SSegurança - blog.suffert.com

DC3 CSI Cyber Survey - teste seus conhecimentos

2012-05-26T15:23:00.000-03:00

Para quem não conhece, o DC3 - Department of Defense Cyber Crime Center (DC3) http://www.dc3.mil/ é o órgão responsável por definir padrões no processamento, análise e diagnóstico de provas digitais em investigações do Departamento de Defesa norte-americano (DoD).

Entre outras atividades públicas, eles são responsáveis pelo mais conhecido Desafio Forense (pense em um "Capture The Flag", mas do ponto de vista investigativo). Outra atividade relacionada a treinamentos muito relevante deste grupo é o "US Cyber Patriot" (uma competição nacional entre escolas de 2o grau nos Estados Unidos que objetiva inspirar alunos a decidir por carreiras em Cibersegurança ou áreas afins. Vale a pena dar uma olhada no material de treinamento que eles possuem!)

Pois bem, ontem através da conta oficial DoD_CyberCrime no Twitter, tive uma grata surpresa: "CSI Cyber has been updated! Over 350 questions on Cyber Investigations – Go to http://csicyber.dfilink.net to view them all."

fonte: http://twitter.com/DoD_CyberCrime/statuses/206093531880759296

O CSI Cyber possui uma série de Testes de 15 questões cada, divididos em 3 níveis de dificuldade (Beginner, Intermediate e Expert) para averiguar a proficiência do analista em 5 diferentes "Areas of Expertise": Law & Ethics, Investigative Process, Digital Forensics Lab, Crime Scene e Digital Forensics Examinations.

É provavelmente o mais extenso material de teste disponível publicamente, e o considero muito útil para validação e identificação de gaps no skill set de equipes de investigação de incidentes e crimes (auditores, analistas de segurança, peritos, etc.).

Além de testar seus conhecimentos e descobrir ou rever tópicos importantes, ao passar nos testes você recebe "certificados" como este abaixo:

Vale a pena conferir: http://csicyber.dfilink.net

As 350 questões teóricas não são o suficiente? Achou muito fácil ou muito rápido? Você vai encontrar muitas outras oportunidades de aprender sobre Perícia Computacional e Investigações em Meios Digitais na prática com desafios e situações realistas no Desafio Forense do DC3:

Hackerazzi: Carolina Dieckmann

2012-05-16T15:41:00.002-03:00

Tenho acompanhado as várias notícias e reportagens que foram publicadas sobre o vazamento de fotos íntimas e subsequente extorsão que teve como vítima a atriz Carolina Dieckmann.

Um termo foi cunhado e tem sido usado para identificar os perpetradores deste tipo de ação direcionada à privacidade de celebridades: Hackerazzi (corruptela de Hacker + Paparazzi). Vale ressaltar que casos semelhantes já ocorreram no passado, como por exemplo o que envoleu mais de 50 celebridades norte-americanas (press release do FBI), incluindo as atrizes Mila Kunis e Scarlett Johansson e a cantora Christina Aguilera. Neste caso o perpetrador diz ter utilizado a função "esqueci minha senha" e dados pessoais das vítimas para conseguir resetar as contas.

Considero a situação relevante pois tem tido uma repercussão grande na mídia e traz o tema de investigação em meios digitais para a pauta do dia. Porém, para evitar teorizar sem dados mais concretos a disposição (como muitos comentaristas do caso fizeram), preferi aguardar a evolução das investigações em andamento para publicar um post sobre o assunto. Como diria Sherlock Holmes: "It is a capital mistake to theorize before you have all the evidence. It biases the judgment."

Muito já se publicou sobre o assunto, porém infelizmente em certos casos fica claro o objetivo de marketing de produtos e em outros o desconhecimento dos assuntos tratados acaba por minar as informações, por melhores que sejam as intenções dos advogados, jornalistas ou "especialistas" convidados a opinar.

No caso da atriz brasileira, muito se especulou sobre a forma de obtenção das imagens (suporte técnico do notebook da atriz, uso de trojans, etc..) - a realidade acabou mostrando-se mais simples, e comum. Os atacantes costumam fazer apenas o mínimo necessário para obter seus objetivos (low hanging fruit) - neste caso, um email com um formulário a ser preenchido.

Depois de ver na internet a matéria do Fantástico sobre o assunto, e depois de ler o artigo na INFO, abaixo resolvi publicar uma primeira versão, contendo meus comentários e o que de relevante já foi publicado sobre o tema.

Resumo da ópera (ou melhor entendimento até o momento da publicação deste post): http://info.abril.com.br/noticias/seguranca/policia-identifica-5-cracker-do-caso-carolina-dieckmann-14052012-38.shl (INFO).

"Leonam Santos, de 20 anos, invadiu o e-mail de Carolina após enviar uma mensagem para ela se passando por funcionário do provedor de internet. A mensagem continha um formulário, que foi preenchido pela atriz com seus dados pessoais e senha do e-mail. A partir daí, Leonam, que mora em Córrego Dantas, Minas Gerais, teria pego 60 fotos que estavam na pasta de mensagens enviadas.
As fotos foram enviadas a Diego Fernando Cruz, de 25 anos, morador de Macatuba, interior de São Paulo. Ele teria, então, mandado 36 fotos para um site pornográfico. A página na internet pertenceria a Pedro Henrique Mathias. O suspeito de tentar extorquir R$ 10 mil de Carolina para não divulgar as fotos seria um menor, morador de Bauru (SP). Os policiais da DRCI investigam ainda a participação de um quinto hacker, que reside em Goiânia."

Update (23/05/2012) - Em uma entrevista à INFO, o delegado responsável pela investigação detalhou algumas informações sobre o caso: http://info.abril.com.br/noticias/blogs/trending-blog/geral/saiba-como-a-policia-identificou-os-crackers-do-caso-carolina-dieckmann/

Não vou entrar aqui na famosa discussão terminológica "hacker vs cracker" - mesmo porque os perpetradores destes crimes não se encaixariam emnenhuma das duas categorias, na minha opinião. Trata-se de um caso de "171" ou engenharia social, seguido de difamação, danos morais e extorsão. O computador foi um meio utilizado para obter as informações (crime impróprio), e mesmo sem uma lei específica para "crimes digitais" é possível responsabilizar os autores dos crimes.

Uma observação interessante: a vítima publicou em seu twitter, no dia 23/04/2012, o seguinte post:
"Tô sendo constantemente rackeada, sempre segunda-feira de manhã... Que estranho, viu? Tô de olho!!!" (http://twitter.com/#!/cadieckmann/status/194440085549228033)

Sabemos que alguns serviços de webmail como o Gmail disponibilizam os últimos endereços de IP utilizados para acesso à sua conta, e tem inclusive como padrão um alerta para notificação de atividade suspeita (acesso de IPs geolocalizados em outras cidades/países, por exemplo: "Alert preference: Show an alert for unusual activity". Isto pode ajudar o usuário a identificar acessos indevidos à sua conta.

Uma ação que possivelmente foi tomada foi a interceptação telemática e/ou telefônica dos suspeitos, considerando a matéria publicada pelo fantástico (link abaixo);

Diante das ações tomadas pelo advogado da atriz, é possível imaginar que são necessárias solicitações (extra-judicial e depois judicial) endereçadas ao serviço de email utilizado pela atriz para identificar os IPs responsáveis pelos acessos não autorizados, seguido de uma solicitação de quebra de sigilo IP para os provedores e/ou operadoras responsáveis pelo acesso a internet dos suspeitos.

Em casos semelhantes ao que estamos tratando, do ponto de vista da análise dos computadores envolvidos, muitas ações podem ser efetuadas, publico uma pequena lista (não exaustiva) abaixo:

- Análise de URLs visitadas, histórico de navegação, temporários de browser (para idenficar, por exemplo, o envio das fotos para 1o site (inglês);

- Informacoes de envio das imagens via browser para emails ou serviços externos nas máquinas dos suspeitos;

- Informacoes de copia das imagens para dispositivos externos nos computadores dos suspeitos (Recents / MRU / .LNK > MAC Addresses / USB.. );

- Indícios de acesso remoto não autorizado (busca de MD5 de ferramentas conhecidas, busca de vestígios no registro de máquina windows e equivalentes em MacOSX de instalação de RATs e serviços de acesso remoto) < preparação para casos de "Trojan Defence"

- Busca pelo conteúdo dos emails (enviados, recebidos) no espaço não alocado do computador dos suspeitos (incluindo arquvo de paginação e hinernação);

- EXIF das imagens pode conter informacoes como maquina fotografica, edicao em softwares, localizacao geografica (lat, long); (o que poderia indicar os endereços onde as fotos foram tiradas);

- MD5/SHA1 e até mesmo FuzzyHashing do .RAR publicado e dos JPEGs individuais podem ser cruzados com a imagem forense feita com os computadores dos suspeitos;

- Análise de linha do tempo (timeline) dos MACE (Modificação, Acesso, Criação e Entrada na $MFT) times dos arquivos / emails e seus vestígios no computador dos suspeitos podem indicar data/hora de cópia das imagens.

