Os artigos refletem a opinião pessoal do autor, e não de seus empregadores.

quarta-feira, 8 de outubro de 2014

O Mercado da Insegurança

*** artigo publicado na revista RTI edição de Agosto 2014 ***

Quando ouvimos que a rede Americana Target foi invadida e 40 milhões de cartões de pagamento roubados, ou que uma nova fraude para desviar pagamentos de boletos foi descoberta, com potencial de perdas de até 4 bilhões de dólares, estamos tratando de números e valores extremamente elevados porém bastante incertos. Estão corretos? Qual seria então o montante? Qual o tamanho do mercado negro do crime cibernético? Como ele é formado e estruturado? Conhecer e estimar seu tamanho é mais do que simples curiosidade, pois sabemos que os ganhos financeiros são o maior motivador dos grupos criminosos. Assim conhecer melhor esse motivador nos ajuda a entender melhor nossos inimigos e seu potencial. Há anos empresas e institutos especializados em segurança tentam quantificar os prejuízos, mas infelizmente os diversos relatórios apontam valores bem diferentes, e não apenas por questões de metodologia, trazendo ainda mais dúvida.
Um estudo da RAND Corporation publicado em Março desse ano - Markets for Cybercrime Tools and Stolen Data (Mercado para as ferramentas de crime cibernético e dados roubados) tenta por um pouco de ordem na discussão. Não tive o tempo ou mesmo os recursos para validá-lo, mas o relatório está muito bem organizado. Outro artigo bem interessante foi publicado no site da ZDNet com o título de Hackonomics: Cybercrime's cost to business (Hackonomics: o custo do crime cibernético para os negócios).  No artigo a autora comenta e analisa os valores conflitantes de vários relatórios, como o de 2009 do Center for Strategic and International Studies, o qual cita prejuízos globais de 1 trilhão de dólares, mais tarde contestado por relatório do mesmo instituto, publicado em 2013, com valores que chegam até 400 milhões de dólares. Uma diferença significativa!
Como o estudo alerta, o uso da palavra “mercado” não é apenas por figura de linguagem. No seu inicio até meados da década passada a atividade hacker era simbolizada por um individuo jovem sentado em sua casa enquanto invadia sistemas pelo mundo. Esse modelo evoluiu para o que vemos hoje: grupos organizados no desenvolvimento e comercialização de ferramentas de invasão atuando como suporte a quadrilhas com funções definidas, um mercado negro estruturado na comercialização de kits de invasão e ferramentas, investimento constante em inovação e orçamentos superiores ao de muitas empresas em segurança de TI. É que se pode chamar de profissionalização da atividade. Esse mercado negro de produtos possui ainda características muito similares ao mercado legal de informática. Programas vendidos com planos de manutenção e suporte técnico, versões, soluções completas com funções disponíveis em nuvem, entre outros. Ainda de acordo com o relatório, 80% dos seus participantes fazem parte de algum grupo enquanto os 20% restantes são indivíduos, freelancers, como chamados no estudo.
A análise dos preços e modalidades de venda mostra o potencial desse mercado. É comum para leigos pensar que os hackers ainda invadem sites para usar o cartão de crédito de terceiros em beneficio próprio, porém as opções de faturamento também se multiplicaram. Há grupos que se especializaram em apenas vender ferramentas de ataque (exploits) e vulnerabilidades dia-zero, essas as mais valorizadas, com preços que ultrapassam os duzentos mil dólares, variando de acordo com plataformas afetadas e claro o impacto potencial. Outros se especializaram com o front, ou seja, executam a invasão visando o roubo de dados e posterior venda. Essa sofisticação do mercado é comprovada pela variedade de produtos e serviços vendidos, além dos kits de invasão, exploits ou vulnerabilidades dia-zero. Tomemos por exemplo alguém que queira realizar um ataque DDoS e precise alugar computadores zumbis de uma botnet. Esse serviço está disponível. Ou então um novato que conseguiu roubar determinada quantidade de cartões de crédito e quer vende-los. Há marketplaces especializados oferecendo também a lavagem do dinheiro. Tudo, claro, virtual. Não é a toa que essa é uma das atividades ilegais que mais cresce no mundo. Um dado impressionante no relatório da RAND é a taxa de inovação, ou seja, de lançamento de novos produtos, ou kits de invasão.  Em 2006 foi identificado apenas um kit de completo de invasão lançado, numero que aumentou para 33 em 2013, além de 44 atualizações de kits lançados nos anos anteriores.
Mas há ainda outros fatores que impulsionam esse crescimento. Há pelo menos duas décadas os negócios estão migrando continuamente para o mundo digital, usando ou não a Internet. O crime ao migrar está apenas seguindo o dinheiro, em uma atividade com muito mais vantagens que a do “mundo real”. Primeiro não há fronteiras, o que significa que uma quadrilha pode atuar em qualquer país do globo, não importando onde está baseada. Segundo, os riscos físicos são infinitamente menores. Ninguém levará um tiro pela Internet. Terceiro, o alcance é incomparável. Quantas pessoas um criminoso comum pode roubar em um dia? Por mais que roube um restaurante cheio não irá se equiparar a alguém que infiltrou um código malicioso em uma página web acessada por milhões de pessoas, e que certamente irá funcionar para alguns milhares. Outro fator é a maior facilidade e menor risco para ingressar nesse ramo de atividade ilegal. É sabido que grupos vendem kits completos de invasão via plataformas de comercio eletrônico, utilizando alguma forma de dinheiro virtual para pagamento, em um modelo não muito diferente de e-commerce que estamos acostumados.
Os pesquisadores chegaram a conclusão que o crime cibernético pode ser mais lucrativo que o das drogas ilegais.  É possível. A produção e o tráfico de drogas requerem uma estrutura física impressionante enquanto no mundo virtual tudo é mais simples. Mesmo que esses tipos de pesquisa não sejam conclusivos é importante para todos compreender mais com quem estamos lidando. Em segurança da informação há muita novidade disputando nossa atenção e é fácil perder o foco. É essencial voltar sempre a ele.

