Todos os posts tagados segurança

Planos da NSA incluiam controlar a Google Play Store

smartphone

Para aqueles que se interessam por segurança, a ideia de ter uma Play Store ou um iTunes  controlado por um agente como uma NSA ou uma GCHQ não é novidade. Isto porque ambos estes repositórios somam milhões de aplicações, com poucas ou nenhumas verificações extra de segurança, permitindo qualquer developer com intenções menos boas de espalhar aplicações com purpósitios maliciosos. Com dezenas de milhões de utilizadores de smartphones a ligarem-se todos os dias e a instalar novas aplicações, a probabilidade de um agente malicioso comprometer um grande número de utilizadores é grande.

Com isto, não é surpresa que a NSA tenha feito planos para tomar controlo da Play Store da Google.

O plano, elaborado em workshops próprios frequentados por membros dos países Five Eyes (EUA, Canada, Reino Unido, Nova Zelândia e Australia) consistia em infectar os smartphones com implantes maliciosos que iriam colecionar dados privados dos utilizadores. O ataque seria feito interceptando as ligações entre os smartphones e os servidores das apps stores da Google e da Samsung.

O documento explica que o objectivo é não só o de colecionar informação mas também de usar esses dispositivos infectados como plataformas de “desinformação”, enviando informação falsa e manipulada para os contactos do utilizador.

A motivação para este ataque surge no contexto da utilizadação de redes sociais e serviços P2P (i.e. a informação está descentralizada) que dificulta em muito a censura de informação. Um exemplo é o uso do Twitter no movimento Arab Spring.

Mais uma vez, a divulgação destes documentos permite nos desvendar um pouco da mentalidade por de trás das grandes agências de segurança internacionais. Ao mesmo tempo, dá nos também a consciencia da importância de uma sociedade onde a informação seja trocada livremente, sem censura nem alguma espécie de controlo ou monitorização. Para isso, para além dos processos e mecanismos que tem de existir para controlar aqueles que nos controlam (i.e. governo) têm paralelamente de existir soluções tecnológicas que nos permitam caminhar para esse futuro. Um exemplo disso é o Tor, uma ferramenta para navegar de forma anónima e segura na Internet, longe dos olhos indiscretos dos mais poderosos.

M

Original

SnoopSnitch – um alerta de espionagem para o seu telemóvel

Towers

Uma nova aplicação móvel avisa o utilizador em tempo real quando está a ser atacado e vigiado por terceiros.

Denominada de SnoopSnitch e disponível na Play Store [1], o programa é o resultado do trabalho de Alex Senier, Karsten Nohl, e Tobias Engel da SRLabs [2], investigadores de segurança que apresentaram o seu trabalho na vigésima primeira edição do Chaos Computer Conference [3] – uma das maiores convenções de segurança informática.

Analisando sinais de rádio recebidos pelas Cell Towers (Estações Rádio Base – ERB), a aplicação informa quando um utilizador se está a ligar a ERBs falsas (IMSI catchers) e a ser vigiado.

Aplicação mostra a quantidade de ERBs falsas detectadas nos últimos dias

Para além de a aplicação funcionar imediatamente como um “detector” de ataques em tempo real – esta também recolhe a informação que o utilizador gera, usando-a para actualizar o gsmmap.org – um mapa colaborativo onde países do mundo inteiro são classificados em relação à segurança dos operadores móveis, incluindo a facilidade de efetuar vigilância dos seus utilizadores e de forjar SMS a partir de qualquer número.

Desta forma o utilizador não se limita só a receber informação como também contribui e actualiza o mapa com a sua própria informação. No mapa, é fácil perceber que alguns dos países mais inseguros são também aqueles sobre regimes ditadores ou que vivem numa grande instabilidade geopolítica – por exemplo o Egipto ou a China.

De realçar no entanto que a aplicação apenas avisa o utilizador se está a ser atacado.

