Monday, January 31, 2011

Revista Hakin9 - com artigo do Alexandre Teixeira

Post Curto:

A Hakin9 é uma das melhores revistas (PDF) de Segurança da Informação da atualidade, e na edição de Fevereiro saiu uma reportagem escrita pelo meu amigo Alexandre Teixeira, do blog Foren6 (twitter: @ateixei): "EXPLORING GCIH CERTIFICATION FOR FUN AND EMPLOYABILITY"

Leia mais no blog do Alexandre: http://foren6.wordpress.com/2011/01/31/giac-sans-gcih-certification-tips-passed/ ou direto na revista, que conta também com artigos sobre:
  • Hacking Ético,
  • Novas Ameaças
  • Armitage (Front-End para o MetaSploit)
  • Brute Force em Criptoanálise
  • Segurança de Dados em BlackBerry
  • e muito mais...

Thursday, January 27, 2011

Desafio Forense do Campus Party Brasil 2011



Este post foi enviado por Jacomo @Dimmit Piccolini, e é com prazer que o divulgo por aqui:



A convite do CERT.BR a ESR/RNP (Escola Superior de Redes / Rede Nacional de Ensino e Pesquisa) ofereceu no primeiro dia do CampusParty uma palestra sobre PenTest em Aplicações Web, ministrada pelo prof. Nelson Uto, e uma oficina forense, onde foram abordadas algumas questões atuais de forense e um treinamento intensivo para capacitar os campuseiros a participar do Desafio Forense.

O Desafio teve início as 17h quando foi informada a senha para abertura de um arquivo com instruções e primeiro passo. A terceira etapa consistia em fazer o dump de memória de um binário, que foi gentilmente elaborado por Guilherme Venere, que tinha uma URL obfuscada com dicas para as etapas finais.

O ganhador do Desafio foi Victor Milan da cidade de Ariquemes, RO que terminou a sétima etapa e apresentou a frase cifrada correta às 19:20. Sandro @Suffert auxiliou a iniciativa validando o desenho do desafio com Jacomo em diversas conversas por skype.

Congratulações ao Victor (a esquerda, abaixo) que mostrou que o assunto de forense está ao alcance de todos.



Sunday, January 23, 2011

For Sale by pOwner - venda de sites .gov e .mil e a certeza da impunidade


[ Update 24/01/2011 ]

O Rafal Los (Wh1t3Rabbit), da HP, publicou uma entrevista feita com o "hacker" responsável pelo site que vende as informações de login e de BD dos sites vulneráveis.
Q: Do you have any ethical problems with exploiting and then profiting from poor security on these sites?
A: "Each vulnerable site i face. I directly email the Web admin. If I see no reply I publish it."
Mais uma vez, a reação a este tipo de incidente é fundamental. Eu já citei este material em outro post, mas vale a pena reforçar a leitura:

Crime is explained by three factors, motive, opportunity and an absence of capable governance or guardianship. An increase in defenses that lowers the effect of any of these factors moves the amount of composite goods that can be obtained by the cybercriminal for any set level of criminal activity. The rational choices made by agents considering criminal actions are decreased through a combination of price policy and benevolence policy. This applies at both a societal level and to individual organizations where increased defenses lower an organizations probability of attack by making their competitors more attractive lower cost opportunities.

[ Post Original 23/01/2011 ]


Há dois dias, a Imperva divulgou que vários sites militares, educacionais e de governo (.mil, .edu, e .gov) que foram comprometidos estavam sendo vendidos abertamente na internet.

O analista que fez a divulgação tomou pouco cuidado ao mostrar evidências de sua alegação - quando vi o post da Imperva, imaginei que mais cedo ou mais tarde isto acabaria sendo divulgado mais amplamente.. e foi o que aconteceu, agora a fonte dos dados já é pública.

Uma pesquisa simples no google com alguns termos que são visíveis na imagem que foi postada ("website hacking" "offers" "services") - dá como primeiro hit o próprio site http://www.srblche.com/ (o site foi removido, mas o cache do google ainda funciona) - que vende o acesso administrativo dos sites que foram invadidos. Ele até divulga um email no Gmail para contato - o que deve facilitar a identificação do responsável pelas autoridades. (Como "tira gosto" o site chega a divulgar detalhes de autenticação de sites menos "preciosos").

A verdade é que o controle administrativo destes sites está sendo vendido abertamente, assim como o conteúdo dos bancos de dados (nomes, emails, telefones, etc..) que já foram capturados e "empacotados" para a venda pelos atacantes..

No post da Imperva pode ser visto que o atacante usou ferramentas automatizadas de verificação de SQL Injection para obter parte das credenciais que são vendidas ilegalmente. Provavelmente ferramentas de força bruta de formulários web tenham sido usados também.

Apesar deste tipo de comércio ser conhecido há anos, é óbvio que o ecosistema do cybercrime está cada vez mais diversificado. O que chama a atenção neste caso é a presunção de impunidade do criador do site, que divulga senhas (de root, de administrador de bancos de dados, de consoles de administração de sites, etc) de sites governamentais e militares - sem nem mesmo achar que há necessidade de login em um fórum underground (como é o modelo mais comum) - Update: ele costumava fazer isto (mas o site é aberto e seus posts estão no cache do google), até ter a idéia de registrar um website.

Um acontecimento semelhante ocorreu no mercado da venda de vulnerabilidades "0-day" em 2005, quando foi anunciada no e-bay a venda de uma vulnerabilidade conhecida do Microsoft Excel - lembram-se disto?

Quanto à exploração de websites mal codificados - isto está longe de ser uma novidade, mas é interessante perceber as diferentes formas de comercializar ilegalmente o material obtido.

Depois da invasão de um site, além da desfiguração/defacement (1) destes, é comum a utilização dos sites com mais visitas para inserção de exploits para distribuição de drive-by downloads (2). Nos sites menos populares, são muitas vezes hospedadas páginas falsas de bancos, arquivos hosts, de configuração de proxy (para redirecionamento de clientes bancários), além de arquivos de configuração e processamento de campanhas de phishing bancário (3), por exemplo.

