Heartbleed openSSL Bug recap

last updated: 04/11/2014 23:30 UTC

1) What is it?: http://heartbleed.com

"The Heartbleed Bug is a serious vulnerability in the popular OpenSSL cryptographic software library. This weakness allows stealing the information protected, under normal conditions, by the SSL/TLS encryption used to secure the Internet. SSL/TLS provides communication security and privacy over the Internet for applications such as web, email, instant messaging (IM) and some virtual private networks (VPNs).

The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users."

2) Vulnerability: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160

3) Security Advisory: https://www.openssl.org/news/secadv_20140407.txt

4) Patch: https://github.com/openssl/openssl/commit/96db9023b881d7cd9f379b0c154650d6c108e9a3

5) PoC exploits:

5.1)
http://www.exploit-db.com/exploits/32745/
http://s3.jspenguin.org/ssltest.py
https://gist.github.com/takeshixx/10107280

5.2) https://raw.githubusercontent.com/HackerFantastic/Public/master/exploits/heartbleed.c

5.3) https://github.com/robertdavidgraham/heartleech

6) Online Tests: (have you wondered what are they doing with the logs? ;)

6.1) http://filippo.io/Heartbleed/
6.2) http://possible.lv/tools/hb/
6.3) https://www.ssllabs.com/ssltest/
6.4) http://heartbleed.criticalwatch.com/
6.5) https://lastpass.com/heartbleed/

7) How bad is this? What the bad guys are doing?

7.1) Bruce Schneier - the crypto and security expert responsible for coining the term Security Theater:  "practice of investing in countermeasures intended to provide the feeling of improved security while doing little or nothing to actually achieve it." - is saying that "Heartbleed is a catastrophic bug in OpenSSL" and that "Catastrophic" is the right word. On the scale of 1 to 10, this is an 11."

7.2) Well, right now many online services offered via HTTPS are not patched yet. So, if you login to Yahoo for example (check yahoo.com:443 in any test above), you can have you information (including user/password) read in plain text by an attacker:

7.3) One can also hijack user sessions exploiting the vulnerability.

7.4) In theory, you can dump the private key from the server, but was not fully demonstrated yet. There is a video showing the beginning of a private key being leaked by the heartbleed attack - but not all of it: https://www.youtube.com/watch?v=4fX-unvgMVU

8) Who / What is vulnerable? 

8.1) 3 days after the official Heartbleed announcement, 78% of the initially vulnerable services are still exploitable: http://istheinternetfixedyet.com/

8.2) More than 600,000 sites are vulnerable: http://blog.erratasec.com/2014/04/600000-servers-vulnerable-to-heartbleed.htm

8.2) Companies are patching the vulnerability, but at least half million sites are vulnerable. (and other services like SSL VPNs, Webmails, etc.)

8.3) List of vendor notifications by The Sans Institute: https://isc.sans.edu/forums/diary/Heartbleed+vendor+notifications/17929

8.4) List of vulnerable Top Alexa 1000 sites (yahoo, imgur, flickr, redtube, archive.org, okcupid,...): https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt

8.5)  As expected, there are many mass tests running right now: https://zmap.io/heartbleed/ (including a link to the Alexa Top 1 million sites that are vulnerable)

8.6) There is an interesting list of big sites that have patched the Heartbleed bug maintained by @MrCippy: http://www.cnet.com/how-to/which-sites-have-patched-the-heartbleed-bug/

8.7) The most simple and common attack vector is from a client to a server, but the reverse is also possible. Enter "ReverseHeartBleed":https://reverseheartbleed.com/ Blog post: http://blog.meldium.com/home/2014/4/10/testing-for-reverse-heartbleed

8.8) Routers are also vulnerable, check the list of products affected from Cisco: http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-heartbleed and Juniper: http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10623

9) IDS rules to detect the abuse of this vulnerability:

9.1) Snort: http://blog.fox-it.com/2014/04/08/openssl-heartbleed-bug-live-blog/
9.2) Suricata: http://blog.inliniac.net/2014/04/08/detecting-openssl-heartbleed-with-suricata/
9.3) As you (should) know, IDS are easily bypassed (check item 5.3 above).
9.4) Bro-IDS is not bypassed by this: https://gist.github.com/sethhall/10436578 - detector: https://github.com/bro/bro/blob/topic/bernhard/heartbeat/scripts/policy/protocols/ssl/heartbleed.bro

10) How to detect successful Heartbleed attacks with tshark (thanks to @netresec): 

$ tshark -i eth0 -R "ssl.record.content_type eq 24 and not ssl.heartbeat_message.type"

11) Nmap NSE plugin to check for the heartbleed vulnerability: https://svn.nmap.org/nmap/scripts/ssl-heartbleed.nse

Usage: $ nmap -p 21,990,1194,443,8443,993,995,465,4430 -sC –script heartbleed.nse 192.168.0.1-255

12) Important: if your servers are vulnerable, you have to patch them now and generate a new private key + certificate AND revoke the old certificate (and replace any other important info that might have been leaked before you patch - even reset user passwords if you are not sure). This was confirmed on 04/11/2014: https://www.cloudflarechallenge.com/heartbleed - credits: @indutny from Russia: https://gist.github.com/indutny/a11c2568533abcf8b9a1 and Ilkka Mattila from Finland CERT).

Happy patching! Detailed steps:

7 steps to stop the Heartbleed SSL/TLS bug (thanks to @datarisk article)

• Inventory all systems and servers running OpenSSL 1.0.1 and newer
• Upgrade to OpenSSL 1.0.1g or recompile with -DOPENSSL_NO_HEARTBEATS
• Revoke compromised keys and reissue new keys from the Certificate Authority
• Change user passwords and encryption keys
• All session keys and session cookies must be expired/invalidated
• All users of systems where SSL is in use must be informed of the potential for compromise
• Consider implementing perfect forward secrecy to protect against current and future attack

Beyond these technical steps, companies should consider the following best practices:

• Ensure that remediation efforts are carried out by qualified IT professionals
• Consider it a project – enforce accountability along with proper planning & documentation
• Aim for completeness – vulnerable OpenSSL distributions run on at least eight operating systems
• Take appropriate precautions to avoid business interruptions during the process
• Have the remediation efforts independently validated and get a written report

13) As I predicted / requested, there's now a Chrome and a Firefox Plugin to detect vulnerable sites:

