outubro 26, 2010

[Segurança] Ainda sobre Guerra cibernética

Recentemente saiu uma reportagem sobre Guerra Cibernética no jornal Correio Brasiliense, que também foi replicada no Diário de Pernanbuco que dá destaque ao assunto e ao recente investimento do exército em treinamento para capacitar seus membros em guerra cibernética. A reportagem foi parcialmente baseada em uma entrevista que dei para a repórter sobre o tema durante o CNASI em virtude da palestra que ministrei lá no evento.

A reportagem, entitulada Exército brasileiro faz acordo com empresa de segurança virtual e começa a treinar seus primeiros "ciberdefensores" é bem interessante, e quero destacar alguns trechos mais interessantes do artigo:
  • “A guerra cibernética é a mais limpa e barata que existe. Eu sou civil, mas consigo imaginar qual o custo de lançar um míssil” (Eduardo D’Antona, Panda Security)
  • A ciberguerra pode se tornar mais uma ferramenta da guerra comum. “Na década de 1980, as nações discutiam se haveria guerra no espaço, assim como já ocorria na terra, no mar e no ar. (...) a internet vai se tornar mais um domínio para os conflitos, assim aconteceu com o espaço”.
  • A reportagem menciona o Stuxnet, e o define como sendo "o vírus mais sofisticado de todos os tempos, [que] se infiltrou em usinas nucleares do Irã." A sofisticação do Stuxnet é, sem dúvida, algo sem precedentes: entre outras coisas, ele explora quatro vulnerabilidades complexas para se infectar, classificadas como "zero days", utiliza dois certificados digitais falsos para se instalar no micro infectado, usa uma rede peer-to-peer para se comunicar com outras máquinas invadidas, e exige muito conhecimento do sistema industrial para o qual foi direcionado. Mas não podemos nos esquecer que o fato do alvo principal ser uma usina nuclear do Irã ainda é especulação. Muitos consideram como algo altamente provável, mas ainda é especulação.
  • O Stuxnet resume algumas das principais características das armas virtuais, e que foram apresentadas no artigo, como, por exemplo:
    • As armas cibernéticas são altamente sofisticadas e exigem o esforço de uma equipe de especialistas bem treinados. No caso do Stuxnet, “esse tipo de vírus afeta o sistema que controla as máquinas. Ele poderia, até mesmo, parar uma turbina” (André Carraretto, Symantec).
    • A grande dificuldade de saber a origem de um ataque virtual, devido a facilidade de se camuflar a origem de um ataque sofisticado. "Além disso, as diversas formas de camuflar a origem da ameaça complicam as investigações."
    • Em um ataque virtual, é muito difícil restringir a sua ação e evitar efeitos colaterais, atingindo países ou sistemas inocentes - e até mesmo aliados. No caso do Stuxnet, mais de 50 mil computadores foram infectados, e provavelmente só um computador representa o seu alvo final.
    • Também pode ser difícil identificar o alvo de um ataque virtual. Embora muitos computadores no Irã tenham sido infectados, a Índia também foi.

outubro 22, 2010

[Segurança] Cloud Security Alliance no Brasil

CSA Brazil
Há alguns meses atrás nós começamos a juntar um grupo de profissionais de segurança interessados no assunto de Cloud Computing (Computação em Nuvem) e, em maio deste ano, iniciamos o capítulo brasileiro da Cloud Security Alliance, uma entidade americana formada por empresas e profissionais voluntários que se interessam em pesquisar e compartilhar informações sobre a segurança da Computação em Nuvem.

Nesta semana nós tornamos público os primeiros frutos do nosso trabalho:



O Guia de Segurança para Áreas Críticas Focado em Computação em Nuvem é organizado em três seções com um total de 13 domínios, dos quais o primeiro domínio descreve os principais conceitos sobre Cloud Computing e os demais correspondem a distintas categorias de risco que devem ser consideradas. O guia aborda as diferentes arquiteturas de computação em nuvem, aspectos de governança e de operação para a implantação de um projeto de computação em nuvem com segurança, que incluem compliance, gestão de riscos, regulamentações legais, gerenciamento de acesso, virtualização, criptografia e proteção das aplicações na nuvem, entre outros. A tradução foi um trabalho meticuloso que consumiu 32 pessoas durante alguns meses. Acreditamos que esse documento vai permitir que muitos profissionais brasileiros se interessem e possam se aperfeiçoar neste assunto.

O lançamento do guia foi realizado oficialmente no dia 21 de outubro durante o CNASI, o Congresso Latinoamericano de Auditoria de TI, Segurança da Informação e Governança, com uma palestra do Leonardo Goldim, presidente do capítulo. Alguns sites como a Convergência Digital, ComputerWorld e o site baguete divulgaram o lançamento.

outubro 19, 2010

[Segurança] Guerra cibernética

Nesta semana eu irei participar do Congresso Latino Americano de Auditoria de TI, Segurança da Informação e Governança (CNASI), onde vou apresentar uma palestra sobre Guerra Cibernética no dia 20 de outubro e também vou ministrar um curso sobre os riscos de Cloud Computing, no último dia do evento. O CNASI acontece de 19 a 21 de outubro no Centro de Convenções Frei Caneca, em São Paulo.

