Todos os posts tagados heartbleed

Entrevista com… Luis Grangeia

Entrevista com... Luis Grangeia

Na comunidade de infosec internacional, um nome tem feito destaque nas notícias – Luís Grangeia.

Resumidamente, o Luis conseguiu obter uma nova forma de explorar o Heartbleed, mostrando que o Android e os routers wireless estão vulneráveis a este bug.
Estive à conversa com o autor desta descoberta no qual transcrevo:

O que te levou a explorar o “Hearbleed” e a criar o “Cupid”?

Basicamente pus-me a pensar em situações em que o heartbleed pudesse ser explorado de formas diferentes, situações de vulnerabilidade para as quais ninguém tivesse ainda forma de validar, e esta situação foi a primeira que me surgiu e em que pensei: “isto pode estar vulnerável em vários dispositivos, mas não tenho qualquer forma testar”. E pus-me ao trabalho.

Achas importante a divulgação pública deste tipo de vulnerabilidades?

Claro. Aliás, na minha pesquisa sobre isto encontrei pelo menos duas pessoas que já tinham feito (ainda que parcialmente) o mesmo que eu me propunha fazer mas que se recusavam a publicar a ferramenta. Há argumentos para ambos os lados da barricada, e parcialmente percebo os deles, mas explico os meus:

Eu quis criar esta prova de conceito para, primeiro, perceber para mim e para os clientes da SysValue que tipo de equipamentos estariam vulneráveis, e se o ataque era possível. Depois de fazer o patch cheguei à conclusão que este seria útil a mais pessoas que estariam interessadas em proteger as suas redes e identificar situações vulneráveis. Por isso publiquei. Pelo caminho ajudei a trazer atenção para este assunto e, espero, pus alguma pressão sobre gestores de redes e fornecedores de tecnologia Wireless a garantir que esta “avenida de ataque” fica fechada rapidamente.

O argumento de este patch poder ser utilizado de forma maliciosa não é muito defensável, na minha opinião. O patch que fiz nao é “point & click”, requer algum conhecimento para executar o ataque, mesmo com o código que disponibilizei. Além disso atacantes que tenham conhecimentos básicos sobre EAP e TLS rapidamente iriam criar uma ferramenta igual ou melhor que a minha.

A divulgação desta falha teve grande impacto nos sites da especialidade internacional. Tiveste algum feedback? E em Portugal?

A divulgação da falha teve bastante impacto, sim, algo que não esperava. Acho que começou sobretudo com o artigo no The Verge. Os meus slides foram apresentados na Confraria e foram feitos nesse espírito de boa disposição. Fi-los em inglês porque tinha intenção de twittar sobre o assunto pois acho que teria algum interesse na comunidade de infosec, mas nunca pensei que o assunto fosse ter o alcance que teve.

É engraçado pois já estou nesta área há uns anos e acho que se tivesse publicado esta pesquisa há 5 anos não teria um décimo do alcance que teve. O facto de o público em geral estar cada vez mais interessado nestes assuntos traz consigo algum peso. A comunidade de infosec deve assumir essa responsabilidade e tentar informar o melhor possível. Claro que nem sempre é possível dada a inevitável distorção dos media generalistas… Mas temos de assumir essa responsabilidade, e tentar informar o melhor possível. Sem minimizar nem exagerar os riscos.

Falas da distorção dos media generalistas… Achas que a comunidade infosec devia preparar ou formar jornalistas para esta área que cada vez está mais presente nas nossas vidas?

Acho que quem lê tem de ser mais exigente, o que nem sempre é possível pois na segurança de informação (assim como em todas as áreas mais técnicas) existe um desnível de informação muito grande. O ónus de informar e de esclarecer é dos jornalistas, afinal de contas é o trabalho deles… É deles que deve partir a iniciativa de exigir aos especialistas que “troquem as coisas por miúdos”… E evitar cair no sensacionalismo, o que em segurança de informação é muito fácil de fazer pois tocam-se zonas sensíveis e muito dadas a respostas emocionais como a privacidade dos nossos dados, a segurança da nossa identidade online, etc.

O que acontece é que, como há um desnível muito grande de informação, há muitos “especialistas” ou “hackers” que vendem histórias aos jornalistas completamente exageradas ou que nada têm a ver com a realidade. E o jornalista muitas vezes cai (ou deixa-se cair) na armadilha para o sensacionalismo fácil. Mas felizmente, e precisamente por causa da maior exigência da parte de quem lê, cada vez mais jornalistas validam os fatos com fontes de confiança. E aí é bom haver especialistas reconhecidos que possam ser consultados para dar credibilidade ao que é relatado (e associações como a AP2SI — ou até iniciativas como a Web Segura).

Achas que Portugal está preparado para assumir um papel mais activo na segurança de informação?

Depende do que estivermos a falar, essa pergunta dá pano para mangas. Portugal está bastante avançado em termos de segurança da informação, dependendo para onde olhemos. Por exemplo, os bancos online portugueses estão, comparativamente falando, relativamente bem apetrechados para lidar com ataques de phishing e malware. Já o estado, como Portugal historicamente não é um alvo interessante do ponto de vista de espionagem, sabotagem, etc., está bastante atrás de “gigantes” como os EUA, Israel, China, Inglaterra.

Temos coisas boas e coisas más. Acho que nos temos adaptado bem às ameaças, mas há ainda muito trabalho por fazer. E nunca vai estar tudo feito, pois a segurança (nas vertentes de defesa e ataque) tem de se adaptar continuamente às ameaças, que mudam constantemente.

Fico o meu agradecimento ao Luis Grangeia pela disponibilidade e fico aguardar por novos sucessos.

Heartbleed OpenSSL – a falha do momento

Heartbleed OpenSSL - a falha do momento

Heartbleed é uma vulnerabilidade no popular software OpenSSL. A falha permite roubar informação protegida pela encriptação SSL/TLS. Este protocolo fornece a segurança e a privacidade de comunicação através da Internet para aplicações como web, email, mensagens instantâneas e algumas VPNs.

Mas o que está em causa?
O bug Heartbleed permite a qualquer utilizador na Internet ler a memória nos sistemas protegidos com as versões vulneráveis do OpenSSL. Desta forma é possível comprometer as chaves que identificam serviços e encriptam o trafego, nomes e palavras passes dos utilizadores, etc. Utilizadores maliciosos podem lançar ataques na comunicações, roubar informação directamente dos serviços e utilizadores.

Como resolver?
Basta actualizar a versão do OpenSSL e seguir as instruções dos vendorshttps://www.openssl.org

Para obter mais informação consultar o site – http://heartbleed.com/ e também recomendo a leitura em português da SysValue – http://www.sysvalue.com/vulnerabilidade-critica-em-implementacoes-ssltls-vulnerabilidade-heartbleed/. Se quiserem podem verificar online se estão vulneráveis aqui – http://filippo.io/Heartbleed/