13.1) Chrome:
https://chrome.google.com/webstore/detail/chromebleed/eeoekjnjgppnaegdjbcafdggilajhpic

13.2) Firefox:
https://addons.mozilla.org/en-US/firefox/addon/foxbleed/

14) Want more information? Here are some good writeups on the Heartbleed bug:

14.1) Technical Writeups:
http://blog.cryptographyengineering.com/2014/04/attack-of-week-openssl-heartbleed.html
http://blog.existentialize.com/diagnosis-of-the-openssl-heartbleed-bug.html

14.2) Technical Video on the High-Level Mechanics of HeartBleed by @elastica:
http://vimeo.com/91425662

14.3) Non-Technical Writeups:
http://arstechnica.com/security/2014/04/critical-crypto-bug-in-openssl-opens-two-thirds-of-the-web-to-eavesdropping/
http://krebsonsecurity.com/2014/04/heartbleed-bug-exposes-passwords-web-site-encryption-keys/

14.4) Easy to understand videos:
by Mashable: https://www.youtube.com/watch?v=8oI_laHhGjE
by @jesperjurcenoks: https://www.youtube.com/watch?v=oZqXt0iddDQ

15) The HeartBleed bug was "discovered" now, but it is more than 2 years old, so.. 

15.1) Were Intelligence Agencies Using Heartbleed in November 2013?
https://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-using-heartbleed-november-2013

15.2) NSA Said to Exploit Heartbleed Bug for Intelligence for Years
http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html

16) Anyway, a lot of people are now testing / scanning / mass scanning the whole internet for the Honeybleed bug. There's now a non-official / funny patch made by @moyix to use if you plan to run a vulnerable openssl honeypot:
http://remember.gtisc.gatech.edu/~brendan/honeybleed.patch

17) Well, if you read all this and are not impressed or worried, see this:

18) Credits: Codenomicon and Google

19) Thanks to @briankrebs, @steveD3, @CSOonline, @NetworkWorld and @ComputerWorld  for linking to this re-cap on their blog posts / articles:

• http://krebsonsecurity.com/2014/04/heartbleed-bug-exposes-passwords-web-site-encryption-keys/
• http://www.csoonline.com/article/2141092/network-security/vendors-and-administrators-scramble-to-patch-openssl-vulnerability.html
• http://www.networkworld.com/news/2014/040814-vendors-and-administrators-scramble-to-280520.html?page=2

DNSSEC - Antes tarde do que nunca

[ Update 22/03/2014 ]

Três anos depois, parece que o "nunca" ganhou do "antes tarde"?

DNSSEC Has Failed

O autor do artigo acima tem razão em alguns pontos, especialmente o que tange a complexidade da implementação adequada do DNSSEC ("To enable DNSSEC we have a “tutorial” by Olaf Kolkman which spans a whopping sixty-nine pages. DNS engineers can get trainings, which always take multiple days.")

[ Update 20/11/2011 ]

Seguem alguns sites que podem ser usados para verificar o status de implementações de DNSSEC (incluindo delegações / cadeia de autenticações / etc.. )

1. Sandia Laboratories: http://dnsviz.net/
2. IIS.SE: http://dnscheck.iis.se
3. Verisign: http://dnssec-debugger.verisignlabs.com/

[ Update: 31/05/2010 ]

Atenção administradores de DNS Recursivos brasileiros - reproduzo abaixo informações de configuração DNSSEC postadas no GTS por Frederico Neves do registro.br incluindo a nova KSK key da zona .br:

Senhores(as),

Conforme a nossa "Política de publicação e administração de chaves DNSSEC" [1], desde 31/05/2010 estamos utilizando uma nova chave KSK para a zona .br. A nova chave com key id 41674 juntamente com exemplos de configuração para BIND e UNBOUND pode ser obtida abaixo [3] ou em nosso site [2].

A chave em uso desde 24/06/2008, com key id 18457, deixará de ser utilizada a partir de 26/07/2010.

Se você administra servidores DNS recursivos que estejam com DNSSEC habilitado, não se esqueça de atualizar a chave do .br na configuração de seu servidor. A substituição da chave ancorada em seu servidor DNS pela nova KSK do .br deve ser feita antes do final do período de rollover, que se encerra em 26/07/2010.

É esperado que este seja o último rollover manual uma vez que a raiz será assinada em breve e as próximas trocas de chaves serão efetuadas de forma automática.

Atenciosamente,
Frederico Neves

[1] http://registro.br/info/dnssec-policy.html
[2] https://registro.br/ksk/index.html
[3]
*DNS RR
br. IN DNSKEY 257 3 5 (
AwEAAblaEaapG4inrQASY3HzwXwBaRSy5mkj7mZ30F+h
uI7zL8g0U7dv7ufnSEQUlsC57OHoTBza+TQIv/mgQed8
Fy4XGCGzYiHSYVYvGO9iWG3O0voBYy/zv0z7ANfrA7Z3
lY51CI6m/qoZUcDlNM0yTcJgilaKwUkLBHMAp9NJPuKV
t8A7OHab00r2RDEVjiLWIIuTbz74gCXOVfAmvW07c8c=
) ; key id = 41674


*BIND trusted-keys config
trusted-keys {
br. 257 3 5
"AwEAAblaEaapG4inrQASY3HzwXwBaRSy5mkj7mZ30F+h
uI7zL8g0U7dv7ufnSEQUlsC57OHoTBza+TQIv/mgQed8
Fy4XGCGzYiHSYVYvGO9iWG3O0voBYy/zv0z7ANfrA7Z3
lY51CI6m/qoZUcDlNM0yTcJgilaKwUkLBHMAp9NJPuKV
t8A7OHab00r2RDEVjiLWIIuTbz74gCXOVfAmvW07c8c=";
};


*UNBOUND trust-anchor config
trust-anchor: "br. DS 41674 5 1 EAA0978F38879DB70A53F9FF1ACF21D046A98B5C"

[ Update: 06/05/2010 ]

A mudança de chave para o DNSSEC do último dos 13 root DNS servers foi ontem. A partir de agora todos respondem com uma versão assinada da root zone. A validação das assinaturas ainda não é possível pois as chaves públicas só serão disponibilizadas durante uma cerimônia (txt ICANN) em julho desde ano.

