Translate

sábado, 20 de fevereiro de 2016

Engenharia Social e Sequestro de Dados - Pessoas e empresas reféns do Cyber-crime.

INTRODUÇÃO  
Embora a Engenharia Social possa ser descrita como o conceito antigo de manipular pessoas enganando-as para que forneçam informações ou executem uma ação (IAN MANN 2011), suas técnicas permanecem em constante evolução. Quando lidamos com golpes frutos de Engenharia Social, a porta de entrada, diferentemente do que a segurança da informação está acostumada a tratar, não são simplesmente softwares e empresas, mas principalmente pessoas.
Impulsionados pela sociedade, religiões e pela autoconfiança, somos treinados durante a vida para acreditar uns nos outros e seguir instruções.  É ímprobo para natureza humana acreditar que podemos ser passados para trás, confiamos nos outros e principalmente em nós mesmos. Acreditamos que somos capazes de nos proteger, que somos mais espertos ou simplesmente que estamos inumes.
A mente humana pode ser facilmente manipulada. Não é preciso grandes esforços para saber o que uma pessoa pensa, suas fraquezas, sonhos, medos, objetivos e interesses. Nossas vidas foram invadidas com prévio consentimento pelas redes sociais e internet. O uso de informações pessoais expostas nas redes facilita de forma assombrosa o trabalho dos engenheiros sociais.
Embora a maioria das pessoas acredite ser pensadoras independentes, a realidade é que é fácil invadir suas mentes e direcionar suas ações em prol de vantagens  específicas, motivadas  por razões políticas, sociais e principalmente financeiras.


EMPRESAS BLINDADAS X PESSOAS DESPREPARADAS 
Uma empresa pode possuir tecnologias robustas, softwares que prezem os pilares da segurança da informação, utilizar senhas fortes, antivírus, firewall, proxy, sistemas para detectar intrusões e autenticação biométrica. Tudo isso a  um custo alto, e por incrível que pareça, pode ser completamente inútil se ela for vítima de Engenharia Social. Isso acontece porque a Engenharia Social age por meio de truques psicológicos, explorando e manipulando a tendência que as pessoas possuem de confiar umas nas outras nelas mesmas.
Quando se fala de golpes inovadores realizados através de Engenharia Social é o Sequestro de Dados, especificamente o Ransomware que tem assustado ultimamente. Ransomware é uma espécie de malware utilizado pelos cyber-criminosos para bloquear e criptografar os dados dos usuários 'sequestrando' as informações, de forma a torná-las inacessíveis, até que os donos paguem determinado valor, normalmente em moeda virtual. O malware exibe uma mensagem informando que o computador não será desbloqueado até que o usuário realize o pagamento do resgate solicitado, dentro de determinado prazo. 

Os sequestradores virtuais, como são conhecidos, vasculham através de buscas na internet e nas redes sociais; preferências, interesses, riscos e limitações dos alvos. Com base nessas informações, desenvolvem códigos maliciosos e utilizam a  técnica de Phishing de forma específica e direcionada. Além de precisar pagar para recuperar as informações, as vítimas ainda correm o risco de sofrer o golpe novamente, já que os alguns Ransomwares depois de liberar os dados, exploram brechas de segurança para possibilitar novas invasões. O FBI sugere nesses casos,  que as vítimas que não possuam backup das informações, façam o pagamento do resgate. Não seria isso, de certa forma, um incentivo ao crescimento do sequestro virtual? É no mínimo, polêmico. 
Para a ISO 27002, a segurança da informação é a proteção da informação quanto a vários tipos de ameaças, de modo a garantir a continuidade do negócio, minimizar o risco, maximizar o retorno sobre o investimento e as oportunidades de negócio (NBR ISO/IEC 27002:2005). Segundo Ian Mann, embora a ISO 27002 trace o caminho para segurança da informação ela deixa a desejar quando o assunto é a prevenção da engenharia social. 

O PERIGO DA EXPOSIÇÃO VIRTUAL 
As redes sociais e a internet têm colaborado significativamente para a ação dos criminosos virtuais. Quão difícil é obter as informações necessárias sobre alguém, se essas estão sensíveis na rede? 
É imensurável a quantidade de informações que trocamos diariamente na internet. Compartilhamos com mundo quem somos, nossos amigos, familiares, interesses, sentimentos, onde trabalhamos e estudamos. Tudo parece seguro e distante demais para ser arriscado, nos sentimos envolvidos por uma capsula de proteção ‘vestida de zeros e uns’ imune ao perigo.   
Sair de casa para fazer qualquer coisa que possa ser feita pela internet, é considerada uma espantosa perda de tempo e retrocesso. Mas você pararia um estranho qualquer na rua e diria seu nome, onde mora e trabalha? Contaria a ele o nome dos seus filhos, o que você gosta de fazer, onde você gosta de comprar e como está se sentindo triste naquele momento?.
Com a dependência que criamos da internet, será que restou algum resquício de consciência do que nossas atitudes no mundo virtual podem causar? E os profissionais de TI, treinados para projetar e construir tecnologias estão cientes de que seus dados disponíveis na rede podem trazer consequências?


