Todos os posts em Entrevistas

Programas responsáveis de divulgação de vulnerabilidades – A continuação…

hammer

Dando continuidade ao tema referido no artigo sobre a possibilidade de um programa de divulgação de vulnerabilidades em Portugal, questionei Sérgio Silva, do Conselho Superior da Magistratura, sobre a opinião e o seu ponto de vista legal destes programas.

Que funções desempenha atualmente no Conselho Superior da Magistratura?

Coordenador da Unidade de Informática do Conselho Superior da Magistratura.

Qual é a sua opinião em relação aos programas responsáveis de divulgação de vulnerabilidades em Portugal?

Tendo em conta o panorama actual da segurança informática em Portugal associado à fraca consciencialização para esta temática este tipo de programas serão muito complicados de implementar . As empresas/entidades não reagem bem a possíveis alertas sobre falhas nos seus sistemas e muitas vezes quem faz o aviso fica com uma serie de problemas.

Numa conversa anterior, referiu que, mesmo que a empresa com estes programas, contratualizar quem testa as vulnerabilidades, é difícil diferenciar o que entra no programa e um possível ataque real. Existem soluções para este tipo de problema?

É uma questão muito complicada dado que quem testa pode sempre tornar-se num atacante real. A solução passaria por uma credenciação de quem poderia aderir a esse programa, ou seja a criação de uma comunidade portuguesa devidamente identificada que estaria autorizada a fazer os testes de vulnerabilidades das empresas que tivessem integradas em programas responsáveis de divulgação de vulnerabilidades em Portugal.

A atual lei portuguesa não prejudica a comunidade infosec?

A legislação Portuguesa, Lei n.º 109/2009 de 15 de Setembro, em matéria de Cibercrime é das mais completas e avançadas a nível europeu, basicamente todos as técnicas usadas pela comunidade infosec podem ser tipificadas nos vários artigos da referida lei .
O simples facto de alterar uma url de forma a produzir um erro, como por exemplo uma falha de SQL , pode ser considerada como tentativa de acesso ilegítimo e punida com pena de prisão até 1 ano ou com pena de multa até 120 dias.
No entanto e como é referido no nº6 no artigo 6.º da Lei n.º 109/2009 o procedimento penal depende de queixa, ou seja quando alguém da comunidade infosec descobre uma vulnerabilidade e a reporta corre o risco de que a entidade a quem reporta o erro fazer queixa.
A lei Portuguesa não prejudica em nada a comunidade infosec, o que prejudica é mais uma vez a falta de consciencialização dos “donos dos sistemas”, o investimento em segurança informática é muito diminuto e muitas vezes nulo, Portugal ainda não despertou em termos de Ciber Segurança e isso sim prejudica a comunidade infosec.

Para terminar, qual a sua opinião em relação à segurança dos sites governamentais. São constantes os sites desfigurados a várias entidades do governo. Será que não estamos todos em risco?

Penso que não existe uma grande diferença entre sites desfigurados governamentais e empresariais, o que difere é que um defacement num site governamental tem sempre mais impacto nos media do que num site empresarial.
Do meu ponto de visa as razões que levam a que este tipo de ataque tenha sucesso prende-se com o facto de que pura e simplesmente as plataformas são postas online e depois não existem procedimentos de monitorização ou de actualizações dos sistemas, quase nunca estão previstas nos contratos.
Actualmente é possível ver sites com vulnerabilidades que foram descobertas à mais de 3 anos e que já deviam ter sido corrigidas.
Outra questão é que quando se usam plataformas de CMS e é aplicado um template nem sempre se verifica a origem desse template ou se existe algo que possa comprometer o site no código do template.
Respondendo se estamos todos em risco a resposta é sim .
No entanto não tem a ver com sites governamentais onde são feitos defacement, tem sim a ver com a falta de estratégia a nível nacional na área da segurança informática e de um ecossistema de desenvolvimento de sistemas de informação em que a segurança informática não é a base mas sim um acessório.
Basicamente estamos a construir castelos e só no fim é que nos lembramos que deveríamos ter um fosso para impedir o ataque dos inimigos quando na lógica da estratégia defensiva o fosso deveria ser a primeira coisa a ser construída.