A venda do conteúdo dos bancos de dados e do controle destes sites "high profile" de forma tão aberta é certamente um sinal dos tempos.. Assim como o caso de ransomware que tratamos em outro post aqui no blog, não são aceitos Mastercard e Visa, nem mesmo o PayPal. Neste caso o método de pagamento de escolha é o "Liberty Reserve".

Os leitores mais atentos vão lembrar do recente Post "10 Curtas" em que é exposta uma situação similar que ocorreu/ocorre no Brasil (bullet "C2C"). Quanto à crescente facilidade de identificação de sites vulneráveis, recomendo um outro post, sobre o Shodan.

Saturday, January 22, 2011

Risco, Vulnerabilidade, Ameaça e Impacto


[ Definição ]


Fonte dos conceitos abaixo: NIST SP 800-30 (tradução livre: Sandro Süffert).
  • Risco: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização;
  • Vulnerabilidade: falha ou fraqueza de procedimento, design, implementação, ou controles internos de um sistema que possa ser acidentamente ou propositalmente explorada, resultando em uma brecha de segurança ou violação da política de segurança do sistema;
  • Ameaça: possibilidade de um agente (ou fonte de ameaça) explorar acidentamente ou propositalmente umavulnerabilidade específica;
  • fonte de Ameaça: ou (1) uma intenção e método objetivando a exploração de uma vulnerabilidade ou (2) uma situação e método que pode acidentalmente disparar uma vulnerabilidade;
  • Análise de Ameaças: verificação das fontes de ameaça versus vulnerabilidades, para determinar as ameaças de um sistema em particular em um ambiente operacional particular.



[ Update - 26/01/2011 ]



Este update é só para sumarizar a importância de se conhecer o inimigo, com uma citação do General Sun Tzu (~ ano 400 AC):


"Se você conhece o inimigo e conhece a si mesmo, não precisa temer o resultado de cem batalhas. Se você se conhece mas não conhece o inimigo, para cada vitória ganha sofrerá também uma derrota. Se você não conhece nem o inimigo nem a si mesmo, perderá todas as batalhas"



[ Update - 22/01/2011 ]



O "Gerenciamento do Risco" deve ser acompanhado por um Confrontamento das Ameaças reais.

Gerenciar o risco sem conhecer (ou sem se importar em conhecer) as ameaças é pouco eficiente - mas infelizmente esta atividade pode manter uma equipe ou uma empresa ocupada tempo suficiente preenchendo formulários e checklists de forma que não seja necessário se ocupar em conhecer mais profundamente os problemas reais (tecnológicos, processuais ou pessoais) que afetam e fragilizam a organização.

Adivinhe: isto é tudo que as ameaças reais (insiders, competidores, crackers contratados, espiões, fraudadores,funcionários insatisfeitos,..) precisam para ficar sob o radar.

Em outras palavras, não basta usar sistemas contendo fórmulas (batidas ou mágicas) para mensurar o "Risco" e assim decidir o investimento em ações de proteção e detecção do seu programa de segurança.

Fred Cohen - citado recentemente por Richard Bejtlich, define esta questão de uma forma interessante: "Risk management: a guess multiplied by an approximation, taken to the power of an expert opinion."

Ou seja, costuma ser um bom começo.. pena que muitas empresas param por aí. Uma análise de risco super bem feita - com as melhores contramedidas a postos - não vai evitar que as "ameaças explorem as vulnerabilidades e resultem em impactos" muitas vezes não imaginados ou calculados anteriormente.

Por mais que você invista em prevenção e detecção, incidentes/fraudes/crimes continuarão ocorrendo.

Isto é verdade especialmente se a empresa não responde adequadamente aos incidentes por não possuir visibilidade real do que ocorre em sua rede e em seu negócio. Mais uma vez bato na mesma tecla - o FOCO deve estar na AMEAÇA..

Você precisa estar preparado para reagir e estudar o modus operandi dos seus adversários, e desta forma se posicionar melhor e investir de forma inteligente na prevenção e detecção, inclusive..

Organizar um time de Resposta a Incidentes (CSIRT/ETIR) eficiente, com foco no risco ao negócio e que interaja com as áreas clientes da empresa (Auditoria, TI, Inspetoria, Anti-Fraude, Compliance, RH, etc..) não é tarefa fácil. Mas isto proporcionará a médio prazo um foco na ameaça ao negócio, o que a faz perder dinheiro, informação - e assim perder valor de mercado, ser menos competitiva, etc..

É uma situação muito interessante, a do "Incident Responder" - ele sempre começa perdendo - e somente às vezes sai ganhando.. É impossível prever todos os possíveis vetores de ataque dentro dada a alta complexidade e conectividade de uma organização moderna - a vantagem do ataque sobre a defesa é imensa e você sempre vai perder antes de ganhar. Talvez o único jeito de ganhar é passar a perceber as reais ameaças, reagir a elas, e contra-atacar (na justiça, de preferência).

Tratar os incidentes de segurança que afetam o negócio (levando-os ou não à justiça) é o que proporcionará ao CSIRT e à empresa o conhecimento das intenções, oportunidades e capacidades de seus verdadeiros adversários (ameaças). A maioria das empresas que não está em verticais com riscos financeiros mais explícitos (Financeiro/Telecom) precisa passar por um incidente sério para começar a se mover neste sentido. Quem nunca viu isto acontecer?
  • O que promove mais a Segurança da Informação, a Sarbanes Oxley, o PCI ou um concorrente roubando informações estratégicas que podem levar a empresa à falência?
  • O que melhora a capacidade de detecção de incidentes, normas governamentais - por mais bem estruturadas que sejam - ou a perda de confidencialidade de dados sensíveis como nos recentes envolvendo o Wikileaks?
  • O que motiva investimentos contínuos em defesa cibernética de infraestruturas críticas, regras escritas e controle de acesso de classe militar ou reagir à possibilidade de ameaças como o StuxNet?
Aos interessados que chegaram até aqui, recomendo uma excelente abordagem dos aspectos econômicos/comportamentais dos criminosos cibernéticos postada hoje por Craig Wright - Criminal Specialization as a corollary of Rational Choice. <= Food for Tought

Para o desdobramento dos componentes da Ameaça, continue lendo abaixo..

