolhe uma nova Buzzword para divulgar novas tecnologias e produtos.

Mal deu tempo de consolidar, ao menos no Brasil, o uso da buzzword "Cyber Threat Intelligence", e ela já foi atropelada por uma nova:

Machine Learning

Seu produto de segurança consegue identificar novos tipos de ataques? E ataques avançados? Zero Days?

Para que isso seja possível, você vai precisar que suas ferramentas de segurança utilizem "Machine Learning" (ou ML, para os mais íntimos). Sim, é um tipo de "inteligência artificial", mas com um nome diferente para reciclar o termo. Na ÏBM, eles preferem chamar ML de Computação Cognitiva e já há alguns projetos para utilizar o Watson da IBM como a super hiper mega inovação capaz de ajudar empresas a detectar ameaças e ataques de segurança.

março 21, 2017

[Segurança] Raio X do ciber crime brasileiro

Há algum tempo atrás a Kaspersky e a Trend Micro publicaram seus relatórios específicos sobre o crime cibernético no Brasil. Os dois relatórios são muito bons (apesar da Kaspersky pisar na bola em mostrar alguma sfotos de mais de 3 anos atrás) e merecem ser lidos. Se juntar os dois, temos uma análise bem commpleta de como os ciber criminosos se organizam e que técnicas utilizam.

O Fabio Assolini, da Kaspersky, resume muito bem o cenário brasileiro: “Há muitas campanhas criminosas voltadas especialmente para os brasileiros. Além disso, a legislação nacional é muito vaga em relação à crimes digitais. Se você une tudo isto ao vasto comércio de produtos e serviços entre criminosos locais, nota o quanto a realidade digital brasileira pode se tornar complexa para empresas que não contam com especialistas em segurança de TI no País”.

Ou seja, temos muitos ciber criminosos e um mercado underground intenso, que tem um terreno fértil para atuar graças a uma legislação muito fraca, repressão policial ineficiente e com uma população de usuários e empresas despreparadas para se defender online.

As principais características do ciber crime no Brasil, segundo os dois relatórios, são as seguintes:
  • O cibercrime local se concentra em fraudes contra alvos brasileiros (pessoas e empresas);
  • Apesar do foco local, existe alguma colaboração entre ciber criminosos brasileiros e da Europa Oriental. Eles compartilham conhecimento, trocam favores e compram serviços, tais como hospedagem protegida para os malware nacionais;
  • A legislação brasileira é fraca e o nosso sistema judiciário não consegue punir os criminosos de forma eficaz, o que gera uma forte percepção de impunidade. Afinal, os ciber criminosos passam pouco ou nenhum tempo presos. Proliferam exemplos de criminosos que anunciam seus "produtos" ou "serviços" abertamente em fóruns e até mesmo redes sociais, ou que ostentam o dinheiro que ganharam nas redes sociais, e em vídeos;
  • O Brasil é um dos principais países em termos de ataques financeiros através de trojans bancários;
  • Uma das principais formas de monetização (obter dinheiro real a partir de crimes virtuais) é a fraude dos boletos, um tipo de fraude bem específica do Brasil (pois só aqui que existe esse monstro chamado "boleto bancário");
  • Frequentes falhas de segurança em serviços online dos mais diversos órgãos do governo expõem dados sigilosos de cidadãos brasileiros, que os ciber criminosos utilizam para cometer fraudes ou comercializam. A Kaspersky dá o exemplo de uma base de dados do Detran de São Paulo, de 2014, sendo vendida nos fóruns underground. Um ataque direcionado ao sistema do Ibama permitiu reaver a licença de 23 empresas suspensas por crimes ambientais e, em 10 dias, foram extraídos 11 milhões de reais em madeira;
  • O mercado underground brasileiro (ou C2C, de um criminoso para outro) é um terreno fértil para colaboração entre criminosos e o compartilhamento de serviços, informações e ferramentas. Um ciber criminoso nem precisa ter muita experiência nem conhecimento, pois consegue encontrar praticamente todos os serviços que possa precisar: códigos maliciosos, criptografia para malware, hospedagem, envio de SPAM, etc;

Nota: Link corrigido em 22/3.

março 17, 2017

[Cyber Cultura] Garoa Hacker Camp 2017

Dias 1 e 2 de abril de 2017 vai rolar o Garoa Hacker Camp 2017. Durante um final de semana, vamos nos reunir em um sítio a 40 km do centro de São Paulo para hackear, conversar, fazer oficinas e, quem quiser, pode até pescar sua própria comida.


