Comentário à BSides 2019

By Fevereiro 14, 2020 Artigos, Sem categoria

by Tiago Alcobia / AMS Architect

A Crossjoin esteve presente, pela terceira vez consecutiva, na conferência anual de segurança da BSides Lisboa.
Esta conferência, que começou em Portugal em 2013, é uma grande oportunidade para nos mantermos actualizados sobre as tendências de segurança cibernética e criar consciência sobre novas ou existentes violações de segurança que qualquer profissional de TI deve estar atento a fim de ser mais proficiente.

Aumento da participação e mudança de local

A cada ano, o número de participantes nesta conferência está a crescer. No ano passado, foram 400 participantes e este ano, ao longo de 2 dias, atingiram os 580!

Para acompanhar este crescimento foi escolhido um novo espaço, dentro da Cidade Universitária, com um auditório maior.

Notou-se que houve muito mais participantes estrangeiros e também muito mais estudantes, o que é um contraste com as edições anteriores, que contaram com a presença exclusiva de profissionais de TI.

Foi também interessante ver uma apresentação da Cloudflare que este Verão escolheu Portugal (entre outras cidades) para ser o seu terceiro escritório europeu. Lisboa está definitivamente cimentada como um centro de TI para empresas internacionais devido a outro fuso horário, grande retenção de talentos e qualidade de vida.

Mudanças no formato

Existiram algumas mudanças perceptíveis no formato do evento em relação ao ano passado.
Em vez de duas sessões de palestras, houve apenas uma sessão este ano, o que significou que não houve necessidade de lidar com a decisão de quais sessões deveriam ser assistidas.
Existiram menos palestras este ano, mas mesmo assim a qualidade das mesmas e a própria programação foram bastante apelativas.
As Lighting Talks não foram realizadas este ano e a formação foi acrescentada como uma actividade opcional na conferência. Houve duas sessões de formação (pagas) dadas alguns dias antes da conferência (uma sobre tudo o que é necessário saber sobre hacking na web e como evitar que o seu site/web app seja violado e outra sobre análise de malware e forense).

Este ano, também se pensou em tornar o evento mais “verde”, espalhando vários contentores de reciclagem por toda a conferência e também fazendo parcerias com a refood (https://www.re-food.org/pt) para recolher géneros alimentícios indesejados, para assim serem doados a quem mais precisa. 

O bilhete de entrada geral foi levantado e também foi criado um novo bilhete, chamado de apoiadores, para aqueles que desejam contribuir um pouco mais para a organização do evento, que é dirigido pela comunidade e sem fins lucrativos.
Surgiram também novos tópicos ao longo da conferência.

Falta de profissionais de segurança cibernética

Estima-se que existam 2,93 milhões de posições de segurança cibernética abertas e não preenchidas em todo o mundo, de acordo com a organização de segurança de TI sem fins lucrativos (ISC)² – The International Information System Security Certification Consortium.

Nos últimos anos, as empresas tiveram que recorrer à contratação de pessoas com backgrounds diferentes, o que teve outro efeito positivo: Toda uma nova geração de especialistas capazes de olhar para a segurança em diferentes perspectivas/ângulos, com base nas suas diversas formações académicas. Algumas dessas formações são artes, ciências política, música, etc.

Na verdade, uma das notas-chave deste ano foi de Leigh-Anne Galloway, que começou como Artista antes de se tornar pesquisadora de segurança. A sua palestra, “Arte como Metodologia para Pesquisa de Segurança” é um bom exemplo de como uma formação fora da área de TI pode ser útil no estudo da segurança.

Nos velhos tempos, quando a segurança de TI não era uma preocupação, os hackers e phreakers (hackers de redes telefónicas públicas) não eram necessariamente de origem TI. Tudo o que precisavam era de muita curiosidade, criatividade e persistência.

Um fato interessante é que Joe Engressia (Joybubbles), um cego com cinco anos de idade, descobriu que podia marcar números de telefone clicando no botão de desligar rapidamente (“tapping”), e aos 7 anos de idade descobriu acidentalmente que assobiar em certas frequências podia ativar interruptores telefónicos. Engressia tinha um tom perfeito, e descobriu que assobiar o quarto E acima do meio C (uma frequência de 2637,02 Hz) iria parar uma gravação telefónica marcada!