[ Update - 14/10/2009 ]

Novo post da série sobre "Security Intelligence" no blog do SANS - desta vez tratando de conceitos como indicadores de ataque, comportamento dos adversários, progressão do ataque (aka kill chain) - leitura recomendada!


[ Update - 23/08/2009 ]

Uma série de posts de Michael Cloppert estão introduzindo o assunto "Security Intelligence".

Ele define alguns termos interessantes (além dos já expostos neste post) . Por exemplo, ele apresenta os seguintes sub-conceitos da Ameaça:

Intenção: tende a ser dependente de indústria. Roubo de dados, por exemplo. Não pode ser influenciado por ações de Segurança.

Oportunidade: timing apropriado e conhecimento do alvo.

Capacidade: é a habilidade financeira, humana e técnica de alcançar o objetivo de ataque e aproveitar a oportunidade.

[ Post Original - 07/06/2009 ]


Em uma conversa recente com um cliente sobre atividades de 'Análise de Risco', percebi que os conceitos de Risco, Vulnerabilidade, Ameaça e Impacto ainda confundem muita gente experiente na área de Segurança da Informação.

Este post tem a intenção de apresentar estes conceitos e propor uma abordagem que considero ideal para abordar este desafio em uma empresa.

Fonte dos conceitos abaixo:
NIST SP 800-30 (tradução livre minha).
  • Risco: probabilidade de uma fonte de ameaça explorar uma vulnerabilidade, resultando em um impacto para a organização;
  • Vulnerabilidade: falha ou fraqueza de procedimento, design, implementação, ou controles internos de um sistema que possa ser acidentamente ou propositalmente explorada, resultando em uma brecha de segurança ou violação da política de segurança do sistema;
  • Ameaça: possibilidade de um agente (ou fonte de ameaça) explorar acidentamente ou propositalmente uma vulnerabilidade específica;
  • fonte de Ameaça: ou (1) uma intenção e método objetivando a exploração de uma vulnerabilidade ou (2) uma situação e método que pode acidentalmente disparar uma vulnerabilidade;
  • Análise de Ameaças: verificação das fontes de ameaça versus vulnerabilidades, para determinar as ameaças de um sistema em particular em um ambiente operacional particular.
A execução apropriada de uma "classificação dos ativos" seguida de uma "análise de risco" real em uma organização complexa é uma tarefa intangível - para não dizer impossível - dada a quantidade de fatores desconhecidos na equação de risco. É verdade que normalmente isto leva a estimativas que ficam bonitas em relatórios e dashboards e powerpoints..

Dito isto, acredito que uma abordagem de tratamento ou análise de ameaças é mais efetivo quando executado apropriadamente pelo time de Segurança de Informações - isto envolve várias ações:
  • A detecção e mitigação das vulnerabilidades presentes em sistemas críticos é o mínimo a ser feito.
  • O histórico dos incidentes tratados (post-mortem...), as ações tomadas contra as fontes de ameaça identificadas e o entendimento e mitigação de seu modus operandi são fundamentais.
  • O envolvimento com outras áreas da empresa que lidam com Risco da Tecnologia ou da Informação é primordial
  • O constante convencimento da importância em diminuir o esforço e foco nas vulnerabilidades (O COMO) e atacar de frente as ameaças (O QUEM - veja este excelente post do Richard Beijtlich sobre o assunto) - incluindo a penalização interna (RH) ou envolvimento do Jurídico para ações externas.
  • A empresa somente é capaz de responder adequadamente quando se esforça em conhecer progressivamente todos os fatores desta equação: que vulnerabilidades possui, a que ameaças está suscetível, quais agentes estão envolvidos e qual são os impactos históricos e possíveis da exploração destas ameaças.
  • Isto não acontece magicamente quando apenas os aspectos tecnológicos de vulnerabilidades ou uma "análise de risco" tradicional é executada por esforços isolados da área de Segurança da Informação (com tradicionais cobranças eventuais das áreas de Compliance e Auditoria).
Para uma abordagem realista e eficiente dos desafios de segurança da informação para os negócios da empresa exige uma abordagem ampla com foco nas ameaças. Por experiência própria, isto funciona melhor quando é institucionalizado um fórum inter-departamental com um grupo de trabalho técnico e outro executivo.

A frequência recomendada é de um dia inteiro por semana e as possíveis áreas envolvidas são: Segurança da Informação, Risco, Auditoria, Compliance, Governança, Anti-Fraude, Segurança Empresarial, Jurídico e Recursos Humanos. Se você acha isto intangível na sua organização, comece com uma hora por semana com 2 ou 3 das áreas citadas..

Com esta linha em ação, é possível mover a Segurança da Informação da sua função tradicional (FW,IDS,AV,Controle de Acesso,...) e trazê-la para um campo estratégico de proteção dos
interesses da empresa/órgão de seus adversários e ameaças reais.

Observação: este é um dos posts mais acessados através de pesquisas no google (pelos termos que compõem o título do artigo)

Friday, January 21, 2011

Sequestro de dados e extorsão - da Rússia para o Brasil (RansomWare)


[ Update - 21/01/2011 ]

Os malwares da categoria RansomWare existem desde 1989 mas continuam a se multiplicar... Algumas versōes são um tiro no pé dos autores. Como este caso abaixo.

A variante Trojan.Bootlock teve sua análise recentemente postada no blog da Symantec. O post mostra a tela que, mas não mostra o processo de "recuperação" dos dados através da obtenção da passphrase "que inclui mais de 16 símbolos" para descriptografar a máquina afetada.

O "pedido de resgate" pode ser visto nesta captura de tela. Note o nome utilizado: "RBN Encryptor" - possivelmente faz referência a uma antiga denominação de um grupo de cribercrime Russo (Russian Business Network).

O problema é que neste caso específico, como só a MBR (Master Boot Record) foi "criptografada", ou seja - qualquer um que procurar pelo assunto na internet perceberá que não é necessário pagar os US$ 100 cobrados pelos criminosos, e é possível restaurar o disco com qualquer ferramenta de Recovery de MBR como a da própria Symantec..

Os sistemas utilizados para receber o pagamentos são versões underground do Paypal [Ukash e Paysafecard].