= atualização 06/04/2015 =
Na lista abaixo podemos ter alguma ideia de quanto se ganha por “produto”, em dólares americanos. A lista foi preparada pela RSA em parceria com o portal CBNC:
Número de Seguro Social (seria o CPF em nosso caso): $1
DDoS como serviço: ~$7/hora
Registro médido: >$50
Dados de cartão de crédito: $0,25 a $60
Dados de contas bancarias: >$1000 dependendo do tipo e saldo da conta
Malware para dispositivos móveis: $150
Spam: $50 por 500 mil e-mails
Desenvolvimento de Malware para venda: $2500
Exploits: de $1000 a $300 mil
Conta no Facebook: $1 para uma conta com 15 amigos


sexta-feira, 23 de maio de 2014

Invasão no eBay

Nessa semana a eBay confirmou que teve a rede invadida e o banco de dados de seus clientes roubado, incluindo as senhas. Como sempre há pouca informação sobre o que ocorreu mas o site disse que algumas credenciais de funcionários foram roubadas, o que permitiu o comprometimento da rede. Certamente mais detalhes serão revelados nos próximos dias.

Mas mesmo com essa pequena informação é possível ter uma pista do que ocorreu. Primeiro, os produtos de segurança, sejam eles quais for, não falharam, pois o invasor usou credenciais legítimas. Me parece que o problema foi que as contas acessam muito mais do que precisam, pois o banco de dados deveria permanecer em servidor restrito a pouquíssimos funcionários além de ter o acesso permanentemente monitorado.

segunda-feira, 12 de maio de 2014

As Ameaças e a Nuvem

*** artigo publicado na edição de maio da revista RTI
http://www.arandanet.com.br/midiaonline/rti/2014/maio/index.html ***

Recentemente participei de um painel em um evento de segurança no Rio de Janeiro com o sugestivo título de “Ameaças persistentes e avançadas: quais os novos requisitos de segurança no cenário de cloud computing”. Uma discussão imediatista iria dizer se a nuvem protege ou não contra essas ameaças, os APTs, porém o mais interessante é que ambos – APTs e cloud computing – não estão relacionados diretamente, e para relacioná-los é essencial antes esmiuçar cada um deles separadamente.

Primeiro que elas não são novas e sim uma evolução do que vemos já há 15 anos. Os bancos brasileiros por exemplo lidam com APTs há pelo menos dez anos. Segundo, essas ameaças não estão substituindo as “antigas” (aspas novamente propositais) pois elas continuam ativas e causando estragos, e como foi demonstrado pela pesquisa da Verizon em 2013 os ataques persistentes fazem uso de ataques simples (as “antigas” ameaças) para então instalar código especialmente desenhado para o alvo – o que também não quer dizer que seja mais avançado. Terceiro, em minha visão o maior problema da segurança atual não são os APTs ou o malware, mas o fato de que as empresas ainda gerenciam muito mal a sua segurança. Produtos de segurança costumam ser muito mal administrados e configurados, muitas vezes de uma forma que não servem para nada, o que nos leva à conclusão de que mudar os dispositivos para versões mais novas não ajuda sempre a obter mais segurança.

