Todos os posts tagados nsa

Planos da NSA incluiam controlar a Google Play Store

smartphone

Para aqueles que se interessam por segurança, a ideia de ter uma Play Store ou um iTunes  controlado por um agente como uma NSA ou uma GCHQ não é novidade. Isto porque ambos estes repositórios somam milhões de aplicações, com poucas ou nenhumas verificações extra de segurança, permitindo qualquer developer com intenções menos boas de espalhar aplicações com purpósitios maliciosos. Com dezenas de milhões de utilizadores de smartphones a ligarem-se todos os dias e a instalar novas aplicações, a probabilidade de um agente malicioso comprometer um grande número de utilizadores é grande.

Com isto, não é surpresa que a NSA tenha feito planos para tomar controlo da Play Store da Google.

O plano, elaborado em workshops próprios frequentados por membros dos países Five Eyes (EUA, Canada, Reino Unido, Nova Zelândia e Australia) consistia em infectar os smartphones com implantes maliciosos que iriam colecionar dados privados dos utilizadores. O ataque seria feito interceptando as ligações entre os smartphones e os servidores das apps stores da Google e da Samsung.

O documento explica que o objectivo é não só o de colecionar informação mas também de usar esses dispositivos infectados como plataformas de “desinformação”, enviando informação falsa e manipulada para os contactos do utilizador.

A motivação para este ataque surge no contexto da utilizadação de redes sociais e serviços P2P (i.e. a informação está descentralizada) que dificulta em muito a censura de informação. Um exemplo é o uso do Twitter no movimento Arab Spring.

Mais uma vez, a divulgação destes documentos permite nos desvendar um pouco da mentalidade por de trás das grandes agências de segurança internacionais. Ao mesmo tempo, dá nos também a consciencia da importância de uma sociedade onde a informação seja trocada livremente, sem censura nem alguma espécie de controlo ou monitorização. Para isso, para além dos processos e mecanismos que tem de existir para controlar aqueles que nos controlam (i.e. governo) têm paralelamente de existir soluções tecnológicas que nos permitam caminhar para esse futuro. Um exemplo disso é o Tor, uma ferramenta para navegar de forma anónima e segura na Internet, longe dos olhos indiscretos dos mais poderosos.

M

Original

SnoopSnitch – um alerta de espionagem para o seu telemóvel

Towers

Uma nova aplicação móvel avisa o utilizador em tempo real quando está a ser atacado e vigiado por terceiros.

Denominada de SnoopSnitch e disponível na Play Store [1], o programa é o resultado do trabalho de Alex Senier, Karsten Nohl, e Tobias Engel da SRLabs [2], investigadores de segurança que apresentaram o seu trabalho na vigésima primeira edição do Chaos Computer Conference [3] – uma das maiores convenções de segurança informática.

Analisando sinais de rádio recebidos pelas Cell Towers (Estações Rádio Base – ERB), a aplicação informa quando um utilizador se está a ligar a ERBs falsas (IMSI catchers) e a ser vigiado.

Aplicação mostra a quantidade de ERBs falsas detectadas nos últimos dias

Para além de a aplicação funcionar imediatamente como um “detector” de ataques em tempo real – esta também recolhe a informação que o utilizador gera, usando-a para actualizar o gsmmap.org – um mapa colaborativo onde países do mundo inteiro são classificados em relação à segurança dos operadores móveis, incluindo a facilidade de efetuar vigilância dos seus utilizadores e de forjar SMS a partir de qualquer número.

Desta forma o utilizador não se limita só a receber informação como também contribui e actualiza o mapa com a sua própria informação. No mapa, é fácil perceber que alguns dos países mais inseguros são também aqueles sobre regimes ditadores ou que vivem numa grande instabilidade geopolítica – por exemplo o Egipto ou a China.

De realçar no entanto que a aplicação apenas avisa o utilizador se está a ser atacado.