Agradeço ao Sérgio a disponibilidade que teve em responder ao WebSegura.net e a esclarecer algumas dúvidas que existiam na comunidade infosec.

Entrevista com… Brian Krebs

brian_krebs

Para que não conhece o Brian Krebs, é um jornalista americano que se dedica à investigação de temas relacionados com a segurança de informação. É o autor do blog – KrebsOnSecurity.com – onde publica esquemas fraudulentos que geram milhões e milhões de dolares aos utilizadores maliciosos.
Pessoalmente sigo o KrebsOnSecurity.com há alguns anos e penso que, o trabalho que ele publica no seu site diariamente, contribui para uma web mais segura e justa.
Tive o prazer de trocar algumas palavras com o Brian e questioná-lo sobre alguns temas.

És atualmente um dos jornalistas de segurança informática mais populares da web. Quais foram os motivos que te levaram a seguir essa carreira?

Puro fascinio sobre o assunto e uma percepção de que havia pouca compreensão de como funciona o underground. Tal como a razão do cibercrime ter tanto impacto em todos os utilizadores e organizações no planeta. Isto mantém-se o foco central das minhas reportagens: educar as empresas e os utilizadores sobre o papel dos mesmos no cibercrime. Para o bem ou para o mal, se não estão a trabalhar para fazer parte da solução, eles são parte do problema. Infelizmente, a maior parte das pessoas (e, por extensão as organizações) requerem uma catastrofe antes de chegarem a conclusão que devemos levar a cibersegurança seriamente e como fazendo parte das nossas vidas.

No teu blog, KrebsOnSecurity.com, divulgas esquemas fraudulentos que causam danos para milhões de utilizadores. Não tens receio que os utilizadores maliciosos virem a atenção para ti? Já foste vítima de Swatting. Não achas que pode voltar acontecer?

Desde o incidente de Swatting, tive a sorte de desenvolver uma relação próxima com as autoridades locais, por isso penso que a polícia não será novamente enganada noutra tentativa de swatting na minha residência. Mas de certeza que os criminosos têm outras maneiras de complicar a minha vida. Infelizmente, é algo que vem com este trabalho.

Como consegues manter e separar as diferentes identidades no teu dia-a-dia? (pergunta enviada por Jorge Moura)

Eu não uso multiplas identidades. Eu identifico-me sempre como jornalista e utilizo sempre o meu nome quando procuro comentários de pessoas. Eu penso que posso ser desculpado por não ter usado a minha verdadeira identidade quando estou a escolher usernames em foruns no cibercrime, onde basicamente sou pouco mais de um lurker [alguém que apenas visualiza os fóruns e não insere posts]. São diversas as vezes que tentei registar-me com o meu nome real, no entanto descubro sempre que o meu nome já está ocupado.

Tens alguma experiência de trabalho com portugueses da área de segurança?

Não tenho a certeza. Provavelmente, mas geralmente as pessoas não me informam quem são e donde são. Eu escrevi sobre um tipo, no inicio deste ano, que estava a correr um serviço intitulado de Indexeus – que estava desenhado para servir de motor de busca para leaks – que dizia que era de Portugal. Mas não tenho a certeza.

O Brian, lançou recentemente o livro Spam Nation. Esta obra fala da luta entre duas grandes organizações criminosas responsáveis pela maior percentagem do Spam mundial. Ele escreve na primeira pessoa a sua investigação ao longo do livro com conversas com os criminosos e as ligações politicas dos mesmos com governos e forças de segurança. O acesso exclusivo a leaks e a colaboração dos criminosos para divulgarem os seus negócios, deram a Brian uma visão nunca vista até hoje.
É um livro empolgante, em que o leitor fica sempre com curiosidade de saber o passo seguinte. Uma viagem ao mundo do crime online, onde as mentiras, o dinheiro e a corrupção reinam diariamente.
Gostava de destacar uma área do livro em particular – Pharma Wars – onde serviu de inspiração para a elaboração do meu artigo Pharma Hacks em Portugal.

Aproveitanto a oportunidade do lançamento do seu novo livro – Spam Nation, decidi fazer-lhe umas questões em relação à sua obra.

O que te levou a escrever o Spam Nation?

