Todos os posts tagados privacidade

SnoopSnitch – um alerta de espionagem para o seu telemóvel

Towers

Uma nova aplicação móvel avisa o utilizador em tempo real quando está a ser atacado e vigiado por terceiros.

Denominada de SnoopSnitch e disponível na Play Store [1], o programa é o resultado do trabalho de Alex Senier, Karsten Nohl, e Tobias Engel da SRLabs [2], investigadores de segurança que apresentaram o seu trabalho na vigésima primeira edição do Chaos Computer Conference [3] – uma das maiores convenções de segurança informática.

Analisando sinais de rádio recebidos pelas Cell Towers (Estações Rádio Base – ERB), a aplicação informa quando um utilizador se está a ligar a ERBs falsas (IMSI catchers) e a ser vigiado.

Aplicação mostra a quantidade de ERBs falsas detectadas nos últimos dias

Para além de a aplicação funcionar imediatamente como um “detector” de ataques em tempo real – esta também recolhe a informação que o utilizador gera, usando-a para actualizar o gsmmap.org – um mapa colaborativo onde países do mundo inteiro são classificados em relação à segurança dos operadores móveis, incluindo a facilidade de efetuar vigilância dos seus utilizadores e de forjar SMS a partir de qualquer número.

Desta forma o utilizador não se limita só a receber informação como também contribui e actualiza o mapa com a sua própria informação. No mapa, é fácil perceber que alguns dos países mais inseguros são também aqueles sobre regimes ditadores ou que vivem numa grande instabilidade geopolítica – por exemplo o Egipto ou a China.

De realçar no entanto que a aplicação apenas avisa o utilizador se está a ser atacado.

O porquê das operadoras serem tão inseguras

Os ataques identificados pela aplicação são o resultado de vários problemas que foram sendo identificados nos protocolos usados nas redes móveis aos longos dos últimos anos. Não só os métodos de encriptação foram quebrados há anos [4], como outras vulnerabilidades tem vindo a ser descobertas. Só no ano de 2014 foi apresentado com grande detalhe problemas no protocolo SS7 [5], com implicações gravíssimas para todos os utilizadores.

O SS7 (Signalling System 7) é um conjunto de protocolos que foram definidos nos anos 80 para transmitir chamadas entre switching centers (MSC na figura) e usando actualmente como a peça chave por detrás de todas as redes móveis no mundo. Como resultado das falhas encontradas, um atacante malicioso que consiga comprometer um operador em qualquer país, consegue lançar ataques a utilizadores do outro lado mundo. Ataques estes que vão desde a escuta das comunicações da vítima, à vigilância com uma assustadora precisão ao nível de ruas, como também do envio SMS impersonadas de serviços vitais como o 112. [6]

Topologia de uma rede telefónica usando SS7

O impacto em Portugal

Neste momento os leitores podem-se questionar quão seguros estão os portugueses e Portugal em toda esta história. A resposta é: não muito.

Através da informação que foi sendo recolhida e compilada, foi gerado um mapa em atualização constante onde cada país é classificado por grau de suscetibilidade a estes ataques.  Embora nem toda a informação recolhida tenha sido publicada, podemos ver que Portugal se encontra a meio da tabela – “classificando-se” no rank como o 110 país mais seguro (de 218).

Quais os principais suspeitos

Neste novo campo de batalha, existem três grandes grupos de atacantes. O primeiro e o menos poderoso são pessoas a título individual ou num grupo pequeno, que recolhem informação de específicas pessoas para obter informação sensível e gerar dinheiro rápido, por exemplo através de chantagem e extorsão. O segundo grupo é integrado por grandes empresas que fazem dinheiro na recolha, processamento e venda de informação sobre indivíduos – vendendo-os a terceiros. A informação recolhida é devastadora – não só pelos conteúdos das comunicações, mas sobretudo pelo resultado da combinação de dados e meta-dados, como a localização e tempo das transmissões; permitindo gerar grandes e complicadas relações entre pessoas, locais, eventos temporais – que podem ser armazenados para futuras consultas.

O último grande grupo são as agências de segurança nacionais. Nomeadamente, as que integram o grupo Five Eyes – como a NSA dos EUA, a GCHQ do Reino Unido e as agências do Canada, Austrália e Nova Zelândia. Com o seu poder de recolha, armazenamento e processamento é inevitável pensar o que já é há muito tempo dito por especialistas na área – o telemóvel é na verdade um espião que levamos no bolso, com funcionalidades “extra” de fazer chamadas e mensagens.

O mapa http://sniffmap.telcomap.org/ detalha de uma forma muito gráfica o estado atual de vigilância por estas agências. Este mapa refere-se a outro tipo de intercepção feitos por estas mesmas – ao nível da Internet. É no entanto razoável assumir que se investigadores independentes de segurança mostram como explorar as vulnerabilidades das redes móveis, que estes mesmos problemas têm sido exploradas desde há muitos anos por agências de segurança e identidades governamentais.