O Garoa Hacker Camp é um acampamento hacker que nós do Garoa pretendemos organizar periodicamente, inspirado em outros eventos nesse formato existentes no mundo, e com mais tradição, como o Chaos Communication Camp, que acontece a cada 4 anos na Alemanha, e o SHA2017, que ocorre este ano na Holanda (que também ocorre a cada 4 anos e está em sua oitava edição). O objetivo é realizar um evento técnico ao ar livre, em um ambiente totalmente descontraído e diferente do nosso dia-a-dia, promovendo uma melhor confraternização entre os participantes.

Um hacker camp permite viver uma experiência única e bem diferente da que estamos acostumados nos eventos tradicionais. Claro que não é todo mundo que gosta de acampar, por isso optamos por buscar um lugar que tivesse uma infra-estrutura que também oferecesse quartos e camas "tradicionais". Há alguns anos atrás nós fizemos um evento de testes, que chamamos de Garoa Hacker Camp Zero.


Para saber mais sobre o evento, visite a nossa página no site do Garoa.

março 15, 2017

[Segurança] A NSA e a CIA me seguem!

Na edição do Roadsec que aconteceu recentemente em Brasília eu apresentei uma palestra sobre espionagem governamental, com o objetivo de fomentar o debate sobre como podemos tentar recuperar a nossa privacidade em um mundo super vigiado como o de hoje.


A palestra, batizada de "A NSA me Segue", foi baseada em uma atualização de uma mini-palestra que preparei em 2013, na época focada em discutir os vazamentos do Edward Snowden. Desta vez, além de discutir os novos vazamentos do Wikileaks sobre as capacidades de espionagem da CIA, a agência de inteligência americana, eu também tentei discutir como podemos tomar algumas pequenas atitudes para preservar um pouco de nossa privacidade online. Em breve pretendo criar um post mais detalhado sobre este assunto.

março 14, 2017

[Segurança] Vazamento de Sex Toys

Eu já comentei aqui sobre a "Internet of (Sex) Toys", ou seja, objetos eróticos com processamento embarcado e acesso a internet.

Se alguém achava que isso poderia ser problema, tinha razão!

Um fabricante Canadense de brinquedos eróticos foi condenado a pagar 3 milhões de dólaree americanos aos seus clientes, pois eles estavam coletando dados sobre os hábitos sexuais sem o consentimento prévio. Cada cliente da Standard Innovation que utilizou o alicativo We-Vibe 4 Plus da empresa vai receber uma indenização de US$ 7.400.


O vibrador pode ser controlado remotamente por um aplicativo através de Bluetooth, permitindo assim que os casais "se conectem de maneiras novas e excitantes". Mas, quando utilizado, a empresa recolhia os dados pessoais sobre o uso do aparelho sem o conhecimento dos clientes. Informações sobre a freqüência com que os dispositivos foram utilizados, por quanto tempo, a temperatura do dispositivo e a intensidade de vibração eram enviados à Standard Innovation.

Sem falar que ele possuía vulnerabilidades que permitiam o seu acesso não autorizafo.

março 12, 2017

[Cidadania] Machismo na universidade

O pessoal da Escola Politécnica da USP fez um vídeo excelente com depoimentos corajosos e emocionantes de alunas que sofreram assédio, desrespeito e abuso dentro da faculdade, com casos na Poli e algumas outras faculdades da USP.

São depoimentos registrados em vídeos e frases, com histórias pessoais e impressionantes de ofensas verbais e físicas feitas por professores e estudantes durante as aulas e nas festas da faculdade. O assustador é saber que comentários machistas e sexistas também partem dos professores, justamente quem deveria dar o exemplo e cuidar para que todos os alunos e alunas fossem tratados de forma igual. Nem mesmo a atual Vice-diretora da Poli escapou ilesa de preconceito quando era estudante.


USP - Aqui não! from RM Imagens | Ricardo Mereu on Vimeo.