É o produto de um velho ditado, “Se existe um livro que ainda não foi escrito, e tu és o único que pode escrevê-lo, então tens de escrevê-lo”. Os líderes de duas enormes organizações do cibercrime decidiram “lutar” entre elas pagando a hackers para entrar nas operações e divulgar leaks gigantes de volumes de informação a entidades policiais e a mim – incluindo emails, chats, registos bancários, etc. Essa informação forneceu uma visibilidade incomparável das redes underground que fomentaram e perpeturam muito do cibercrime que temos visto na última década até aos dias de hoje. Armado com esse ponto de vantagem único, seria uma boa questão – “Porque não escrever este livro?”

Para que audiência é dirigido o livro Spam Nation?

É dirigido para qualquer um interessado em segurança informática e para todos os outros desde o chefe da empresa, até ao comum utilizador. Os leitores regulares têm que compreender – do ponto de vista do hacker – que eles são apenas uma fonte e um meio para atingir um fim. O cibercrime não é pessoal, é um produto de uma entidade ou de um particular que não está ciente do verdadeiro valor dos seus sistemas, porque o atacante certamente o sabe. Podemos passar o dia a pensar no assunto – se as companhias que produzem software vulnerável devem ou não ser responsabilizadas pelos produtos (vulneráveis) que oferecem e que os utilizadores devem fazer parte da solução para a resolução do problema (uma verdade inegável). No fundo é um tema complicado com cenários utópicos, onde na vida real as coisas (funcionam) são diferentes.

É bastante mau que o utilizador comum seja desarmado e derrotado contra as ameaças de hoje; mas este também desconhece completamente a sofisticação do ataque que enfrenta, além disso não tem esperança em manter os seus sistemas e dados seguros. Assim, a segurança começa com uma sensibilização da centralidade das nossas identidades na rede, computadores e dados desempenham em relação a tudo o que fazemos no mundo real.
Conhecimento é poder, e uma boa quantidade de conhecimento e interesse na sofisticação e motivação dos hackers que possam comprometer e usar essa informação para seu benefício é algo bastante poderoso, até digo que é uma ferramenta fundamental para consumidores e empresas para evitar serem as próximas vítimas.

Achas que hoje em dia os utilizadores preocupam-se com as mensagens de Spam ou chegou ao ponto em que o utilizador ignora e não faz nada? Não achas que os utilizadores têm um papel importante para combater estas mensagens não solicitadas?

Querendo ou não admiti-lo, ou reconhece-lo até, o Spam continua provavelmente o maior vetor para os ataques online maliciosos. É verdade que muitos ISPs e fornecedores de email têm vindo a controlar melhor o problema nestes úlitmos anos, mas o problema global do Spam continua a ser ditado geograficamente. Isto é, o tipo de Spam e perigo do mesmo depende do teu país. De qualquer forma, é inegável que, independentemente do que tu pensas sobre o Spam comercial ou email malicioso, continua a ser um grave perigo presentemente. Os utilizadores maliciosos estão cada vez melhores a elaborar esquemas cada vez mais convincentes. Então é importante lembrar que o termo Spam não se limita apenas ao email comercial não solicitado. O termo abrange um maior espaço de ameaças, incluindo phishing, malware, e ataques direcionados que combinam malware e phishing.

Na tua opinião que devem fazer os Governos para combater o Spam e fecharem o negócio ilegal descrito no Spam Nation?

A chave como noutra tentativa de parar e fechar atividades ilegais centra-se no foco da monetização da atividade ilegal. No caso do Spam comercial que eu descrevi no livro, focar a atenção nos bancos que assistem este tipo de redes criminais no processo de pagamento é suficiente para fazer uma mossa no problema.
Também existem plataformas para os titulares de marcas bancárias e outros gestores na equação do problema, tudo isto para que seja mais difícil para estas organizações criminosas processarem os pagamentos por serviços anunciados no Spam. Mas no final é necessários que os bancos trabalhem em conjunto para reportar estas atividades numa base consistente e implacável. Isto pode ser feito sem novas leis e sem dar poderes adicionais às forças de segurança, uma vez que faz parte de um dever civil. A Visa e Mastercard e outras empresas de cartões bancários podem derrubar este problema mas cabe às marcas (farmácias, produtores de Software, detentores de marcas, etc) unirem-se e apresentar queixas com as empresas de cartões para que possam formalizar contratos com bancos que prestem serviço a este tipo de atividades ilegais. Esses contratos exigem multas pesadas aos bancos que facilitem este tipo de atividades, mas sem essa pressão, haverá sempre instituições bancarias disposta a fazer este tipo de serviço a entidades fraudulentas.

