Dois especialistas americanos protagonizam esse video na Wired mostrando o que conseguiram fazer com um Cherokee da Chrysler, via o sistema de entretenimento da UConnect. O feito será apresentado na BlackHat.
Os artigos refletem a opinião pessoal do autor, e não de seus empregadores.
quinta-feira, 23 de julho de 2015
segunda-feira, 27 de abril de 2015
Slow and Low: a nova modalidade de ataques cibernéticos
*** artigo publicado na revista CIO | Publicada em 27 de abril de 2015 às 08h06 ***
http://cio.com.br/tecnologia/2015/04/27/slow-and-low-a-nova-modalidade-de-ataques-ciberneticos/
O cenário atual de ameaças é alimentado por invasores não mais motivados apenas pela notoriedade, mas sim pelo ganho econômico ou político. Com incentivos financeiros significativos para ataques bem-sucedidos, o ataque silencioso é agora a cartada do jogo. Os invasores estão mais proficientes, aproveitando-se discretamente das brechas na segurança para ocultar e dissimular a atividade maliciosa, e nós estamos conhecendo novas abordagens jamais vistas.
Os ataques “slow and low” (“Lento e baixo”) usam o tráfego lento, que parece legítimo em termos de regras e taxas de protocolo, para atingir uma falha da segurança. Por não violar qualquer política padrão de rede ou de segurança, eles passam despercebidos, voando abaixo do radar das estratégias tradicionais de mitigação.
Aqui estão cinco técnicas do tipo "slow and low" que os criminosos cibernéticos utilizam para ganhar acesso às redes e cumprir a sua missão, e que os profissionais de segurança precisam entender para defender, de forma mais eficaz, suas organizações.
1. Exploit kits: No mundo dos negócios, as empresas se esforçam para serem reconhecidas como líderes da indústria. Mas quando se trata de exploits (pacotes de dados que se aproveitam de vulnerabilidades), o primeiro lugar não é tão cobiçado assim. Produtores de exploits kits de alto perfil, como o “Blackhole”, têm sido alvo das autoridades ou têm sido fechados. Como resultado, os invasores estão percebendo que ser o maior e o mais ousado nem sempre é melhor - seja qual for o tamanho das infraestruturas maliciosas C&C (servidores usados de comando e controle) ou a forma de invasão das redes. Em vez disso, os exploits mais bem sucedidos são o quarto ou quinto mais comum - um modelo de negócio sustentável, já que não atrai muita atenção.
2. Snowshoe Spam: Assim chamado por ser muito parecido com uma bota de neve (“Snowshoe”) que deixa uma pegada grande, mas fraca, mais difícil de ser vista. Com essa técnica, o invasor espalha um monte de mensagens em uma grande área para evitar a detecção por métodos tradicionais de defesa. O spam Snowshoe envia e-mails em massa não solicitados usando um grande número de endereços IP e num volume baixo de mensagem, numa tentativa de contornar as tecnologias de reputação AntiSpam baseadas em IP. Eles rapidamente alteram o corpo do texto, os links, os endereços de IP usados para o envio e nunca repetem a mesma combinação.
3. Spear phishing [arpão de pesca] mais sofisticado: Os adversários continuam a aperfeiçoar suas mensagens, muitas vezes usando táticas de engenharia social, e até os usuários mais experientes têm dificuldade em detectar tais mensagens falsas. A última rodada de mensagens de phishing parece vir de fornecedores conhecidos ou prestadores de serviços de quem os usuários geralmente recebem mensagens - por exemplo: serviços de entrega, sites de compras online e provedores de música e entretenimento. Esses e-mails podem incluir um nome de confiança, um logotipo ou um título que parecem familiar aos destinatários, como um aviso sobre uma compra recente ou um número de rastreamento da entrega. Esta construção bem planejada e cuidadosa dá aos usuários uma falsa sensação de segurança, seduzindo-os a clicar em links maliciosos contidos no e-mail.
4. Exploits compartilhados entre dois arquivos diferentes: Malwares Flash agora podem interagir com JavaScript ao compartilhar um exploit entre dois arquivos e formatos diferentes: um flash e um JavaScript. Isso esconde a atividade maliciosa, tornando-se muito mais difícil a identificação, o bloqueio e a análise do exploit com ferramentas de engenharia reversa. Essa abordagem também torna os adversários mais eficientes e capazes de ataques mais eficazes. Por exemplo, se a primeira fase de um ataque for inteiramente em JavaScript, a segunda fase, a transmissão do payload (onde encontram-se os efeitos destrutivos do software) não ocorre até que o JavaScript tenha sido executado com sucesso. Dessa forma, apenas os usuários que executarem o arquivo malicioso receberão o payload.