A guerra cibernética nada mais é do que a adaptação da doutrina de guerra para a Internet, ou seja, uma evolução natural do comportamento bélico do ser humano, que se adapta de acordo com o surgimento de novas tecnologias e novas fronteiras. A internet é considerada, hoje em dia, como o quinto "domínio" da guerra, após a terra, o mar, o ar e o espaço.

Durante a palestra "Prepare-se para a Guerra Cibernética", eu vou apresentar os principais conceitos sobre o assunto e vou comentar sobre as estratégias dos principais governos ao redor do mundo para enfrentar esta nova ameaça e dentro de um cenário que eu e alguns outros especialistas na área chamamos de "Guerra Fria Cibernética". Hoje, vários países estão investindo em desenvolver uma capacidade de ataque e defesa voltado para o cyber espaço, ao mesmo tempo que algumas instituições, como a ONU e a OTAN, estão discutindo a necessidade de se criar tratados de proteção e cooperação específicos para este cenário. Esta apresentação é uma evolução do debate que eu e minha amiga Kristen Dennesen preparamos para a edição do ano passado da Hackers to Hackers Conference (H2HC).

Há excelentes materiais e artigos online que ajudam a explicar o conceito de guerra cibernética, e quero listar a seguir alguns deles que tenho utilizado como base para minhas apresentações.

No dia 16 de Maio de 2011, o governo americano anunciou sua nova política para o Cyber Espaço, que inclui alguns pontos específicos sobre estratégia de guerra e defesa cibernétic. O documento, chamado "International Strategy for Cyberspace", foi anunciado no Blog da Casa Branca, no post entitulado "Launching the U.S. International Strategy for Cyberspace".

O governo brasileiro também possui uma estratégia específica para tratar o assunto da guerra cibernética, desde que o Ministério da Defesa aprovou a "Estratégia Nacional de Defesa", que definiu três prioridades estratégicas para as forças armadas: o espaço (sob responsabilidade da Aeronáutica), a tecnologia nuclear (sob os cuidados da Marinha) e o Ciber Espaço, sob responsabilidade do Exército. A coordenação das estratégias de segurança está a cargo do Departamento de Segurança da Informação e Comunicações, em conjunto com as forças armadas, ABIN, Ministério da Justiça e Polícia Federal. O Exército Brasileiro está desenvolvendo um centro de guerra cibernética, chamado CDCiber (Centro de Defesa Cibernética), sob responsabilidade do "Centro de Comunicações e Guerra Eletrônica do Exército (CCOMGEX)", comandado pelo general Antonino dos Santos Guerra Neto.

Além do material citado acima, o Coronel João Rufino de Sales, do Exército Brasileiro, apresentou recentemente uma palestra excelente sobre o assunto, que está disponível online e reproduzo abaixo.


Atualizado em 23/11: O vídeo abaixo é bem interessante, mostra uma apresentação do security guru Bruce Schneier sobre guerra cibernética e cyber crime, onde ele comenta sobre as principais novidades e assuntos sobre o tema.



Atualizado na madrugada de 30/11: Eu achei no blog Café com Italo Adriano um vídeo curto, porém muito interessante, que mostra os cadetes da academia militar americana de West Point realizando um treinamento para Guerra Cibernética, junto com outras academias e a NSA. Os militares simulavam um um país sob cyber ataque e treinavam técnicas de defesa e identificação dos ataques realizados pelos especialistas da NSA. O vídeo é bem interessante:


Atualizado em 01/12/2010: Publiquei no SlideShare a minha apresentação utilizada no CNASI-SP em Outubro de 2010.


Atualizado em 04/02/2011: Eu recomendo também a leitura do artigo "World leaders meet to discuss cyberwar rules of engagement"

Atualizado em 01 de Abril/2011: adicionei os artigos "Virtual war a real threat" e "Quando bits viram mísseis"

Atualizado em 20 de Abril de 2011: Adicionei os papers "Beyond Cyber Doom" e "Loving the Cyber Bomb? The Dangers of Threat Inflation in Cybersecurity Policy", além da notícia "U.S., Russian Officials Work to Define Cybersecurity Terms".

Atualizado em 25 de Maio: incluí o link para a nova política americana para o Cyber Espaço ("Launching the U.S. International Strategy for Cyberspace"). No dia 28/05 incluí o artigo "Did the US write Stuxnet? Deputy Defense Secretary won't deny it".

