Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Blockchain: Muito além do Bitcoin, Deep Web, Ransomware e má famaElevenPaths 27 febrero, 2017 Oculto atrás dos Bitcoins, distante dos processos especulativos e das inúmeras notícias sobre o impacto e revolução gerados pelas criptomoedas, existe uma plataforma minuciosamente desenhadas para sustentar de maneira segura a mecânica global de funcionamento dos Bitcoins. Vamos falar de blockchain, um conceito que pode garantir que um usuário seja proprietário de uma moeda simplesmente porque a grande maioria dos usuários poderiam comprovar o fato. Ou seja, esse mecanismo é capaz de assegurar que o episódio esteja correto, porque grande parte da comunidade pode testemunhar que é assim. Porém, desde o ponto de vista da segurança, isso tem muito mais importância, ainda se entendemos que essa maioria de indivíduos podem igualmente garantir que esse evento realmente não ocorreu e é falso. É aí que a magia acontece. Blockchain, ou cadeia de blocos, é um conceito baseado em complexos processos matemáticos de criptografia, somado a alguns processos de gestão e verificação que o proporcionam capacidades funcionais impressionantes. Porém, seu êxito se baseia em que seu uso é paradoxalmente simples, o que o consagra como uma das tecnologias emergentes mais revolucionárias. Blockchain é um meio como qualquer outro, mas que proporciona confiança no seu conteúdo e no intercâmbio de informação. Ainda que um pouco suavizado, já não é um completo desconhecido para a maioria. Aparece com novos usos, propostas de futuro e virtudes, ainda que continuamos observando-o com receio e dúvidas. Apesar disso, acreditamos que blockchain chegou para confirmar um avanço tecnológico inquestionável e que perdurará por muito tempo. Agora, a pergunta mais adequada seria quando blockchain se tornará no modelo padrão de segurança para muitos processos descentralizados ou distribuidos. Blockchain e bitcoin É uma tarefa complexa separar conceitos de blockchain e bitcoin. Sua aparição data de 2008 com a publicação de Satoshi Nakamoto (um nome mencionado pela literatura como um pseudônimo fictício dos precursores de bitcoin). Esse foi o pontapé inicial de esta revolução tecnológica e econômica que, naquela época, nem sequer usava o nome de blockchain, mas já era uma realidade. Desde aquele momento, blockchain tem sido precisamente isso, um vínculo estreito com a divisa virtual – o que propiciou uma expansão tão rápida da criptomoeda. Enquanto isso, ao mesmo tempo e de maneira despercebida, blockchain se popularizava como tecnologia. Articulando um intercâmbio de divisas de maneira remota e segura, lamentavelmente se viu favorecido por negócios turvos da Deep web, pelas transações que não querem deixar rastro e por outros usos ilícitos, como pagamentos de ransomware. Apesar disso, blockchain é o meio pelo qual se articula o sistema de bitcoins e, por tanto, seu uso pode expandir-se a âmbitos totalmente diferentes. Evolução do número de transações em Bitcoin Funcionamento É fácil de entender o interesse despertado por blockchain no mundo científico e de inovação. Os responsáveis técnicos vêem além de criptomoedas, reconhecendo o avance tecnológico e as grandes possibilidades que esse protocolo fornece em diversos domínios de conhecimento. vamos tentar entender seu funcionamento de uma maneira simples e didática. Vamos imaginar uma sala repleta de pessoas que querem expressar sua opinião sobre diversos temas, mas de forma anônima, usando pseudônimos. Todos querem opinar, mas é necessário organizar essa informação e garantir que os comentários relevantes não se percam no caminho. Entre os indivíduos, existem muitos funcionários que se dedicam a recompilar esses comentários, seguindo uma ordem de chegada e mantendo o pseudônimo de cada usuário. Os operários transcrevem e imprimem os comentários, se responsabilizando de que essas informações estejam recolhidos de forma definitiva e confirmada. Na nossa analogia, cada operário dispõe de um computador para que possa realizar essas impressões definitivas em papel, mas eles precisam adivinhar uma senha de uso único para poder realizar essas impressões. Quando os indivíduos começam a expressar seus comentários, é necessário chegar a um consenso de quais serão impressos, ou seja, os que serão registrados oficialmente. Assim, os operários recebem os comentários, os agrupam e, de maneira independente, decidem quais serão impressos. Pode ser que o conjunto de comentários que os operários desejam imprimir