O FAQ da quadrilha é muito interessante também, veja a primeira resposta:
Q: How can you assure me to provide the right password once it is pais? (sic)
A: We need not to cheat on you. Once you purchase a payment voucher..
Hmm.. Será? =)

[ Post Original - 03/05/2009 ]

A Linha Defensiva divulgou ontem a análise de um código malicioso que depois de se instalar, impede o acesso à aplicações e documentos (word, excel, powerpoint, msn, calc, adobe reader, meus documentos, paint, gerenciador de tarefas, etc.. ) do computador infectado - este tipo de código malicioso tem sido chamado de "ransomware".

A idéia de "sequestrar" os dados de um computador é antiga, e o Fábio nos remete ao vírus "Aids Info Disk", de 1989 - que alterava o Autoexec.bat das máquinas e criptografava os dados, requisitando um "resgate" de 378 dólares. Análise técnica (da época) aqui.

Recentemente a idéia foi revisitada (desde 2005 até hoje) por criadores de malware russos responsáveis pelo GPCODE, que em sua última versão (.AK) exige 300 dólares de resgate para que o usuário possa voltar a ter acesso aos documentos que foram criptografados com uma chave RSA de 1024 bits.

A versão brasileira funciona de uma maneira similar à versão russa, mas não informa ao usuário que os dados foram "sequestrados". Se o usuário tenta acessar um dos objetos bloqueados pelo malware, uma mensagem falsa de erro do Windows é apresentada e é oferecida a instalação de um falso programa de segurança chamado "Byte Clark" (cuidado ao acessar o site a seguir: www.byteclark.com.br) - ele - adivinhe - é único que corrige o falso bug apresentado na imagem acima ("Windows Versão 4817.3812 32 bytes").

Até o momento a maneira de propagação do malware é via email: a vítima recebe uma mensagem com o assunto: "Olá, estou te enviando meu convite de formatura com local, data e hora", e um arquivo .PPT anexo que inicia a infecção da máquina do usuário vítima.

No site da falsa empresa de segurança, há informações sobre o pagamento para o resgate dos dados sequestrados (ou melhor, para a correção do erro "Windows Versão 4817.3812 32 bytes"). Pasmem de novo: é informada uma conta válida da Caixa Econômica Federal:

Favorecido: Rodolfo Esteves B. da S.
Agência: 0233 OP: 013 Conta: 00002369-7


Nas informações de whois do registro.br, o responsável pelo domínio é o Sr. "Luiz Trojahn". Curioso nome...

No caso de 1989, o inglês responsável foi preso rapidamente. Esperamos que as autoridades brasileiras consigam prender o copy-cat brazuca o mais rápido possível.

Update (05/05/2009):

O Fábio nos informou que: "O malware impede o acesso aos softwares listados através de um GetActiveWindow, identificando o processo que está rodando e dando o comando para fechá-lo. Ele não aplica nenhuma criptografia ou wipe nos arquivos do usuário, como faria um ransomware mais avançado. Ele se instala na inicialização e impede o acesso ao registro e ao gerenciador de tarefas para dificultar a remoção.

Encaminhamos denúncia a Polícia Federal, CERT e registro.br sobre o incidente para que tomem as providências cabíveis".



Análises do ransomware brasileiro:


Thursday, January 20, 2011

Discos de Estado Sólido (SSD) e Forense Computacional

Costumo acompanhar de perto as evoluções tecnológicas relacionadas à Resposta a Incidentes e Forense Computacional. No ano passado o tema da minha apresentação do ICCyber foi exatamente este (slides).

Já havia visto vários vídeos e acompanho o blog do Scott Mouton, incluindo uma apresentação de 2008 mostrando como os SSDs funcionam. Sempre gostei muito das explicações dele e das animações 3D que ele faz sobre os assuntos tratados.

Só hoje eu assisti a apresentação dele na DEFCON16 (2008), e sem dúvida a considero a mais didática sobre as diferenças entre os discos mecânicos e os discos SSD. São tratados o impacto da utilização de SSDs na recuperação de dados/carving e outras implicações técnicas no processo de perícia deste tipo de mídia. Se você também ainda não viu, é mais do que recomendado: Solid State Drives - Ruining Forensics:


Sunday, January 16, 2011

10 Curtas: Zeus SpyEye C2C Android IPhone StuxNet China Renault

Segue um resumo de dez links para assuntos interessantes que aconteceram na última semana:
  • RH2.5: Outro Toolkit Malicioso - chamado RH2.5 - está sendo vendido por valores ainda inferiores, e com um Marketing "seja um WhiteHat fazendo o que os BlackHats podem fazer".. não colou;
  • Sumiço: O especialista em segurança Dancho Danchev (especialista em "Contra-Ciber-Inteligência", e BlackHat SEO) está desaparecido há vários meses. As circunstâncias do sumiço do especialista em seu próprio país (Bulgária) são desconhecidas;
    • Virus Android e Iphone: Excelente abordagem do tema no Quora <= Muito marketing foi feito recentemente dizendo que o IPhone era mais seguro.. Discussão interessante mostrando que às vezes Security é diferente de Safety;
    • China: A China está novamente envolvida em um escândalo de espionagem, desta vez envolvendo a montadora francesa Renault.

    Friday, January 14, 2011

    O que o fenômeno Wikileaks veio nos ensinar

    Hoje foi publicada uma entrevista que concedi ao Portal InternetSegura, do Terra, sobre o assunto Wikileaks, chamada "O que o fenômeno Wikileaks veio nos ensinar":

    Fonte: http://internetsegura.terra.com.br/site/interna.aspx?id_conteudo=550

    O fenômeno do Wikileaks, organização que já divulgou dados sigilosos de várias nações, mostrou que o vazamento de informações não deixa livre nem mesmo grandes corporações e entidades governamentais.

    Sandro Süffert, CTO da Techbiz Forense Digital, é consultor sênior em Segurança da Informação e já acompanhou vários incidentes em instituições públicas, financeiras e de telecomunicações. Com sua e experiência e bagagem de conhecimento, e como membro da High Technology Crime Investigation Asssociation (HTCIA) desde 2006, faz uma análise ampla e profunda das lições que o Wikileaks veio nos ensinar.