5. Malvertising [malware + advertising = publicidade maliciosa] provenientes dos complementos do navegador: Os criadores de malware desenvolveram um modelo de negócio refinado, usando os complementos (add-on) do navegador da web como um meio para a distribuição de malware e aplicativos indesejados, como pop-ups, por exemplo. Os usuários pagam uma pequena taxa para baixar e instalar aplicativos como ferramentas de PDF ou players de vídeo, a partir de fontes que eles acreditam ser legítimas. Na realidade, os aplicativos estão infectados com software malicioso. Essa forma de distribuição de malware está garantindo o sucesso dos autores maliciosos, já que muitos usuários confiam inerentemente nesses add-ons ou simplesmente acreditam que sejam benignos. Os invasores ganham dinheiro com muitos usuários individuais, com pequenos incrementos persistentemente infectando seus navegadores e facilmente se escondendo em suas máquinas.
Profissionais de segurança e criminosos cibernéticos estão numa corrida para ver qual lado pode despistar o outro. Os adversários estão se tornando mais sofisticados, não só em suas abordagens de ataques, mas em burlar a detecção de formas inéditas. Mas os defensores também não estão parados. Constantemente inovando e em contínuo aprendizado sobre o que estão vendo nesta selva, os defensores serão capazes de identificar e frustrar a atual rodada de ataques.
http://cio.com.br/tecnologia/2015/04/27/slow-and-low-a-nova-modalidade-de-ataques-ciberneticos/
O cenário atual de ameaças é alimentado por invasores não mais motivados apenas pela notoriedade, mas sim pelo ganho econômico ou político. Com incentivos financeiros significativos para ataques bem-sucedidos, o ataque silencioso é agora a cartada do jogo. Os invasores estão mais proficientes, aproveitando-se discretamente das brechas na segurança para ocultar e dissimular a atividade maliciosa, e nós estamos conhecendo novas abordagens jamais vistas.
Os ataques “slow and low” (“Lento e baixo”) usam o tráfego lento, que parece legítimo em termos de regras e taxas de protocolo, para atingir uma falha da segurança. Por não violar qualquer política padrão de rede ou de segurança, eles passam despercebidos, voando abaixo do radar das estratégias tradicionais de mitigação.
Aqui estão cinco técnicas do tipo "slow and low" que os criminosos cibernéticos utilizam para ganhar acesso às redes e cumprir a sua missão, e que os profissionais de segurança precisam entender para defender, de forma mais eficaz, suas organizações.
1. Exploit kits: No mundo dos negócios, as empresas se esforçam para serem reconhecidas como líderes da indústria. Mas quando se trata de exploits (pacotes de dados que se aproveitam de vulnerabilidades), o primeiro lugar não é tão cobiçado assim. Produtores de exploits kits de alto perfil, como o “Blackhole”, têm sido alvo das autoridades ou têm sido fechados. Como resultado, os invasores estão percebendo que ser o maior e o mais ousado nem sempre é melhor - seja qual for o tamanho das infraestruturas maliciosas C&C (servidores usados de comando e controle) ou a forma de invasão das redes. Em vez disso, os exploits mais bem sucedidos são o quarto ou quinto mais comum - um modelo de negócio sustentável, já que não atrai muita atenção.
2. Snowshoe Spam: Assim chamado por ser muito parecido com uma bota de neve (“Snowshoe”) que deixa uma pegada grande, mas fraca, mais difícil de ser vista. Com essa técnica, o invasor espalha um monte de mensagens em uma grande área para evitar a detecção por métodos tradicionais de defesa. O spam Snowshoe envia e-mails em massa não solicitados usando um grande número de endereços IP e num volume baixo de mensagem, numa tentativa de contornar as tecnologias de reputação AntiSpam baseadas em IP. Eles rapidamente alteram o corpo do texto, os links, os endereços de IP usados para o envio e nunca repetem a mesma combinação.