CONCLUSÃO
O crime virtual deixou de ser uma brincadeira  de hackers amadores em busca de diversão e um pouco de fama, para se transformar em uma séria e organizada indústria criminosa movida por razões financeiras.

Os últimos anos foram marcados por uma sucessão de fraudes e golpes  evoluídos que fizeram muitos reféns. As pessoas estão fascinadas pela informação, o que é positivo, contribui  para o progresso e evolução da sociedade e da economia. Mas independente do nível de conhecimento em Tecnologia da informação, a ausência de conscientização, credulidade e o que podemos denominar como "desejo de ser amado" ainda são responsáveis pelo elo mais fraco da corrente humana.

segunda-feira, 25 de maio de 2015

Heartbleed - A falha de Segurança que Assustou o Mundo

Olá queridos leitores! 

Quanto tempo sem postar aqui!  Acharam que eu tinha caído  no Triângulo das Bermudas? Nada, tempo corrido demais! Quando vejo já é sexta, já passou um mês acabou o ano. Deixando o "lero lero" de lado, hoje vim aqui para falar de um assunto que assustou o mundo da segurança da informação em 2014 a vulnerabilidade Heartbleed caso se interessem pelo assunto me acompanhem nessa. 


Nos dias atuais, somos levados a acreditar que podemos comprar soluções prontas para os nossos problemas, de preferência feitas sob medida e que atendam nossas necessidades. Na segurança da informação não é diferente, o mercado está abastecido de soluções para todos os tipos problemas. Mas, a essência do que se busca nem sempre pode ser encontrada na prateleira mais baixa de um armário, embrulhada em um pacote. É preciso ter cautela e analisar com paciência o que melhor nos atende, pois muitas dessas soluções prontas estão em processo de maturidade e apresentam falhas graves.    
Em Abril de 2014, foi oficialmente divulgada uma falha na biblioteca de criptografia  OpenSSL, falha essa que seus descobridores criativamente chamaram de Heartbleed em inglês, sangramento no coração. Teoricamente, não deveríamos nos preocupar, já que estamos trabalhando com uma biblioteca que utiliza protocolos de segurança SSL e TLS e até da para se questionar como um hacker vai conseguir encontrar os nossos “dados secretos”. Perceba que escrevi dados secretos entre aspas, exatamente porque eles não estão tão secretos assim. No caso Heartbleed nem foi  preciso ser um agente NSA da vida para saber tudo a nosso respeito. 
 Certo. Mas como isso é possível? A coisa toda não é criptografada? Acontece que os servidores de autenticação precisam manter os dados de login sempre na memória para que a conexão seja mantida.  Logo, os dados dos usuários vêm nesse roubo da memória e o hacker só precisa usar a senha de criptografia para descobrir os dados verdadeiros e assim acessar Yahoo, Facebook, Google, Amazon, Instagram e outros tantos sites operam com  OpenSSL. Detalhe importante,  era possível atacar sem deixar nenhum tipo de vestígio, mesmo fazendo acesso por fora dos servidores.
Muitas tecnologias inseguras ( o que não era o caso do OpenSSL)  ainda não foram quebradas porque estão no que podemos chamar carinhosamente de infância de software. À medida que se tornam mais conhecidos e utilizadas, infelizmente são alvos atraentes para criminosos. Concluindo esse discurso pessimista e simultaneamente realista, podemos afirmar que em futuro próximo, sobreviverão no mercado apenas as tecnologias robustas e evoluídas.

 SSL E TLS
Tanto o SSL quanto o TLS são protocolos desenvolvidos para elevar a segurança dos dados transmitidos pela internet. As diferenças entre eles são pequenas e técnicas, O TLS tem capacidade de trabalhar em portas diferentes e usa algoritmos mais fortes. O SSL pode ser usado em vários serviços, sendo que o mais comum é o acesso à páginas web.  
Ambos fazem uso de criptografia para garantir o sigilo das informações transferidas entre o navegador do usuário e o servidor web. Como consequência, mesmo que as informações sejam interceptadas elas não podem ser lidas sem que sejam descriptografadas.