Um APT é por definição um ataque direcionado. Em cada evento os alvos são cuidadosamente selecionados e estudados, e disso dependerá a metodologia do ataque. Aqui está o primeiro erro em generalizar esse tipo de ameaça, pois não há ataques APT sem alvos previamente escolhidos. Um bom exemplo são as fraudes em Internet banking, que de tão específicos podem ser direcionados a apenas um banco, sem afetar clientes de outros. O que pode trazer alguma confusão é que algumas situações o alvo por si só é amplo. Uma ameaça que afete Internet banking de todos os bancos com certeza possui um escopo amplo, o que não quer dizer que não haja um alvo. Também há situações em que a metodologia do ataque pressupõe o uso de botnets, trazendo a necessidade de uma ampla invasão, mas o escopo delimitado continua. Um exemplo é um ataque direcionado a retirar do ar um determinado serviço, e que será executado via DdoS a partir da rede bot. Além disso em outras vezes o programa simplesmente vaza e se alastra como um worm, como parece ter sido o caso do Stuxnet. Também em um APT nem tudo é avançado que não pode ser detectado. O código que realiza o ataque é um bom exemplo de ameaça avançada, e já foi visto exemplos que efetivam o ataque à um internet banking corrompendo a memória do computador. Mas isso não significa que a invasão inicial também usará um ataque avançado,  como os de vulnerabilidade dia zero. Vimos em casos reais que técnicas como phishing para download involuntario e engenharia social foram usados. Dizem que no caso do Stuxnet um pen drive foi o veiculo usado para a primeira invasão. Mas isso vai depender do estudo realizado sobre o alvo e se for o caso novos ataques serão sim usados. Finalmente, Se o APT é direcionado e persistente, assim deve ser a proteção. A empresa deve conhecer a fundo seus potenciais alvos internos e estudá-los a fundo, conhecendo formas de ataque possíveis e desenvolvendo meios de proteção.

Muito se fala hoje do cloud computing e como sempre há muitas opiniões divergentes. Aqui irei falar apenas das nuvens públicas, pois as privadas, criadas dentro das mega  corporações são nada mais do que um processo de centralização de serviços de TI. Vejo a nuvem como um revolução para as pequenas e médias empresas que podem usufruir de serviços, sistemas e infraestrutura de grandes empresas arcando com uma fração dos custos. É a única maneira de um que pequeno provedor de software as a service possuir redundancia de datacenter, podendo fazê-lo até em paises diferentes. Ou de uma média empresa tornar-se global com seus funcionários trabalhando integrados, não importa o país onde estejam. Já para as grandes corporações, que já contam com seus datacenters montados, os beneficios da computação em nuvem não são assim tão grandes, e a maior parte das empresas com as quais conversei a usam muito pouco e sempre para dados ou sistemas de menor importância. E nenhuma vez ouvi alguém citar segurança como motivador para migrar sistemas para centros de dados operados por terceiros. Pequenos e médios vão para alavancar suas operações, grandes vão para economizar no que não é crítico.

Mas o cloud poderá melhorar a situação geral da segurança se esta for melhor administrada pelo provedor do que pelo usuário final, e este deveria ser um fator de análise pelas empresas. Não me refiro aqui à administração de dispositivos de segurança, serviço já há muito tempo provido por Managed Service Providers (MSP), mas que um banco de dados ou sistema armazenado e gerenciado por um terceiro poderá ter mais proteção que o localizado dentro de casa. É claro que aqui o SLA é fundamental e métricas objetivas devem ser estabelecidas para medir o nível e a qualidade da segurança. É um erro pensar que segurança da informação é um item tão elementar que não precisa ser especificado em detalhes, como a segurança patrimonial. Há hoje uma profusão dessas métricas, nas várias regulações disponiveis para TI, como o COBIT e o ISO 27000, e não se deve hesitar em exigi-los em contrato. Mas, é claro, não há milagres e e, no caso de um APT, pode até ser mesmo menos eficiente, já que o provedor da nuvem não terá o conhecimento sobre os potenciais alvos de um ataque. Isso nos remete ao principio de que a estratégia da segurança nunca “pode ir para a nuvem”. Nenhuma empresa deve transferir a terceiros a palavra final sobre a proteção de seus dados, esteja estes onde estiverem. 