    1) Em linhas gerais, o que o fenômeno do Wikileaks nos ensinou em termos de violação de dados sigilosos? Agora, foram informações da área diplomática, mas a sociedade -- em particular, a brasileira -- corre risco de ver vazar dados da Receita Federal ou da Polícia Federal?

    O vazamento de dados sigilosos não é uma novidade, porque a limitação de acesso a qualquer tipo de dado eletrônico é um desafio colossal em um mundo cada vez mais conectado, competitivo e dependente de informação. O fenômeno do Wikileaks traz como novidade a ampla divulgação dessas informações sigilosas, especialmente por uma organização que se propõe – supostamente – a proteger a fonte da informação confidencial e servir de interface com órgãos de imprensa.

    O que o Wikileaks mostrou ao grande público é que, mesmo em redes e sistemas governamentais, sem acesso a partir da Internet (como a SIRPNET/Intelink do governo norte-americano), uma informação que pode ser acessada também pode ser divulgada sem autorização.

    Para entender a motivação de casos de vazamento de dados, não podemos deixar de seguir a máxima “follow the money”. Dito isso, no caso de dados da Receita ou Polícia Federal, informações valiosas, quando acessadas ilegalmente, são vendidas no mercado negro – uma divulgação ampla de todos esses dados não seria economicamente proveitosa, além de potencialmente expor os responsáveis pelo vazamento às autoridades competentes.

    Já no caso do Wikileaks, por trás da ideologia de informação livre, estabeleceu-se um modelo de negócio que paga altos salários e movimenta dezenas de milhões de dólares oriundos de doações. Ou seja, o negócio que mantém o site é o próprio vazamento de dados.

    2) Em termos legais e éticos, como ficam os limites da imprensa na divulgação de notícias que possam colocar a segurança do país em risco? Até que ponto o cidadão comum tem direito de acesso a informações que podem colocar a segurança de um país em risco ou que, por outro motivo, são salvaguardadas pelos governos?

    No caso do material divulgado pelo Wikileaks, além do desconforto diplomático causado pela divulgação de detalhes como apelidos de chefes de Estado, existem informações classificadas como secretas, que claramente colocam a segurança dos Estados Unidos e de sua população em risco. Esse é o caso da lista atualizada de infraestruturas críticas norte-americanas localizadas no exterior, preparada pelo Departamento de Estado em 2009 e publicada a cerca de um mês por Assange e sua equipe.

    Apesar de existirem outros sites underground que já faziam a divulgação desse tipo de informação, a estratégia do Wikileaks de distribuir simultaneamente os dados para diversos jornais (New York Times, Le Monde, El Pais, The Guardian e Der Spiegel) pretende dar uma maior legitimidade às informações divulgadas e ao mesmo tempo provocar uma competição entre os jornais.

    Como a informação já vazou e será publicada, mais cedo ou mais tarde, por algum deles ou diretamente pelo Wikileaks, é de se imaginar o conflito ético ocorrido nas redações. Neste caso, o próprio conflito ético foi diluído por todas essas publicações e, como vimos, no embate entre a ética e a necessidade vender mais jornais que os concorrentes, o segundo venceu.

    Quanto ao acesso às informações, todos os Estados precisam manipular dados sensíveis que são classificados como secretos ou ultrassecretos por motivos óbvios, como a segurança nacional, por exemplo. Em todo o mundo, os governos possuem órgãos de inteligência que trabalham com informações que não devem ser acessadas por todos os cidadãos, por motivos de segurança.

    3) Como está a legislação brasileira em termos de proteção de dados sigilosos na era da Internet e de sites do estilo wiki? E em termos de punição? Você acha que as leis no Brasil deveriam ser atualizadas para lidar com situações como a gerado pelo Wikileaks?

    Tradicionalmente, há uma divisão ao se tratar os crimes envolvendo computadores: existem os chamados crimes próprios, que só podem ser cometidos por meio eletrônico, e os crimes impróprios, em que o meio eletrônico é apenas uma via para o seu cometimento. No caso em pauta, não entendo ser necessária atualização de legislação, pois se trata de uso da tecnologia para o cometimento de crimes já previstos anteriormente.

    O direito à intimidade e à privacidade, assim como ao sigilo de correspondência, da comunicação de dados e conversas telefônicas, é tratado pela Constituição Federal e pelo nosso Código Penal. Existem inúmeros artigos que podem ser aplicados pelas autoridades competentes, conforme o caso. Dentre eles está o Artigo 151 (Violação de Correspondência) [a Lei n.o 9.296/96 - ver comentários abaixo], o Artigo 155 (Crime de Furto), o Artigo 163 (Crime de Dano), o Artigo 171 (Estelionato) e o Artigo 305 (Crime contra a Fé Pública). No caso das empresas públicas, cabe citar também o Artigo 325 do Código Penal, que trata da violação de sigilo funcional. A pena prevista é detenção, de seis meses a dois anos, ou multa, se o fato não constitui crime mais grave.

    Nos últimos anos, o Governo Federal, através do Departamento de Segurança da Informação e Comunicações do Gabinete de Segurança Institucional da Presidência da República, amadureceu consideravelmente as iniciativas relacionadas às regras de segurança das informações e comunicações, como a normatização da área, classificação da informação e envolvimento de todos os envolvidos na proteção das nossas informações e infraestruturas críticas.

    4) No caso do Wikileaks, o vazamento das informações foi sucedido por uma onda de ataques a empresas que retaliaram o site (como a Amazon, a Mastercard e a Visa). Essas ações seriam passíveis de punição no Brasil, se tivessem sido disparadas daqui?

    O desenvolvimento, distribuição e a utilização de ferramentas desse tipo são crimes previstos há anos em legislações de vários países, como Holanda, Inglaterra e Alemanha. No Brasil, caso haja indisponibilidade total ou parcial do site, pode-se configurar o crime de dano, previsto no artigo 163 do Código Penal, com pena de detenção, de um a seis meses, ou multa.

