Na Internet ninguém sabe quem você é, mesmo se você usar certificados TLS

Gonzalo Álvarez Marañón    30 marzo, 2021

Você deve ter notado que a maioria das páginas da web tem um cadeado. Se você clicar nele, uma janela aparecerá informando que «a conexão é segura». Seguro? Que tipo de segurança? Quão seguro é?

Neste artigo, colocaremos os certificados digitais na mesa de operação e os dissecaremos completamente para chegar ao fundo da questão: que segurança o TLS oferece?

TLS, o protocolo de segurança por trás de páginas da web seguras com HTTPS

Uma página da web protegida por Transport Layer Security (TLS), o protocolo por trás do bloqueio, oferece três garantias ou serviços de segurança:

  • Confidencialidade: a comunicação entre o seu navegador e o servidor web é criptografada, de forma que se um invasor interceptar os dados, não poderá descobrir seu conteúdo.
  • Integridade: se ocorrer um erro fortuito na transmissão ou um adversário tentar manipular a comunicação, a modificação será detectada.
  • Autenticação: um certificado digital dirá quem é a (suposta) empresa proprietária do site que você está visitando.

Resumindo, se uma página estiver protegida com TLS, você tem a garantia (quase) absoluta de que ninguém, exceto o servidor web de destino, poderá ver os dados que você troca. Vamos, a confidencialidade é garantida. O problema que permanece completamente sem solução é: quem está realmente por trás desse servidor? Em outras palavras, para quem você está enviando seus dados criptografados?

Ninguém na Internet sabe se você é um cachorro

Ilustração de Peter Steiner. The New Yorker, edição de 5 de julho de 1993 (Vol.69 (LXIX) no. 20), página 61.

Essa piada é de 1993 e não poderia ser mais atual porque em 30 anos não avançamos muito! Se você está lendo este artigo no site empresas.blogthinkbig.com, como saber qual é a página blogthinkbig.com da Telefônica e qual não é uma farsa? Você só tem um recurso: clique no pequeno cadeado e abra o certificado.

E o que você encontra? Que o certificado foi emitido pela empresa GlobalSign em nome de *.blogthinkbig.com. Agora você está tranquilo quanto à identidade do dono do site? Bem, a verdade é que não ajuda muito, certo?

Mas um certificado contém muito mais informações do que o resumo inicial. Selecione a guia Detalhes e você verá muitos campos. Especificamente, o campo Assunto revela que, neste exemplo, a empresa por trás de *.blogthinkbig.com é a Telefónica S.A.

Mas não acredite que todos os certificados oferecem essa informação: alguns oferecem menos, não revelam a entidade por trás do site; outros fornecem mais. Vamos dissecá-los para que você entenda o que cada campo representa.

Dissecação de um certificado TLS

Os certificados digitais são documentos eletrônicos que garantem (em certa medida) a identidade de uma pessoa física ou jurídica e que ela possui uma chave pública específica. Uma terceira parte confiável, chamada Autoridade de Certificação (CA), é responsável por validar essa identidade e emitir os certificados que vinculam a identidade à chave pública. Um certificado TLS contém as seguintes informações:

  • Versão padrão X509, atualmente se utiliza a 3.
  • Número de série usado pela Autoridade Certificadora. Hoje, eles precisam ser aleatórios, não sequenciais, com entropia mínima de 20 bits.
  • Identificador do algoritmo, que deve ser igual ao «Algoritmo de assinatura do certificado», descrito a seguir. Está localizado nesta posição para ser protegido pela empresa.
  • Identificação da autoridade de certificação, usando (Distinguished Name, DN) exclusivo:
    • CN – CommonName
    • L – LocalityName
    • ST – StateOrProvinceName
    • O – OrganizationName
    • OU – OrganizationalUnitName
    • C – CountryName
  • O período de validade do certificado: de quando a quando é válido.
  • O nome distinto exclusivo do detentor do certificado. Pode ser uma pessoa física ou jurídica. A autoridade verifica essa identidade de forma mais ou menos confiável, como se verá.
  • Informações sobre a chave pública do titular, especificadas por:
    • Algoritmo
    • Tamanho da chave
    • Expoente
    • Módulo
  • Extensões (opcional) – Introduzidas na versão 3 para tornar mais flexível a estrutura anterior rígida. Uma CA pode usar extensões para emitir um certificado apenas para uma finalidade específica, por exemplo, apenas para servidores da web. As extensões podem ser «críticas» ou «não críticas». Os não críticos podem ser ignorados, enquanto os críticos devem ser aplicados e um certificado será rejeitado se o sistema não reconhecer uma extensão crítica.
  • Algoritmo de assinatura de certificado. Existem muitos algoritmos seguros em uso: RSA, DSA, ECC, etc.
  • Assinatura do certificado: o valor da assinatura. Para aqueles versados ​​em criptografia, este valor corresponde ao resultado da criptografia do hash das informações do certificado com a chave privada do CA. Esta assinatura permite verificar se a chave pública que consta no certificado pertence realmente ao titular do certificado, pois é certificada pela autoridade de certificação.