3. Spear phishing [arpão de pesca] mais sofisticado: Os adversários continuam a aperfeiçoar suas mensagens, muitas vezes usando táticas de engenharia social, e até os usuários mais experientes têm dificuldade em detectar tais mensagens falsas. A última rodada de mensagens de phishing parece vir de fornecedores conhecidos ou prestadores de serviços de quem os usuários geralmente recebem mensagens - por exemplo: serviços de entrega, sites de compras online e provedores de música e entretenimento. Esses e-mails podem incluir um nome de confiança, um logotipo ou um título que parecem familiar aos destinatários, como um aviso sobre uma compra recente ou um número de rastreamento da entrega. Esta construção bem planejada e cuidadosa dá aos usuários uma falsa sensação de segurança, seduzindo-os a clicar em links maliciosos contidos no e-mail.
4. Exploits compartilhados entre dois arquivos diferentes: Malwares Flash agora podem interagir com JavaScript ao compartilhar um exploit entre dois arquivos e formatos diferentes: um flash e um JavaScript. Isso esconde a atividade maliciosa, tornando-se muito mais difícil a identificação, o bloqueio e a análise do exploit com ferramentas de engenharia reversa. Essa abordagem também torna os adversários mais eficientes e capazes de ataques mais eficazes. Por exemplo, se a primeira fase de um ataque for inteiramente em JavaScript, a segunda fase, a transmissão do payload (onde encontram-se os efeitos destrutivos do software) não ocorre até que o JavaScript tenha sido executado com sucesso. Dessa forma, apenas os usuários que executarem o arquivo malicioso receberão o payload.
5. Malvertising [malware + advertising = publicidade maliciosa] provenientes dos complementos do navegador: Os criadores de malware desenvolveram um modelo de negócio refinado, usando os complementos (add-on) do navegador da web como um meio para a distribuição de malware e aplicativos indesejados, como pop-ups, por exemplo. Os usuários pagam uma pequena taxa para baixar e instalar aplicativos como ferramentas de PDF ou players de vídeo, a partir de fontes que eles acreditam ser legítimas. Na realidade, os aplicativos estão infectados com software malicioso. Essa forma de distribuição de malware está garantindo o sucesso dos autores maliciosos, já que muitos usuários confiam inerentemente nesses add-ons ou simplesmente acreditam que sejam benignos. Os invasores ganham dinheiro com muitos usuários individuais, com pequenos incrementos persistentemente infectando seus navegadores e facilmente se escondendo em suas máquinas.
Profissionais de segurança e criminosos cibernéticos estão numa corrida para ver qual lado pode despistar o outro. Os adversários estão se tornando mais sofisticados, não só em suas abordagens de ataques, mas em burlar a detecção de formas inéditas. Mas os defensores também não estão parados. Constantemente inovando e em contínuo aprendizado sobre o que estão vendo nesta selva, os defensores serão capazes de identificar e frustrar a atual rodada de ataques.
segunda-feira, 6 de abril de 2015
Segurança para a Internet das Coisas
*** Artigo publicado na RTI, edição de Março de 2015 ***
Estima-se que em 2020 haverá
50 bilhões de equipamentos conectados à Internet, entre equipamentos de saúde
em hospitais e residências, equipamentos industriais e de distribuição de energia
elétrica, sinais de transito e tudo que fizer sentido conectar, como
automóveis. Mesmo em nossas residências é questão de tempo comprar equipamentos
conectados como geladeiras. É só lembrar que até pouco tempo as TVs conectadas
eram ainda uma novidade cara. Em algum tempo só haverá esses modelos, da mesmo
forma que ocorreu com os telefones celulares. No entanto a população estimada para
esse anos é de 7.7 bilhões. Serão sete dispositivos para cada pessoa. Não é exagero dizer que a Internet das Coisas
(IoT) irá revolucionar a maneira como vivemos.
Mas e a segurança dessa
estrutura massiva de dispositivos, tráfego e dados? É viável adaptar nossos
modelos de segurança atuais para proteger também essa nova Internet? Ou será
necessário um novo modelo de segurança? Aliás, precisaremos mesmo de tantos
cuidados, ou essa discussão é um exagero? Escrever sobre a segurança da
Internet das Coisas é sempre um desafio, desde meu primeiro artigo sobre o
assunto em 2010, aqui mesmo na RTI. Desafio porque é algo que está sempre
construído agora, e falar sobre ela é igual a escrever sobre andares de um
edifício que dependem de andares inferiores que ainda nem foram planejados. Assim
posso escrever hoje algo que poderá ir para o caminho oposto em questão de
meses. Mas alguns aspectos já estão planejados ou razoavelmente garantidos para
o futuro. Vale a pena abordá-los.