Por fim é interessante notar que para Portugal ainda não foram recolhidos dados suficientes para se proceder à sua classificação. No entanto podemos efetuar um paralelismo com a nossa vizinha Espanha e assumir que mais de 70-80% do nosso tráfego é interceptado e guardado por agências secretas de língua Inglesa :)

Usa a ligação Wi-fi enquanto viaja de avião?

gogo_wifi

A Gogo Inflight Internet fornece serviço de Wi-fi em aviões para algumas das mais conhecidas companhias aéreas – por exemplo: Aeromexico, American Airlines, Air Canada, Japan Airlines, Virgin Atlantic, etc. [Desconheço alguma companhia aérea portuguesa que utilize o serviço desta empresa]
Ao que parece, a Gogo deve entender que pode lançar ataques man-in-the-middle* aos seus utilizadores. Adrienne Porter Felt, da equipa de segurança do Google Chrome, reparou que, em pleno voo, quando acedeu a um site do Google, o certificado de segurança apresentado não era emitido pelo Google mas sim pela Gogo.

Aparentemente e segundo a FCC, a Gogo tem uma parceria com o governo para acomodar interesses das forças de segurança. Segundo a mesma fonte, a Gogo tem cooperado com as forças de segurança de muito perto e inclusive preparar spyware no seu serviço. Agora, ao que parece também está alegadamente a roubar as sessões de navegação dos utilizadores sem autorização e sem qualquer aparente legitimidade.

É importante também salientar que a Gogo também oferece um serviço de sms e voicemail em pleno voo, mas fica a dúvida se este serviço também não estará a ser monitorizado, causando grandes problemas de privacidade aos seus utilizadores.

Se já usou o serviço, considere mudar as suas passwords, mesmo as que estavam sobre ligação segura SSL/TLS. Se pretende usar no futuro, tem uma solução – usar uma VPN.

* O man-in-the-middle, duma forma resumida, é um método de ataque em que existe uma intercepção ou intermediário entre a informação trocada entre duas partes. Por exemplo entre um utilizador e o site de um banco. Numa comunicação normal, o utilizador comunica normalmente com o destinatário. Num ataque man-in-the-middle, alguém intercepta essa informação e o utilizador na maioria das vezes não se apercebe que os dados estão a ser adulterados e toma a comunicação como válida.

NSA e GCHQ lançam ataques à Europa

10530873-european-union-logo

Num ano em que o mundo foi abalado pelas revelações chocantes de Edward Snowden, por intermédio do novo jornal digital The Intercept [2] (financiado por Pierre Omidyar, fundador da eBay) e com a ajuda do Wikileaks – chegam mais revelações.

Meses atrás foi detectado um malware que afetou a rede inteira da Belgacom, a principal telecom da Bélgica. O seu objetivo era desconhecido (mas expectável), tal como a sua proveniência.

Na semana passada, o The Intercept  revelou que as suas fontes industriais confirmam o que alguns já suspeitavam – que o ataque feito à Belgacom e outras instituições europeias como o Parlamento Europeu e outras agências ligadas à União Europeia, foram levadas a cabo por nada mais do que a NSA e a GCHQ (a contraparte da NSA do Reino Unido).

No entanto o malware em si nunca foi identificado até recentemente.

Apelidado de Regin, tem como objetivo principal infiltrar os computadores dos referidos alvos, extraindo o máximo possível de informação e ao mesmo tempo permanecendo totalmente escondido, mascarando-se como qualquer outra aplicação válida da Microsoft (e.g. um update do Windows).

Os primeiros a reportar e analisar o dito malware foi a empresa de segurança Symantec (conhecidos pelo Norton Anti-Virus), que descreveu que entre outras propriedades, este seria o “malware mais sofisticado de sempre” e “comparável ao Stuxnet” – um exemplo de outro malware produzido pelas ditas agências  secretas, cujos alvo eram as instalações nucleares do Irão, de forma a causar danos nas centrifugadoras de Urânio – essencialmente tornando-as inúteis.

Por razões políticas – a própria Belgacom (sendo parcialmente propriedade e gerida pelo governo) não comenta o ataque ou as implicações deste, apenas tendo referido que “partilharam e facilitaram todos os dados possíveis sobre o malware” e que está em curso uma investigação criminal a partir da invasão.

Como esperado, ambas as agencias de espionagem responderam entre linhas a negação completa e responsabilidade dos ataques.

De referir que não é a primeira vez que um ataque deste género é feito – totalmente patrocinado e organizado por um governo inteiro (conhecido como um Nation State attack); é criado de raiz, com um propósito específico e para um determinado alvo.

Para além do referido Stuxnet, é sabido que a China tem vindo a desenvolver, atacar e espiar cada vez mais usando malwares com propósitos semelhantes  – assim como a Rússia.

Numa altura em que o cidadão comum batalha contra ataques diários, prontos para surripiar qualquer dado privado ou dados bancários que lhe sirvam como lucro – temos igualmente que estar preocupados com a nuvem negra que se aproxima no céu e que chegou à Europa, roubando indiscriminadamente e ilegalmente dados de muitos cidadãos Europeus.