Se o tema é popular, certamente ele vai ser usado em outros ataques - exemplos:

1) Fotos falsas da atriz levam à malware (file sharing): http://www.securelist.com/en/blog/208193496/Carolina_Dieckmann_Brazilian_cybercrime_legislation_and_la_Viveza_criolla

2) Defacers utilizando as fotos em ataques a sites do governo: http://g1.globo.com/sao-paulo/noticia/2012/05/hackers-postam-fotos-de-carolina-dieckmann-nua-em-site-da-cetesb.html

Do ponto de vista de remoção ou bloqueio do material já publicado:

- O primeiro site onde o material foi publicado (ImageEarn - do reino unido), já o retirou do ar:
http://info.abril.com.br/noticias/internet/site-ira-retirar-fotos-de-carolina-dieckmann-do-ar-07052012-6.shl

- O advogado da atriz notificou o Google e o Yahoo com o objetivo de bloquear as imagens no seu mecanismo de busca: "Google é notificado para bloquear as imagens": http://diversao.terra.com.br/gente/noticias/0,,OI5758692-EI13419,00-Dieckmann+depoe+no+RJ+Google+e+notificado+para+bloquear+as+imagens.html

- O Google informou que não filtra resultados de busca, e que as solicitações de remoção deveria ser feita diretamente aos sites que publicam as imagens. Neste caso, buscas por imagens reversas como o Tinyeye, e Google reverse image search) - podem mostrar informacoes de onde as imagens estão sendo veiculadas. Para priorizar as solicitações de remoção de conteúdo, pode ser utilizado um mecanismo de avaliação da popularidade dos sites a serem notificados (ex: ranking Alexa)

- O trabalho é inglório, em uma avaliação publicada pela SaferNet, mais de 50.000 cópias não autorizadas das fotos da atriz já estão disponíveis na Internet.

Conclusão:

O advogado de Carolina, Antônio Kakay - que também defende Demóstones Torres, afirma: "É uma causa interessante que pode ajudar no debate sobre o controle da internet, especialmente das mídias sociais. Hoje estamos diante do fenômeno dessas redes sociais que são uma mídia opressiva. O que aconteceu com essa menina é sórdido, cruel."

No infográfico publicado pelo Alexandre Teixeira (link 5 abaixo), é feita uma ligação entre o caso e a aprovação (ontem, dia 15/05/2012) do Projeto de Lei de Crimes Cibernéticos (não a PL 84/99 do Azeredo, mas o alternativo PL 2793/2011 de Paulo Teixeira e Erundina - que entre outras coisas, em seu Art. 154A criminaliza a produção de "ferramentas hackers" (Na linha do projeto iniciado na Alemanha em 2007). Outra crítica sobre o assunto pode ser vista no artigo publicado pelo José Milagres (link 8).

Casos envolvendo celebridades são emblemáticos e impactantes por trazer o assunto com prioridade à diferentes esferas (mídia, legisladores, juízes). Um caso similar ocorreu no Brasil em 2007, quando o acesso ao site Youtube foi afetado, no caso do vídeo na praia de Daniela Cicarelli - quando alguns AS´s (Autonomous Systems) brasileiros acataram a decisão judicial do Tribunal de Justiça do Estado de São Paulo e redirecionaram para 'null/0' todo o tráfego destinado ao Youtube.

Resumo da ópera, cinco anos depois, o tema que engloba os Crimes Digitais é bastante complexo e controverso, e leis e decisões tomadas para resolver um problema que está em destaque podem gerar vários outros - muitas vezes piores...

Repercursão do caso da mídia e blogs:

1) Globo/Jornal Nacional: Entrevista Carolina Dieckmann
http://www.youtube.com/watch?feature=player_embedded&v=sSCXpjZaTYc

2) Globo/Fantástico: "Polícia encontra hackers que roubaram fotos de Carolina Dieckmann" (video)
http://fantastico.globo.com/Jornalismo/FANT/0,,MUL1680311-15605,00-POLICIA+ENCONTRA+HACKERS+QUE+ROUBARAM+FOTOS+DE+CAROLINA+DIECKMANN.html

3) Record: "Identidade de quem roubou fotos íntimas de Carolina Dieckmann ainda é mistério" (video)
http://rederecord.r7.com/video/identidade-de-quem-roubou-fotos-intimas-de-carolina-dieckmann-ainda-e-misterio-4fb04c256b71c3d8bbc9a310/

4) Luiz Rabelo: "Vazam fotos de Carolina Dieckmann nua"
http://forensics.luizrabelo.com.br/2012/05/vazam-fotos-de-carolina-dieckmann-nua.html

5) Pablo Ximenes: "A verdade sobre as "Técnicas de Invasão" usadas no caso Carolina Dieckmann"
http://ximen.es/?p=621

6) Alexandre Teixeira: "Infográfico – Carolina Dieckmann"
http://foren6.wordpress.com/2012/05/16/inforgrafico-carolina-dieckmann/

7) Anchises Morais: "Carolina, suas fotos e o fim da privacidade" e "Hackerazzis"
http://anchisesbr.blogspot.com.br/2012/05/seguranca-carolina-suas-fotos-e-o-fim.html
http://anchisesbr.blogspot.com.br/2012/05/seguranca-hackerazzis.html

8) José Mariano: "Considerações sobre o caso Caso Carolina Dieckmann: a dura realidade de uma investigação"
http://mariano.delegadodepolicia.com/consideracoes-sobre-o-caso-caso-carolina-dickeman-a-dura-realidade-de-uma-investigacao/

9) Estadão: "Como não ser a próxima Carolina Dieckmann"
http://blogs.estadao.com.br/radar-tecnologico/2012/05/14/como-nao-ser-a-proxima-carolina-dieckmann/

10) José Milagres: "Projeto de Lei “Dieckmann” reforça agressão aos direitos dos cidadãos na Internet"
http://josemilagre.com.br/blog/wp-content/uploads/2011/10/Artigo-Efeito-Dieckmann-refor%C3%A7a-agress%C3%A3o-aos-direitos-de-usu%C3%A1rios-de-Internet-Jose-Milagre-15-05-20121.pdf

11) Fernando Fonseca: "As questões realmente relevantes no caso Carolina Dieckmann"
http://segurancaobjetiva.wordpress.com/2012/05/17/as-questoes-realmente-relevantes-no-caso-carolina-dieckmann/

163 blogs de Seguranca da Informação em português

2012-05-12T23:00:00.000-03:00

post original: 08/08/2008 | último update: 13/05/2012

Acesso rápido a esta página: http://tinyurl.com/blogseg

RSS Feed pacial da lista by Zucco | Agregator parcial da lista by Alexos

163 = 113 blogs brasileiros + 11 blogs portugueses + 21 organizações + 19 portais/revistas/podcasts

I - Blogs Autorais sobre Segurança da Informação brasileiros:

Sandro Süffert: http://sseguranca.blogspot.com =)
Ronaldo Lima: http://www.crimesciberneticos.com
Pedro Pereira: http://www.pedropereira.net/
Anchises de Paula: http://anchisesbr.blogspot.com
Alexandro Silva: http://blog.alexos.com.br
Pablo Ximenes: http://ximen.es/
Paulo Pagliusi: http://mpsafe.blogspot.com
Luis Sales Rabelo: http://forensics.luizrabelo.com.br
Ruy de Oliveira: http://5minseg.blogspot.com
Fernando Mercês: http://www.mentebinaria.com.br/blog
Emerson Wendt: http://www.emersonwendt.com.br
Rodrigo Montoro: http://spookerlabs.blogspot.com
Antônio César: http://rootgen.blogs pot.com/
Wagner Elias: http://wagnerelias.com
Tony Rodrigues: http://forcomp.blogspot.com
Fernando Nery: http://monitoramentocontinuo.blogspot.com/
José Mariano A Filho: http://mariano.delegadodepolicia.com
Antônio César: http://rootgen.blogs pot.com/
Moisés Cassanti: http://www.crimespelainternet.com.br
Pedro Zaniolo: http://www.crimesmodernos.com.br
Júnior Moraes http://unsecurity.com.br/
Diego Piffaretti: http://www.mundotecnologico.net
Roney Medice: http://roneymedice.com.br
Raphael e Flávio: http://0xcd80.wordpress.com
Fernando Amatte: http://segurancaimporta.blogspot.com
Marcelo Fleury: http://marcelomf.blogspot.com/
Daniel Checchia: http://checchia.net
Roberto Soares: http://codesec.blogspot.com
Fernando Fonseca: http://segurancaobjetiva.wordpress.com
Luiz Vieira: http://hackproofing.blogspot.com
Higor Jorge: http://cciberneticos.blogspot.com/
Jonatas Baldin: http://metasecurity.blogspot.com.br/
Alexandre Teixeira: http://foren6.wordpress.com
Paulo Sá Elias: http://www.direitodainformatica.com.br/
Gustavo Lima: http://blog.corujadeti.com.br
Anderson Clayton: http://periciadigitaldf.blogspot.com
Fabiano Matias: http://remote-execution.blogspot.com
Marcelo Assumpção: http://www.direitobitebyte.com.br
Antônio Feitosa: http://lncc.br/~antonio/
Marcos Nascimento: http://respostaincidente.blogspot.com
José Milagre: http://josemilagre.com.br/blog/
João Paulo Back: http://seginfoatual.blogspot.com
Daniel Santana: http://danielmenezessantana.blogspot.com/
João Rufino de Sales: http://jrsseg.blogspot.com
Fabrício Braz: http://softwareseguro.blogspot.com
João Eriberto: http://www.eriberto.pro.br/blog
Raffael Vargas: http://imasters.com.br/autor/512/raffael-vargas
Edison Figueira: http://efigueira.blogspot.com
Thiago Galvão: http://www.grcti.com.br
Fábio Dapper: http://openpci.blogspot.com
Carlos Cabral: http://uberitsecurity.blogspot.com
Glaysson Santos: http://rapportsec.blogspot.com
Leonardo Moraes: http://maiorativo.wordpress.com
Rodrigo Jorge: http://qualitek.blogspot.com
Laércio Motta: http://laerciomotta.com/
Rodrigo Magdalena: http://rmagdalena.wordpress.com/
Rafael Correa: http://www.rafaelcorrea.com.br
Lucas Ferreira: http://blog.sapao.net
Fernando Carbone: http://flcarbone.blogspot.com/
Clandestine: http://clandestine-ethicalforense.blogspot.com/
Luiz Zanardo: http://siembrasil.blogspot.com
Ivo e Ronaldo: http://brainsniffer.blogspot.com
Marcelo Rocha: http://www.cybercrimes.com.br/
Thiago Bordini: http://www.bordini.net/blog/
Maycon Vitali : http://blog.hacknroll.com
Samukt (Samuel?): http://www.inw-seguranca.com
Marcos Cabral: http://maraurcab.blogspot.com
Gilberto Sudre: http://gilberto.sudre.com.br
Rogério Chola: http://rchola.blogspot.com
Marcelo Fleury: http://marcelomf.blogspot.com
Ed Santos: http://edsecinfo.blogspot.com/
Flávio Anello: http://www.sec-ip.net
Ulisses Castro: http://ulissescastro.com/
Sérgio de Souza: http://www.layer8howto.net
Silas Junior: http://silasjr.com
Jerônimo Zucco: http://jczucco.blogspot.com
Gabriel Lima: http://www.falandodeseguranca.com
Marcelo Souza: http://marcelosouza.com
Felipe Tsi: http://felipetsi.blogspot.com
CamargoNeves: http://camargoneves.wordpress.com
Ranieri de Souza: http://blog.segr.com.br
Claudio Moura: http://webcasting-today.blogspot.com
Otavio Ribeiro: http://otavioribeiro.com
Ricardo Pereira: http://www.ricardosecurity.com.br/
Paulo Braga: http://cyberneurons.blogspot.com
Luis Bittencourt: http://arquivosmaximus.blogspot.com
Marcos Abadi: http://marcosabadi.blogspot.com
Bruno Gonçalves: http://g0thacked.wordpress.com
Gustavo Bittencourt: http://www.gustavobittencourt.com
Marcelo Martins: http://administrandoriscos.wordpress.com
William Caprino: http://mrbilly.blogspot.com
Kembolle Amilkar: http://www.kembolle.co.cc
Alex Loula: http://alexloula.blogspot.com
Victor Santos: http://hackbusters.blogspot.com
Clandestine: http://clandestine-ethicalforense.blogspot.com
Fábio Sales: http://www.abrigodigital.com.br
Drak: http://deadpackets.wordpress.com
John Kleber: http://www.hackernews.com.br
Edison Fontes: http://www.itweb.com.br/blogs/blog.asp?cod=58
Dantas: http://hackereseguranca.blogspot.com/
Anderson: http://compforense.blogspot.com/
Alex Silva: http://linux4security.blogspot.com/
Clebeer: http://clebeerpub.blogspot.com/
Paulo Cardoso: http://paulofcardoso.wordpress.com/
Marcos Aurélio: http://deigratia33.blogspot.com
Andre Machado: http://oglobo.globo.com/blogs/andremachado
André Pitkowski: http://andrepitkowski.wordpress.com
Jacó Ramos: http://computacaoforensepiaui.blogspot.com/
Felipe Martins: http://www.felipemartins.info/pt-br/
Denny Roger: http://blog.dennyroger.com.br
Heliton Júnior: http://www.helitonjunior.com
Luiz Felipe Ferreira: http://usuariomortal.wordpress.com
~~Pedro Quintanilha: http://pedroquintanilha.blogspot.com~~

II - Blogs sobre Segurança da Informação em Portugal:

Miguel Almeida: http://miguelalmeida.pt/blog_index.html
Carlos Serrão: http://blog.carlosserrao.net/
WebSegura: http://www.websegura.net
Infosec Portugal: http://www.infosec.online.pt
CrkPortugal: http://www.crkportugal.net
Seg. Informática: http://www.seguranca-informatica.ne
ISMSPT: http://ismspt.blogspot.com
WebAppSec: http://webappsec.netmust.eu
Hugo Ferreira: http://www.hugoferreira.com/
SysValue: http://blog.sysvalue.com/
PCSeguro.pt: http://www.pcseguro.pt/blog/

III - Blogs/Notícias de Empresas e Universidades:

4Sec: http://www.4secbrasil.com.br/blog
Aker: http://www.aker.com.br
Apura: http://www.apura.com.br
CertiSign: http://www.certisign.com.br/certinews
Conviso: http://www.conviso.com.br/category/blog
Clavis: http://www.blog.clavis.com.br
Cipher: http://www.ciphersec.com.br/pag_not.aspx
FlipSide: http://www.flipside-scp.com.br/blog
Future: http://www.future.com.br/?cont=noticias
IBliss: http://www.ibliss.com.br/category/blog/
IESB: http://segurancaiesb.blogspot.com
Nod32: http://esethelp.blogspot.com
Microsoft BR: http://blogs.technet.com/risco
Módulo: http://www.modulo.com.br/comunidade
Procela: http://www.procela.com.br
Qualitek: http://www.qualitek.com.br
Site Blindado: http://www.siteblindado.com/blog/
Techbiz Forense: http://techbizforense.blogspot.com
Tempest: http://blog.tempest.com.br
Tivex: http://www.tivex.com.br/blog/
True Access: http://www.trueaccess.com.br/noticias

IV - Portais/Revistas/Forums/Podcasts:

SegInfo: http://www.seginfo.com.br/
BackTrack Brasil: http://www.backtrack.com.br/
CAIS/RNP: http://www.rnp.br/cais/alertas
ThreatPost BR: http://threatpost.com/pt_br
PCMag Firewall: http://pcmag.uol.com.br/firewall/
ComputerWorld: http://computerworld.uol.com.br/seguranca
IDGNow: http://idgnow.uol.com.br/seguranca
NextHop: http://blog.nexthop.com.br
Linha Defensiva: http://www.linhadefensiva.org
ISTF: http://www.istf.com.br
InfoAux: http://infoaux-security.blogspot.com
Forum Invaders: http://www.forum-invaders.com.br/
RfdsLabs: http://www.rfdslabs.com.br
Segurança Linux: http://segurancalinux.com
Proteção de Dados: http://protecaodedados.blogspot.com
Crimes na Web: http://www.crimesnaweb.com.br
Segurança Digital: http://www.segurancadigital.info
NaoPod PodCast: http://www.naopod.com.br
StaySafe PodCast: http://www.staysafepodcast.com.br

Apêndice: o Rodrigo Spooker Monteiro fez lista de twiteiros e o Anchises de Paula também mantém uma bem completa. Ambas possuem vários profissionais da área de segurança da informação do Brasil.

Você conhece mais algum blog sobre segurança da informação escrito em português para incluir na lista? Por favor, faça como os outros e sugira nos comentários!

Google Street View coleta SSID, MAC e Payload de redes WiFi

2012-04-29T23:55:00.000-03:00

[ Update - 30/04/2012 ]

Solução low-tech: Bode expiatório?