O porquê das operadoras serem tão inseguras

Os ataques identificados pela aplicação são o resultado de vários problemas que foram sendo identificados nos protocolos usados nas redes móveis aos longos dos últimos anos. Não só os métodos de encriptação foram quebrados há anos [4], como outras vulnerabilidades tem vindo a ser descobertas. Só no ano de 2014 foi apresentado com grande detalhe problemas no protocolo SS7 [5], com implicações gravíssimas para todos os utilizadores.

O SS7 (Signalling System 7) é um conjunto de protocolos que foram definidos nos anos 80 para transmitir chamadas entre switching centers (MSC na figura) e usando actualmente como a peça chave por detrás de todas as redes móveis no mundo. Como resultado das falhas encontradas, um atacante malicioso que consiga comprometer um operador em qualquer país, consegue lançar ataques a utilizadores do outro lado mundo. Ataques estes que vão desde a escuta das comunicações da vítima, à vigilância com uma assustadora precisão ao nível de ruas, como também do envio SMS impersonadas de serviços vitais como o 112. [6]

Topologia de uma rede telefónica usando SS7

O impacto em Portugal

Neste momento os leitores podem-se questionar quão seguros estão os portugueses e Portugal em toda esta história. A resposta é: não muito.

Através da informação que foi sendo recolhida e compilada, foi gerado um mapa em atualização constante onde cada país é classificado por grau de suscetibilidade a estes ataques.  Embora nem toda a informação recolhida tenha sido publicada, podemos ver que Portugal se encontra a meio da tabela – “classificando-se” no rank como o 110 país mais seguro (de 218).

Quais os principais suspeitos

Neste novo campo de batalha, existem três grandes grupos de atacantes. O primeiro e o menos poderoso são pessoas a título individual ou num grupo pequeno, que recolhem informação de específicas pessoas para obter informação sensível e gerar dinheiro rápido, por exemplo através de chantagem e extorsão. O segundo grupo é integrado por grandes empresas que fazem dinheiro na recolha, processamento e venda de informação sobre indivíduos – vendendo-os a terceiros. A informação recolhida é devastadora – não só pelos conteúdos das comunicações, mas sobretudo pelo resultado da combinação de dados e meta-dados, como a localização e tempo das transmissões; permitindo gerar grandes e complicadas relações entre pessoas, locais, eventos temporais – que podem ser armazenados para futuras consultas.

O último grande grupo são as agências de segurança nacionais. Nomeadamente, as que integram o grupo Five Eyes – como a NSA dos EUA, a GCHQ do Reino Unido e as agências do Canada, Austrália e Nova Zelândia. Com o seu poder de recolha, armazenamento e processamento é inevitável pensar o que já é há muito tempo dito por especialistas na área – o telemóvel é na verdade um espião que levamos no bolso, com funcionalidades “extra” de fazer chamadas e mensagens.

O mapa http://sniffmap.telcomap.org/ detalha de uma forma muito gráfica o estado atual de vigilância por estas agências. Este mapa refere-se a outro tipo de intercepção feitos por estas mesmas – ao nível da Internet. É no entanto razoável assumir que se investigadores independentes de segurança mostram como explorar as vulnerabilidades das redes móveis, que estes mesmos problemas têm sido exploradas desde há muitos anos por agências de segurança e identidades governamentais.

Por fim é interessante notar que para Portugal ainda não foram recolhidos dados suficientes para se proceder à sua classificação. No entanto podemos efetuar um paralelismo com a nossa vizinha Espanha e assumir que mais de 70-80% do nosso tráfego é interceptado e guardado por agências secretas de língua Inglesa :)

NSA e GCHQ lançam ataques à Europa

10530873-european-union-logo

Num ano em que o mundo foi abalado pelas revelações chocantes de Edward Snowden, por intermédio do novo jornal digital The Intercept [2] (financiado por Pierre Omidyar, fundador da eBay) e com a ajuda do Wikileaks – chegam mais revelações.

Meses atrás foi detectado um malware que afetou a rede inteira da Belgacom, a principal telecom da Bélgica. O seu objetivo era desconhecido (mas expectável), tal como a sua proveniência.