Acionista processa direção de empresa por problemas em segurança

Além da queda do CEO da rede Target, outros altos executivos também estão tendo problemas devido a falhas de segurança. Um acionista da redes de hoteis Wyndham está processando a direção da empresa sob a alegação que ela está falhando “em tomar medidas razoáveis para manter as informações pessoais e financeiras dos clientes de uma maneira segura”. A empresa foi invadida e dados vazados por três vezes entre abril de 2008 e janeiro de 2010, e está sendo processada pelo Federal Trade Comission, responsável pela proteção aos consumidores nos Estados Unidos e similar ao Procon no Brasil.

segunda-feira, 14 de abril de 2014

Lista Heartbleed

Segue uma lista de referencia para o problema do Heartbleed

Descrição da vulnerabilidade:

Use as aplicações abaixo para verificar se um site está vulnerável: 

Alertas de Fabricantes: 
Aruba - http://www.arubanetworks.com/support/alerts/aid-040814.asc
Bluecoat - http://kb.bluecoat.com/index?page=content&id=SA79&actp=RSS
Checkpoint - https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk100173
Cisco/Sourcefire IDS/IPS signature updates - http://blogs.cisco.com/security/openssl-heartbleed-vulnerability-cve-2014-0160-cisco-products-and-mitigations/
Cisco - http://tools.cisco.com/security/center/mcontent/CiscoSecurityAdvisory/cisco-sa-20140409-heartbleed
Citrix - http://support.citrix.com/article/CTX140605
Debian - http://www.debian.org/security/2014/dsa-2896
F5 - http://support.f5.com/kb/en-us/solutions/public/15000/100/sol15159.html
F5 - https://devcentral.f5.com/articles/openssl-heartbleed-cve-2014-0160#.U0VzBMdEjKR
Fortinet - http://www.fortiguard.com/advisory/FG-IR-14-011/
IBM Endpoint - https://www.ibm.com/developerworks/community/blogs/a1a33778-88b7-452a-9133-c955812f8910/entry/security_bulletin_ibm_endpoint_manager_9_1_1065_openssl_tls_heartbeat_read_overrun_vulnerability?lang=en
Juniper - https://kb.juniper.net/InfoCenter/index?page=content&id=JSA10623&cat=SIRT_1&actp=LIST&showDraft=false
McAfee Stonesoft - https://update.stonesoft.com/releases/575-5211-RLNT.html
Novell - http://support.novell.com/security/cve/CVE-2014-0160.html
PaloAlto - Signatures released via Content release 429-2164 + CVE-2014-0160 (update via threat prevention subscription)
RedHat - https://access.redhat.com/security/cve/CVE-2014-0160   e https://rhn.redhat.com/errata/RHSA-2014-0376.html
Riverbed - https://supportkb.riverbed.com/support/index?page=content&id=S23635
Sophos - http://blogs.sophos.com/2014/04/08/important-note-openssl-vulnerability-cve-2014-0160-in-sophos-utm/
Ubuntu - http://www.ubuntu.com/usn/usn-2165-1/
VMWare - http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2076225

Scanners de Vulnerabilidade para detecção
Beyond Trust - http://blog.beyondtrust.com/heartbleed-when-openssl-breaks-your-heart            
Rapid7 - https://community.rapid7.com/community/infosec/blog/2014/04/08/gaping-ssl-my-heartbleeds
Qualys - http://investor.qualys.com/releasedetail.cfm?ReleaseID=839015


sexta-feira, 4 de abril de 2014

A invasão na Target e o que podemos aprender com ela

*** artigo publicado na Revista RTI - Março/2014 ***

A cada desastre aéreo a industria aeronáutica investiga suas causas e eventuais erros para que eles nunca se repitam e causem novas tragédias, o que no final faz com que a segurança aérea esteja sempre se aperfeiçoando. Infelizmente o mesmo não acontece com a nossa indústria de TI. Nós, especialistas em segurança, teimamos em focar nossa atenção e nos deslumbrar com ataques hipotéticos e ataques antigos com nomes novos. Técnicas aperfeiçoadas de invasão – o que é absolutamente esperado em se tratando de tecnologia – são anunciadas e discutidas como se fossem um novo tipo de ataque para o qual nenhum dos produtos instalados e procedimentos adotados surtisse efeito. Assim ações básicas e simples são desprezadas, afinal “elas não servem de nada contra os novos ataques”. O resultado inevitável são brechas e prejuizos.