Peço desculpa por eventuais erros na tradução da entrevista. No entanto deixo aqui o link para o Scribd com a entrevista original em inglês.

Gostaria de agradecer ao Brian Krebs pelo tempo disponibilizado e pela simpatia que demonstrou na pequena conversa. Agradeço também à editora SourceBooks por me ter fornecido uma cópia do livro e assim ter-me dado a oportunidade de ler o Spam Nation em primeira-mão.

Entrevista com… Luis Grangeia

Entrevista com... Luis Grangeia

Na comunidade de infosec internacional, um nome tem feito destaque nas notícias – Luís Grangeia.

Resumidamente, o Luis conseguiu obter uma nova forma de explorar o Heartbleed, mostrando que o Android e os routers wireless estão vulneráveis a este bug.
Estive à conversa com o autor desta descoberta no qual transcrevo:

O que te levou a explorar o “Hearbleed” e a criar o “Cupid”?

Basicamente pus-me a pensar em situações em que o heartbleed pudesse ser explorado de formas diferentes, situações de vulnerabilidade para as quais ninguém tivesse ainda forma de validar, e esta situação foi a primeira que me surgiu e em que pensei: “isto pode estar vulnerável em vários dispositivos, mas não tenho qualquer forma testar”. E pus-me ao trabalho.

Achas importante a divulgação pública deste tipo de vulnerabilidades?

Claro. Aliás, na minha pesquisa sobre isto encontrei pelo menos duas pessoas que já tinham feito (ainda que parcialmente) o mesmo que eu me propunha fazer mas que se recusavam a publicar a ferramenta. Há argumentos para ambos os lados da barricada, e parcialmente percebo os deles, mas explico os meus:

Eu quis criar esta prova de conceito para, primeiro, perceber para mim e para os clientes da SysValue que tipo de equipamentos estariam vulneráveis, e se o ataque era possível. Depois de fazer o patch cheguei à conclusão que este seria útil a mais pessoas que estariam interessadas em proteger as suas redes e identificar situações vulneráveis. Por isso publiquei. Pelo caminho ajudei a trazer atenção para este assunto e, espero, pus alguma pressão sobre gestores de redes e fornecedores de tecnologia Wireless a garantir que esta “avenida de ataque” fica fechada rapidamente.

O argumento de este patch poder ser utilizado de forma maliciosa não é muito defensável, na minha opinião. O patch que fiz nao é “point & click”, requer algum conhecimento para executar o ataque, mesmo com o código que disponibilizei. Além disso atacantes que tenham conhecimentos básicos sobre EAP e TLS rapidamente iriam criar uma ferramenta igual ou melhor que a minha.

A divulgação desta falha teve grande impacto nos sites da especialidade internacional. Tiveste algum feedback? E em Portugal?

A divulgação da falha teve bastante impacto, sim, algo que não esperava. Acho que começou sobretudo com o artigo no The Verge. Os meus slides foram apresentados na Confraria e foram feitos nesse espírito de boa disposição. Fi-los em inglês porque tinha intenção de twittar sobre o assunto pois acho que teria algum interesse na comunidade de infosec, mas nunca pensei que o assunto fosse ter o alcance que teve.

É engraçado pois já estou nesta área há uns anos e acho que se tivesse publicado esta pesquisa há 5 anos não teria um décimo do alcance que teve. O facto de o público em geral estar cada vez mais interessado nestes assuntos traz consigo algum peso. A comunidade de infosec deve assumir essa responsabilidade e tentar informar o melhor possível. Claro que nem sempre é possível dada a inevitável distorção dos media generalistas… Mas temos de assumir essa responsabilidade, e tentar informar o melhor possível. Sem minimizar nem exagerar os riscos.

Falas da distorção dos media generalistas… Achas que a comunidade infosec devia preparar ou formar jornalistas para esta área que cada vez está mais presente nas nossas vidas?