O vídeo encerra com a a coordenadora do projeto USPMULHERES lembrando que os frequentadores da universidade são exatamente iguais ao resto da sociedade, e as situações que acontecem nas ruas
não são diferentes daquelas que acontecem dentro da universidade. Fomos educados em uma sociedade patriarcal e machista, que discrimina as mulheres, e ainda não mudamos esses costumes, valores nem o nosso comportamento.

Mas, mesmo sendo um espelho da sociedade que nos cerca, nós podemos e devemos nos esforçar para mudar esse comportamento, devemos respeitar as mulheres e acabar com essa cultura do estupro e da desqualificação da inteligência das mulheres.

março 10, 2017

[Cyber Cultura] Glossário do Cyber Bullying

O pessoal da Norton (da Symantec) criou um guia sobre cyber bullying, que no final contém um pequeno glossário de termos e gírias mais utilizados no meio digital e que são relacionados a esta prática monstruosa.

Eu resolvi aproveitar este guia para dar destaque a estes termos e gírias que são mais utilizados online, complementando com mais alguns que conheço:
  • AFF: Interjeição usada para demonstrar descontentamento ou indignação. A sonoridade da palavra lembra um suspiro por falta de paciência;
  • BBQ ou BBK: Redução do termo “babaca”, utilizado como insulto;
  • Face: abreviação de Facebook;
  • Fake: Significa “falso”, em inglês. O termo é usado para identificar quando alguém cria um perfil falso na internet ou pode ser usado também como insulto contra alguém;
  • Falsiane: Usado para descrever as amigas que não merecem confiança;
  • Feminazi: Expressão pejorativa para desiginar pessoas que defendem os direitos das mulheres;
  • Haters: pessoas que frequentemente manifestam raiva ou ódio contra alguma coisa ou alguém;
  • Inbox ou DM: refere-se a conversas privadas nas redes sociais, quando você sai de uma discussão pública e passa a conversar diretamente com uma pessoa, através de uma janela privada ou um aplicativo de mensagens instantâneas;
  • Insta: Apelido do "Instagram", a rede social de compartilhamento de fotos muito utilizada atualmente;
  • Loser: adjetivo usado para chamar alguém de perdedor ou fracassado;
  • Melhore: expressão usada para chamar a atenção de alguém que fez alguma coisa considerada ruim;
  • Noob: Gíria pejorativa que significa “novato”. Também usada para indicar que a pessoa é imbecil ou burra;
  • Nudes: Fotos de nudez;
  • PLMDDS: Abreviação de “pelo amor de Deus”, usado para pedir um favor ou expressar indignação;
  • PQP, TNC, VTNC, PNC, VSF, WTF, STFU: São siglas para expressões populares de baixo calão;
  • Sambar: Gíria comum na Internet, geralmente usada por mulheres, que quer dizer “sair por cima” ou “se sobressair”. Seria o mesmo que pisar, humilhar e desmoralizar alguém;
  • Seje menas: Sim, com erros gramaticais propositais, esta expressão é usada para ironizar a capacidade intelectual de alguém ou desdenhar alguma coisa que essa pessoa disse;
  • SQN: “Só que não”, é usado para expressar ironia, negando uma frase que foi dita anteriormente;
  • Trollar, trollagem: Significa zoar, sacanear alguém;
  • Virjão, Virje: Termo pejorativo usado para definir pessoa do sexo masculino que nunca teve relação sexual, mas também utilizado para dizer que a pessoa é inexperiente, sem conhecimento;
  • Whatz, ZapZap: abreviação para o aplicativo Whatsapp.

março 08, 2017

[Segurança] IoT espião

Já não devia ser novidade para ninguém o risco de sermos monitorados inadivertidamente pelos diversos dispositivos tecnológicos que nos cercam, desde o vazamento irresponsável de dados coletados por brinquedos inteligentes até Smart TVs sendo infectadas pela CIA para espionagem.

Desde a famosa "webcam no notebook" (que preocupa o Mark Zuckerberg e até mesmo o Papa), frequentemente vemos notícias que nos mostram o risco representado pelos equipamentos e dispositivos conectados na Internet e que ficam constantemente "vendo" e "ouvindo" o ambiente. Tal onda tecnológica começou provavelmente com os smartphones que reconheciam comandos de voz (ou transcrevem textos a partir da voz) e atualmente tal recurso está espalhado por diversos dispositivos no mundo IoT, como aparelhos domésticos (centrais de multimídia, por exemplo), carros e até mesmo brinquedos.