Em suma, um certificado digital inclui a garantia de uma autoridade que atesta que uma chave pública pertence a uma determinada pessoa (física ou jurídica). Quanto você pode confiar em sua palavra? Vamos ver.

Nem todos os certificados foram criados com o mesmo nível de confiança

A principal missão de uma autoridade de certificação é validar a identidade da entidade que está solicitando um certificado. E nem todos os certificados oferecem o mesmo grau de confiança na identidade do titular, pois o processo de validação pode variar muito de um tipo de certificado para outro.

Existem três níveis de validação para sites:

  • Validação de Domínio: os certificados de Validação de Domínio (DV) representam o nível mais baixo de validação, uma vez que o CA apenas verifica se o solicitante do certificado possui o domínio para o qual o está solicitando e se esse domínio está registrado no Whois. A propriedade do domínio é normalmente verificada por meio de um e-mail de confirmação enviado a um endereço nesse domínio. Se o destinatário seguir o link do e-mail, o certificado será emitido. A emissão de certificados DV é totalmente automatizada e pode ser muito rápida. A duração depende muito da rapidez com que o e-mail de confirmação é respondido. Eles não incluem o nome da entidade que possui o domínio, apenas o nome do domínio. Por exemplo, os certificados Let’s Encrypt se enquadram nesta categoria. Que garantias eles oferecem sobre a identidade do proprietário do domínio? Nenhum! Um site com um certificado DV é seguro no sentido de proteger a confidencialidade, mas não garante a identidade do site de forma alguma. Você sabe que seus dados são criptografados, mas não tem ideia para quem os está enviando. Eles são ideais para sites de pessoas, PMEs, blogs, fóruns , sem a pretensão de oferecer serviços de pagamento e sem processamento de dados pessoais.
  • Validação da organização: os certificados de validação da organização (OV) exigem a verificação da identidade do proprietário do domínio. As práticas de validação da identidade do requerente variam drasticamente de uma autoridade de certificação para outra, com grande inconsistência e diversidade de garantias, embora todas requeiram o envio de um documento oficial para verificar o domínio, o CNPJ, o número de telefone, o endereço físico e algum outro requisito. O processo pode levar de um a três dias úteisEles incluem o nome da organização no conteúdo do certificado. Esses certificados são adequados para instituições e empresas que desejam uma presença sólida na Internet, mas sem oferecer serviços transacionais pela web.
  • Os certificados Extended Validation: Extended Validation (EV) oferecem o mais alto grau de confiança. Eles também exigem verificação de identidade e autenticidade, mas com requisitos muito rígidos. Eles foram introduzidos para corrigir a inconsistência dos certificados OV. Eles exigem ainda mais documentação do que os certificados OV para verificar com segurança a identidade do requerente e suas operações comerciais. Também incluem no certificado o nome da organização para a qual foi emitido e a organização pode até ser vista clicando no pequeno cadeado, sem ter que cavar nos detalhes do certificado, facilitando assim a verificação de sua identidade por visitantes do seu site. É o mais indicado para aqueles sites que oferecem serviços que envolvem transações financeiras. Geralmente é usado por bancos, grandes organizações e lojas online de renome. Devido aos controles em vigor, a obtenção de um certificado EV geralmente leva de 5 a 15 dias.

É importante observar que todos eles oferecem a mesma força criptográfica: 256 bits de criptografia simétrica e 2.048 bits de criptografia de chave pública. A diferença entre eles não está na criptografia, idêntica para todos eles, mas em processos de validação, mais ou menos rigorosos, o que oferece mais ou menos garantias sobre a identidade da pessoa (física ou jurídica) por trás de um site.

A criptografia funciona como um filme, o que falha são os processos

Resumindo, para que uma infraestrutura de chave pública (PKI) funcione, as autoridades de certificação devem fazer bem seu trabalho, entre outras tarefas críticas, verificando a identidade dos solicitantes do certificado. Se esta validação não for executada corretamente, a criptografia serve apenas para garantir a confidencialidade: os dados comunicados entre o servidor web e seu navegador trafegam criptografados, sim, nenhum invasor conseguirá pegá-los, mas para quem você está enviando, de quem? você está recebendo?