O porquê das operadoras serem tão inseguras

Os ataques identificados pela aplicação são o resultado de vários problemas que foram sendo identificados nos protocolos usados nas redes móveis aos longos dos últimos anos. Não só os métodos de encriptação foram quebrados há anos [4], como outras vulnerabilidades tem vindo a ser descobertas. Só no ano de 2014 foi apresentado com grande detalhe problemas no protocolo SS7 [5], com implicações gravíssimas para todos os utilizadores.

O SS7 (Signalling System 7) é um conjunto de protocolos que foram definidos nos anos 80 para transmitir chamadas entre switching centers (MSC na figura) e usando actualmente como a peça chave por detrás de todas as redes móveis no mundo. Como resultado das falhas encontradas, um atacante malicioso que consiga comprometer um operador em qualquer país, consegue lançar ataques a utilizadores do outro lado mundo. Ataques estes que vão desde a escuta das comunicações da vítima, à vigilância com uma assustadora precisão ao nível de ruas, como também do envio SMS impersonadas de serviços vitais como o 112. [6]

Topologia de uma rede telefónica usando SS7

O impacto em Portugal

Neste momento os leitores podem-se questionar quão seguros estão os portugueses e Portugal em toda esta história. A resposta é: não muito.

Através da informação que foi sendo recolhida e compilada, foi gerado um mapa em atualização constante onde cada país é classificado por grau de suscetibilidade a estes ataques.  Embora nem toda a informação recolhida tenha sido publicada, podemos ver que Portugal se encontra a meio da tabela – “classificando-se” no rank como o 110 país mais seguro (de 218).

Quais os principais suspeitos

Neste novo campo de batalha, existem três grandes grupos de atacantes. O primeiro e o menos poderoso são pessoas a título individual ou num grupo pequeno, que recolhem informação de específicas pessoas para obter informação sensível e gerar dinheiro rápido, por exemplo através de chantagem e extorsão. O segundo grupo é integrado por grandes empresas que fazem dinheiro na recolha, processamento e venda de informação sobre indivíduos – vendendo-os a terceiros. A informação recolhida é devastadora – não só pelos conteúdos das comunicações, mas sobretudo pelo resultado da combinação de dados e meta-dados, como a localização e tempo das transmissões; permitindo gerar grandes e complicadas relações entre pessoas, locais, eventos temporais – que podem ser armazenados para futuras consultas.

O último grande grupo são as agências de segurança nacionais. Nomeadamente, as que integram o grupo Five Eyes – como a NSA dos EUA, a GCHQ do Reino Unido e as agências do Canada, Austrália e Nova Zelândia. Com o seu poder de recolha, armazenamento e processamento é inevitável pensar o que já é há muito tempo dito por especialistas na área – o telemóvel é na verdade um espião que levamos no bolso, com funcionalidades “extra” de fazer chamadas e mensagens.

O mapa http://sniffmap.telcomap.org/ detalha de uma forma muito gráfica o estado atual de vigilância por estas agências. Este mapa refere-se a outro tipo de intercepção feitos por estas mesmas – ao nível da Internet. É no entanto razoável assumir que se investigadores independentes de segurança mostram como explorar as vulnerabilidades das redes móveis, que estes mesmos problemas têm sido exploradas desde há muitos anos por agências de segurança e identidades governamentais.

Por fim é interessante notar que para Portugal ainda não foram recolhidos dados suficientes para se proceder à sua classificação. No entanto podemos efetuar um paralelismo com a nossa vizinha Espanha e assumir que mais de 70-80% do nosso tráfego é interceptado e guardado por agências secretas de língua Inglesa :)

Segurança de impressão: riscos de violação dos dados

Segurança de impressão: riscos de violação dos dados

No ambiente empresarial actual, as organizações são mais susceptíveis aos riscos resultantes de vulnerabilidades ocultas do que de ameaças potentes e óbvias. Com a evolução da tecnologia, as empresas modernas estão continuamente a desenvolver-se a fim de responder às necessidades do local de trabalho. O problema é que isto pode levar a que não sejam notadas funcionalidades como a segurança dos dispositivos de impressão. Pode não parecer um problema importante, mas um estudo conduzido pela Ponemon em 2013 aponta para que, em alguns países, as violações de dados podem chegar a custar 5 milhões de USD por ano. O estudo concluiu igualmente que uma grande percentagem deste número se devia a uma falta de funcionalidade de impressão segura para proteger as empresas contra violações de dados.