Ao contrário dos velhos tempos, o hacking de hoje tornou-se fácil e acessível, porque a informação sobre vulnerabilidade é de livre fluxo. O que é difícil é codificar com segurança.

A palestra de Daniel Cuthbert discutiu precisamente este ponto. Debateu-se sobre a divulgação/publicação pública de vulnerabilidades de segurança que, num sentido, forçam as empresas a tomar medidas, mas, no outro sentido, ajudam os governos a usar as suas vulnerabilidades para espionar os seus cidadãos.

Um exemplo disso são as aplicações de mensagens (exemplo, Telegrama) que têm bugs explorados pelos governos para reprimir grupos antigovernamentais.

Computação quântica

Este ano, a Google anunciou que tinha alcançado a supremacia da Quantum ao demonstrar o potencial de um novo tipo de computador que pode realizar certas tarefas em muitas ordens de magnitude mais rapidamente do que a maioria dos supercomputadores avançados.
O Wall Street Journal até publicou um artigo chamado The Quantum Computing Threating to American Security!

Será a computação quântica o fim da segurança como a conhecemos? Não, mas isso significará que aqueles que não iniciam algoritmos de criptografia mais fortes, quantum-safe e complexos para a comunicação, ficarão vulneráveis.

Aplicação Deepfake

Este ano também assistimos à midiatização de aplicativos que captam uma pessoa numa imagem ou vídeo existente e os substituem pela semelhança de outra pessoa, envelhecem, etc. com a ajuda de algoritmos de Inteligência Artificial e poder de computação em cloud.

O russo Faceapp e o chinês Zao levantaram muitas preocupações sobre privacidade, já que milhões de pessoas carregaram voluntariamente a sua imagem sem pensar nas possíveis consequências.

Deepfakes também estão a ser usados para difundir notícias falsas, embustes e fraudes financeiras e é por isso que alguns governos começaram a pressionar a legislação para classificar este tipo de atividade como crime.

China Cables e Internet Soberana Russa

Ligados ao último ponto, os China Cables, obtidos pelo Consórcio Internacional de Jornalistas de Investigação, incluem uma lista classificada de diretrizes, que efetivamente serve como um manual para operar acampamentos com centenas de milhares de Uighurs
muçulmanos e outras minorias.

As fugas de informação divulgadas revelam, pelas próprias palavras do governo, como a polícia chinesa é guiada por um sistema maciço de coleta e análise de dados que usa inteligência artificial para selecionar categorias inteiras de residentes de Xinjiang para detenção.

Os China Cables também revelam como o sistema é capaz de acumular grandes quantidades de dados pessoais através de buscas manuais sem garantia, câmeras de reconhecimento facial e outros meios para identificar candidatos à detenção, sinalizando para investigação centenas de milhares de pessoas apenas por usar certas aplicações móveis populares.

Recentemente, a Rússia também aprovou uma nova lei controversa de “internet soberana” que exige que os ISPs do país estabeleçam uma inspeção profunda de todo o tráfego da internet e se preparem para a imposição de um Sistema de Nomes de Domínio (DNS) separado sob controlo governamental.

Também uma encomenda recente diz que a partir de Julho de 2020 todos os dispositivos informáticos vendidos na Rússia serão obrigados a ter o que é vagamente descrito como “software russo”.

A lei abrange todos os dispositivos incluindo telemóveis, computadores de secretária e portáteis e televisores inteligentes que hoje em dia são enviados com versões em russo das mesmas aplicações utilizadas em qualquer parte do mundo.

Tanto a China como a Rússia bloqueiam a popular aplicação de mensagens de telegrama. Mesmo o uso de VPNs está a tornar-se uma alternativa difícil.

Honeypots

Um honeypot é um sistema conectado em rede criado como um chamariz para atrair ciberataques e para detectar, desviar ou estudar tentativas de hacking a fim de obter acesso não autorizado a sistemas de informação.