Mais informações:

http://www.h-online.com/security/news/item/DNSSEC-on-all-root-servers-994744.html

Posts Relacionados:

• Root DNS, CA e AS - uma questão de (des)confiança
• (mais uma) Falha no protocolo DNS descoberta
• Telefônica sofre ataques de negação de serviço (DDOS)
• Trojan DNSChanger - v4

[ Post Original: 21/01/2010 ]

Na próxima semana a Verisign iniciará a configuração do DNSSEC para os domínios .com e .net (2 root servers). O processo envolverá inicialmente todas as empresas e entidades responsáveis pelos 13 root servers e esta fase inicial deve durar até julho deste ano.

O DNS - Domain Name Service - (udp/tcp 53) é um dos protocolos mais importantes da Internet - por ser responsável por resolver os endereços IP aos quais os computadores devem se conectar, a partir de um banco de dados distribuído. É ele que permite que você somente precise se lembrar de nomes simples para acessar utilizar a internet (www.google.com - em vez de 72.24.204.99 ou 2001:4860:0:1001::68 para ipv6).

As RFCs 282 e 283 definiram a implementação DNS em 1982, e depois várias outras detalharam ou alteraram especificações relacionados ao protocolo e/ou serviço DNS - e podem ser verificadas no seguinte link: http://www.dns.net/dnsrd/rfc/.

Num exemplo claro de que as mudanças nem sempre são rápidas quando se trata de segurança - o DNSSEC foi primeiramente proposto em 1997, na RFC 2065.

Em resumo, as extensões DNSSEC oferecem 3 novos record types que trazem mais segurança ao protocolo e indiretamente aos serviços da internet e à sua navegação:

1) processo de distribuição de chaves (KEY/DNSKEY),

2) a certificação da origem de dados (SIG/RRSIG) e,

3) a certificação de transações e requisições (NXT/NSEC).

Ou seja, o DNSSEC pretende proteger a integridade dos dados DNS e garantir que as informações estão vindo da origem correta:

1) os domínios da internet podem se assegurar que eles que somente eles são os responsáveis pelas informações de resolução dos sites que possuem, e

2) usuários - que ao navegar automaticamente fazem resoluções DNS - podem verificar que o resultado obtido veio de uma origem confiável.

Por estes motivos, o DNSSEC é considerada a melhor solução para melhorar a segurança deste serviço fundamental e eliminar o problema de envenenamento de caches DNS (DNS cache Poisoning) - que como sabemos é um ataque muito comum e efetivo hoje.

Em 2007, eu tive a oportunidade de revisar um paper publicado pelo CERT.BR que trata entre outras coisas - de DNS Poisoning - segue o link: http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/.

Além disto publicamos em 2008 uma série de updates sobre a falha descoberta por Dan Kaminski que facilita as explorações de DNS Poisoning utilizando birthday attack. (desde então ele faz uma campanha defendendo a adoção do DNSSEC).

Os efeitos de ataques em servidores DNS são inúmeros, incluindo:

1) Ataque de Negação de Serviço Abusando de Servidores DNS Recursivos Abertos - detalhes aqui.

2) "falso-deface": pois o usuário ao digitar o endereço do site - e resolver o endereço IP no servidor DNS que sofreu o envenenamento - será redirecionado para outro servidor sobre controle do hacker (como foi o caso do Twitter no final de 2009)

3) golpes de phishing em massa ( ou pharming ): ou seja, sem utilização de código malicioso no cliente, que tem o seu servidor de DNS envenenado redirecionando sites de instituições financeiras para outro endereço IP - controlado pelo hacker - era muito comum no Brasil de 2002 a 2005 e ainda é existente por aqui e pelo mundo.

Com relação ao DNSSEC, sabemos que este tipo de alteração em um serviço tão fundamental da internet deve idealmente envolver todos os administradores de DNS's.

Quem já cansou de esperar por 13 anos - desde a primeira RFC que tratou do assunto - pode estar entre os "early adopters" ou - é claro - esperar mais 6 meses - quando todos os root servers estarão OK - para iniciar o trabalho de assinar as zonas, e gerenciar as chaves criptográficas envolvidas nas comunicações entre os resolvers e os servers.

Os passos naturais para tanto são: geração das chaves criptográficas (pública e privada), update do arquivo de zona, configuração de resolver c/ forwarding, publicação da zona e verificação da nova zona assinada.

A tendência natural é que grandes sites adotem o DNSSEC mais rapidamente, para garantir uma maior segurança para eles próprios e para os seus usuários.

Mais informações:

Para acompanhar a evolução da adoção do DNSSEC pelos root servers, acesse http://www.root-dnssec.org/. Para detalhamentos técnicos, visite a seção de documentos:

Este é o timeline previsto:

• December 1, 2009: Root zone signed for internal use by VeriSign and ICANN. ICANN and VeriSign exercise interaction protocols for signing the ZSK with the KSK.
• January, 2010: The first root server begins serving the signed root in the form of the DURZ (deliberately unvalidatable root zone). The DURZ contains unusable keys in place of the root KSK and ZSK to prevent these keys being used for validation.
• Early May, 2010: All root servers are now serving the DURZ. The effects of the larger responses from the signed root, if any, would now be encountered.
• May and June, 2010: The deployment results are studied and a final decision to deploy DNSSEC in the root zone is made.
• July 1, 2010: ICANN publishes the root zone trust anchor and root operators begin to serve the signed root zone with actual keys – The signed root zone is available.

É claro que sobra muito espaço ainda para melhoria no DNSSEC e algumas questões precisam ser mais bem trabalhadas, como ataques "Man-in-the-middle" com spoofing, a questão da necessidade de se confiar no resolver, ataques de negação de serviço e dados não encriptados, por exemplo.

Obviamente as preocupações tradicionais de segurança continuam valendo para o DNSSEC - e as principais são manter o serviço instalado de forma adequada e no último patch level possível.

Recentemente foi divulgada uma falha na implementação do DNSSEC pelo BIND (advisory aqui) - que já foi corrigida. As versões atualmente recomendas são: 9.4.3-P5, 9.5.2-P2 or 9.6.1-P3.

Uma excelente discussão e o status da implementação do DNSSEC no Brasil dado pelo Frederico A C Neves do Registro.BR você pode verificar neste vídeo "DNSCurve X DNSSEC" - do FISL 10 (Obrigado Zucco pela dica nos comentários!).

Segurança e Defesa Cibernética: Recursos Humanos

[ Última Atualização: 07/03/2014 /  Post Original: 11/10/2011 ]

O maior desafio ao tentar desenvolver capacidades de Segurança e Defesa Cibernética não é técnico, comercial ou processual, e sim humano. Isto é verdade em todos os níveis, desde pequenas empresas, passando por grandes organizações públicas e privadas e incluindo países inteiros.