"Google Street View Report points the finger at a rogue engineer who intentionally wrote software code that captured payload data information"

Mais informações:

Exclusive (LA Times): Google releases FCC report on Street View probe

[ Post Original - 15/05/2010 ]

O Google possui um serviço muito interessante e polêmico chamado Street View. Em operação desde 2007, o Street View possibilita a visualização panorâmica de ruas e avenidas de várias cidades do mundo a partir das interfaces do Google Maps e Google Earth. No Brasil, o lançamento do Street View será no segundo semestre de 2010 e incluirá fotografias de Belo Horizonte, São Paulo e Rio de Janeiro.

Desde o seu lançamento o Street View já foi alvo de inúmeros protestos relativos à privacidade ao redor do mundo. Algumas medidas são tomadas pelo Google para evitar este tipo de problema:

existe (no canto inferior esquerdo da interface do Street View) a opção de solicitar ao Google a remoção de fotos consideradas vexatórias ou comprometedoras como a reproduzida no início deste artigo.
as fotos são tratadas utilizando algorítimos automatizados para garantir que placas de carro e rostos, por exemplo, sejam adequadamente borrados;
as fotos originais (não tratadas) são apagadas dos servidores do Google em 1 ano ou 6 meses (dependendo do país);

Os milhões de fotos que são apresentadas no serviço são capturadas por carros (ou triciclos) do Google equipados com um GPS e 9 câmeras que proporcionam uma visão 360 graus. No caso do Brasil, 30 carros cedidos pela Fiat estão percorrendo mais de 1 milhão de quilômetros nas 3 cidades incluídas inicialmente no projeto.

O que pouca gente sabe é que outros equipamentos mais discretos que câmeras são também embarcados nos carros do Street View: são antenas Wi-Fi, GSM e 3G - usadas para coletar informações de redes wireless pelo mundo afora.

O Google já havia divulgado no final do mês passado que estes dados se resumiam aos Mac Addresses (endereços físicos das interfaces de rede dos roteadores wireless) e SSIDs (nomes das redes), que seriam usados para identificação de estabelecimentos em ferramentas como o Google Search e o Google Maps...

Do ponto de vista do mapeamento de redes WiFi, sem dúvida o Google supera grandes esforços de mapeamento de redes públicas, como o http://wigle.net/.

Depois de protestos e pedidos de esclarecimento de países como Alemanha e Austrália e a solicitação germânica de auditoria dos dados de redes wireless coletados - o Google resolveu olhar mais a fundo e publicou um post em seu blog principal hoje, corrigindo a informação citada anteriormente e estarrecendo muita gente.

Na verdade, os carros do Google Street View também capturaram o payload (conteúdo das comunicações, como emails e navegação) de redes sem proteção Wireless.

É isto mesmo, você entendeu certo. O Google possui terabytes e mais terabytes e dados capturados de redes WiFi do mundo todo - possivelmente desde 2007. E nunca reparou isto..

A desculpa que foi dada envolve a reutilização de um código feito anteriormente em um projeto experimental que tinha por objetivo capturar amostras de dados WiFi publicamente acessíveis. A equipe do Google Street View teria usado este código sem saber que além dos dados de SSID e MAC estaria também sendo capturado tráfego de milhões de diferentes access points pelo mundo...

Para minimizar o problema, o Google argumenta que apenas fragmentos de dados foram capturados porque:

os carros estão em movimento;
alguém precisa estar usando a rede enquanto o carro passa;
o equipamento WiFi embarcado troca de canal Wlan 5 vezes por segundo;
não são coletadas informações trafegando em redes Wifi protegidas por WEP e WPA

Estes argumentos não devem impedir que autoridades de vários países (incluindo os Estados Unidos) avaliem se o Google não violou diferentes leis de sigilo de comunicações.

A máquina de relações públicas do Google até o momento trabalhou bem diante do tamanho do problema, e divulgou que:

paralizou temporariamente a utilização dos carros do Street View;
segregou os dados para outra rede separada da rede corporativa e desconectou esta rede;
vai (e quer) deletar estes dados o quanto antes;
trabalhará com instituições regulatórias em diferentes países para definir o método de descarte destas informações;
irá solicitar a uma organização idependente que faça a revisão do software em questão, seu funcionamento, dados coletados e método utilizado para descarte;
revisão de procedimentos internos para garantir e revisar os controles necessários para evitar este problema no futuro;
decisão de encerrar a coleta de dados WiFi.

O pedido final de desculpas - no melhor espírito do "Don´t Be Evil" é o seguinte:

The engineering team at Google works hard to earn your trust—and we are acutely aware that we failed badly here. We are profoundly sorry for this error and are determined to learn all the lessons we can from our mistake.

Mais informações:

The Register - Google Street View snooped WiFi for personal data
Wired - Google Street View Cams Collected Private Content From WiFi Networks
ArsTechnica - Google StreetView cars grabbed traffic from open WiFi networks

Hotmail e Skype - falhas de segurança e privacidade

2012-04-27T19:05:00.000-03:00

Podemos dizer que esta semana não foi uma das melhores do ponto de vista da Segurança e Privacidade para os produtos online da Microsoft.

1) Hotmail:

Uma falha no processo de reset de senha no Hotmail foi descoberta em 6 de julho e informada à Microsoft no dia 20. Em resumo, o reset do hotmail utiliza um sistema de tokens que não são validados de forma adequada, o que permitiu que qualquer usuário pudesse resetar a senha de qualquer conta!

Depois de muita divulgação da falha, incluindo vídeos no Youtube com o passo a passo necessário para resetar qualquer conta do Hotmail, a falha foi corrigida ontem, sem muito estardalhaço por parte da Microsoft.

Mais infomações: "Microsoft patches major Hotmail 0-day flaw after apparently widespread exploitation" - http://arstechnica.com/microsoft/news/2012/04/microsoft-patches-major-hotmail-0-day-flaw-after-apparently-widespread-exploitation.ars

2) Skype:

Sabemos que o Skype é uma aplicação P2P, mas o senso comum é que a não ser que você faça uma transferência de arquivo, um usuário não pode saber qual é o seu IP externo (e menos ainda o interno!).

Um grupo de desenvolvedores responsável por uma versão "open-source" do Skype (http://skype-open-source.blogspot.com) divulgou ontem um "how to" de como instalar uma versão que foi disseminado no pastebin ("Skype user IP-address disclosure - http://pastebin.com/rBu4jDm8") e no twitter no dia de hoje.

Pois bem - hoje um desenvolvedor russo pediu ajuda para testar um novo serviço online que ele estava testando, utilizando os dados já publicados anteriormente sobre a "vulnerabilidade": http://news.ycombinator.com/item?id=3899829

O resultado: o serviço está no ar, e funcionando: http://skype-ip-finder.tk/

O usuário do Skype deve estar logado no momento da query, e o resultado vai conter todos endereços IPs externos e internos de todos os dispositivos do usuário que estiverem logados no Skype, obtidos a partir do wrapper em python desenvolvido pelo russo "zhovner".

Detalhes:

Perform obscure ip lookup for online skype account.Can find local and remote ip address.Based on deobfuscated Skypekit runtime that write clear debug log

Esta falha, somada a facilidade de buscar por um nome no diretório no Skype, deve ser considerada e usuários que pretendem omitir seu IP (e por consequência localização física) devem evitar utilizar o serviço até que haja uma correção por parte da Microsoft/Skype.

Posts relacionados:

CyberSecurity Reports: Mandiant, Verizon Business, HP, Verisign, WebSense, Trustwave & others

2012-04-20T05:11:00.003-03:00

Existem muitos relatórios sobre o atual estado de ataques, a evolução e adaptação das técnicas utilizadas pelos perpetradores. Estamos acostumados a ver estes documentos sendo lançados por diversas fontes diferentes, deste empresas de anti-vírus, passando por fabricantes de sistemas operacionais e consultorias na área de governança corporativa.

A Mandiant e a Verizon Business estão entre as empresas mais especializadas e bem sucedidas em serviços de Resposta a Incidentes no mundo, e por isto mesmo lidam com os mais variados tipos de situações ao tratar inúmeros incidentes de segurança como vazamento de informações e invasão de sistemas em clientes de várias verticais de atuação diferentes.

Lendo este material é possivel perceber a melhoria na qualidade e quantidade de informações à disposição de uma empresa a partir do tratamento adequado de seus incidentes de segurança realmente criticos, o que auxilia as áreas envolvidas a desenvolver uma postura de segurança com foco nas ameaças reais.

Devido a este embasamento em casos reais, considero que estes relatórios merecem uma leitura detalhada. Ao final deste post eu incluí também referências a outros 6 relatórios interessates publicados por outras organizações (HP, VeriSign, WebSense, TrustWave, ESET e Sophos).