Este é o primeiro de alguns artigos onde vamos abordar com mais atenção não só o malware em si, mas sobretudo as implicações geopolíticas e o impacto futuro da politica de exfiltração de dados ilegais pela parte dos governos Americanos e Ingleses.

Nesse seguimento, o WebSegura já iniciou também contactos com representantes e fontes académicas na Bélgica, peritos na área, das quais esperemos publicar no futuro.

Convidamos também os utilizadores a entrar no debate e acompanhar este tema,  tomando conhecimento do problema: independentemente da sua proteção, se algum destes governos quiser infiltrar e roubar toda a sua informação consegue – isto assumindo que já não a tem toda :)

Cifrar ficheiros com miniLock

minilock

Cada vez mais os utilizadores preocupam-se com a privacidade e com a segurança da sua informação. No entanto, poucos fazem algo por isso devido à complexidade do processo.
Neste artigo vou ajudar a cifrar ficheiros de uma forma rápida e segura.

O miniLock é uma extensão gratuita para o browser Google Chrome que permite cifrar ficheiros no seu sistema. Esta ferramenta foi apresentada na conferência HOPE em Nova Iorque pelo seu autor – Nadim Kobeissi. O objetivo é fazer com que até os novatos consigam cifrar e decifrar ficheiros com uma proteção criptográfica bastante forte em segundos.

De referir que quando Edward Snowden quis enviar informação confidencial para o jornalista Glenn Greenwald, este não conseguiu entender como utilizar o PGP, nem mesmo após Snowden lhe ter feito um tutorial de vídeo de 12 minutos.

Resumindo, o miniLock é uma ferramenta para qualquer utilizador, seja um consultor de segurança informática ou o típico utilizador com conhecimento básicos.
Com o miniLock é possível cifrar ficheiros vídeo, fotos ou qualquer outro tipo de ficheiro. Pode armazená-los na Cloud [Dropbox, Drive, etc] ou localmente no seu sistema.

O processo é muito simples. Tal como o conhecido PGP, o miniLock oferece uma chave pública. Nos sistemas de codificação com chaves públicas, os utilizadores têm 2 chaves – uma pública e uma privada. A chave pública é partilhada com todos os utilizadores que irão receber os ficheiros cifrados; qualquer ficheiro cifrado com essa chave pública só pode ser decifrado com a chave privada de cada um dos utilizadores [destinatários].

Fonte da imagem: www.akadia.com

Fonte da imagem: www.akadia.com

Nada melhor que um exemplo prático:
Tenho o ficheiro ficheiro_secreto.txt, no qual tem informação privada, que quero apenas partilhar com a restante equipa do WebSegura [o Gonçalo e o Miguel].

1. Abro o miniLock e preencho o meu email e respetiva frase de segurança

minilock01

minilock02
2. Após cifrar, tenho a opção de renomear o ficheiro para aleatório [o que faz sentido quando nome do ficheiro é ficheiro_secreto.txt]

minilock03
3. Coloco as chaves públicas [neste altura já terá de ter o minilock ID de cada utilizador] de quem pretendo partilhar o ficheiro [além do criador, pode partilhar até 3 utilizadores]
4. Anexo o ficheiro 2wnZQeYj5.minilock no email, para a equipa do WebSegura, e envio.
5. Aquando a recepção do email, os destinatários só necessitam de arrastar o anexo para o miniLock e preencher a autenticação para visualizarem o conteúdo

minilock04

Simples, seguro e bastante prático. Embora limitado atualmente para utilizadores do Google Chrome, já existe a referência para portabilidade para o Mozilla Firefox.

Pode fazer o download aqui.

 

Relatório global do Facebook sobre pedidos governamentais

Relatório global do Facebook sobre pedidos governamentais

O Facebook publicou o relatório dos pedidos que recebeu para informações de utilizadores por parte dos governos.
Neste relatório consta que o governo de Portugal obteve cerca de 42% dos dados que requisitou (Número total de pedido: 177 Pedidos de informação sobre utilizadores/contas: 213).

Esses pedidos incluem:

Os governos pedem ao Facebook e a muitas outras empresas informação sobre contas no âmbito de investigações oficiais. A grande maioria destes pedidos está relacionada com casos criminais, como roubo ou rapto. Em muitos destes casos, estes pedidos governamentais pretendem obter informação básica sobre subscritores, como o nome, a morada e a duração do serviço. Outros pedidos também podem visar os registos de endereços de IP ou até mesmo o conteúdo de contas. Implementámos normas rigorosas para lidar com todos os pedidos de dados por parte dos governos: https://www.facebook.com/safety/groups/law/guidelines/

No top 5 dos países com maior número de pedidos estão:

  1. Estados Unidos (11.000 a 12.000)
  2. India (3.245)
  3. Reino Unido (1.975)
  4. Alemanha (1.886)
  5. Itália (1.705)