A diferenciação entre "Segurança" e "Defesa" tem sido definida pela esfera - civil ou militar - das ações  de proteção, detecção ou reação executadas. Porém isto é muito dificultado em um cenário como a Internet, em que a dificuldade de atribuição de responsabilidade é imensa (ver final do post).

O problema é global. Ações de espionagem industrial direcionadas à informações estratégicas e infra-estruturas críticas são os acontecimentos mais comuns nesta esfera. Os Estados Unidos recentemente sugeriu oficialmente uma "pressão diplomática" juntamente com seus aliados na Ásia e Europa, para que os chineses assumam responsabilidade por ações que são contínuas - e documentadas em incidentes como GhostNet, Aurora, Shady Rat, Kneber, Night Dragon, e mais recentemente as ações tomadas públicas pelos vazamentos de Edward Snowden, o caso Careto / The Mask - este últimos dois afetando o Brasil diretamente.

Além disto o desafio político é muito grande - como coordenar iniciativas de resposta e troca de informações sobre ameaças entre forças armadas, empresas públicas e privadas (muitas destas coisas concessões de exploração de infraestruturas críticas).

Uma coisa é certa: mais importante do que adquirir ou desenvolver qualquer tecnologia é conseguir treinar os recursos humanos necessários e priorizar a atenção nas ameaças reais de uma organização. Aos interessados, veja o que mais sobre este tema nestes dois artigos).

Um exemplo da complexidade de se preparar adequadamente para o tema "Segurança Cibernética" 

é o documento Identity & Information Assurance Related Policies and Issuances (pdf) - trata-se de um excelente gráfico que organiza e aponta para os inúmeros textos de regulamentações e guias sobre Segurança da Informação no governo federal norteamericano. 

Se depois de ver este gráfico você ainda não se convenceu da complexidade do assuinto, gostaria de citar um trecho dito pelo guru Dan Geer - que nos lembrou disto durante sua palestra na Source Boston de '08:

Security is perhaps the most difficult intellectual profession on the planet.  The core knowledge base has reached the point where new recruits can no longer hope to be competent generalists, serial specialization is the only broad option available to them.

Para completar as referências sobre a complexidade e a necessidade de formação de mão de obra adequada para operar CiberSegurança e/ou CiberDefesa: A cerca de um ano, uma comissão responsável por assessorar a presidência norteamericana sobre o tema publicou um interessante documento entitulado "A Human Capital Crisis in CyberSecurity" (pdf)

Uma das conclusões do relatório é a seguinte: incluindo todos os profissionais de áreas governamentais (incluindo militares) e civis nos nos Estados Unidos, existem hoje apenas 1000 (mil) profissionais devidamente treinados e habilitados a trabalhar com "CyberSecurity" por lá. Para uma adequada preparação na área de Defesa Cibernética, o estudo indicou uma necessidade atual de 30.000 (30 mil) pessoas.

Enquanto isto, no Brasil:

Dentre as iniciativas feitas até o momento pelo Centro de Defesa Cibernética (CDCiber), está a previsão de criação da Escola Nacional de Defesa Cibernética (pdf).

Objetivo: "conceber Instituição de Ensino de presença nacional, que tenha como foco formar e capacitar profissionais para exercerem funções específicas na manutenção da defesa cibernética, contribuindo com a segurança cibernética das infraestruturas críticas nacionais, por meio da inclusão da sociedade nas atividades do Setor Cibernético."

Ações Estratégicas: "criar a Escola Nacional de Defesa Cibernética (EsNaDCiber), fomentar a parceria entre a Escola e as instituições de ensino públicas e privadas, fomentar a parceria entre a Escola e entidades públicas e privadas, capacitar profissionais para atuarem na segurança e na defesa cibernética das infraestruturas críticas nacionais, incentivar a participação do MEC e do MCT no aprimoramento do projeto, identificar as melhores práticas no emprego das novas tecnologias de ensino, quantificar as demandas de pessoal a qualificar, identificar competências existentes para atuar no setor, identificar cursos já existentes que atendam às demandas prementes, implementar cursos de demanda premente, visando atender às necessidades de curto prazo, sugerir ao MEC a implementação de ações educacionais de fomento na área de segurança e defesa cibernética."

Video de uma entrevista concedida em fevereiro de 2014, pelo Coronel Luiz Gonçalves , do CDCIBER, sobre a Escola Nacional de Defesa Cibernética:

Existem diversas Universidades que potencialmente podem auxiliar este projeto relacionado à Segurança das Informações e Comunicações: Unb, Unicamp, USP, UFPel, UFSM, ITA, IME, UECE, UFPE  - apenas para citar algumas das mais ativas no setor (* veja update abaixo para uma lista mais completa)

Além disto, diferentes órgãos de governo possuem material humano com expertise para auxiliar a iniciativa: Ministério da Defesa (Exército, Marinha, Aeronáutica), Presidência da República (Secretaria de Assuntos Estratégicos, Agência Brasileira de Inteligência, Gabinete de Segurança Institucional - DSIC/CTIR), Ministério da Justiça (Departamento de Polícia Federal, Procuradoria Geral da República), Ministério do Planejamento, Ministério da Educação (RNP), Ministério de Ciência e Tecnologia (Secretaria de Politica de Informática, Comitê Gestor da Internet no Brasil - CERT.BR).

Listando rapidamente (e não exaustivamente) apenas algumas das diferentes especialidades necessárias para formar e suportar times complexos de cibersegurança. É possível visualizar a dificuldade de contratação (e/ou coordenação) deste grupo de profissionais (aproveito para listar algumas referências profissionais e organizacionais brasileiras com experiência comprovada nas áreas listadas).