Na semana passada, o The Intercept  revelou que as suas fontes industriais confirmam o que alguns já suspeitavam – que o ataque feito à Belgacom e outras instituições europeias como o Parlamento Europeu e outras agências ligadas à União Europeia, foram levadas a cabo por nada mais do que a NSA e a GCHQ (a contraparte da NSA do Reino Unido).

No entanto o malware em si nunca foi identificado até recentemente.

Apelidado de Regin, tem como objetivo principal infiltrar os computadores dos referidos alvos, extraindo o máximo possível de informação e ao mesmo tempo permanecendo totalmente escondido, mascarando-se como qualquer outra aplicação válida da Microsoft (e.g. um update do Windows).

Os primeiros a reportar e analisar o dito malware foi a empresa de segurança Symantec (conhecidos pelo Norton Anti-Virus), que descreveu que entre outras propriedades, este seria o “malware mais sofisticado de sempre” e “comparável ao Stuxnet” – um exemplo de outro malware produzido pelas ditas agências  secretas, cujos alvo eram as instalações nucleares do Irão, de forma a causar danos nas centrifugadoras de Urânio – essencialmente tornando-as inúteis.

Por razões políticas – a própria Belgacom (sendo parcialmente propriedade e gerida pelo governo) não comenta o ataque ou as implicações deste, apenas tendo referido que “partilharam e facilitaram todos os dados possíveis sobre o malware” e que está em curso uma investigação criminal a partir da invasão.

Como esperado, ambas as agencias de espionagem responderam entre linhas a negação completa e responsabilidade dos ataques.

De referir que não é a primeira vez que um ataque deste género é feito – totalmente patrocinado e organizado por um governo inteiro (conhecido como um Nation State attack); é criado de raiz, com um propósito específico e para um determinado alvo.

Para além do referido Stuxnet, é sabido que a China tem vindo a desenvolver, atacar e espiar cada vez mais usando malwares com propósitos semelhantes  – assim como a Rússia.

Numa altura em que o cidadão comum batalha contra ataques diários, prontos para surripiar qualquer dado privado ou dados bancários que lhe sirvam como lucro – temos igualmente que estar preocupados com a nuvem negra que se aproxima no céu e que chegou à Europa, roubando indiscriminadamente e ilegalmente dados de muitos cidadãos Europeus.

Este é o primeiro de alguns artigos onde vamos abordar com mais atenção não só o malware em si, mas sobretudo as implicações geopolíticas e o impacto futuro da politica de exfiltração de dados ilegais pela parte dos governos Americanos e Ingleses.

Nesse seguimento, o WebSegura já iniciou também contactos com representantes e fontes académicas na Bélgica, peritos na área, das quais esperemos publicar no futuro.

Convidamos também os utilizadores a entrar no debate e acompanhar este tema,  tomando conhecimento do problema: independentemente da sua proteção, se algum destes governos quiser infiltrar e roubar toda a sua informação consegue – isto assumindo que já não a tem toda :)

Agências governamentais britânicas alvo de ciber ataques

No Público:

Num artigo publicado no Times, o director da GCHQ (agência com competências similares à National Security Agency nos Estados Unidos), Ian Lobban, afirma que houve ataques “significativos” ao sistema de computadores do Ministério dos Negócios Estrangeiros durante o Verão, frisando porém que os mesmos “não tiveram êxito” – não deixando os mesmos de “colocar uma séria ameaça ao bem-estar económico do Reino Unido”.

“O volume dos crimes informáticos sobre os sistemas do Governo e da indústria continua a ser muito preocupante. Posso confirmar a ocorrência de tentativas para roubar ao Reino Unido ideias e designs – nos sectores de tecnologias de informação, tecnologia, defesa, engenharia e energia, e ainda outras empresas – de forma a ganhar vantagem comercial ou lucros a partir de informações que são secretas”, insistiu Lobban, na véspera de se realizar uma conferência de dois dias, em Londres, sobre segurança informática.

(…)

Google pede ajuda à NSA

O Google uniu esforços com o NSA (National Security Agency) para investigar os recentes ataques que tem sido vítima e prevenir futuros problemas. Artigo na Wired [aqui].