O honeypot contém propositadamente dados que parecem ser uma parte legítima do site, mas que na verdade são isolados e monitorizados, e que parecem conter informações ou um recurso de valor para os atacantes.

Um ataque contra honeypot é feito para parecer bem-sucedido enquanto qualquer actividade desencadeia monitorizações e registro de eventos.

Enquanto os honeypots já existem há muito tempo e podem ser utilizados para muitos fins, a palestra “The Internet Is Talking To You, But Do You Listen?” discutiu como a cloud de honeypot operada geograficamente permite a detecção automática de maus atores e as tendências sobre os tipos de ataques/ferramentas de malwares/exploração de ataques/scanning/crypto mining.

Estas tendências ou ondas de ataque são úteis para serem detectadas para que as autoridades possam ser notificadas e, neste caso, criar uma lista negra de IP’s/botnets de maus atores que possam ser partilhadas publicamente para que as empresas possam lutar contra este tipo de atividade.

Segurança Chinesa de IoT Barata

Cada vez mais aparelhos domésticos estão a ser comprados a baixo custo, com segurança zero ou fraca enquanto estão expostos na internet.

As câmeras de segurança são um exemplo típico, mas hoje em dia ainda é surpreendente que mesmo controlos de acesso físico como fechaduras de salas de reunião, que abrem através de scanners de impressões digitais, sejam facilmente exploráveis. A palestra The talk Lets Get Physical: Physical Access Controls Security mostrou como um produto comercial tão conhecido foi invadido.

Como este produto, da Anviz, utiliza um software para gerir de forma centralizada e sem fios todas as fechaduras implantadas num espaço físico, é possível ouvir essa comunicação e tentar replicar acções (replay attacks). Com alguma investigação e persistência, eles foram capazes de controlar absolutamente os dispositivos graças ao fornecedor de hardware que não implementou algumas salvaguardas de segurança padrão.

O fornecedor de hardware até entregou instruções sobre como expor o dispositivo na Internet para gestão entre sites, o que para hackers é uma maneira segura de causar estragos.

 

Este é o caso de muitos vendedores. A Anviz foi contactada, mas não respondeu. Neste caso, o curso de ação foi contactar o CNCS (Centro Nacional de Cibersegurança) que notificou o maior número possível de ISP’s sobre a possível ameaça.

Ransomware visa pequenas cidades nos EUA e o CEO do Twitter

Aconteceram violações de dados em 2019 nas principais empresas (embora com menor impacto do que em anos anteriores). Outra tendência que continuou foram os ataques por ransomware.

Uma das tendências em 2019 foram os hackers que visaram pequenas cidades nos EUA (mas também em outros lugares) tirando vantagem de governos locais com problemas de dinheiro, que provavelmente não teriam atualizado as suas ciberdefesas ou feito o backup dos seus dados.

Além das interrupções nas câmaras municipais e bibliotecas públicas locais, os ataques têm consequências graves, com a recuperação (ou pagamento de resgate) a custar valores significativos.
Mesmo quando a informação está novamente acessível e as redes restauradas, há uma perda de confiança na integridade dos sistemas que lidam com serviços básicos como água, energia, comunicações de emergência e contagem de votos.

Muitos pequenos municípios estão a virar-se para o seguro ciber, o que só está a piorar o problema e tornando os resgates mais lucrativos.

Outro evento interessante aconteceu com o CEO do Twitter, Jack Dorsey, que foi invadido este ano por um grupo que conseguiu obter acesso ao seu número de telefone e enganar a operadora telefónica para transferir esse número para um novo cartão SIM. Eles então invadiram a conta de Dorsey e enviaram vários tweets contendo calúnias raciais.

Falha na Endered

Enquanto eu estava na conferência, um e-mail da Edenred apareceu na minha caixa de entrada (empresa francesa). A Edenred é uma empresa que administra cartões de refeição, e anunciava que tinham sofrido um incidente de Malware e que a sua aplicação e portal estavam indisponíveis.

Esta admissão pública, muito provavelmente não teria acontecido se não fosse pelo RGPD.

Até para o ano!

Leave a Reply