1. Análise de Malware e Engenharia Reversa (Ronaldo Lima, Fábio Assolini, Pedro Bueno, Ranieri Romera, Guilherme Venere, CTI, Febraban, GAS)
2. Análise de Risco (Módulo, Axur)
3. Análise de Vulnerabilidades em Hardware (CEPESC, Kryptus)
4. Conscientização de Segurança (Anderson Ramos, Patrícia Peck)
5. Correlação de Eventos de Segurança (Luiz Zanardo, Janilson Correia, Daniel Cid)
6. Criptografia (Routo Terada, José Gondim, ABIN, eSEC)
7. Desenvolvimento de Exploits / Busca de Vulnerabiliades: Rodrigo Rubira, 
8. Direito Digital (Opice Blum, Coriolano Camargo, Atheniense, Omar Kaminski, José Milagre)
9. Resposta a Incidentes (Jacomo Picolini, Klaus Jessen, Cristine Hoepers, CERT.BR, CTIR, APURA)
10. Forense Computacional (Marco Wanderley, Marcelo Caiado, DataSecurity, William Teles, Tony Rodrigues, José Milagre,SEPINF - DPF, APURA)
11. Pentesting (Wendel Henrique, Filipe Balestra, Joaquim Espinhara, Rafael Ferreira, Tempest)
12. Segurança de Sistemas Embarcados (Rodrigo Almeida, Sérgio Prado, Alberto Fabiano)
13. Segurança de Sistemas Operacionais (Fernando Cima, Jeronimo Zucco, Marcelo Tossati)
14. Segurança de Aplicações Web (Tiago Assumpção,Wagner Elias, Lucas Ferreira, Thiago Zaninotti)
15. Segurança de Sistemas SCADA (Marcelo Branquinho)
16. Segurança de Rede (Aker, Breno Silva, Frank Ned)
17. Segurança de Redes Wireless (Nelson Murilo, Leonardo Militelli)
18. Segurança de Backbone (Daniel Kratz, Karlos Correia, Kleber Carriello)

PS: Estas lista de áreas e referências acadêmicas, governamentais e empresariais se iniciou a partir de referências pessoais e aguardo sugestões para atualizar a lista com nomes que os leitores podem incluir nos comentários, abaixo.

Através da COMSIC, o José Eduardo Brandão, do IPEA, colaborou com a lista de outras universidades ainda não citadas, a partir de um levantamente feito em dezembro de 2010:

Centro Universitário do Pará, Faculdade de Tecnologia e Ciências, Faculdade Estácio, Faculdade Paraíso do Ceará, Faculdades Integradas Rio Branco, FURB - Universidade Regional de Blumenau, IFES, IFPR, IFRS, IFSC, IME, Instituto Federal Catarinense Campus Videira, Instituto Federal de Goiás, Instituto Federal de Mato Grosso, IPEA, IPT, ITA, PUCPR, PUCRS, SENAC, SENAC/RS, UDESC, UECE, UENP, UESPI, UFABC, UFAM, UFBA, UFCG, UFF, UFMA, UFMG, UFMT, UFPI, UFPR, UFRGS, UFRN, UFRJ, UFPE, UFSC, UFSE, UFSM, UFU, UnB, UNESP, UniCEUB, Unibalsas, Unicamp, UNIFACS , UNIJORGE, UNIMEP/FATEC, Uninove, UNISINOS, Unisul, UNIVALI, Universidade Católica de Brasília, Universidade Cruzeiro do Sul, Universidade do Estado de Mato Grosso, Universidade Estadual de Maringá, USP e UTFPR.

Como referência, os Estados Unidos possuem uma iniciativa que lista "Centros de Excelência" acadêmica em "Information Assurance" publicada em http://www.nsa.gov/ia/academic_outreach/nat_cae/institutions.shtml

Vale também mencionar que no Brasil existem instituições de governo, como a Escola Superior de Redes da RNP e o CERT.BR e empresas como a Clavis, que possuem cursos úteis, inclusive online - para treinamento de profissionais que atuam na área.

Outras informações:

• A Secretaria de Assuntos Estratégicos da Presidência da República (SAE/PR) disponibilizou a versão online (PDF) do documento "Desafios para a Segurança e Defesa Cibernética":

Com o objetivo de orientar o desenvolvimento de políticas públicas na área de segurança cibernética, a SAE lança a publicação “Desafios Estratégicos para a Segurança e Defesa Cibernética” com artigos e propostas de curto e médio prazo para a administração federal. A publicação visa fazer com que o país estabeleça práticas de prevenção e combate às invasões digitais, que crescem a cada dia.

• O "Center for Strategic and International Studies" publicou uma análise (PDF) entitulada "Cybersecurity and Cyberwarfare - Preliminary Assessment of National Doctrine and Organization" onde são delineados os esforços de dezenas de países (da Albânia ao Zimbabwe) na área de CiberSegurança e CiberDefesa.

Aos interessados em se atualizar sobre Segurança e Defesa Cibernética", seguem vários artigos - recheados de informações e links - publicados aqui no blog com assuntos relevantes. Além disto, aproveito para fazer propaanda do meu twitter - que é bastante ativo em novidades sobre temas relevantes ao assunto.

• http://sseguranca.blogspot.com.br/2013/03/o-maior-ataque-de-negacao-de-servico.html
• http://sseguranca.blogspot.com.br/2014/02/campanha-de-espionagem-careto-mask-e-o.html
• http://sseguranca.blogspot.com.br/2013/03/metodologias-de-resposta-incidentes.html
• http://sseguranca.blogspot.com.br/2013/02/como-escrever-relatorioslaudos-de.html
• http://sseguranca.blogspot.com.br/2012/04/cybersecurity-reports-mandiant-verizon.html
• http://sseguranca.blogspot.com.br/2012/08/computer-security-incident-handling.html
• http://sseguranca.blogspot.com.br/2012/08/ciberguerra-e-ciberespionagem-o-uso-de.html
• http://sseguranca.blogspot.com.br/2011/08/estrategias-para-mitigar-intrusoes.html
• http://sseguranca.blogspot.com.br/2012/12/framewok-de-ciberseguranca-nacional.html
• http://sseguranca.blogspot.com.br/2012/12/politica-cibernetica-de-defesa.html
• http://sseguranca.blogspot.com.br/2009/04/cipav-fbi-utiliza-spyware-em.html
• http://sseguranca.blogspot.com.br/2009/12/livros-de-seguranca-resposta-incidentes.html
• http://sseguranca.blogspot.com/2011/02/revista-info-fev2011-quando-bits-viram.html
• http://sseguranca.blogspot.com/2011/07/i-jornada-de-trabalho-de-defesa.html
• http://sseguranca.blogspot.com/2011/09/diginotar-cassl-e-netnames-dns-ataques.html
• http://sseguranca.blogspot.com/2010/07/0day-lnk-infocon-amarelo-senha-default.html
• http://sseguranca.blogspot.com/2011/05/empreiteira-militar-americana-atacada.html
• http://sseguranca.blogspot.com/2011/04/aprendendo-com-o-ovo-do-cuco-cuckos-egg.html
• http://sseguranca.blogspot.com/2010/01/china-vs-google-e-cia-ou-nao-ha-como.html
• http://sseguranca.blogspot.com/2009/03/ghostnet-possivel-espionagem.html
• http://sseguranca.blogspot.com/2009/01/governo-obama-lista-cybersecurity-como.html
• http://sseguranca.blogspot.com/2011/08/timeline-da-cobertura-de-ataques.html