Destaques M-Trends Mandiant:

Tipos de Ataques mais comuns:

O tipo de ameaça enfrentado por uma organização deve nortear os investimentos em Segurança da Informação, dentre os maiores tipos de ataques investigados pela Mandiant em 2011,

Indústrias sendo afetadas por ataques avançados:

Utilização de malware publicamente disponível e Detecção dos incidentes (!)

Tendências (M-Trends)

Malware só conta uma parte da história: apenas 54% de todos sistemas comprometidos nos ataques investigados possuiam traços da execução de malware (o uso de credenciais válidas para acesso aos sistemas comprometidos é mais difícil de identificar e possibilita aos atacantes um movimento lateral entre sistemas, explorando senhas iguais e relações de confiança existentes nas redes atacadas) ;
Técnicas antigas sendo ressuscitadas: backdoors passivos estão sendo usados para bypassar detecção no host e na rede (... );
RATs - Remote Access Software & Trojans disponíveis publicamente são cada vez mais usados em ataques direcionados;
Processos de Fusão e Aquisição de empresas geram mercado de venda de informações confidenciais roubadas.
Empresas que participam de uma mesma cadeia produtiva são comprometidas pelos mesmos atacantes, que buscam obter mais informações de propriedade intelectual sobre o negócio.
Vale a pena ser persistente: atacantes que buscam ganho financeiro cada vez mais pretendem permanecer o maior tempo possível nas redes comprometidas.

Evidências de Comprometimentos (ou IOC/Indicators of Compromise) - além da presença de malware:

Uso não autorizado de credenciais válidas (estas informações normalmente estão presentes em registros do Event Log do Windows, no registro, nas propriedades do arquivo/sistema de arquivo e no tráfego de rede) <= idealmente, parte destas informações está sendo logada remotamente em outros sistemas (AD, SIEM, Network Forensics, CarbonBlack, etc.);
Acesso Remoto a Sistema ou a arquivos (...)
Vestígios de evidência e arquivos parciais (através de técnicas de perícia forense, é possivel

Um parêntese aqui para um ponto que gosto de salientar - as evidências estão por toda a parte:

Quanto mais visibilidade e automação na criação de registros que possam ser considerados "indicadores de comprometimento", melhor - de preferência, em memória, no tráfego de rede, nos logs de sistemas, no sistema de arquivo, em bancos de dados - ou seja, aonde quer que informação esteja armazenada ou trafegue temporariamente.

Relatório Mandiant M-Trends: http://fred.mandiant.com/M-Trends_2012.pdf

Relatorio Verizon Business - 2011 CaseLoad Review: http://www.verizonbusiness.com/resources/whitepaper/wp_verizon-2011-investigative-response-caseload-review_en_xg.pdf

Relatório Verizon Business - 2012 Databreach Investigations Report

http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf

Alguns pontos e tendências relacionados ao relatório da Verizon foram publicados recentemente no blog do Troy Hunt - leitura recomendada! Comento alguns dos principais pontos levantados, abaixo:

Os ataques estão sendo originados quase sempre de fora das organizações (98%) e apenas 4% envolveram pessoal interno (ativamente) < esta tendência está aumentando nos últimos anos. É importante ressaltar que a segurança das redes e sistemas internos continua sendo fundamental, para identificar e conter a evolução de ataques iniciados externamente.

Hacktivistas estão se tornando um problema real e sério (58% do roubo de informações) < aqui vale a pena mencionar que pela característica de divulgação do resultado dos ataques, este valor certamente está distorcido em relação aos ataques tradicionais para venda de informações no underground, por exemplo.

A maioria dos comprometimentos envolve o simples roubo de credenciais < ou seja, ninguém vai ter que desenvolver um StuxNet/DuQu se para obter as informações sensíveis for suficiente adivinhar ou usar ferramentas de bruteforce de senha..

O tempo entre o comprometimento inicial e sua descoberta e contenção tem levado normalmente meses (54%) ou semanas (29%), e em poucos casos dias (13%) ou horas (2%) < isto é tempo mais do que suficiente para garantir aos atacantes um acesso a diversas informações sensíveis contidas em diferentes sistemas de uma empresa.

Outros Relatórios relevantes e dignos de nota, publicados recentemente:

HP: 2011 Top Cyber Security Risks Report
http://www.hpenterprisesecurity.com/news/download/2011-top-cyber-security-risks-report

Verisign iDefense 2012 Cyber Threats and Trends White Paper
http://www.verisigninc.com/en_GB/forms/idefense2012cybertrends.xhtml

Websense: 2012 Threat Report
http://www.websense.com/content/websense-2012-threat-report-download.aspx

Trustwave: 2012 Global Security Report
https://www.trustwave.com/global-security-report

ESET: Global Threat Report for 2012
http://go.eset.com/us/threat-center/

Sophos: Security Threat Report 2012

http://www.sophos.com/en-us/security-news-trends/reports/security-threat-report.aspx

ADUC 2012 Vegas

2012-04-16T10:00:00.001-03:00

A Apura – Inteligência em Cibersegurança, tem o prazer de
lhe convidar para a Access Data Users' Conference, evento que
acontece entre os dias 8 e 10 de maio, em Las Vegas (EUA).

Este evento proporcionará várias atividades de treinamento e
workshops com os maiores especialistas da indústria da
investigação digital do mundo. O evento este ano terá trilhas
de aprimoramento em computação forense, cibersegurança,
análises legais e muito mais.

A ADUC é um evento produzido pela Accessdata,
parceira da Apura.

Mais informações:

APURA: http://www.apuratrustedservices.com/apura/aduc2012/

Site oficial: http://accessdata.com/aduc/

PS: Nesta mesma semana estarão ocorrendo o INTEROP
e o Symantec Vision.

(in)Segurança das Urnas Eletrônicas

2012-04-11T22:47:00.000-03:00

[ Update - 2012/04/11 ]

Todo eleitor brasileiro deveria assistir: Palestra proferida no 1° ENGCCI - Goiânia, GO, 30 de março de 2012 por Pedro Antônio Dourado de Rezende (UnB):

Para Onde Foi o [Sigilo do] Voto? [legendado]:

[ Update - 2012/02/06 ]

O Tribunal Superior Eleitoral divulgou as datas dos "Testes Públicos de Segurança do Sistema Eletrônico" para 20 a 22 de março de 2012.

Mais informação no HotSite do TSE abaixo:

http://www.tse.jus.br/hotSites/testes-publicos-de-seguranca/

O Edital publicado, em seu parágrafo único, define os seguintes "elementos de segurança" a serem testados:

processo de carga das urnas eletrônicas;
hardware das urnas eletrônicas;
lacre físico.

[ Update - 2011/09/28 ]

Mais uma demonstração de vulnerabilidade de urnas eletrônicas - neste caso trata-se de um modelo Diebold, que está entre os mais utilizados nas eleições nos Estados Unidos.

O ataque demonstrado é extremamente barato (de US $10 a US $26 - no último caso quando há transmissor e receptor de radio-frequência, para ataques remotos) e envolve acesso físico anterior às urnas eletrônicas.

Componentes eletrônicos são inseridos na urna com o objetivo de executar um ataque "Man-in-the-Middle" entre a interface touch screen da urna e o processador do computador. São possíveis ações como captura de senhas, alteração de votos, sem que o usuário perceba que isto ocorreu.

Veja a descrição do ataque e os vídeos relacionados no site do "Vulnerability Assessment Team" dos laboratórios Argonne - vinculado ao Departamento de Energia dos Estados Unidos.

[ Update - 2010/10/31 ]

Eleições Seguras e Verificáveis: uma solução simples e elegante.

Mais uma eleição termina no Brasil e infelizmente por aqui ainda insistimos na segurança por obscuridade, na desinformação e no marketing vazio de "segurança inquebrável" da urna eletrônica ao invés de uma verificação séria e aprofundada dos problemas existentes por quem de direito (pdf)

Hoje tive a oportunidade de assitir a uma palestra excelente feita pelo sueco David Bismark no fantástico evento de novas idéias "TED" cita as razões fundamentais pelas quais um processo de votação precisa ser verificável ("Elections should be verifiable"). E isto não por um grupo interno do governo, alguns representantes de partidos políticos, mas por todo e qualquer interessado. A maneira que ele sugere que isto seja feito é típica de uma grande idéia - simples e elegante.

[ Assista aqui ]

Muitos grupos independentes no Brasil lutaram pela existência de um "recibo" de votação impresso para que esta verificação seja possível - e o formato sugerido por David Bismark vai de encontro a esta idéia, e ainda por cima adiciona a transparência e o sigilo do processo com a utilização de diferentes ordens dos candidatos para votação e do código de barras 2D criptografado. O eleitor pode então levar o recibo para casa e verificar se seu voto foi contato posteriormente!