Veja, por exemplo o Amazon Echo: a partir de 49 dólares, você pode ter um dispositivo doméstico que reconhece comandos de voz para tocar músicas, controlar sua smart TV ou gerenciar a automatização de toda a sua casa.


O problema começa porque estes aparelhos "ouvem demais" - intencionalmente ou não! Geralmente, eles ficam captando sons do ambiente o tempo todo, a espera de reconhecer alguma frase específica, que vai indicar o início de um comando (como "Oi Siri" do iPhone, o "OK Glass" que era comum no Google Glass e o "Alexa" no Amazon Echo). Além disso, muitas empresas utilizam um serviço externo de reconhecimento de voz, via Internet, então por isso todo som capturado pelo dispositivo tem que ser enviado para algum lugar na Internet.



Ou seja: a princípio, tudo o que o seu aparelho ouve é enviado para um servidor de alguma empresa.

E alguns casos recentes nos mostram o quanto isso pode representar de risco a nossa privacidade:
  • Acabamos de saber, através do Wikileaks, que a CIA consegue invadir Smart TVs, smartphones e carros para capturar sons, imagens e até mesmo mensagens de texto através destes dispositivos. No caso das Smart TVs, uma ferramenta da CIA consegue colocar ela em um modo batizado de "Fake-Off": a vítima pensa que desligou a TV, mas ela continua ligada, gravando sons e enviando-os para servidores da CIA;
  • Crianças tiveram sua privacidade exposta através de problemas de segurança nos Cloud Pets, da empresa Spiral Toys, bichinhos de pelúcia que ouvem e reproduzem mensagens para seus pequenos donos. Além de ser possível conectar qualquer dispositivo Bluetooth neles, para capturar o som ambiente, também foi identificada uma base de dados exposta na Internet com 2.2 milhões de arquivos de áudio gravados por pais e crianças, além de senhas de 821.000 contas;
  • Segundo documentos da justiça americana, por pelo menos 15 anos o FBI tem utilizado recursos de conectividade em carros (como localização e áudio dentro do carro) para vigiar ou rastrear criminosos. Isso nos dá uma nova buzzword: "Cartapping";
  • Em um caso de assassinato em Arkansas (EUA), a polícia exigiu que a Amazon cedesse todo o áudio capturado pelo Echo durante o provável horário do homicídio. O mais interessante é que a Amazon não cedeu os dados, mas a polícia percebeu pelo smart meter que houve um grande consumo de água de madrugada, que poderia ter sido utilizada pelo suspeito para limpar a cena do crime;
  • A fabricante de Smart TVs Vizio foi multada em US$ 2,2 milhões por coletar dados de seus clientes secretamente e revendê-los a terceiros, tudo isso sem o conhecimento e muito menos sem o consentimento dos clientes.


Estes dispositivos conectados, muitos dos quais desenvolvidos sem cuidados básicos de segurança, podem ser usados contra nós a partir do momento em que representam diversos pontos de entrada a nossas empresas ou residências, que podem ser explorados por empresas, governos, agências de espionagem e ciber criminosos.

março 03, 2017

[Segurança] De onde vem o crime cibernético?

Eu estava dando uma olhada em algumas palestras de segurança que foram apresentadas no TED e encontei uma interessante, com o título de "Where is cybercrime really coming from?", apresentada pelo Caleb Barlow em Novembro de 2016.


Em sua palestra, o Caleb apresenta algumas estatísticas sobre o crime cibernético:

  • A ONU estima que 80% dos crimes cibernéticos são realizados por gangs altamente organizadas e sofisticadas;
  • O ciber crime representa uma das maiores "economias" do mundo, movimentando 445 bilhões de dólares.

Ele também comenta sobre alguns métodos utilizados pelos ciber criminosos, e sobre o uso da Dark Web para compra e venda de serviços e produtos criminosos.

Ao final, ele defende que as empresas devem compartilhar informações sobre ameaças entre si, para todos conseguirem se defender rapidamente, de forma aberta e colaborativa.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.