Como contribuição, segue algum material sobre treinamento na área já publicado por aqui:

• http://sseguranca.blogspot.com/2009/12/livros-de-seguranca-resposta-incidentes.html
• http://sseguranca.blogspot.com/2009/03/material-de-treinamento-para-equipes-de.html
• http://sseguranca.blogspot.com/2010/12/preparacao-de-equipes-na-area-de.html
• http://sseguranca.blogspot.com.br/2013/11/material-de-forense-de-memoria.html
• http://sseguranca.blogspot.com.br/2011/09/forense-em-windows-analise-de-registro.html

Campanha de espionagem "Careto / The Mask" e o Brasil

Hoje a Kaspersky divulgou um relatório descrevendo uma campanha de ataque persistente e avançada (APT) utilizando métodos relativamente sofisticados, denominada "Careto" / "The Mask" - as análises preliminares indicam que a autoria possívelmente foi de um país e não de um grupo criminoso, hactivistas ou hobistas. O Brasil é um dos países atacados.

Antes de mais nada, sobre os "Advanced Persistent Threats": prefiro definí-los como ataques continuados, utilizando amplos recursos (tempo e dinheiro), e claramente direcionados. O direcionamento somado aos amplos recursos de tempo resulta na persistência, e o direcionamento somado a muito dinheiro permite ao atacante desenvolver (ou adquirir) métodos diferenciados de infecção, bypass, delivery, comando e controle e roubo de informações. Por isto os atores por trás deste tipo de ataque são normalmente considerados países. Neste tipo de situação, as defesas tradicionais - configuradas de forma a evitar ameaças genéricas - são inúteis.

Vale a pena lembrar que não se trata de algo inédito, ou mesmo incomum. Nos últimos 10 anos (com clara intensificação nos últimos 5), cerca de 30 (TRINTA) longas campanhas de Ameaças Persistentes e Avançadas (APTs) foram analisadas e divulgadas, entre elas: Byzantine Haydes, Titan Rain, Rep Wolf, Ghost Net, Aurora, Shadow Net, Stuxnet, Shady RAT, Duqu, Gauss, Nitro, Flame, Taidoor, Shamoon, Elderwood, RedOctober, Icefog, APT1, Beebus, etc.. E estou listando apenas as campanhas conhecidas e "nomeadas", fora as que ainda não foram descobertas e/ou divulgadas..

Voltando ao "Careto" ou "The Mask" (ativo desde 2007):

Além da possível detecção dos binários utilizados, várias mitigações e detecções em outros "domínios", como no Backbone, na Rede, no Email, nos Gateways, em servidores DNS, Proxies e também Endpoints são possíveis e precisam ser desenvolvidas e implementadas.

Na Apura nós acreditamos nisto e buscamos desenvolver tecnologias e capacidades, além de buscar parcerias - idealmente com transferência de tecnologia - para tornar este objetivo uma realidade palpável às empresas públicas e privadas do Brasil.

A tarefa não é simples, especialmente porque além de desenvolver processos e técnicas de deetcção e reação a este tipo de ataque, é necessário aceitar que a forma como nos defendemos hoje não é suficiente. ou mesmo aceitável. Sobre este assunto, recomendo o material que o governo da Austrália preparaou sobre o assunto: Estratégias para mitigar intrusões direcionadas.

Caso você seja responsável pela segurança de uma organização que foi ou poderia ser alvo de uma campanha como estas, dê uma olhada na lista presente no link acima e perceba que a grande maioria não requer necessariamente grandes investimentos ou novas tecnologias, e sim um foco no que realmente importa ao invés de seguir fórmulas e receitas de investimento de recursos (novamente tempo e dinheiro) em tecnologias comoditizadas e ineficientes como Firewalls, IDS e Anti-vírus:

1. Whitelisting de Aplicações
2. Patching de Aplicações
3. Patching de Sistemas Operacionais
4. Minimizar os usuários com permissões administrativas locais ou de domínio
5. Desabilitar contas de administrador locais
6. Autenticação de múltiplos fatores
7. Segmentação e segregação de redes
8. Firewall de Aplicação em Estações de trabalho para negar tráfico 'entrante'
9. Firewall de Aplicação em Estações de trabalho para negar tráfico 'sainte'
10. Sistema Virtualizado não persistente para atividades arriscadas como leitura de email e navegação na internet.

Para conhecer as outras 25 estratégias, veja o post original sobre o assunto.

Voltando para as informações divulgadas sobre o "Careto / The Mask" - seguem alguns trechos relevantes do paper lançado pela Kaspersky sobre o assunto (65 páginas):

http://www.securelist.com/en/downloads/vlpdfs/unveilingthemask_v1.0.pdf

' What makes “The Mask” special is the complexity of the toolset used by the
attackers. This includes an extremely sophisticated malware, a rootkit, a bootkit, 32-and 64-bit Windows versions, Mac OS X and Linux versions and possibly versions for Android and iPad/iPhone (Apple iOS).

The Mask also uses a customized attack against older versions of Kaspersky Lab products to hide in the system, putting them above Duqu in terms of sophistication and making it one of the most advanced threats at the moment. This and several other factors make us believe this could be a nation-state sponsored campaign.

When active in a victim system, The Mask can intercept network traffic, keystrokes,

Skype conversations, PGP keys, analyse WiFi traffic, fetch all information from Nokia devices, screen captures and monitor all file operations.

The malware collects a large list of documents from the infected system, including encryption keys, VPN configurations, SSH keys and RDP files. There are also several extensions being monitored that we have not been able to identify and could be related to custom military/government-level encryption tools.

Based on artifacts found in the code, the authors of the Mask appear to be speaking the Spanish language.'