Essa questão só é resolvida pelas informações do certificado do site. E aí, infelizmente, a matemática pouco tem a acrescentar: é a missão da AC. É por isso que ocorrem incidentes como o recente com o Camerfirma: o Google duvidava das boas práticas dessa autoridade certificadora. A criptografia não é questionada, mas sim os processos de validação de identidade.

No final, a segurança cibernética é uma mistura equilibrada de tecnologia, processos e pessoas. Você pode confiar na criptografia, o resto …

Boletim semanal de cibersegurança março 20-26

ElevenPaths    26 marzo, 2021

Análise do novo grupo de ciberespionagem SilverFish

A equipe de Inteligência de Ameaças Prodaft (PTI) descobriu um grupo muito sofisticado de cibercriminosos chamado SilverFish, que opera exclusivamente contra grandes empresas e instituições públicas em todo o mundo, com foco na União Europeia e nos Estados Unidos. A SilverFish usaria métodos de gerenciamento modernos, ferramentas sofisticadas e até uma sandbox própria para testar malware contra sistemas, usando diferentes soluções corporativas AV e EDR. O grupo estaria usando domínios comprometidos, que usam principalmente o WordPress, para redirecionar o tráfego para seu servidor de Command & Control (C2). Para fazer isso, o SilverFish cria novos subdomínios para dificultar que o proprietário do domínio descubra que o domínio está sendo explorado. De acordo com a investigação, o grupo SilverFish foi ligado aos ataques da cadeia de suprimentos sofridos pela SolarWinds. Por outro lado, a infraestrutura do grupo teria revelado links para vários IoCs anteriormente atribuídos ao TrickBot. Finalmente, os pesquisadores afirmam que os principais objetivos da SilverFish provavelmente é realizar um reconhecimento e filtrar dados sobre os sistemas vítimas e suas operações.

Mais: https://www.prodaft.com/m/uploads/SilverFish_TLPWHITE.pdf

Energia da Shell afetada pelo incidente da Accellion FTA

A companhia petrolífera holandesa Shell, presente em 70 países e membro da Fortune 500, emitiu um comunicado na semana passada admitindo ter sofrido um incidente de segurança que resultou no vazamento de documentos e arquivos confidenciais. Este incidente decorre do comprometimento de terceiros em dezembro de 2020, em especial do colaborador de TI Accellion. Várias vulnerabilidades de Zero-Day no software de compartilhamento de arquivos da empresa, chamado Accellion FTA, foram ativamente exploradas por atores de ameaças para distribuir malware e exfiltrar documentos hospedados no sistema. De acordo com a Shell, os invasores não conseguiram acessar a infraestrutura digital da entidade quando o software de troca isolado de seus servidores principais foi encontrado. Arquivos vazados incluem informações sobre as subsidiárias e parceiros do grupo, bem como informações pessoais. Esses dados ainda não foram divulgados publicamente na web mantidos pelos operadores do ransomware Cl0p, onde outras vítimas do incidente, como Kroger ou Singtel, viram expostos seus arquivos comprometidos.

Mais: https://www.shell.com/energy-and-innovation/digitalisation/news-room/third-party-cyber-security-incident-impacts-shell.html

Vulnerabilidades no MobileIron MDM

O pesquisador de segurança da Optiv Matt Burch lançou três vulnerabilidades no MobileIron MDM que, se juntadas, podem levar a violações de contas de usuários.

  • A primeira falha (CVE-2020-35137) poderia permitir que os invasores descobrissem o ponto final de autenticação MobileIron de uma organização porque o aplicativo móvel Mobile@Work armazena a API codificada.
  • A segunda vulnerabilidade (CVE-2020-35138) permitiria que os pedidos de autenticação do MobileIron fossem construídos e, sob certas circunstâncias, capturassem credenciais usando um ataque MITM.
  • O último (CVE-2021-3391) permitiria que os invasores realizassem ataques de enumeração do usuário.

Embora o MobileIron ainda não tenha lançado atualizações que corrijam esses bugs, ele forneceu uma série de recomendações para mitiga-los. A Optiv também publicou no GitHub uma ferramenta para testar essas falhas de segurança no MobileIron.