Figura 01.  Funcionamento SSL: Fonte (SITE, tecmundo.com. br/seguranca/1896-o-que-e-ssl)

              NÃO DA PARA FALAR DE HEARTBLEED SEM FALAR DE  OPENSSL

O OpenSSL é uma biblioteca de software criptográfico que opera com os protocolos   SSL e TLS. Essa biblioteca é escrita na linguagem C e implementa as funções básicas de criptografia,  disponibilizando várias outras  funções utilitárias.
O OpenSSL está disponível para a maioria dos sistemas do tipo Unix, incluindo LinuxMac OS X, as quatro versões do BSD de código aberto e também para o Microsoft Windows, e é usado por muitos sites e outras aplicações como email, mensagens instantâneas e VPNs.

MAS AFINAL O QUE É HEARTBLEED? 
Heartbleed é o nome que os pesquisadores de segurança deram para um erro grave encontrado em um pedaço de software comum utilizado em vários sites. O software em questão é o OpenSSL .  Nem é preciso analisar profundamente a logo da falha para perceber que faz sentido: um coração sangrando consegue representar a perda progressiva de algo importante, uma metáfora que se encaixa bem no contexto do Heartbleed: na falha, os dados são capturados aos poucos, em vários acessos sequenciais.
A vulnerabilidade Heartbleed permite que um invasor  leia os sistemas de memória utilizando certas versões do OpenSSL, com a possibilidade de acessarem nomes de usuários, senhas ou até mesmo as chaves criptográficas secretas do servidor usadas para o SSL. A obtenção dessas chaves permite que usuários maliciosos observassem todas as comunicações desse sistema e mais explorações.



Figura 2.  : Gráfico servidores que suportam SSL : Fonte (SITE,  securityaffairs.com)

Os administradores de sistemas, podem verificar  e atualizar os seus servidores caso estejam com as versões do OpenSSL de 1.0.1 até o 1.0.1f que são são vulneráveis. Versões anteriores à 1.0.1, como a 1.0.0 e 0.9.8, não são vulneráveis. E que a versão 1.0.1g corrige o bug, portanto não é vulnerável.
Para verificar se os servidores estão vulneráveis, o comando abaixo pode ser utilizado:
$ echo -e “quit\n” | openssl s_client -connect seuhost:443 -tlsextdebug 2>&1| grep ‘TLS server extension “heartbeat” (id=15), len=1′

O QUE PENSO SOBRE ESSA SOBRE ESSA COISA TODA

O mundo moderno, tem se caracterizado pelo avanço da ciência e da tecnologia. Uma vez encontrada uma falha de segurança, pode-se consertá-la. Mas encontrar falhas pode ser extremamente difícil. Segurança é diferente de qualquer outro requisito de projeto, porque funcionalidade não é igual à qualidade. Nenhuma quantidade de testes beta revela todas as falhas de segurança de um sistema, e não haverá nenhum  teste possível que preveja  a ausência destas falhas.

Estudiosos do mundo inteiro têm se pronunciado sobre a forma como as questões de segurança e dados on-line devem ser resolvidas no futuro. Alguns sugerem que não se deve mais aceitar senhas como uma prática de segurança suficiente, mas sim substituí-las pela   identificação biométrica (Temos um post sobre sistema biométricos aqui). Essa estratégia pode ser potencialmente benéfica, mas, por outro lado, exige um esforço financeiro maior. Gastar dinheiro com computadores, laptops e dispositivos móveis relativamente mais caros. Além disso, alguns céticos presumem que   biometria está longe de ser um remédio, especialmente se o identificador, inserido em um smartphone por exemplo, não conseguir  reconhecer as   impressões digitais de seu dono.

A segurança dos dados deve ser considerada o assunto principal para cada negócio, logo, torna-se imprescindível tomar  todas as medidas necessárias para manter a  informação  segura. É difícil prever como essas falhas de segurança são susceptíveis, mas agora, vivendo na prática o caso Heartbleed esperamos tomar as decisões certas.













quarta-feira, 15 de outubro de 2014

Ataques DDOS - Como funcionam e suas motivações

       INTRODUÇÃO


Camuflados pelo óbvio, possuímos o apavorante costume de reagir somente quando os acontecimentos nos causam enormes prejuízos. Com a evolução da internet e o crescente mundo do cibercrime, essa não deve ser uma abordagem aceitável. Deve-se possuir consciência proativa, agir estrategicamente na proteção dos dados e serviços. 
Atualmente, um dos ataques mais frequentes tem sido os de negação de serviço (Denial of Service Attacks – DDOS). Esse tipo de ataque danifica ou interrompe os serviços em execução. Grandes empresas e governos são os alvos mais atingidos pelos cibercriminosos que quase sempre objetivam atingir áreas delicadas de conflitos e protestos.
Os atasques DDOS podem ser realizados de formas diferentes. O atacante pode enviar pacotes deformados que provocam o bloqueio de um protocolo ou de uma aplicação, ou simplesmente enviar pacotes que façam um número excessivo de requisições exigindo o uso demasiado do processamento e da memoria de um servidor. Também é possível atacar os servidores inundando-o de pacotes que consumam os recursos da banda dificultando que usuários reais usufruam do serviço. Interromper um servidor Web ou um roteador pode ser definitivo na interferência de um ou vários serviços.