During our research, we observed the following exploit websites:

- linkconf.net
- redirserver.net
- swupdt.com

The malware is digitally signed with a valid certificate (since 2010) from an unknown or fake company, called TecSystem Ltd

Full list of stolen files extensions:

*.AKF,*.ASC,*.AXX,*.CFD,*.CFE,*.CRT,*.DOC,*.DOCX,*.EML,*.ENC,*.GMG,*.GPG,*.HSE,*.KEY,*.M15,*.M2F,*.M2O,*.M2R,*.MLS,*.OCFS,*.OCU,*.ODS,*.ODT,*.OVPN,*.P7C,*.P7M,*.P7Z,*.PAB,*.PDF,*.PGP,*.PKR,*.PPK,*.PSW,*.PXL,*.RDP,*.RTF,*.SDC,*.SDW,*.SKR,*.SSH,*.SXC,*.SXW,*.VSD,*.WAB,*.WPD,*.WPS,*.WRD,*.XLS,*.XLSX

Inside the main Careto binaries there is a CAB file with two modules - 32 and 64-bit.
shlink32.dll
shlink64.dll

The malware extracts one of them depending on the system architecture and installs it as "objframe.dll".

Inside the backdoor there are three executable files, once again, packed with CAB and having the .jpg extension:
dinner.jpg
waiter.jpg
chef.jpg.

The attackers call the more sophisticated malware SGH. We discovered the attackers trying to install multiple plugins for it.

Also we have found traces of lateral movement tools, such as a module for Metasploit with the “win7elevate” artifact. '

O Apêndice 1 do relatório da Kasperksy nos oferece uma lista de indicadores de comprometimento (IOCs) que podem ser utilizados para verificar se máquinas e redes foram afetadas pela campanha. 

"
Filenames:

%system%\objframe.dll
%system%\shlink32.dll
%system%\shlink64.dll
cdllait32.dll
cdllait64.dll
cdlluninstallws32.dll
cdlluninstallws64.dll
cdlluninstallsgh32.dll 
cdlluninstallsgh64.dll 
%system%\c_50225.nls
%system%\c_50227.nls
%system%\c_50229.nls
%system%\c_51932.nls
%system%\c_51936.nls
%system%\c_51949.nls
%system%\c_51950.nls
%system%\c_57002.nls
%system%\c_57006.nls
%system%\c_57008.nls
%system%\c_57010.nls
%system%\cdgext32.dll
%system%\cfgbkmgrs.dll
%system%\cfgmgr64.dll
%system%\comsvrpcs.dll
%system%\d3dx8_20.dll
%system%\dllcomm.dll
%system%\drivers\wmimgr.sys
%system%\drvinfo.bin
%system%\FCache.bin
%system%\FFExtendedCommand.dll
%system%\gpktcsp32.dll
%system%\HPQueue.bin
%system%\LPQueue.bin
%system%\mdwmnsp.dll
%system%\rpcdist.dll
%system%\scsvrft.dll
%system%\sdptbw.dll
%system%\slbkbw.dll
%system%\skypeie6plugin.dll
%system%\wmspdmgr.dll
%temp%\~DF01AC74D8BE15EE01.tmp
%temp%\~DF23BF45A473C42B56.tmp
%temp%\~DFA0528CD81300F372.tmp
%temp%\~DF8471938479DA49221.tmp 
%appdata%\microsoft\c_27803.nls
%appdata%\microsoft\objframe.dll
%appdata%\microsoft\shmgr.dll

Registry keys:
[HKLM\Software\Classes\CLSID\{E6BB64BE-0618-4353-9193-0AFE606D6F0C}\InprocServer32]

C&C and exploit staging server IPs:

190.10.9.209 
190.105.232.46 
196.40.84.94 
200.122.160.25 
202.150.211.102
202.150.214.50 
202.75.56.123 
202.75.56.231 
202.75.58.153 
210.48.153.236 
223.25.232.161 
37.235.63.127 
75.126.146.114 
81.0.233.15 
82.208.40.11 
62.149.227.3
75.126.146.114

Domains and hostnames:

nthost.shacknet.nu
tunga.homedns.org
prosoccer1.dyndns.info
prosoccer2.dyndns.info
nav1002.ath.cx
pininfarina.dynalias.com
wqq.dyndns.org
pl400.dyndns.org
services.serveftp.org
sv.serveftp.org
cherry1962.dyndns.org
carrus.gotdns.com
ricush.ath.cx
takami.podzone.net
dfup.selfip.org
wwnav.selfip.net
fast8.homeftp.org 
ctronlinenews.dyndns.tv
mango66.dyndns.org
gx5639.dyndns.tv
services.serveftp.org
*.redirserver.net
*.swupdt.com
*.msupdt.com
*.appleupdt.com

*.linkconf.net

"

Muitos outros detalhes podem ser vistos no relatório original da Kaspersky (PDF)

Vale lembrar que apesar deste caso - especialmente no que tange o bypass de soluções de anti-vírus - o malware foi considerado mais "avançado" que o Flame e o Duqu, não significa - necessariamente - que todo ataque bem sucedido é sofisticado. A persistência e o direcionamento muitas vezes são mais importantes para o sucesso neste tipo de campanha que quantos "0days" ou novas técnicas de bypass de proteções de sandbox e memória foram utilizadas..

Em uma primeira leitura do relatório, percebe-se que o Brasil é o segundo país com mais "IPs infectados" pelo malware, atrás apenas do Marrocos. Esta análise foi feita a partir do registro de "debug" de vários servidores de comando e controle do malware. Quando o que foi avaliado foram as novas conexões únicas (por ID de máquina) a sinkholes recentes que receberam conexões direcionadas a servidores de C&C, da Kaspersky - o resultado é diferente: Cuba e Espanha são os países com mais "vítimas". Uma possível conclusão é que a infraestrutura de espionagem do "Careto" já foi muito utilizada para monitorar alvos no Brasil, mas não recentemente.

Dito isto, o que podemos fazer? Além da adoção de grande parte das estratégias citadas no início deste artigo, é fundamental que o governo brasileiro, com apoio da academia e da iniciativa privada, busque ATIVAMENTE entender a real extensão desta (e de outras) campanhas deste tipo. Até mesmo porque muito além do vazamento de informações sensíveis (inclusives secretas / estratégicas), a maior ameaça está na possível alteração e até mesmo destruição física - especialmente em infraestruturas críticas como usinas, hidrelétricas, aeroportos, etc.