Mais: https://www.optiv.com/explore-optiv-insights/source-zero/mobileiron-mdm-contains-static-key-allowing-account-enumeration

Vulnerabilidades graves no OpenSSL

A equipe do OpenSSL emitiu um alerta sobre duas vulnerabilidades de alta gravidade, listadas como CVE-2021-3449 e CVE-2021-3450. OpenSSL é uma biblioteca de software amplamente usada para criar aplicativos de rede e servidores que precisam estabelecer comunicações seguras. Por um lado, a vulnerabilidade CVE-2021-3449 poderia causar uma falha de negação de serviço (DoS), devido ao desvio de um ponteiro NULL que afeta apenas instâncias de servidores, não clientes. Esse problema foi relatado à entidade em 17 de março de 2021 pela Nokia, sendo a solução desenvolvida por Peter Kostle e Samuel Sapalski da mesma empresa. Por outro lado, a vulnerabilidade CVE-2021-3450 aborda um erro de validação de certificado da Autoridade de Certificação (CA), que afeta tanto as instâncias do servidor quanto do cliente. O bug foi descoberto em 18 de março pela equipe de Akamai e a solução foi desenvolvida por Tomá-Mráz. Ambas as vulnerabilidades são corrigidas na versão 1.1.1.1k do OpenSSL, com a versão 1.0.2 não afetada por esse problema.

Mais: https://www.openssl.org/news/secadv/20210325.txt

Purple Fox adquire recursos de worm e infecta servidores Windows com SMB

Os pesquisadores da Guardicore divulgaram um relatório sobre a capacidade de worms recentemente adquirido pelo malware Purple Fox, infectando servidores Windows através de ataques de força bruta contra serviços de SMB vulneráveis, expostos à Internet sobre a porta 445. Se a autenticação for bem sucedida, a Purple Fox cria um serviço chamado AC0X (onde x é um inteiro de 0 a 9) que baixa o pacote de instalação msi de um dos servidores HTTP da sua botnet, que tem mais de dois mil servidores comprometidos. Este novo vetor de entrada, observado desde o final da década de 2020, convive com técnicas anteriores de infecção da Purple Fox, como explorar vulnerabilidades do navegador da Web ou usar campanhas de phishing por e-mail.

Mais: https://www.guardicore.com/labs/purple-fox-rootkit-now-propagates-as-a-worm/

Mecanismos de segurança cibernética para o dia-a-dia

ElevenPaths    23 marzo, 2021

É cada vez mais comum encontrar notícias relacionadas a ciberataques, vazamento de dados, escândalos de privacidade e, em última instância, todo tipo de eventos contra a segurança na mídia generalista. Esses incidentes não se limitam a tentativas de ataque contra grandes empresas ou governos, já que costumam ser os mais protegidos.

Ao atacar, os cibercriminosos não fazem distinção entre o tamanho da empresa ou o setor (lembre-se que as PMEs são as mais atingidas), afetando também o usuário final, na maioria das vezes totalmente desprotegido. Sendo um problema tão óbvio e importante que todos nós conhecemos, a questão que se coloca é: existem mecanismos de cibersegurança que nos permitem fortalecer nossa segurança no dia a dia?

Neste mesmo blog, explicamos os métodos de teletrabalho aplicando a segurança cibernética em casa ou o que fazer em caso de um incidente, e neste artigo queremos coletar as principais ações que um usuário pode implementar para evitar ser vítima de ataques cibernéticos:

Proteja sua segurança com estas dicas simples

  • Atualize-se: toda vez que recebemos uma notificação para atualizar o sistema, a primeira coisa que vem à mente é coisas como “não tenho tempo”, “agora não é bom para mim”, “que preguiça”, etc. Em suma, desculpas para adiar essa atualização que, em muitos casos, nunca chega. Manter os sistemas atualizados é de vital importância, pois em muitos casos essas atualizações fazem exatamente o que elas fazem é corrigir falhas de segurança ou descobrir vulnerabilidades. Um sistema desatualizado é muito mais fácil de corromper.
  • Configure corretamente sua rede Wi-Fi doméstica: é uma etapa fácil de realizar e pode lhe poupar mais de um aborrecimento. Altere o nome e a senha que vêm por padrão em sua rede Wi-Fi, muitas vezes essas senhas são repetidas de uma rede para outra e pode ser fácil acessá-las. Também é importante ocultar o nome da rede Wi-Fi e desabilitar o WPS.
  • Senhas fortes: sua data de nascimento, o nome do seu cachorro, seu time de futebol preferido … Essas são algumas das táticas mais comuns para escolher senhas fáceis de lembrar, mas é um erro grave. Use senhas fortes, para fazer isso, use tudo o que o teclado oferece: muitos caracteres, incluindo números e letras, maiúsculas e minúsculas e caracteres especiais.
  • Use um gerenciador de senhas: uma prática muito comum (e muito perigosa) é reutilizar senhas repetidamente. O ideal é ter uma senha para cada aplicativo, rede social ou sistema que utilizar. Estamos cientes de que lembrar cada uma das senhas que você deve ter é impossível, por isso existem gerenciadores de senhas como KeepassLastPass ou 1Password. Além disso, esses gerentes possuem uma versão mobile para que possamos levá-los a qualquer lugar.
  • iPatches, cubra a câmera!: Você já viu mais de uma vez alguns pequenos pedaços de plástico que servem para cobrir a webcam do seu laptop quando você não o está usando, seu nome é iPatch, e serve para escondê-lo de olhares curiosos. Eles podem ser obtidos por muito pouco dinheiro, ou recorrer a um pedaço de papel com uma fita, uma pequena moeda ou o que você puder imaginar.
  • Tente se manter atualizado: se você conhece as técnicas e métodos de golpes mais comuns (geralmente por meio de phishing ), será muito mais difícil cair na armadilha . Todas as sextas-feiras publicamos, neste mesmo blog, um boletim semanal com as últimas notícias relevantes em cibersegurança.
  • Bom senso: parece óbvio, mas para evitar cair em ataques cibernéticos é importante usar o bom senso. Normalmente, se algo é bom demais para ser verdade, provavelmente é um golpe e pode terminar mal. Pense duas vezes, busque informações e, se suspeitar, não se arrisque.
  • Também no celular: muitos usuários pensam que as ameaças afetam apenas os computadores, mas não é o caso. Nos últimos tempos temos visto cada vez mais campanhas direcionadas especialmente para dispositivos móveis, então tudo o que temos falado, aplique também no seu celular.

Como enganar aplicativos que usam o Deep Learning para detecção de melanome

Franco Piergallini Guida    22 marzo, 2021

Uma das grandes conquistas do aprendizado profundo é a classificação de imagens por meio de redes neurais convolucionais. No artigo «A Internet da Saúde» , vemos um exemplo claro em que essa tecnologia, como a do projeto -GoogleLeNet- do Google (que foi originalmente projetado para interpretar imagens para carros inteligentes ou carros autônomos) , agora é usada no campo de análise de imagens médicas para detecção de melanomas e câncer de pele.  

Fazendo uma simples pesquisa em lojas de aplicativos móveis com esse objetivo, encontramos alguns que , a partir da foto de uma mancha ou mancha na pele, predizem se é um melanoma malicioso ou algo totalmente benigno . Como vimos em artigos anteriores, esse tipo de algoritmo pode ser vulnerável a alterações em seu comportamento. A partir da seleção de alguns desses aplicativos, procedeu-se a realizar um ataque do tipo caixa preta com o objetivo de gerar estrategicamente ruído a uma imagem de um melanoma para ver se é possível inverter a classificação das redes neurais internas dos aplicativos em o qual não tínhamos nenhuma informação.Ou seja, neste cenário de pesquisa, não tivemos acesso às redes neurais internas dos aplicativos.

Metodologia

Diante desta situação, uma das formas possíveis foi recriar nossos próprios modelos treinados da maneira mais intuitiva para lidar com este tipo de problema e geramos ataques para estes que, devido à propriedade chamada transferibilidade, deveriam funcionar em todas as aplicações que tínhamos selecionado. Mas encontramos um caminho ainda mais fácil: para nos poupar da etapa de treinar uma rede neural dedicada à detecção de melanomas em imagens, simplesmente procuramos um projeto de código aberto que resolvesse esse problema e tivesse uma rede neural já treinada e pronta para Github.

A propriedade de transferibilidade foi descoberta por pesquisadores que descobriram que amostras adversárias especificamente projetadas para causar classificação incorreta em um modelo também podem causar classificações incorretas em outros modelos treinados independentemente, mesmo quando os dois modelos são claramente suportados por algoritmos ou infraestruturas.

Para tentar verificar a teoria usando um dos aplicativos selecionados de nosso dispositivo ou emulador (Android) de forma «normal», procedemos ao carregamento de nossas imagens de melanoma selecionadas aleatoriamente do Google para ver seus resultados. De fato, pudemos observar que os aplicativos classificaram essas imagens como melanomas com alta confiança , como podemos ver na imagem a seguir:

Imagem 1: Classificação das imagens como melanomas

A partir daí, começamos a recriar um ataque adversário. Intuímos que em todas as aplicações vítimas foi utilizada uma abordagem semelhante à proposta no repositório Github. Portanto, utilizando os pesos da rede neural fornecidos pelo repositório, aplicamos a técnica Fast Sign Gradient Method (FSGM), que já mencionamos em outro post sobre ela , gerando o “ruído branco” necessário para enganar as redes neurais. Este ruído, quase imperceptível ao olho humano, é projetado especificamente a partir dos pesos da rede neural para ter o maior impacto ao atribuir as probabilidades de classificação das imagens emudar totalmente o veredicto da previsão.