Descobrir os riscos

Crê-se que existem três tipos principais de violação de dados resultante de uma segurança de impressão inadequada. O mais comum é uma violação de dados com intenções maldosas. Quando dados privados e sensíveis são impressos regularmente, se caírem nas mãos erradas, o custo para a organização pode ser muito elevado. As violações de dados têm-se tornado mais comuns com o trabalho contínuo das empresas através da nuvem. É hoje mais fácil recuperar informação pois esta pode ser interceptada virtualmente e não recolhida no local. E também continua a existir a ameaça de furto interno.

O erro humano pode igualmente ser um factor que conduz a violações de dados. A selecção acidental de impressora para escritório errada e o envio de um documento sensível para a rede errada podem ter consequências graves para uma empresa. A remoção do elemento humano do processo não elimina necessariamente o problema por completo. Se uma rede de impressão estiver incorrectamente ligada à nuvem, os documentos podem perder-se e, assim, o papel do erro humano, neste caso, não é relevante.

Evitar os riscos

As empresas que lidam com dados sensíveis possuem medidas de segurança que protegem a sua propriedade intelectual e o alargamento destas medidas de segurança às redes de impressão ajudará a reduzir as violações de dados. O primeiro passo no sentido da segurança da rede de impressão é introduzir controlos sobre os privilégios de impressão dos funcionários. Os furtos internos podem ser reduzidos se o número de funcionários que obtêm acesso a dados sensíveis e os imprimem for menor. Há formas de contornar qualquer sistema de segurança e, de modo semelhante, de reduzir o erro humano; as oportunidades para violar dados continuam a existir.

Quando se instala uma rede de impressão segura, é importante que as empresas recorram a um especialista em informática pois os erros de programação e ligação em rede podem enfraquecer a precisão das redes e tornar-se mais dispendiosos a longo prazo. Se a rede for correctamente instalada, a função do modo de impressão segura, comum na maioria dos dispositivos compatíveis com a nuvem, pode reduzir significativamente as violações de dados causadas pelo mau funcionamento dos sistemas de TI. É evidente que isto depende do rigor da instalação da rede de segurança contra violações de dados.

Se a gestão da segurança de impressão for bem planeada e implementada, a protecção da propriedade intelectual de uma empresa será simples e as violações da segurança dos dados podem ser significativamente reduzidas.

Mês Europeu da Segurança Informática

Mês Europeu da Segurança Informática

Estamos no mês europeu da segurança informática e com isto quero relembrar alguns artigos e dicas deste ano presentes no WebSegura.net:

É seguro utilizar o cartão de crédito online?
http://www.websegura.net/2013/07/e-seguro-utilizar-o-cartao-de-credito-online/

Dicas de segurança para usar o Facebook no telemóvel
http://www.websegura.net/2013/06/dicas-de-seguranca-para-usar-o-facebook-no-telemovel/

Falsas ofertas de emprego
http://www.websegura.net/2013/03/falsas-ofertas-de-emprego/

Defaces podem causar danos maiores
http://www.websegura.net/2013/02/defaces-podem-causar-danos-maiores/

Gostaria também de divulgar que amanhã tem inicio o BSides Lisbon  e nos dias 7 a 11 de Outubro realiza-se o InfosecDay – organizado pela ShadowSEC.

Certamente um mês que promete divulgar a segurança de informação em Portugal.

Segurança no Sapo Codebits

Vi a referência no Notas sobre Segurança e decidi partilhar aqui no blogue.

São as apresentações presentes no Sapo Codebits, que terminou na semana passada, que focam vários tópicos de segurança informática.

Sem dúvida, uma excelente iniciativa.