seja diferente porque estão em outra ordem, porém enquanto os comentários sigam uma linha temporal correta, todos serão eventualmente impressos. Transmissão de comentários Como mencionado antes, para imprimir, os operários precisam realizar o esforço e trabalho de encontrar uma senha que possibilite a impressão. Eles competem para encontrar essa senha antes dos demais operários e, no caso do bitcoin, quem a encontre antes recebe um prêmio. Definitivamente, uma motivação extra. Os operários competem em um jogo de adivinhar a senha (em blockchain, trata-se de um hash com umas características concretas). Uma vez que algum deles consegue encontrar a senha, segue o processo de imprimir os comentários em uma folha, seguindo a ordem da folha impressa anteriormente, para que a ordem seja mantida. Em seguida, a folha impressa é pessoalmente dividida com outros operários (via P2P), que verificam e concordam que a informação está correta antes de aceitarla, confirmando que este usuário é realmente o ganhador. Uma vez que essa folha seja comprovada, será adicionada ao conjunto de folhas já existentes, adicionando um elemento a mais na cadeira ou pilha de folhas impressas, que sempre cresce e não é alterada. Os comentários que já foram aceitados definitivamente são descartados. Criação de uma nova «folha» Ao chegar neste ponto, os indivíduos podem seguir sugerindo novos comentários ou, inclusive, respostas a outros comentários já impressos. Para diferenciá-los, os indivíduos terão que adicionar a referência do comentário sobre o qual desejam continuar o diálogo. Vantagens do blockchain Mesmo com este exemplo tão simplificado, podemos reconhecer algumas das vantagens do processo: Ninguém pode modificar o histórico de mensagens, cada pack de folhas é inalterável. Só é possível adicionar novas. Além disso, ninguém pode modificar o conteúdo das folhas, somente ler-lo. Os usuários confiam nesse mecanismo, já que a numeração das novas folhas é sequencial. Além disso, sabem que a folha foi impressa e validada de maneira consensual pela maioria dos operários. A expansão P2P dos documentos entre operários assegura a propagação rápida entre os indivíduos, e a robustez do processo aos operários que fossem desonestos e deixassem de transmitir la informação. Para imprimir uma nova folha, é necessário um grande esforço por parte dos operários, para encontrar a senha necesario. Esse fator é crucial para blockchain. Na verdade, isso supõe um grande esforço de computação para consegui-la. No caso do bitcoin, isso garante que sua vericidade seja um processo caro e remunerado. Todos os usuários podem consultar a informação contida na sequência de folhas que estão com os operários. Isso permite comprovar como se relacionam os comentários com suas respostas e também a quais pseudônimos correspondem. Os usuários trocaram mensagens de forma anônima, através de seus pseudônimos, cruzando comentários que estarão consolidados em um único pack de folhas verificadas. Os operários são personagens de grande responsabilidade, porque graças à eles foi possível a adição de novas folhas ao conjunto. Além disso, eles verificam se os comentários incluídos estão corretos, se seguem uma sequência temporal correta e se as referências de comentários impressos que receberam respostas estão certas. E isso é tudo? Certamente não, mas teríamos que complicar nossa analogia e, de momento, não vamos entrar em aspectos muito técnicos. Mesmo sem abordar os detalhes matemáticos e criptográficos, podemos entender que o ponto forte do sistema está principalmente na distribuição e informação entre todas as equipes, de maneira transparente e pública. Além disso, o processo de aprovação e consolidação definitiva passa pela investigação e acordo entre os personagens de maior responsabilidade. O processo é robusto porque é muito simples. Blockchain mudou significamente a forma de gestionar conteúdo, garantindo um nível de segurança nunca antes atingido. Desde 2008 e nos distintos usos de blockchain que compões o cenário atual, todos os grandes sucessos e falhas foram devido à problemas humanos, relacionados com carência de segurança u mala praxis relativa à configuração. Em nenhum caso esses problemas são atribuídos aos processos tecnológicos e criptográficos do proprio blockchain. Um marco que fala por si próprio. Marcos Arjona Inovação e laboratório marcos.arjona@11paths.com DroneTinder: Sistema de espionagem contínuo em redes sociaisMãe, eu quero ser hacker
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...