Em 01 de Junho, adicionei os artigos sobre a capacidade de guerra cibernética da Coréia do Norte e da Inglaterra, o artigo "a guerra virtual… pra valer", o "Cyber Combat: Act of War" e o artigo "Ciberpatriotas de 14 años" sobre o programa Cyberpatriot.

Atualizado em 09/06/2011, com dois artigos sobre os planos de lançar o Centro de Defesa Cibernética (CDCiber) Brasileiro no segundo semestre de 2011 e um artigo sobre o "centro de defesa cibernética Alemã"

Atualizado em 22/06/2011: A BT divulgou o vídeo abaixo, com um trecho curto de uma apresentação do security guru Bruce Schneier com pontos muito interessantes sobre guerra cibernética, ghostnet, wikileaks e afins. Gostei especialmente do trecho em que ele comenta se as pessoas devem ter mais medo de um ataque através de bombas e aviões ou de um ataque por pendrives ("USB sticks"). Também aproveitei para adicionar dois artigos recentes sobre a estratégia do governo brasileiro.



Adicionados mais três artigos em 23/08/2011.

Atualização em 29/11/2011: adicionada a entrevista com o jornalista Misha Glenny

Atualizado pela última vez em 26/12/2013 15/12/2014 19/02/15 01/07/15 22/07/15.

Atualização em 09/09/15: que tal uma ótima charge sobre Guerra Cibernética?



Atualizado em 20/06/16.

Atualização em 23/07/16 para incluir algumas notícias e a palestra abaixo, apresentada no TED Global de Londres, em 2015, com o título "Governments don't understand cyber warfare. We need hackers".



Atualização em 16/08/16, 02 e 08/12/16.

Atualização em 20/02:2017: eu vi dois vídeos interessantes (e curtos) no canal da RSA Conference sobre guerra cibernética:




Atualização em 02/03/2017: Incluí uma notícia sobre os esforços de guerra cibernética da Rússia. Eu gostei da palestra "Cyberwar", apresentada pela Amy Zegart no TEDxStanford em Junho de 2015 (abaixo), embora em alguns momentos ela misture um pouco de guerra cibernética com ciber ataques em geral. O slide abaixo resume os principais pontos da palestra.



Post atualizado em 15/05/2017. Atualizado em 19/06/2017 e aprovei para separar as notícias genéricas em português das notícias e reportagens específicas sobre a capacidade de guerra cibernética do Brasil. Atualizado em 08/07 e 18/07/17.

[Segurança] Campanha sobre Uso responsável da Internet

A Safernet e o Ministério Público criaram um vídeo muito bem feito para promover uma campanha de conscientização sobre o uso seguro, responsável e ético da Internet. O vídeo é bem curto, simples e objetivo: ele mostra uma pessoa utilizando a Internet com várias identidades diferentes, provavelmente para enganar as pessoas com quem está se comunicando, e mostra a frase "Na Internet é assim. Você nunca sabe com quem está falando".



O vídeo está sendo vinculado em emissoras de televisão do Brasil e pretende sensibilizar a sociedade sobre o risco de compartilhar suas informações com outras pessoas via Internet, e privacidade. Assista o vídeo e ajude a divulgar.

outubro 01, 2010

[Segurança] Redes sociais sob ataque

Estes últimos dias foram muito intensos para as redes sociais, que sofreram vários tipos de ataques e foram utilizadas por cyber criminosos para espalhar suas ameaças. O portal G1 publicou um artigo, entitulado "Falhas mostram despreparo de sites de redes sociais" que resume os principais incidentes recentes. Estas falhas recentes no Orkut, Twitter e no YouTube, permitem a criminosos virtuais disseminar links nessas redes, que podem direcionar as vítimas a outros sites contendo vírus e códigos maliciosos.

Uma das falhas que atingiu o Twitter permitiu que um verme ("worm") publicasse mensagens ("tweets") nas contas das vítimas no Twitter que simplesmente dizia "WTF?" (sigla, em inglês, para "What a F*?", ou "Que raios é isso?" - esta é apenas uma entre as possíveis traduções) e incluiu um link que permitia infectar o usuário e publicar a mesma seqüência de mensagens em sua conta no Twitter. O vírus foi informalmente batizado de “#wtfworm”.

Em uma semana marcada por tantos problemas de segurança nas redes sociais, até mesmo o Facebook ficou fora do ar por algumas horas, o que causou várias reclamações, levantou várias suspeitas e causou impacto no volume de dados trafegado na Internet.

Com a popularização do uso das redes sociais, elas atraíram milhões de usuários e, na carona, diversos cyber criminosos, que estão cada vez mais utilizando-as para propagar mensagens contendo códigos maliciosos, entre outros tipos de crimes. O Twitter, por exemplo, já tem 96 milhões de usuários no mundo e o Facebook tem quase 600 milhões de usuários, o que corresponde a uma população maior que quase todos os países - nessa conta, o Facebook fica atrás apenas da China e Índia.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.