Já está claro que a base
tecnológica de muitos dos novos dispositivos representará um risco em
potencial. Diferentemente dos dispositivos computacionais, e ai incluo os
smartphones, não serão todos que poderão ser facilmente atualizados ou executar
programas de segurança. Estou falando de alguns equipamentos que serão
extremamente simples, como sensores de cidades inteligentes ou em fábricas, com
recursos de CPU e memoria limitados, dificultando por exemplo o uso de
criptografia e autenticação.
É fato também que a
Internet das Coisas do futuro não é a simples expansão da conexão de dispositivos
como conhecemos hoje, majoritariamente composta de dispositivos conectados em
redes fechadas, com pouca interação com outras redes e dispositivos. Quando se
fala de cidades inteligentes, fala-se por exemplo de carros trocando
informações com sensores públicos instalados nas ruas, sinais de trânsito
capazes de reagir de maneira autônoma a eventos como a passagem de uma
ambulância, e tudo mais que fizer sentido. Esse interação, seja entre rede ou
sensores, também representa um risco, e a questão está sendo trabalhada no
âmbito do Internet of Things World Forum
(iotwf), evento global cujo primeiro encontro ocorreu em 2013 em Barcelona. O
evento em 2014 premiou pesquisas em criptografia, autenticação e privacidade.
Outra área sendo
trabalhada é de um novo sistema de criptografia que consuma menos recursos ao
usar chaves criptográficas mais simples sem no entanto reduzir o nível de
encriptação, facilitando a adoção em equipamentos simples, como os sensores de
que estamos falando. Esse novo sistema atende pelo nome de Elliptic Curve Cryptography (ECC).
Outro imenso desafio é a
capacidade de analisar os imensos volumes de dados transmitidos na rede em
busca de anomalias ou tráfego suspeito. A resposta pode estar no Real-Time Analytics, o conjunto de tecnologias que permite a
análise em tempo real de quantidades massivas de dados. Para as redes que suportarão
o futuro da Internet das Coisas é esperado que essa capacidade esteja inserida
nos próprios equipamentos de rede, que poderão assim detectar e responder a
eventos ou anomalias antes mesmo que os operadores atuem com ações corretivas. Hoje
já é possível que a própria rede atue como um grande sensor de segurança,
obtendo dados em tempo real que são analisados por sistemas de análise
comportamental e de detecção de anomalias.
Outra questão é a da
segurança física. Muitos dos sensores inteligentes estará nas ruas e em locais
públicos, assim como já ocorre hoje com os equipamentos dos hotspots. É de se
esperar que os administradores não irão desejar que alguém tenha acesso físico
a eles. Mas é possível que isso ocorra e por isso mecanismos tem que ser criados
para evitar que alguém insira fisicamente dados falsificados, ou comprometa os
dados captados por sensores inteligentes.
Por fim a privacidade.
No fundo boa parte desses dispositivos e sensores estarão associados a pessoas,
seja um sensor médico ou nosso celular ou carro, revelando onde estamos e para
onde fomos anteriormente. A relação de privacidade não envolve apenas leis e
regulações, pois as organizações que armazenam esses dados precisam garantir
sua inviolabilidade, na aquisição, transporte, processamento e armazenagem. Não
é muito diferente do que já ocorre em nossa vida digital, mas dessa vez com
nossa vida real. Um bom exemplo do tamanho do desafio é o que já é feito hoje
com os smartphones e os aplicativos de geolocalização. Nossos telefones hoje
agem como sensores enviando informações a uma grande base de dados em nuvem.
Está lá onde pesquisamos com o aplicativo de mapas e para onde ele nos guiou,
onde estamos e onde estivemos, páginas acessadas e compras realizadas a partir
daquele celular e muito mais. Até as fotos que usamos podem ser automaticamente
enviadas à nuvem para ficar a disposição de amigos e ás vezes desconhecidos,
amigos dos amigos dos amigos. Nos metadados dessas fotos estão também o local,
dia e hora.
É fácil notar que ao
falar de IoT fala-se bastante da nuvem. Sim, a IoT está e estará muito
conectada à computação em nuvem. Esse volume extraordinário de dados necessita
ser processado em sistemas altamente escaláveis, sem as amarras existente nos
modelos atuais. Mas mesmo a própria rede será diferente do que conhecemos hoje.
Os cérebros e empresas que estão construindo essa nova rede estão investindo em
novos protocolos. A transição por certo será lenta, e na verdade já começou,
mas Internet definitivamente não será como a conhecemos hoje.
Assinar:
Postagens (Atom)