        O QUE É E COMO FUNCIONA UM ATAQUE DE NEGAÇÃO DE SERVIÇO

Conhecidos popularmente como DDOS, os ataques de negação de serviço normalmente não tem o propósito de roubar os dados, mas sim, de tirar os servidores do ar. Eles prejudicam a disponibilidade das informações e recursos, consumindo o processamento e a memoria. Esse tipo de ataque é facilitado pela ideia original da internet de seguir o paradigma de comunicação fim-a-fim.
Os ataques são efetuados utilizando o envio demasiado de pacotes ao mesmo tempo para um mesmo servidor, sobrecarregando sua utilização. Basicamente, o ataque acontece quando alguns “personagens” cumprem seus papeis. Para entender o seu funcionamento precisamos conhecer os itens que são fundamentais para que o ataque DDOS aconteça:
Atacante: É o invasor. O indivíduo que realmente planeja e coordena o ataque. Possui sua máquina individual que pode ser um computador de mesa ou um Notebook.
Master: Computador que é programado para comandar os agentes.
Agente: Computador que realmente realiza o ataque DDOS contra um ou mais alvos ou vítimas, conforme o desejo do atacante.
Vítima: Máquina que recebe o ataque. É ocupada por um grande número de pacotes, sobrecarregando toda a rede e resultando na paralisação desta e conseqüentemente dos serviços oferecidos.
Cliente: Aplicação que está no master e que realmente tem o controle dos ataques e envia comandos aos daemons.

Os ataques DDOS são realizados em três fases:
1ª Fase: É feito um estudo das portas e das vulnerabilidades das redes alvo, em seguida,  explora-se essas vulnerabilidades, feito isso, pega-se os endereços de IP das máquinas invadidas, com eles em mãos,   monta-se a rede de ataque.
2ª Fase: Utiliza-se uma das contas de usuário para instalar as versões compiladas das ferramentas de ataque, uma vez instaladas, o atacante consegue controlar essas máquinas remotamente. Essas máquinas poderão ser Agentes ou Masters.
3ª Fase: A pessoa que está atacando pode controlar uma ou mais máquinas master, e as máquinas Master podem controlar muitas máquinas Agentes. A partir daqui, pode-se disparar os pacotes e consolidar o ataque. Os ataques ficam em Stand By até que o Master mande instruções para atacar os endereços de Ip de acordo com o espaço e tempo.
Figura 01 - Funcionamento ataque DDOS 

        QUAL E A MOTIVAÇÃO


          É característica humana a existência de discórdia entre grupos que interagem. Diferente de outros tipos de ataque, a maior parte dos ataques DDOS não possuem motivação financeira. Embora possa causar prejuízos as vítimas, a realização desses ataques em maioria esmagadora tem objetivos políticos e ideológicos.
Os atacantes normalmente são Ativistas Online. Motivados politicamente, identificam-se por uma corrente particular de pensamento político e social, muitas vezes, mesmo não tendo nenhuma ligação com a organizações.
Também existe os que o fazem por mera curiosidade e os que estão interessados em novas descobertas ou querem ver o quão são capazes.

DIFERENÇA ENTRE DOS E DDOS

Em tempos não tão ultrapassado assim, os hackers criavam ataques DOS "escravizando" computadores que agiam como servidores na internet. Mas, com o progresso na velocidade de acesso à internet, passaram a adquirir interesse nos computadores dos usuários comuns com acesso banda larga, já que estes representam um número muito grande de máquinas.
Por serem altamente similares, são muito confundidos. A principal diferença entre um ataque DOS e um DDOS é a forma com que eles são feitos. Enquanto o ataque DDoS é distribuído entre várias máquinas, o ataque DOS é feito por apenas um invasor que envia vários pacotes.
Os ataques DoS são bem mais fáceis de evitar com algumas regras em firewalls. Além disso, é preciso uma conexão de banda larga e um computador capaz de enviar muitos pacotes ao mesmo tempo para que esse tipo de ataque tenha sucesso.

          CONCLUSÃO 

Esse tipo de ataque é uma séria ameaça para as operações da internet, contudo, não é um hábito se preocupar tanto com ele. Subestima-se os ciberataques considerando o simples fato de “nada de tão ruim ter acontecido até hoje”. Não devemos nos enganar. Esse é exatamente o tipo de pensamento que pode nos levar a um 11 de setembro virtual. O futuro das guerras está propenso a ser mudado pelos sistemas da informação.