    De acordo com esse mesmo artigo, pode-se configurar dano qualificado, caso seja efetuado “contra o patrimônio da União, Estado, Município, empresa concessionária de serviços públicos ou sociedade de economia mista” e, nesse caso, a punição prevista em lei é detenção de seis meses a três anos, e multa.
    Se, além do ataque de negação de serviço, houver cobrança de valores para cessá-lo, há a configuração de crime de extorsão, previsto pelo artigo 158 do Código Penal, com pena de reclusão, de quatro a 10 anos, e multa.

    Infelizmente, esse tipo de ação de “retaliação” não requer nenhuma sofisticação técnica e já começamos o ano com ataques similares de negação de serviço a sites governamentais brasileiros. A medida mais efetiva para evitar isso é identificar e punir adequadamente os responsáveis.
    Em meu blog, abordei essa questão específica com mais profundidade, juntamente com o Dr. Emerson Wendt (http://sseguranca.blogspot.com/2010/12/as-acoes-anti-anti-wikileaks-e.html).

    5) Há algo que o usuário comum, as empresas ou as instituições governamentais possam fazer possam fazer para se proteger contra vazamentos de informações confidenciais?

    A tecnologia é mais útil na investigação de como os dados vazaram do que na proteção desses dados. Caso um adversário com intenção, motivação e capacidade (financeira e técnica) quiser obter essas informações, isso irá acontecer – mais cedo ou mais tarde.

    O que se pode fazer é dificultar a ocorrência, elevando-se a dificuldade (financeira e técnica) necessária para a obtenção não autorizada desses dados.

    A motivação de grande parte desses casos pode ser diretamente afetada pela adequada investigação e punição exemplar dos responsáveis por ocorrências que violem as políticas de segurança, como o vazamento de dados. Isso requer um investimento tecnológico e a necessidade de amadurecimento de todos os níveis da empresa, no tocante à segurança da informação. Qualquer tecnologia de proteção torna-se ineficaz sem a adequada classificação das informações e um controle do acesso e compartilhamento. E pior, se feita incorretamente, a proteção dos dados pode gerar uma situação com que poucas empresas estão dispostas a arcar: a limitação do acesso às informações que pode ser o principal diferencial competitivo da empresa.

    Dentre as tecnologias mais úteis para evitar o vazamento de dados, está a criptografia. Ela é útil em vários níveis, desde o usuário final até empresas privadas e segredos de Estado. Para os usuários finais e empresas, existem ferramentas de criptografia de disco que garantem que informações sigilosas não cheguem às mãos indevidas, por exemplo, no caso de um notebook roubado. Ferramentas DLP (Data Leak Protection) e de forense computacional auxiliam na monitoração e na investigação de endpoints e da rede. Várias regulamentações de mercado, como a Sarbanes Oxley e PCI, apontam para esse tipo de abordagem ao problema.

    Nas empresas, existem grupos de usuários que merecem uma monitoração adequada por possuírem acesso irrestrito às informações. É o caso de funcionários da área de TI, como administradores de bancos de dados e operadores de backup.

    Para o usuário final, há dicas sobre como usar diferentes senhas fortes em diferentes serviços online, evitar a exposição de dados pessoais desnecessariamente em redes sociais, além do desenvolvimento de um senso crítico de que a Internet é uma ferramenta maravilhosa, mas que está cheia de armadilhas que devem ser evitadas.

    6) Na sua visão, depois do Wikileaks, qual será o grande fenômeno que deve colocar a privacidade e a segurança das informações na berlinda?

    O fenômeno Wikileaks colocou a importância da segurança das informações em pauta em 2010, mas outros acontecimentos divulgados pela grande mídia fizeram o mesmo. É o caso da Operação Aurora, em que o Google e cerca de 30 outras empresas norte-americanas tiveram informações confidenciais acessadas por hackers possivelmente financiados pelo governo chinês. Outro incidente importante foi a descoberta do código malicioso StuxNet, que possui uma sofisticação técnica nunca antes encontrada e foi utilizado com sucesso – possivelmente por um Estado opositor – para atrasar a produção nuclear iraniana.

    A ocorrência desse tipo de incidentes costuma levantar uma série de priorizações, investimentos e trazer o assunto da Segurança da Informação à tona. Mas a privacidade e a segurança devem ser assuntos fundamentais e estratégicos para governos, empresas e também para cidadãos comuns – independente desses fenômenos.

    À medida que a complexidade desses milhões de sistemas interconectados, que chamamos de Internet, continuar a crescer, também deve crescer a importância da Segurança da Informação em todos os níveis de atuação da sociedade. As ameaças continuarão existindo e dados sigilosos serão acessados, independente da sua divulgação.

    Wednesday, January 5, 2011

    80 mil pageviews + listagem de artigos

    Hoje alcançamos a marca de 80 mil page-views no blog (50 mil em 2010). Como estatística extra, segue a distribuição dos 10 estados com mais acessos por aqui:
    1. 25.84% São Paulo
    2. 17.15% Distrito Federal
    3. 7.22% Rio de Janeiro
    4. 5.03% Minas Gerais
    5. 4.07% Rio Grande Do Sul
    6. 3.60% Lisboa - Portugal
    7. 3.19% Goiás
    8. 3.18% Parana
    9. 2.11% Santa Catarina
    10. 2.11% Bahia
    Como fizemos na comemoração dos 10 mil, 20 mil, 30 mil, 40 mil, 50 mil, 60 mil e 70 mil - segue a listagem completa (167 posts e 411 comentários até o momento) do que já foi publicado - talvez você tenha perdido algum assunto de interesse:

    Labels

    forense (50) resposta a incidentes (40) segurança em profundidade (27) vulnerabilidade (26) treinamento (22) cyberwar (18) conferência (16) forense de memória (15) hackers (15) malware (15) blogs (14) vazamento de informações (13) windows (13) china (11) criptografia (11) ddos (11) dns (11) google (11) microsoft (11) exploit (10) ferramenta (10) memoria (10) botnet (9) csirt (9) forense de disco (9) forense de rede (9) ftk (9) legislação (9) phishing (9) 0-day (8) NIST (8) accessdata (8) encase (8) evento (8) linux (8) negação de serviço (8) netwitness (8) sans (8) volatility (8) cert.br (7) correlacionamento (7) desafios (7) ferramentas (7) forense corporativa (7) kaspersky (7) livros (7) pageviews (7) pci (7) twitter (7) usa (7) APURA (6) Guidance Software (6) espionagem industrial (6) governo (6) iccyber (6) internet explorer (6) metasploit (6) monitoração (6) privacidade (6) techbiz (6) 0day (5) CDCiber (5) blackhat (5) brasil (5) dlp (5) falha (5) fbi (5) ids (5) inteligencia (5) memoryze (5) modelagem de ameaças (5) métricas (5) patch (5) pdf (5) policia federal (5) python (5) registry (5) richard bejtlich (5) rsa (5) segurança de rede (5) siem (5) skype (5) CyberCrime (4) Enscript (4) algoritmo (4) android (4) anti-forense (4) anti-virus (4) arcsight (4) auditoria (4) backtrack (4) campus party (4) ccc (4) certificação digital (4) ciberespionagem (4) defacement (4) estatísticas (4) firefox (4) fud (4) mandiant (4) md5 (4) nsa (4) online (4) pentest (4) programação (4) safe browsing (4) sandbox (4) slowloris (4) ssl (4) storm worm (4) stuxnet (4) trojan (4) wikileaks (4) windows7 (4) .gov (3) adobe reader (3) ameaça (3) backdoor (3) blackberry (3) ceic (3) chrome (3) ciberguerra (3) cloud (3) conscientização (3) crackers (3) cymru (3) dan geer (3) defesa (3) drive-by (3) engenharia social (3) enisa (3) evidence (3) exploit kit (3) fast flux (3) forense digital (3) gsi (3) hardware (3) htcia (3) https (3) imperva (3) intel (3) ips (3) java (3) live cd (3) logs (3) man in the middle (3) networkminer (3) perícia digital (3) processo (3) ransomware (3) registro (3) reportagem (3) revista (3) risco (3) secunia (3) segurança (3) shell (3) shodan (3) sox (3) sql injection (3) truecrypt (3) verizon (3) virus (3) vista (3) voip (3) .mil (2) BSIMM (2) Encase Enterprise (2) JDFSL (2) TPM (2) Virustotal (2) XSS (2) aduc (2) amazon (2) apache (2) apple (2) autenticação (2) bloqueador de escrita (2) breno silva (2) bruce schneier (2) bundestrojaner (2) cache poisoning (2) caine (2) carders (2) carnegie mellon (2) carolina dieckmann (2) carving (2) censura (2) cipav (2) cofee (2) coldboot (2) comodogate (2) conficker (2) consciência situacional (2) cooperação (2) core (2) cucko´s egg (2) cuda (2) cyberwarfare (2) database security (2) digital intelligence (2) direito digital (2) dnschanger (2) dpf (2) dsic (2) engenharia elétrica (2) engenharia reversa (2) etir (2) expressões regulares (2) f-response (2) finfisher (2) fingerprinting (2) flash (2) fraude (2) ftkimager (2) full disclosure (2) fuzzy (2) gsm (2) hacktivismo (2) hbgary (2) heap spray (2) iOS (2) immunity (2) impacto (2) insecure magazine (2) insiders (2) interceptação (2) iphone (2) irc (2) irã (2) jaquith (2) loic (2) mac (2) mastercard (2) mestrado (2) mobile (2) ms08-067 (2) openioc (2) openssl (2) otan (2) palantir (2) paypal (2) pcap (2) pdgmail (2) portugal (2) presidência (2) prisão (2) proxies (2) ptfinder (2) rbn (2) recompensa (2) recuperação (2) regripper (2) relatório (2) resumo (2) rio de janeiro (2) ross anderson (2) russia (2) securid (2) segurança por obscuridade (2) sift (2) snort (2) snowden (2) sorteio (2) spam (2) spoofing (2) spyeye (2) sql (2) ssd (2) stealth (2) suricata (2) sysinternals (2) tecnologia (2) tools (2) trend micro (2) unb (2) usb (2) virtualização (2) visa (2) vulnerability (2) waf (2) winen (2) wireless (2) worm (2) wpa (2) wpa2 (2) xry (2) zeus (2) .edu (1) .pac (1) 3g (1) ABNT (1) AR-Drone (1) AppleGate (1) Asterisk (1) Audit Viewer (1) BIOS (1) CCDCOE (1) CEF (1) CERT (1) CSI Cyber (1) CarbonBlack (1) Craig Wright (1) DC3 (1) Diginotar (1) Dilma (1) DoD (1) FACE (1) FRED (1) Facebook (1) Fred Cohen (1) GPU (1) Gene Spafford (1) HP (1) ICOFCS (1) ICS (1) IDMEF (1) IJDCF (1) IJDE (1) IJOFCS (1) INFOSEG (1) IODEF (1) IPv6 (1) ISO (1) MAEC (1) MCT (1) MMEF (1) Michael Cloppert (1) Ministério da Defesa (1) Netwtiness (1) OVAL (1) PL84/99 (1) RH2.5 (1) RNP (1) SDDFJ (1) SbSeg (1) Seccubus (1) Stratfor (1) TED (1) TJX (1) Tallinn (1) USCyberPatriot (1) USSTRATCOM (1) VERIS (1) VRT (1) WPS (1) WiPhire (1) Wifi Protected Setup (1) XMLHttpRequest (1) YARA (1) a5/1 (1) a5/3 (1) active defense (1) adeona (1) adhd (1) adobe flash (1) aes (1) afflib (1) akamai (1) alemanha (1) ambev (1) anti-theft (1) antisec (1) anubisnetworks (1) apt (1) apwg (1) aquisição (1) arbor (1) armoring (1) artefatos (1) artillery (1) asprox (1) assinaturas (1) atenção seletiva (1) attack (1) aurora (1) australia (1) autonomous systems (1) avg (1) avi rubin (1) avware (1) awards (1) baixaki (1) bash (1) bbc (1) bear trap (1) belkasoft (1) bgp (1) birthday attack (1) bitlocker (1) black tulip (1) blackhat seo (1) blacklist (1) blind sql injection (1) bluepex (1) bluepill (1) breaking point (1) bug (1) bulk_extractor (1) byod (1) c2c (1) capacidade (1) carbon black (1) careto (1) carnivore (1) cartão de crédito (1) cbs (1) cellebrite (1) celular (1) centera (1) cerberus (1) certificações (1) cheat sheet (1) chip (1) chris paget (1) chromium (1) citrix (1) clean pipe (1) cliff stoll (1) cloudfare (1) cloudflare (1) cloudshield (1) cnasi (1) cnet (1) cnn (1) codenomicon (1) coleta (1) comodo (1) comodobr (1) compliance (1) comsic (1) convenção de budapeste (1) convergence (1) copa do mundo (1) corey johnson (1) cpbr (1) crime na rede (1) crise (1) cristine hoepers (1) cuckoo (1) cyberattack (1) cyberbunker (1) daemonlogger (1) dam (1) dancho danchev (1) darkmarket (1) dcom (1) decaf (1) decaf v2 (1) decloack (1) deepweb (1) defcon (1) deutche telekom (1) dfrws (1) digitask (1) dimmit (1) diário oficial (1) dnsbl (1) dnssec (1) dou (1) downadup (1) drdos (1) drwxr (1) dsd (1) dumpcap (1) dumpit (1) duqu (1) e-evidence (1) ediscovery (1) eff (1) elcomsoft (1) emc (1) emprego (1) energia (1) enigma (1) entrevista (1) escola nacional de defesa cibernetica (1) eset (1) esteganografia (1) estonia (1) etld (1) eventos (1) evil maid (1) evilgrade (1) exercito (1) exploit-db (1) extorsão (1) f-secure (1) falso positivo (1) fantastico (1) fatal error (1) fecomercio (1) fernando carbone (1) ff4 (1) finlândia (1) firmware (1) flame (1) flexispy (1) foremost (1) forense de vídeo (1) forensic focus (1) forensic magazine (1) forensics.wiki.br (1) forensicswiki (1) força bruta (1) full disk encryption (1) g1 (1) gauss (1) gcih (1) ghostnet (1) globo (1) gmail (1) gpcode (1) gpl (1) gps (1) grampo (1) guardium (1) guerra (1) guilherme venere (1) hackerazzi (1) hackingteam (1) hakin9 (1) hardening (1) harlan carvey (1) hash (1) helix (1) hitler (1) holanda (1) honeynet (1) honeypot (1) hope (1) hosts (1) hotmail (1) httpry (1) iPhoneTracker (1) idefense (1) ig (1) impressoras (1) india (1) info exame (1) insecure maganize (1) intenção (1) interpol (1) into the boxes (1) investimento (1) ioerror (1) iphone forensics (1) ironport (1) isc2 (1) israel (1) j2ee (1) jacomo dimmit (1) jailbreak (1) javascript (1) jesse kornblum (1) jotti (1) junho 2008 (1) kaminsky (1) kasumi (1) kgb (1) kits (1) klaus steding-jessen (1) kntools (1) kraken (1) langner (1) lime (1) limites (1) lista (1) lm (1) locaweb (1) lockheed martin (1) lynis (1) lógica (1) mac memory reader (1) mac memoryze (1) macosx (1) magic lantern (1) map (1) marcapasso (1) marcelo caiado (1) marcos ferrari (1) mawlare (1) mbr (1) mcafee (1) mcgraw (1) memscript (1) metasploitable (1) mindmap (1) mit (1) mitigação (1) mitm (1) moonsols (1) moxie (1) mrtg (1) ms08-033 (1) nac (1) nessus (1) netcontinuum (1) netflow (1) networking (1) ngrep (1) nit (1) nmap (1) norma (1) norse (1) notebook (1) ntlm (1) ntop (1) ntp (1) nuclear (1) obama (1) oi (1) oisf (1) oiss (1) olimpiadas (1) openbts (1) openvas (1) oportunidade (1) oracle (1) orkut (1) otp (1) owasp (1) packers (1) panda (1) pattern matching (1) payback (1) pcre (1) pedofilia (1) pentesting (1) perforce (1) pericia (1) perl (1) perícia (1) pfsense (1) pgp disk (1) phonecrypt (1) pki (1) ploks (1) poisoning attack (1) policia civil (1) polypack (1) port knocking (1) português (1) post-mortem (1) postgres (1) prefeitura (1) premiação (1) preparação (1) princeton (1) provedores (1) ps3 (1) psn (1) psyb0t (1) pushpin (1) pwn2own (1) pymail (1) quebra de sigilo (1) r2d2 (1) rainbow tables (1) rar (1) realengo (1) reação (1) record (1) referência (1) regex (1) registry viewer (1) remnux (1) renato maia (1) renault (1) replay (1) reversing labs (1) roi (1) rootkit (1) router (1) rpc (1) ruby (1) sanitização (1) santoku (1) sc magazine (1) scada (1) scanner (1) scm (1) secerno (1) second life (1) security (1) securityonion (1) senasic (1) sentrigo (1) sep (1) sequestro de dados (1) sha1 (1) shadowserver (1) shmoocon (1) siemens (1) sites (1) skorobogatov (1) slideshare (1) smartcard (1) snapcell (1) software (1) sony (1) sotirov (1) sp (1) spamhaus (1) spidertrap (1) squid (1) sri (1) ssdeep (1) sseguranca (1) sslstrip (1) sting (1) stj (1) street view (1) sucuri (1) superinteressante (1) são paulo (1) t-mobile (1) takedown (1) teamcymru (1) technosecurity (1) telefônica (1) terra (1) terrorismo (1) timeline (1) tizor (1) tls (1) token (1) topcell gsm (1) tresor (1) trustwave (1) tse (1) turquia (1) txtBBSpy (1) umass (1) unix (1) urna eletrônica (1) us-cert (1) usenix (1) userassist (1) vazamentos (1) venda de senhas (1) venere (1) verdasys (1) verisign (1) videntifier (1) visualização (1) visualize (1) vivo (1) vm (1) votação (1) wargaming (1) wasc (1) web 2.0 (1) weblabyrinth (1) websense (1) whitelisting (1) whois (1) wigle (1) win32dd (1) winacq (1) windbg (1) windd (1) winifixer (1) wipe (1) wired (1) wireshark (1) wlan (1) wordpress (1) wrf (1) xerxes (1) xp (1) zdi (1) zlob (1)