Report e download de um dos samples "The Mask" disponíveis publicamente no momento (via Malwr):

https://malwr.com/analysis/MGZlYjQ0OTBjOGQ0NDBmYzgwODJiNTBhNzVkMGU2MGY/

FILE SIZE	345480 bytes
FILE TYPE	PE32 executable (GUI) Intel 80386, for MS Windows
MD5	5cfd31b1573461a381f5bffa49ea1ed6
SHA1	0081e20b4efb5e75f9ce51e03b2d2d2396e140d4
SHA256	19e818d0da361c4feedd456fca63d68d4b024fbbd3d9265f606076c7ee72e8f8
SHA512	06d45ebe50c20863edea5cd4879de48b2c3e27fbd9864dd816442246feb9c2327dda4306cec3ad63b16f6c2c9913282357f796e9984472f852fad39f1afa5b6b
CRC32	A210FDD8
SSDEEP	6144:Szbcv49dLbVfOTAlsQrxvWGY5Kbt6FfrrkEoSdEBSkqFzDdj0lMGYk:d6/OTAlsQsGAKbt6hXkEoSgtqFzhj0lz

Dropped File:

FILE NAME	shmgr.dll
FILE SIZE	114688 bytes
FILE TYPE	PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
MD5	96aee2389c325343f6db3be500a8a962
SHA1	7c30dc5d96023a1aa018921b4f01e98960992cb9
SHA256	02ae1226b817cf2a7022b2d5c934f26a46233d822f2bfe3a488c885ff1121c4e
CRC32	B3141A56
SSDEEP	3072:60aBz3pbanFnyRc2A8DHjAQlZcmJ7IYXn1:60aBz3MFuc+HjA1y

O binário listado acima possui uma taxa de detecção no Virustotal de apenas 4 anti-virus no dia 10/02/2014 Panda, Kaspersky, Bkav e Symantec.

Outros links relevantes sobre o assunto:

• Symantec: The Mask
• Kaspersky: The Careto/Mask APT: Frequently Asked Questions
• Wired: Sophisticated Spy Tool ‘The Mask’ Rages Undetected for 7 Years - 
• DarkReading: Researchers Uncover 'The Mask' Global Cyberspying Operation
• SlashGear: Behind “The Mask”: Huge, sophisticated “Careto” malware discovered
• Mashable: The Mask Is Off: Cyber Spy Operation Uncovered After 7 Years

Entrevistas sobre "Defesa Civil Digital no Brasil" e "DeepWeb"

No início deste ano, tive prazer de conceder duas entrevistas sobre assuntos relacionados à Segurança da Informação.

A primeira foi utilizada para uma reportagem do Altieres Roth publicada hoje pelo G1/Globo, com o título "Quem é a Defesa Civil Digital do Brasil", e aborda temas como a função de grupos de resposta a incidentes (CSIRTs) no Brasil e alertas à população em caso de ataques massivos que impactem em serviços essenciais, por exemplo.

A segunda, sobre DeepWeb/DarkWeb será publicada nos próximos dias e eu atualizarei este post quando o link para a mesma estiver disponível.

Em tempo, um ótimo 2014 para todos!

Apresentações da Conferência CCC 30 e Catálogo NSA

Eu já disse por aqui que considero a CCC (Chaos Computer Club) a melhor conferência de segurança do mundo. Neste final de ano aconteceu a trigésima edição da conferência 30c3, e como de costume o material apresentado é excelente.

Para uma lista completa dos vídeos da conferência, veja:

https://www.youtube.com/playlist?list=PLOcrXzpA0W82rsJJKrmeBlY3_MS0uQv3h

Para download dos vídeos:

http://ftp.ccc.de/congress/2013/webm/?C=M;O=A

Se você vai ver apenas uma apresentação, recomendo a do Jacob Appelbaum (@ioerror): "To Protect and Infect, Part 2", onde ele detalha mais tecnicamente os projetos de espionagem eletrônica da NSA e os "Five Eyes".

https://www.youtube.com/watch?v=b0w36GAyZIA



(A parte 1 do "To Protect and Infect" é sobre a comercialização de exploits e produtos de controle remoto para governos, e também vale a pena)

Para uma lista dos slides relevantes aos programas apresentado na Parte 2, siga os link abaixo:

http://www.spiegel.de/international/world/a-941262.html (interativo)

http://cryptome.org/2013/12/nsa-catalog-appelbaum.pdf (pdf)

Material de Forense de Memoria atualizado e disponível para download

Material desenvolvido entre 2010 e 2013, apresentação disponível abaixo:

2010 2013 sandro suffert memory forensics introdutory work shop - public from Sandro Suffert

Espionagem "contra" o Brasil e o Marco Civil no Forno - Brasil pós Snowden

Como sabemos, a Lei de Combate aos Cibercrimes - que já era discutida há mais de 10 anos - acabou tendo sua aprovação acelerada depois do vazamento não autorizado de fotos da atriz Carolina Dieckmann e passou a ser conhecida como Lei Dieckmann.

O Marco Civil da Internet no Brasil (talvez Lei Snowden?), se propõe entre outras coisas a proteger a privacidade do cidadão na internet e parece ter recebido um efeito catalizador semelhante com os vazamentos de informações advindos de Edward Snowden, que tem sido divulgados no Brasil por Glenn Greenwald e a Rede Globo.

O último capítulo desta histórica aconteceu hoje no Fantástico: Ministério de Minas e Energia foi alvo de espionagem do Canadá (texto e vídeo).

Estas acusações se somam as de espionagem das comunicações da Presidenta do Brasil e da Petrobrás, feitas recentemente dentre as várias outras oriundas dos documentos obtidos por Snowden na NSA.

A Presidenta Dilma, que recentemente voltou ao Twitter depois de muito tempo, publicou hoje uma sequência de Tweets exatamente sobre isto:

[ Update 07/10/2013 ]

Para quem se interessou no livro que a Dilma está lendo sobre o assunto, ele se chama "The Shadow Factory: The Ultra-Secret NSA from 9/11 to the Eavesdropping on America" e pode ser comprado online.

Em um futuro não muito distante pretendo publicar um post analisando as diversas reações a ampla divulgação de atividades de espionagem internacional contra o Brasil, mas isto fica pra próxima.

PS: nosso blog está chegando a impressionante marca de 400.000 visitas! Muito obrigado a todos, e desculpem por não estar o atualizando com tanta frequência quanto fazia antigamente. Para atualizações diárias, sigam-me (e a Dilma ;) no twitter.