E, de fato, a imagem cuidadosamente gerada por meio dos pesos das redes neurais de código aberto com o FSGM, tem o impacto desejado nos aplicativos alvo da vítima. Observamos que, claramente, a propriedade de transferibilidade é cumprida, uma vez que não temos ideia de qual estrutura interna ou pesos possuem as redes internas das aplicações. No entanto, fomos capazes de alterar a previsão de imagens em que um resultado era mostrado com bastante certeza de que eram melanomas, simplesmente adicionando «ruído» a elas.

Imagem 2: Melanomas analisados, mas com redução na classificação

Recriamos com sucesso esse tipo de ataque em vários aplicativos que encontramos nas lojas do Google e da Apple. Em alguns casos, eles se comportaram de forma semelhante e não exatamente igual, mas no final dos testes sempre obtivemos o mesmo resultado. Engane a rede neural em sua previsão.

Na imagem a seguir mostramos os resultados da mesma imagem de melanoma carregada para o mesmo aplicativo, mas na qual aumentamos o ruído até chegar ao momento em que a rede interna do aplicativo muda sua previsão.

Imagem 3: A previsão muda conforme o ruído aumenta na imagem

Deve-se notar que quando analisamos este tipo de aplicativo, não apenas encontramos vulnerabilidades potenciais relacionadas a tecnologias de aprendizagem profunda , mas por sua vez, podemos encontrar vulnerabilidades típicas, como:

  • Implementação inadequada de Webview XSS
  • Não aplicação de métodos de ofuscação
  • Conexões inseguras com back-ends (HTTP)
  • Vazamento de dados privados

No final das contas, são pontos fracos que já conhecemos e que ainda muitos deles permanecem sem correção em aplicativos que tratam de informações tão sigilosas quanto dados médicos.

Conclusões

De acordo com o Gartner , em 2022, 30% de todos os ataques cibernéticos à inteligência artificial aproveitarão o envenenamento de dados de treinamento, roubo de modelo ou ataques adversários . Além disso, uma pesquisa da Microsoft indica que 22 das 28 organizações da Fortune 500 não estariam equipadas com ferramentas estratégicas e táticas para proteger, detectar e responder a ataques em seus sistemas de aprendizado de máquina.

As descobertas que encontramos podem representar uma combinação perfeita para que mais tarde, quando mais aplicativos desse tipo forem implantados e interações com outros dispositivos ou plataformas médicas, o risco para a segurança das plataformas e a privacidade dos dados aumente

Criptografia funcional: a alternativa à criptografia homomórfica para realizar cálculos em dados criptografados

Gonzalo Álvarez Marañón    16 marzo, 2021

-Eu ofereço a você as coordenadas exatas de cada operativo implantado na zona de combate
-Por quanto?
-100.000
-É muito
«E um código que mostra a posição atualizada de cada soldado inimigo na tela»
-Trato feito!

Os videogames são um negócio muito sério. Eles movimentam um mercado de bilhões de euros em todo o mundo e atraem todos os tipos de criminosos.

Por exemplo, em um videogame multiplayer online, cada dispositivo deve saber a posição de todos os objetos no solo para renderizá-los corretamente em 3D. Além disso, você precisa saber as posições dos outros jogadores, para representá-los se eles estão na visão do jogador local ou não se estiverem escondidos atrás de paredes ou pedras. O servidor se depara com um dilema clássico: se você fornecer as posições de jogador para os outros jogadores, eles podem trapacear; mas se você não os fornecer, o jogo não saberá quando mostrar jogadores ocultos.

Em vez de fornecer as coordenadas exatas, o ideal seria poder fornecer a informação de se um alvo está ou não à vista do jogador local, mas sem filtrar sua posição. Algo dificilmente possível até a invenção da criptografia funcional.

Criptografia funcional, um passo além da criptografia de chave pública convencional

Com todos os seus benefícios e maravilhas, a criptografia de chave pública tem algumas limitações práticas:

  • Fornece acesso tudo ou nada aos dados criptografados: ou você descriptografa o texto simples completo ou não obtém nenhuma informação sobre o texto simples.
  • Uma vez que os dados são criptografados com a chave pública, há apenas uma única chave privada capaz de descriptografá-los.