Fantástico... Espero que no futuro tenhamos humildade e inteligência para implementar os conceitos apresentados por ele por aqui!

[ Update - 2010/08/24 ]

Vote no Pac-Man!

Com a proximidade das eleições, voltamos ao tema da (in)Segurança das Urnas Eletrônicas. Dois acontecimentos recentes e relacionados - um nos Estados Unidos e outro na Índia - mostram (assim como os diversos outros estudos presentes neste longo post) como é fácil burlar os mais modernos sitemas de votação eletrônica:

http://www.cse.umich.edu/~jhalderm/pacman/ - Pesquisadores da Universidade de Princeton e Michigan instalaram o jogo PAC-MAN em uma urna eletrônica sem violar os lacres de segurança.

http://www.wired.com/threatlevel/2010/08/researcher-arrested-in-india/ - Pesquisador preso na Ìndia depois de descobrir problemas em urnas eletrônicas.

[ Update - 2010/04/16 ]

CorreioWeb: Relatório aponta falhas no sistema de votação brasileiro

Trecho:

Comitê Multidisciplinar Independente sobre o Sistema Brasileiro de Votação Eletrônica apresentou relatório que aponta falhas consideradas gravíssimas no programa de urnas eletrônicas adotado no Brasil. O documento foi entregue ao vice-reitor da UnB, João Batista de Sousa.

O comitê diz que é impossível auditar, de maneira isenta, o resultado da apuração dos votos nas urnas eletrônicas. “Caso ocorra uma infiltração criminosa determinada a fraudar as eleições, restou evidente que a fiscalização externa dos partidos, da OAB e do MP, de modo como é permitida, será incapaz de detectá-la”, diz o relatório. “Esta impossibilidade de auditoria independente do resultado eleitoral é que levou à rejeição de nossas urnas eletrônicas em todos os mais de 50 países que a estudaram”, acrescenta.

Segundo o professor de Criptografia e Ciência da Computação da Universidade de Brasília, Pedro Antônio Rezende, o modelo atual privilegia rapidez em detrimento da segurança de informações. “O sistema troca coisas supérfulas como a rapidez e a visibilidade de espetáculo pela certeza de uma apuração correta", denuncia. "Precisamos ficar atentos, pois isso pode corroer a democracia”, afirma.

O número de envolvidos no processo eleitoral também é visto como vilão. “Há exagerada concentração de poderes, resultando em comprometimento do princípio da publicidade e da soberania do eleitor, em poder conhecer e avaliar, o destino do seu voto”, afirma o relatório. “Nossa intenção é buscar transparência em todos os níveis da votação”, garante Rezende. “Quem critica o sistema eleitoral brasileiro é alvo de preconceito. Existe um tabu em se falar sobre o tema com esse nível de franqueza”, conclui.

Link para o relatório: http://www.cic.unb.br/~pedro/trabs/relatoriocmind.pdf

[ Update - 2009/11/20 ]Perito quebra sigilo e descobre voto de eleitores em urna eletrônica do Brasil (IDG Now)

[ Update - 2009/11/16 ]Com as restrições ressaltadas abaixo, os testes foram finalizados com sucesso pelo TSE e a Urna brasileira passou a ser considerada segura pela mídia.

Para muitos especialistas, um teste como este não passa de propaganda e não pode se considerado definitivo, pois não se pode partir do princípio que um atacante não teria acesso físico interno e ao código da urna, por exemplo (veja mais comentários do Lucas Ferreira abaixo).

Um exemplo vindo dos Estados Unidos: na conferência acontecida há alguns meses "Eletronic Voting Technology Workshop", um grupo de pesquisadores das Universidades da Califórnia, Michgan e Princeton demonstrou que em poucos minutos - utilizando uma técnica chamada "return-oriented programming" - votos podem ser roubados utilizando e subvertendo pequenas partes de código já existentes nas urnas.

Por causa deste tipo de resultados, os Estados Unidos (vide reportagem no New York Times) e a Alemanha (vide editorial da Deutche-Welle) tiveram testes e resultados diferentes dos tupiniquins... Talvez devessemos exportar a tecnologia de urna eletrônicas para estes dois países - assim os testes poderão ser efetuados de forma mais completa por lá.. =)

[ Update - 2009/09/14 ]

Meu amigo Lucas Ferreira - especialista em segurança em desenvolvimento seguro - postou comentários interessantes sobre o anúncio de testes às urnas eletrônicas feito pelo Tribunal Superior Eleitoral:

O TSE vai permitir que pesquisadores tenham acesso às urnas para a execução de testes de segurança. No entanto, mantém uma série de restrições que vão restringir a eficácia dos testes:

não haverá acesso ao código fonte

o plano de testes deverá ser submetido com antecedência e não poderá ser alterado

o prazo para a realização dos testes é de apenas alguns dias

os testes deverão ser realizados no ambiente do TSE, o que restringe a liberdade de ação dos pesquisado

[ 2009/09/12 Update - Desafio do TSE a cidadãos e hackers tem data marcada ]

O Jornal da Globo agora há pouco divulgou informações à notícia "TSE procura hackers para testar as novas urnas eletrônicas". Mais detalhes sobre o processo neste fluxograma dos testes de segurança - que está marcado para ocorrer na primeira quinzena de novembro.

Em todo o mundo, sempre que as urnas eletrônicas foram testadas (de verdade) elas falharam em aspectos críticos de segurança - como pode ser visto no post original abaixo - cabe agora acompanharmos os testes que serão executados em novembro no importante teste do processo de votação eletrônica programado pelo TSE (site oficial do teste).

Acredito que independente do resultado dos testes que serão feitos a existência de um registro impresso da votação para um possível batimento e validação posterior dos votos de uma urna eletrônica são fundamentais para manter a idoneidade no processo.

Além disto para a avaliação da segurança e a transparência do processo possa ser completa, especialistas precisam ter acesso ao código fonte da urna, obviamente.

[ 2009/08/12 - Post Original ]

Já faz algum tempo (vide discussões em 2005 e 2006) que eu me preocupo com o assunto da segurança do processo de votação - especialmente das urnas eletrônicas utilizadas no Brasil pelo TSE.

Hoje lendo meus RSS Feeds (via ISTF) tive a feliz notícia de que o "TSE confirma a realização de testes de segurança no sistema eletrônico de votação".

Esta notícia é ótima e nos dá a esperança de viver em uma real democracia! Agora é só ver para crer. Os testes segurança serão coordenados pelo Ministro Ricardo Lewandowski e ocorrerão em novembro de 2009 "por meio de tentativas a serem feitas para burlar seus programas".Segundo as informações divulgadas no site do TSE:

"Para a realização do teste, duas comissões deverão ser formadas. A Comissão Disciplinadora dos Testes de Segurança vai definir o escopo, a metodologia e a formatação dos testes, os critérios de julgamento, a análise e a aprovação das inscrições dos investigadores, o exame e a aprovação dos testes propostos pelos investigadores, a supervisão nos dias de execução e o registro das atividades executadas durante as aferições. Essa comissão será composta por servidores da Justiça Eleitoral, indicados pelo TSE.

Já a Comissão Avaliadora dos Testes de Segurança será responsável por validar o escopo, a metodologia e os critérios de julgamento definidos pela Comissão Disciplinadora, analisar os testes realizados e os resultados obtidos, julgar e examinar os artigos a serem publicados e por produzir o relatório final.

A Comissão Avaliadora será integrada por professores universitários e cientistas, a serem indicados pelo presidente do TSE, por meio de portaria. Além disso, a Comissão Avaliadora será composta opcionalmente, a depender da disponibilidade e do interesse de cada entidade, pelos seguintes participantes: por um representante, respectivamente, do Ministério Público da União, da Ordem dos Advogados do Brasil (OAB), da comunidade jurídica e por um representante do ministro do TSE coordenador do processo."

Existem alguns trabalhos já executados nos EUA que podem servir de referência para os trabalhos que serão executados nos próximos meses:
Como pode ser visto no link com o assunto tratado em 2006, a Universidade de Princeton fez um interessante estudo (paper/vídeo) mostrando as vulnerabilidades de um modelo de urnas Diebold Accuvote-TS - similares aos utilizados nas votações brasileira.

Um trabalho similar foi executado em 2007 pelo governo do estado da Califórnia (reports em pdf), onde equipamentos de votação de 4 diferentes fabricantes tiveram sua segurança testada (red teams, revisão de código fonte e revisão de documentação).

Na semana passada, durante a conferência "Eletronic Voting Technology Workshop" um grupo de pesquisadores das Universidades da Califórnia, Michgan e Princeton demonstrou que em poucos minutos e sem conhecimento do código fonte da urna eletrônica - utilizando uma técnica chamada "return-oriented programming" - votos podem ser roubados utilizando e subvertendo pequenas partes de código já existentes nas urnas.