Acho que quem lê tem de ser mais exigente, o que nem sempre é possível pois na segurança de informação (assim como em todas as áreas mais técnicas) existe um desnível de informação muito grande. O ónus de informar e de esclarecer é dos jornalistas, afinal de contas é o trabalho deles… É deles que deve partir a iniciativa de exigir aos especialistas que “troquem as coisas por miúdos”… E evitar cair no sensacionalismo, o que em segurança de informação é muito fácil de fazer pois tocam-se zonas sensíveis e muito dadas a respostas emocionais como a privacidade dos nossos dados, a segurança da nossa identidade online, etc.

O que acontece é que, como há um desnível muito grande de informação, há muitos “especialistas” ou “hackers” que vendem histórias aos jornalistas completamente exageradas ou que nada têm a ver com a realidade. E o jornalista muitas vezes cai (ou deixa-se cair) na armadilha para o sensacionalismo fácil. Mas felizmente, e precisamente por causa da maior exigência da parte de quem lê, cada vez mais jornalistas validam os fatos com fontes de confiança. E aí é bom haver especialistas reconhecidos que possam ser consultados para dar credibilidade ao que é relatado (e associações como a AP2SI — ou até iniciativas como a Web Segura).

Achas que Portugal está preparado para assumir um papel mais activo na segurança de informação?

Depende do que estivermos a falar, essa pergunta dá pano para mangas. Portugal está bastante avançado em termos de segurança da informação, dependendo para onde olhemos. Por exemplo, os bancos online portugueses estão, comparativamente falando, relativamente bem apetrechados para lidar com ataques de phishing e malware. Já o estado, como Portugal historicamente não é um alvo interessante do ponto de vista de espionagem, sabotagem, etc., está bastante atrás de “gigantes” como os EUA, Israel, China, Inglaterra.

Temos coisas boas e coisas más. Acho que nos temos adaptado bem às ameaças, mas há ainda muito trabalho por fazer. E nunca vai estar tudo feito, pois a segurança (nas vertentes de defesa e ataque) tem de se adaptar continuamente às ameaças, que mudam constantemente.

Fico o meu agradecimento ao Luis Grangeia pela disponibilidade e fico aguardar por novos sucessos.

Social Unlocker – Desbloqueia conteúdos sociais

Social Unlocker - Desbloqueia conteúdos sociais

O Social Unlocker é uma extensão para browser que permite desbloquear os conteúdos das páginas web, como os vídeos e as imagens, que geralmente obrigam o utilizador a dar um Gosto. A Social Unlocker está actualmente disponível para os browsers Chrome, Firefox, Safari e Opera.

Eu estive à conversa com o Rafael Almeida, autor desta ferramenta de origem portuguesa, que tem uma visão bem realista em relação à segurança na web dos portugueses.

Tens algum background ou formação em segurança informática?

Tive uma pequena introdução à segurança informática numa disciplina na Faculdade, embora muito superficial, serviu para me despertar a curiosidade sobretudo pelo White Hacking, bem como para me consciencializar e alertar um pouco para a falta de segurança e sobretudo privacidade que vivemos nos dias de hoje. Desde que vi o dSploit a correr num Android nunca mais fiquei descansado :)

O que te levou a programar o Social Unlocker?

O que me levou a programar o Social Unlocker foi o simples facto de estar cansado de ver no meu Facebook pessoas a gostarem de artigos apenas porque eram obrigados a dar o gosto só para ver o conteúdo e muitas das vezes era apenas conteúdo fictício com títulos apelativos e mediáticos só para terem a atenção das pessoas.

Qual tem sido o feedback que tens recebido dos utilizadores do Social Unlocker?

O feedback tem sido bastante positivo, nunca pensei atingir uma marca de utilizadores tão grande, o feedback que tem chegado faz referência à facilidade de utilização e ao funcionamento praticamente sem falhas. Claro que tudo é falível e há sites em que não funcionam, mas sempre que os utilizadores me indicam quais são tento arranjar uma alternativa!

Como vês a segurança dos portugueses nas redes sociais, mais propriamente no Facebook?

Muito sinceramente, com excepção de uma minoria de utilizadores, os Portugueses não estão seguros na Web e consequentemente no Facebook. O desconhecimento e talvez ingenuidade fazem com que estes utilizem aplicações de origens duvidosas, escolham passwords fracas e inseguras, e sobretudo que exponham completamente a sua vida nas redes sociais.