Em 2011, D. Boneh, A. Sahai e B. Waters propuseram ir além da criptografia assimétrica convencional com sua criptografia funcional : uma nova proposta de criptografia de chave pública em que diferentes chaves de descriptografia permitem o acesso a funções nos dados com certeza . Em outras palavras, a criptografia funcional torna possível vazar deliberadamente informações sobre os dados criptografados para usuários específicos .

Em um esquema de criptografia funcional, uma chave pública, pk, é gerada com a qual qualquer usuário pode criptografar uma mensagem secreta, m, tal que c = E (pkm). E aí vem a diferença: em vez de usar uma chave de descriptografia convencional, uma chave secreta mestra , msk, é criada conhecida apenas por uma autoridade central. Quando essa autoridade recebe a descrição de uma função, f, ela deriva de msk uma chave de descriptografia funcional, dk [f], associada a f. Qualquer um que usa dk [f] para descriptografar os dados criptografados, c, em vez disso, obterá o resultado da aplicação da função f aos dados simples, f (m), mas nenhuma informação adicional sobre m. Ou seja, D (dk [f], c) = f (m). A criptografia de chave pública convencional é um caso particular de criptografia funcional em que f é a função de identidade: f (m) = m.

Aplicativos de criptografia funcional

Uma infinidade de casos de uso pode ser concebida para criptografia funcional, onde é necessária para operar em dados criptografados, mas sem vê-los :

  • Filtragem de spam: um usuário não confia em seu provedor de e-mail, mas deseja que ele limpe suas mensagens de spam. O usuário pode implementar um sistema de criptografia funcional: ele criptografa todas as suas mensagens com pk e fornece ao servidor uma chave de descriptografia funcional, dk [f], onde f é uma função de filtragem de spam que retorna 1 se uma mensagem m for spam e 0 caso contrário. O servidor usará dk [f] para verificar se uma mensagem criptografada é spam, mas sem obter nenhuma informação adicional sobre a mensagem simples.
  • Pesquisas de banco de dados: um serviço de nuvem armazena bilhões de imagens criptografadas. A Polícia quer encontrar todas as imagens que contêm o rosto de um suspeito. O servidor fornece uma chave de descriptografia funcional com a qual ele descriptografa imagens que contêm a face de destino, mas não revela nada sobre outras imagens.
  • Análise de Big Data: considere um hospital que registra os dados médicos de seus pacientes e deseja disponibilizá-los para a comunidade científica para fins de pesquisa. O hospital pode delegar o armazenamento criptografado de dados confidenciais de seus pacientes a uma nuvem pública. Ele pode, então, gerar chaves de descriptografia funcionais que distribui aos pesquisadores, permitindo-lhes calcular diferentes funções estatísticas nos dados, sem nunca revelar os registros individuais dos pacientes.
  • Aprendizado de máquina em dados criptografados: após treinar um classificador em um conjunto de dados claro, uma chave de descriptografia funcional associada a este classificador pode ser gerada e com ela classificar um conjunto de dados criptografados, para que no final apenas o resultado da classificação, sem filtrar nada nos dados do conjunto.
  • Controle de acesso: em uma grande organização, você deseja compartilhar dados entre usuários de acordo com diferentes políticas de acesso. Cada usuário pode criptografar x=(Pm), onde m são os dados que o usuário deseja compartilhar e P é a política de acesso que descreve como o usuário deseja compartilhá-los. A chave de decodificação funcional dk [f] irá verificar se as credenciais ou atributos do usuário corresponder à política e vai revelar m somente se assim. Por exemplo, a política P=(“CONTABILIDADE” OU “TI”) E “EDIFÍCIO PRINCIPAL” retornaria m para um departamento de contabilidade ou um departamento de TI com um escritório no prédio principal da organização.

Diferenças da criptografia totalmente homomórfica (FHE)

Se você está familiarizado com o conceito de criptografia totalmente homomórfica (FHE) , pode ter pensado nisso ao ler sobre criptografia funcional. A diferença entre os dois é crucial: Fully Homomorphic Encryption (FHE) executa operações nos dados criptografados e o resultado permanece criptografado. Para acessar o resultado dos cálculos dos dados criptografados, é necessário descriptografá-los, o que pode ser inconveniente dependendo de quais casos de uso. A seguinte representação esquemática ajudará a visualizar a diferença entre os dois esquemas de criptografia.