Estes pesquisadores chegam a recomendar que o processo de votação não aconteça em urnas eletrônicas, mas com cédulas de papel lidas por scanners óticos que permitem uma auditoria estatística rápida e mais segura.

A opinião pública americana (vide reportagem no New York Times) e a Justiça Alemã (vide editorial da Deutche-Welle) já se posicionaram contra a utilização de urnas eletrônicas.Reproduzo aqui a minha opinião sobre o assunto (que não mudou) de 4 anos atrás:

"A informatização da votação não muda o fato de serimperativo oacompanhamento (auditoria) do processo epossível verificação dos votos a posteriori. É umamudança tecnológica, e em nada acrescenta ao quesitosegurança. Obviamente, como o professor Del Picchiasugere, as tecnologias utilizadas pelo TSE poderiamser mais seguras e conhecidas (através da utilizaçãode hardware nacional e software livre, por exemplo).Porém isto não afetaria em nada a possibilidade defraude "interna" por quem controla a votação (videPainel do Senado), como foi sugerido também no texto(Jobim).Ou seja, em qualquer caso (inclusive com a impressãodos votos para uso em possível recontagem) vocêprecisa confiar no governo...Uma possível melhoria no processo seria a aberturado funcionamento da urna E de todo o processo decontagem para especialistas indicados por cadapartido político e por setores da sociedadeinteressados, o que evitaria a temida "segurançapor obscuridade", que torna o processo maispassível de ser fraudado internamente e acabaimpactando negativamente na segurança do sistemaeleitoral como um todo.Pois o que não pode ser testado exaustivamentecontra falhas - inclusive as exploráveis porperpetradores externos - não pode em hipótesenenhuma ser considerada segura."

Aproveito para passar aos leitores interessados dois grupos dediscussão sobre o assunto no Brasil: VotoSeguro e VotoEletrônico.Através deles fui informado que hoje (12/08/2009) haverá umaaudiência pública no Senado sobre a exclusão do artigo de leido voto impresso da minirreforma eleitoral - fiquemos de olho.Somente um esforço contínuo, transparente e democrático deauditoria das urnas e do processo eleitoral pode tranquilizar aopinião pública acerca da legitimidade das eleições, e a sinalização do TSE acerca dos testes que serão efetuadosem novembro são um ótimo começo.

FTK 4 - Evolução, Funcionalidades e evento de lançamento

2012-03-25T00:55:00.000-03:00

[ Update 25/03/2012 ]

Mais de 100 inscrições foram feitas no link http://tinyurl.com/ApuraFTK4 e os eventos ocorrerão nesta semana em Brasília (3a) e São Paulo (5a).

[ Update 07/03/2012 ]

Nos últimos dias alguns profissionais de renome na área comentaram e expandiram o assunto que tratamos neste post:

Em primeiro lugar, agradeço ao meu amigo Andrés Velázquez e expert em pericia forense da Mattica - empresa mexicana precursora da área na América Latina - que publicou em seu blog sobre Computação Forense em espanhol o seguinte post:

http://www.andresvelazquez.com/2012/03/la-nueva-version-de-accessdata-ftk-4-la-historia-por-sandro-suffert/ (1)

Aproveito também para agradecer ao SegInfo (2) e ao Luiz Rabelo (3) por publicarem em seus respectivos blogs material sobre o assunto em pauta. Muito obrigado, senhores!

[ Post Original 03/03/2012 ]

O world tour de lançamento da ferramenta FTK4 passará pelo Brasil em março (Brasília - 27 e São Paulo - 29). Caso você tenha interesse em participar do evento, faça seu cadastro neste link.

Tive a oportunidade de iniciar os testes da versão 4.0 do Forensic Toolkit da AccessData em 16 de fevereiro (obrigado Corey Johnson e Marcos Ferrari) e desde então estou esperando ter tempo para apresentar um resumo e capturas de tela das inovações que a ferramenta vem apresentando em suas últimas versões.

Antes de tratarmos algumas das novidades e pontos fortes da solução, gostaria de fazer um breve histórico da evolução da ferramenta nos últimos anos:

FTK 1.x) A versão mais antiga da solução já possuía alguns diferenciais interessantes, como a categorização/overview baseada em assinatura de arquivos; um processo de indexação (baseado no dtSearch) eficiente; e uma capacidade de análise de emails superior.

FTK 2.x e 3.x) Nesta versão foram incluídas funcionalidades como o Banco do Dados Oracle (2.x) para processamento de casos (em oposição ao processamento em memória); foi adicionada a capacidade de processamento distribuído em várias máquinas (1+3); A possibilidade de cálculo de Fuzzy Hashing, reconhecimento e indexação de texto em imagens (OCR); Detecção automatizada de imagens pornográficas (EID); Agente para aquisição de imagem de disco, dados voláteis e memória remotamente - para windows somente, Banco de dados PostGres (3.x), metacarving).

FTK 4.x) Análise de memória incluindo varredura de VAD TREE de processos, e possibilidade de utilização de agentes de "forense enterprise" para aquisição de dados em uma máquina ligada (Mac, Linux, ou Windows); Iremos tratar abaixo várias novidades desta versão e funcionalidades consagradas que se mantiveram, incluindo os novos módulos exclusivos da nova versão;

Alguns screenshots exclusivos do FTK4 em execução:

1) Gerenciamento de Casos é feito de forma transparente em um BD postgres:

2) Barra de navegação e visualização do FTK4 alia facilidade e poder de uso:

3) O Case Overview proporciona múltiplas maneiras de visualizar os dados presentes nas imagem forenses inseridas no caso:

4) Categorias de arquivos agrupadas por assinatura (headers):

5) Análise de dados voláteis e de memória incluindo processos, bibliotecas, sockets, arquivos abertos, parâmetros, etc..

6) Opção "Exportar informações de arquivos .LNK" (hat tip to David Cohen) que possibilita a geração de uma planilha com informações valiososas sobre a atividade de usuários no sistema operacional Windows, incluindo abertura de arquivos de pendrives, discos externos:

7) A Opção acima também facilita a extração de informações relacionadas ao acesso de diretórios de rede:

8) O novo módulo Cerberus de análise estática de binários, calcula uma classificação de risco baseada em uso de comunicações de rede, persistência, criptografia, obfuscação, APIs e funções utilizadas pelo binário - muito útil para casos envolvendo malwares:

9) O novo módulo de Visualização é extremamente flexível, permitindo a geração de gráficos baseados em diferentes informações presentes no caso, como estatísticas de arquivos selecionados:

10) O módulo permite também outros tipos de visualização, como o envio e recebimento de emails:

11) processamento distribuído - para casos maiores e análises mais rápidas, é possível habilitar o processamento distribuido em até quatro máquinas (O FTK4 estará rodando em uma delas e o "Distributed Processing Engine" em outras três) - isto pode significar um aumento significativo de performance.

12) agentes enterprise para Windows, MacOS e Linux - o FTK4 possibilita a aquisição remota de imagens (físicas ou lógicas) e também uma obtenção de dados voláteis e/ou o dump de memória RAM de máquinas dos sistemas operacionais Windows, Linux e MacOS.

13) Para finalizar, podemos verificar o poder da ferramenta observando o menu de Análises Adicionais:

São dignas de nota especial as seguintes funcionalidades adicionais:

a. Detecção de Imagens Pornográficas (EID) - com váras opções de algorítimos com diferentes níveis de precisão (e velocidade);

b. O reconhecimento óptico de caracteres (OCR) em arquivos de imagem, pdf, - com dois algorítimos disponíveis;

c. Fuzzy Hashing - muito útil para identificar mesmo pequenas alterações feitas em documentos e outros arquivos;

d. o poder de customização no carving (recuperação a partir de clusters não alocados) de arquivos e a funcionalidade de meta carving (busca por entradas órfãs na tabela FAT e no índice $MFT do NTFS);

e. a capacidade de geração de relatórios de informações do registro windows baseados em templates pré-configurados;

14) Caso eu tenha esquecido algo de relevante - e para encerrar o post - segue a lista de novidades listadas pela AccessData e ao final um link para os "Release Notes":

Forensic Toolkit 4 is now available!

This major release is designed to deliver enterprise-class capabilities at a stand-alone price. Now, you can leverage the full functionality of AD Enterprise against a single live remote node. This means FTK users can conduct remote investigations to eliminate travel, reduce response times, and speed acquisitions…. And organizations gain incident response capabilities that are so critical in securing networks. In addition to AD Enterprise functionality, FTK 4 users are able to integrate malware triage and visual analytics with two new FTK add-on modules, the industry-first Cerberus malware triage and analysis module and our new state-of the art Visualization solution.

