Recentemente estive palestrando sobre CiberGuerra e CiberEspionagem no Campus Party Recife, e fiquei surpreso ao final da apresentação ao receber mais de 20 perguntas da audiência sobre este tema.
O assunto chama cada vez mais atenção da mídia e consequentemente do público. Infelizmente, em geral a cobertura feita pela mídia (mesmo a especializada) é movida pela técnica de "FUD" (Fear Uncertainty and Doubt) dos fabricantes de tecnologia de segurança da informação, como empresas de anti-vírus.
Este post tem o objetivo de listar resumidamente os tipos de ferramentas conhecidas que tem sido utilizadas por Nações (CiberGuerra, CiberEspionagem) e Governos (em apoio ao Sistema Judiciário) em ações relacionadas à CiberGuerra e CiberEspionagem.
I) "Nation-State Designed":
Uma coisa importante a perceber é que uma vez montado um framework (ou obtido de fontes conhecidas) é fácil recompilar e fazer "novos" trojans. No caso dos casos mais recentes, o "Gauss" possui rotinas de decriptação similares ao "Flame" e ambos por sua vez contém a mesma rotina de infecção USB que o "Stuxnet". Ou seja, O "Gauss" está mais pra irmão do "Flame" e primo do "Stuxnet", que por sua vez tem como irmão o "Duqu". Todos eles fazem parte do mesmo projeto / framework americano chamado "Olympic Games". Diferentes compilações dos mesmo framework, que rendem às empresas de anti-vírus bastante publicidade quanto são descobertas.
II) Trojans para investigações online
Usados para investigações policiais em alguns países e normalmente autorizados judicialmente. Nada impede que sejam utilizados fora deste contexto ou países, pelos seus autores ou detentores de seu código.
Alguns exemplos são o CIPAV (US/FBI) e o Bundestrojaner (Alemanha)
Mais detalhes sobre este ítem neste post: http://sseguranca.blogspot.com.br/2009/04/cipav-fbi-utiliza-spyware-em.html
III) "Closed Market" Penetration Tools & Exploits:
Existem diversas ferramentas mais "comerciais" (apesar de teoricamente seu acesso ser restrito à governos com uma lista negra de países a quem não se vende). Como exemplo podemos citar as vendidas pela italiana HackingTeam e pela inglesa Gamma - que recentemente teve seu "FinFisher" identificado em cerca de 10 países:
https://community.rapid7.com/community/infosec/blog/2012/08/08/finfisher
Há também empresas como a francesa VUPEN, que vendem exploits para vulnerabilidades 0-day, somente para governos.
IV) Commercial Frameworks:
Existem vários frameworks comerciais de pentest como o argentino Core Impact e os americanos Metasploit Pro da Rapid7 e Immunity Canvas. Neles uma infinidade de exploits podem ser utilizados para atacar sua própria infra-estrutura, ou a dos outros..
V) Open Source Frameworks:
Vale a pena ressaltar que em geral as redes (governamentais, educationais e comerciais) não requerem tanta sofisticação para serem invadidas, e o uso de ferramentas amplamente conhecidas com exploits públicos e técnicas simples de Spear Phishing são suficientes para invadir mesmo infra-estruturas críticas (como exemplo recente veja a notícia do possível ataque "ThunderStruck" com o Metasploit Framework na agência nuclear iraniana).
http://www.f-secure.com/weblog/archives/00002403.html
Sandro, show de bola!! Parabéns pelo post!!
ReplyDeleteMuito Bom!
ReplyDeleteShow de bola. Sandro, você não vai liberar o desafio forense que ocorreu lá? Desde que não pudi entrar no campus party naquele domingo que estou aguardando você divulgar o desafio aqui no blog...
ReplyDeleteAbraços
Parabens infromações muitos importantes
ReplyDeleteÓtimo artigo, Sandro, com uma boa visão sobre o ferramental usado pelos países. Eu só recomendo tomarmos mais cuidado com a separação entre guerra cibernética e ciber espionagem - as diferenças são muito sutis, mas na minha humilde opinião, são problemas totalmente diferentes.
ReplyDeleteParabéns pelo artigo Sandro. Quanto mais profissionais brasileiros estiverem atentos, melhor será a linha defensiva nas organizações e governo.
ReplyDeleteGrande abraço.
Allan.
Excelente Suffert!
ReplyDeleteConcordo com o FUD, eu confesso que incomodo-me bastante com ele. Mas tenho percebido cada vez mais que ele é útil para alguns gestores só acordam na base do sensacionalismo, portanto esta não é uma prática que é de todo mal.
Algo que também tem me chamado a atenção são pen-tests com malwares de simulação de cyber-espionagem. Apesar de haver todo um cuidado das consultorias responsáveis para que não ocorra uma evasão do ambiente para o qual ele foi direcionado, eventualmente eles "vazam"! Particularmente não sou simpático a esta categoria de pen-test, porém ele tem ocorrido com certa frequência e alguns seguindo meios extremamente anti-éticos.
Parabéns pelo artigo!
Alberto Fabiano
Muito interessante o artigo Sandro.
ReplyDeleteMuito bom. Parabéns pelo artigo.
ReplyDeleteAtt
Fábio Jânio administrador do projeto Revista Segurança Digital