Tens planos para novas ferramentas que possam proteger os utilizadores na web?

Neste momento não tenho planos para futuras ferramentas a serem desenvolvidas! :)

Se quiserem experimentar, basta ir ao site do Social Unlocker.
Desejo o melhor sucesso para esta aplicação e para o seu programador.

Entrevista com… Tiago Henriques

Entrevista com... Tiago Henriques

Como o projeto WebSegura.net sempre teve como finalidade apoiar o que é nacional, decidi dar a conhecer um pouco melhor o líder do nosso parceiro PTCoreSec.
Um grupo que recentemente tem demonstrado bastante atividade na área da segurança de informação, em particular, com a presença constante em eventos da área.

David Sopas: Fala-me um pouco de ti e como decidiste seguir a área da segurança de informação como rumo profissional.
Tiago Henriques: O meu nome é Tiago Henriques, tenho24 anos e trabalho de momento para a Sysvalue, enquanto que no meu tempo livre lidero a PTCoreSec. O meu interesse por Infosec veio já um bocado tarde na minha opinião (16/17 anos). Sempre gostei imenso de programação, mas chegou a um ponto em que achei mais interessante ver como poderia partir coisas e depois tentar consertar, perceber como funcionavam internamente e o que poderia ser melhorado. Quando fiz 18 anos, estava no fim do meu 12º ano e estava um bocado cansado de estar aqui no país, vivia numa cidade pequena (Lagos) e resolvi que precisava de uma mudança de ar. Concorri a uma faculdade em Inglaterra (University of Brighton) e acabei por ser aceite num BSc Software Engineering, que completei em 3 anos. No verão desse ultimo ano, fui a Las Vegas à Defcon e foi então que decidi que queria tambem fazer um mestrado. Desta vez já focado em Infosec, passei para outra faculdade (University of Bedfordshire) onde fiz um MSc by Research in Information Security and Forensics e comecei a dar aulas aos alunos de licenciaturas (nesta altura tinha eu 21 anos). Quando estava quase a terminar o meu mestrado (23 anos), foi-me oferecida uma proposta para fazer um doutoramento com bolsa, que inicialmente aceitei (e onde permaneci 3 meses). No entanto ao fim desses 3 meses percebi que não era bem aquilo que queria e resolvi ir para a industria. Foi então que entrei para a Realex payments na Irlanda e trabalhei ao lado do @SecurityNinja a fazer auditorias de código.
Passado algum tempo, infelizmente, foi-me diagnosticado um cancro no tórax e tive que voltar para Portugal. Fiz os meus tratamentos e no final resolvi ficar por cá – foi então que entrei para a empresa onde trabalho agora, a Sysvalue.

DS: Que área da segurança de informação desperta-te mais curiosidade?
TH: De momento tenho 2 áreas principais que me dão mais “pica” em Segurança:

  • Descoberta de vulnerabilidades e desenvolvimento de exploits, reverse engineering e fuzzing.
  • Segurança de redes (netsec) e port-scanning( A nível de um país completo ou continente, protocolos mais vulneráveis etc…)

DS: Quem são os PTCoreSec? Qual o objetivo do grupo?
TH: A PTCoreSec é um projecto criado por mim e pelo Tiago Martins no ano passado, quando resolvemos que queriamos ter um grupo decente para poder trabalhar nesta área (uma espécie de think tank), com qual iriamos desenvolver ferramentas, publicar artigos e principalmente APRENDER mais, de maneira a evoluirmos nesta área. Não fazemos nada ilegal, e queremos apenas (como diz no nosso site):

  • Aficionados por segurança
  • Portugueses
  • Interessados em partilha de conhecimentos.

A ultima parte passa pela partilha de todo o código fonte das nossas ferramentas que temos escrito e pela criação de tutoriais que são acessíveis a qualquer tipo de publico (técnico ou não técnico).

Podem ler a entrevista na integra aqui.

Recomendo seguirem a página de Facebook dos PTCoreSec para que desta forma possam acompanhar as últimas novidades do grupo.
Fica o meu agradecimento ao Tiago pela disponibilidade e, principalmente, pelo que tem feito em nome da segurança de informação em Portugal.