FTK continues to be the most innovative solution on the market, as well as the best value, giving you integrated functionality that would normally cost tens of thousands of dollars. It’s time to learn the meaning of next-generation digital investigations…

What’s New in FTK 4?

Single-Node Enterprise
Install a persistent agent on a single computer to enable the remote analysis and incident response capabilities of AD Enterprise. Preview, acquire and analyze hard drive data, peripheral device data, (RAM Windows Only) and volatile data on Windows^®, Apple^® OS, UNIX^® and Linux^® machines. Uninstall the agent at any time, and push it out to a different computer.
WATCH DEMONSTRATION >

Expanded RAM Analysis
FTK 4 now provides VAD tree analysis. To see a full list of static RAM analysis capabilities, view the FTK data sheet.

New File System /File Type Support

YAFFS and YAFFS2
Exchange 2010 EDB
7zip

Enhanced decryption support (with proper credentials)

Checkpoint Pointsec disk encryption
Sophos Safeguard Enterprise (latest version)
Multi-password capability

Increased processing performance, especially on systems with more than 8 cores.

New Regular Expression Support for Index Searching
FTK users can now search for advanced combinations of characters against the index.

Licensing
Added support for soft dongle licensing in virtual machines.

Add Integrated Malware Analysis with CERBERUS
Cerberus is a malware triage technology that is available as an add-on for FTK 4. The first step towards automated reverse engineering, Cerberus provides threat scores and disassembly analysis to determine both the behavior and intent of suspect binaries.

Add state-of-the-art data analytics with VISUALIZATION*
With our new visualization module you can view data in seconds in multiple display formats, including timelines, cluster graphs, pie charts and more.

SEE RELEASE NOTE FOR ADDITIONAL PRODUCT ENHANCEMENTS>

Exploit Kits e o seu Java (CVE 2011-3544 Java_Rhino)

2012-03-19T22:25:00.000-03:00

[ Update: 19/03/2012 ]

A vulnerabilidade JAVA CVE-2011-3544 continua exercendo um papel fundamental em diferentes campanhas de ataque analisadas recentemente - segue uma breve compilação de cases abaixo. (obrigado ao Alberto Fabiano pela dica de alguns links):

1 - F-Secure: Mac Malware at the Moment
http://www.f-secure.com/weblog/archives/00002330.html

2 - ESet: Drive-by FTP: a new view of CVE-2011-3544
http://blog.eset.com/2012/03/17/drive-by-ftp-a-new-view-of-cve-2011-3544

3 - TrendMicro: NGOs Targeted with Backdoors
http://blog.trendmicro.com/human-rights-organizations-possible-new-targets/

4 - GFI: Online Criminals Bank on Skype Vouchers to Spread Exploit
http://www.gfi.com/blog/online-criminals-bank-on-skype-vouchers-to-spread-exploit/

5 - ThreatPost: Rare RAM-Based Malware Attacks Visitors of Russian Information Sites
http://threatpost.com/en_us/blogs/rare-ram-based-malware-attacks-visitors-russian-information-sites-031912

6 - Mac OS X exploit and Trojan horse monitoring users via webcam
http://news.drweb.com/show/?i=2262&lng=en&c=5

7 - SecureList: A unique 'fileless' bot attacks news site visitors
http://www.securelist.com/en/blog/687/A_unique_fileless_bot_attacks_news_site_visitors

[ Update: 28/12/2011 ]

Como imaginado o CVE 2011-3544 já é desde ontem o principal vetor entre as infecções "drive-by-download" no Brasil.

Uma imagem vale mais do que mil palavras:

Fonte: Assolini da Kaspersky via Twitter [1, 2]

[ Update: 01/12/2011 ]

Java.. um mal desnescesário?

I) Problemas com o Java, mais uma vez:

Alguns "exploit kits" já continham o exploit "Java Rhino" (CVE 2011-3544) e o nível de sucesso de sua execução em diferentes versões de S.O. e browsers é bem alto - veja um exemplo de console do exploit kit "BlackHole" (imagem)

Pra piorar a situação, ontem foi disponibilizado para qualquer um baixar (projeto metasploit) um módulo de exploração desta vulnerabilidade Java (ou seja: cross-platform & cross-browser).

Código (Metasploit - Ruby): http://dev.metasploit.com/redmine/projects/framework/repository/revisions/f26f6da74b4e6d87d2c59034b85dfb1ae0d1b1d7/entry/modules/exploits/multi/browser/java_rhino.rb

Mas, vulnerabilidades são descobertas a todo minuto, exploits são escritos a toda hora, porque dar destaque a esta específica? Continue lendo..

Logo que saiu, eu testei em Linux, Mac e Windows 7 - funcionou em todos sem exceção (Firefox, Chrome, IE, Safari)!

Como vocês podem ver no post original (de 02 Agosto) abaixo, a elevação de privilégios explorando vulnerabilidades Java é bem mais simples de ser obtida e esta é uma mina de ouro para ataques de Drive-by Download, entre outros..

A coisa é mais complicada ainda porque o usuário não precisa interagir em absolutamente nada durante o processo de exploração da vulnerabilidade. Some a isto a realidade da dificuldade de manter todas as instalações de JAVA "up-to-date" em uma empresa, e você tem um cenário bem negro pra lidar..

II) Cenário provável nos próximos dias:

Quanto tempo até que grande portais e provedores redirecionem [WEB ou DNS invadido ou envenenado] milhares de usuários de internet banking (ou até hotmail.com, google.com como aconteceu recentemente) pruma página com um Drive-By Download (iframe invisível no site, por exemplo) com este exploit Java - multi-browser e multi-plataforma?

Minha opinião: não demora e vai ser feio.. =/

III) Para os que só acreditam vendo:

Vídeo 1) Original: www.youtube.com/watch?v=4xI9USYl8P0 (IE / XP)

Vídeo 2) Armitage: www.youtube.com/watch?v=cXctDpaNIjw (Firefox, Internet Explorer, Safari - Windows, MacOS X, Linux)

IV) O que você pode fazer quanto a isto?

Segundo a Microsoft, o cliente Java hoje é responsável por praticamente a metade das explorações a máquina Windows. Ou seja, antes de mais nada - avalie se você realmente precisa do Java.. assim como do Adobe Reader.. =) Pelo altíssimo grau de exploração de ambos, seriam "um mal desnecessário"?

Se você é usuário Linux ou Mac - tenha certeza de sempre fazer update das aplicações assim que as correções são lançadas.

Mas - como garantir que você tem as últimas versões do Java e de outros aplicativos no(s) seu(s) computador(es) Windows?

Software (já recomendado aqui várias vezes):

Secunia PSI - http://secunia.com/vulnerability_scanning/personal/

Se você acha que não precisa, faça o teste online e veja quantas aplicações você vulneráveis (apenas aguardando a exploração..) no seguinte link:

OSI (Online): http://secunia.com/vulnerability_scanning/online/

Mais informações:

[ Post Original: 02/08/2011 ]

Entre 2009 e 2010 eu publiquei e atualizei um artigo entitulado "A saga de se manter seguro usando Windows", contendo dicas para usuários finais (usando ferramentas gratuitas).

As dicas da época continuam valendo - assim como a recomendação do Secunia para facilitar a aplicação dos patches necessários - porém infelizmente a facilidade de exploração de aplicações vulneráveis não deixa de ficar maior a cada ano..

Hoje são tantos os exploit kits disponíveis no mercado que análises comparativas como a publicada pela Kaspersky recentemente não chegam a ser novidade, mas alguns detalhes merecem destaque:

Os exploit kits mais famosos (BlackHole, NeoSploit, Phoenix, Incognito e Eleonore) objetivam atingir usuários com uma série de exploits sucessivos durante a sua navegação (em um ataque conhecido como Drive-by Download), e por isto exploram principalmente vulnerabilidades de navegadores e seus plugins. São exploradas vulnerabilidades do IE, Firefox, Chrome, Flash e Java, por exemplo. Porém as vulnerabilidades do JAVA são as mais utilizadas nos exploit kits.. Mas, por que?

Confiram o caminho necessário para exploração de cada aplicação a partir da imagem abaixo (publicada no artigo da Kaspersky linkado acima): está esclarecida a preferência por vulnerabilidades no JAVA?

E o seu Java, está atualizado? Confira aqui no site da Secunia.

Com a melhoria na proteção de execução em memória no Windows, principalmente com as "barreiras" DEP e ALSR - o atacante tem mais trabalho para conseguir executar instruções maliciosas a partir de um processos em execução que possuam estas proteções. Para um detalhamento de como estes bypasses funcionam, sugiro um artigo do Ronaldo do blog "Crimes Cinernéticos".