Mas nada melhor que um choque de realidade para ilustrar essa discussão. No fim de 2013 a rede de hipermercados Target nos Estados Unidos permitiu que cerca de 40 milhões de cartões de crédito e débito fossem roubados, em um prejuizo que por enquanto está sendo calculado em 400 milhões de dolares. Como  a vasta maioria dos ataques, conforme demonstrado por pesquisas sérias como a da Verizon no ano passado, esse também não foi sofisticado e provavelmente seus autores não estavam mirando na rede de supermercados quando iniciaram suas varreduras. A causa do ataque foi um erro banal de controle de acesso à rede e autenticação, confirmando um dos resultados da pesquisa que afirma que mesmo os ataques mais sofisticados se iniciam com um ataque de baixa complexidade, facilmente evitável. Mas nesse caso sabe-se que o malware usado pode ser comprado por dois mil dolares, e não é assim tão sofisticado.

Para o leitor que não acompanhou, em Novembro do ano passado invasores instalaram um malware na rede dos equipamentos POS (ponto de venda) que processam o pagamento via cartões de crédito e débito. Através do malware os dados dos cartões foram copiados e transferidos para servidores em outros países, incluindo o Brasil. O ataque ocorreu justamente antes do feriado de Thanksgiving e da famosa Black Friday quando milhões de pessoas correm aos estabelecimentos para se aproveitar das ofertas. O acesso à rede se deu via um provedor externo de manutenção de ar condicionado, supostamente com acesso a fim de monitorar a temperatura e funcionamento dos equipamentos de refrigeração. Os criminosos roubaram a senha da empresa, obtiveram livre acesso à rede da Target e implantaram um malware nos equipamentos de ponto de venda. Tiveram tempo suficiente para testar primeiro em alguns antes de instalar em todos os POS. Com certeza não esperavam da vítima nenhum tipo de monitoração. Como de praxe o problema foi detectado bem depois.

Como esse ataque poderia ser evitado é também uma boa discussão. Analisando o caso há claramente três erros. O primeiro deles foi não segmentar a rede isolando um pedaço crítico como o que abriga os equipamentos de ponto de venda. De maneira alguma eles poderiam compartilhar a mesma rede dos equipamentos de ar-condicionado. Segundo foi não utilizar autenticação de dois fatores, usando token por exemplo, para o acesso externo. Como é impossivel garantir que senhas sejam mantidas em sigilo todo o tempo, a autenticação de vários fatores aumenta em muito os níveis de segurança. E hoje até celulares se converteram em tokens, reduzindo consideravelmente os custos de implantação. Por fim, a transmissão FTP estava permitida de qualquer dispositivo da rede interna para qualquer servidor na Internet. A tranferencia de dados deve ser controlada em qualquer empresa, e a grande maioria dos usuários não requerem o uso de FTP, ainda mais equipamentos de ponto de venda. Dessa forma se a rede estivesse corretamente segmentada, se um sistema forte de autenticação estivesse implementado e se a transferencia de dados por FTP estivesse controlada a invasão não aconteceria ou ao menos seria muito mais complicada.

É claro que um sistema anti-malware poderia detectar detectar e anular o código malicioso, mas isso também é incerto, e tecnologias avançadas servem para aumentar o nível de segurança e não remendar falhas. Ter uma tecnologia dessas instalada não anula a necessidade dos cuidados básicos que listei acima. Uma vez que eles estejam implementados deve-se buscar produtos que reduzam ainda mais a janela de oportunidade dos invasores. Outra tecnologia que poderia ser muito útil é a de monitoração do comportamente de rede, que iria detectar a transferencia de dados como suspeita. Nesse caso por exemplo, os dados foram transferidos para servidores na Russia, leste europeu e Brasil. Mesmo a análise de logs dos firewalls ou roteadores já poderia indicar a transferencia suspeita para um país para o qual a empresa não possui conexões como parceiros, clientes ou fornecedores.

Não sou contrário à instalação de produtos de nova geração ou de novas tecnologias de segurança, nem acho que advanced persistent threads (APT) não existem. O que não concordo é a generalização de que todos os ataques hoje são extremamente sofisticados e portanto tudo o que temos não serve mais. Encontrei empresas que estão abrindo todas as conexões nos firewalls porque as camadas de seu firewall de próxima geração “irão detectar se algum ataque ocorrer”. Isso é um grande erro. O mundo real tem muito menos glamour do que gostariamos. Na vasta maioria das vezes nossas empresas não serão invadidas pela NSA ou por grupos altamente organizados manuseando seus próprios malware e vulnerabilidades dia-zero. Os ataques ainda acontecem por oportunidade, e os alvos ainda são escolhidos por seu nível de fragilidade. Os invasores ainda tentam usar primeiro técnicas simples como descobrir uma senha, enviar um email e usar engenharia social. Assim, segurança eficiente ainda se faz com trabalho árduo, atenção aos detalhes e respeito às boas práticas. Por fim, produtos de segurança e sistemas e aplicação ainda precisam ser bem instalados e administrados.