No caso de criptografia totalmente homomórfica (FHE), a função f é calculada sobre os dados criptografados e o resultado é criptografado:

E ( 1 ), E ( 2 ),…, E ( n ) -> E ( f ( 1 , 2 ,…, n ))

Enquanto com criptografia funcional, o resultado é diretamente acessível após o cálculo de f :

E ( 1 ), E ( 2 ), …, E ( n ) -> f ( 1 , 2 , …, n )

Outra diferença importante é que, no caso do FHE, qualquer pessoa pode realizar os cálculos nos dados criptografados, portanto, dado o texto criptografado do resultado, não há garantia de que os cálculos foram realizados corretamente. O FHE requer o uso de protocolos de conhecimento zero para verificar se a função correta foi avaliada. Em contrapartida, na criptografia funcional, apenas o titular da chave de descriptografia funcional pode realizar os cálculos, o que oferece maiores garantias de correção.

Segurança de criptografia funcional

Existe uma grande variedade de esquemas de cifras funcionais, baseados em diferentes dispositivos matemáticos muito complexos. Para simplificar, uma cifra funcional é considerada segura se um adversário não puder obter mais informações sobre m do que f (m). Mesmo se n partes em posse das chaves dk [f1], dk [f2], …, dk [fn], concordarem em atacar m em um ataque de conluio, elas não obterão mais informações do que f1 (m), f2 (m), …, fn (m). O nível de informação revelado no m é totalmente controlado por quem gera as chaves de descriptografia funcionais.

Criptografia de chave pública supervitaminizada e supermineralizada para um futuro na nuvem

A criptografia funcional é uma disciplina ainda muito jovem, que está recebendo um forte impulso de pesquisa devido às suas infinitas aplicações em serviços em nuvem e em IoT. Uma aplicação particularmente interessante promovida pelo projeto europeu FENTEC é a possibilidade de transferir o processo de tomada de decisão baseado em dados criptografados de ponta a ponta de sistemas back-end para alguns gateways em redes complexas, o que é chamado de tomada de decisão local . Ser capaz de permitir que os gateways façam essa tomada de decisão local é um grande passo à frente na proteção de redes IoT e outras redes altamente descentralizadas que podem querer implementar criptografia ponta a ponta, sem perder muitos recursos de tomada de decisão no nível do gateway.

Se você deseja testar a criptografia funcional, pode fazê-lo graças às várias bibliotecas publicadas pelos pesquisadores do projeto FENTEC. Você pode ir direto para o Github e começar a brincar com CiFEr , uma implementação em C, e com GoFE , implementado em Go. Você pode até mesmo testá-lo em seu navegador usando WASM.

A criptografia funcional representa mais um passo em direção a uma criptografia mais poderosa e versátil, capaz de proteger a privacidade dos usuários em casos de uso que antes eram impensáveis ​​com a criptografia convencional.

O que é VPN e para que serve?

ElevenPaths    15 marzo, 2021

As conexões VPN não são nenhuma novidade, já existem há muito tempo, sempre ligadas ao mundo dos negócios. A grande versatilidade e as suas diferentes utilizações têm feito cada vez mais utilizadores utilizarem a tecnologia, estes factores, juntamente com o aumento do teletrabalho devido à pandemia, colocaram as ligações VPN como um dos imperativos da tecnologia.

O uso da VPN traz benefícios que tornam seu uso altamente recomendado. Usar uma rede VPN privada que se conecta a uma rede sem fio pública (WiFi) torna a viagem gerada por tráfego criptografada e coloca mais barreiras para um cibercriminoso tentar roubar informações confidenciais.

A sigla VPN (Virtual Private Network), conforme nos diz seu significado em inglês, é uma rede privada virtual. Para se conectar à internet de qualquer dispositivo (celular, computador, tablet…) o mais comum é ter uma rede conectada a um router ou modem em sua casa que se conectam ao mesmo tempo com o provedor de internet que você contratou. Normalmente, você não tem um único dispositivo conectado, mas existem vários, criando um endereço IP local diferente para cada uma dessas conexões. Com a criação desses IPs é gerada uma rede local, um conjunto de dispositivos conectados de forma que possam compartilhar arquivos com muita facilidade utilizando esta rede local. Com a VPN o que conseguimos é criar uma rede local sem a necessidade de seus membros estarem fisicamente conectados entre si, mas através da internet. Resumindo, você cria uma rede privada usando a Internet com as pessoas ou dispositivos que deseja.

Vantagens das conexões VPN

Esta conexão funciona em todos os aplicativos: ela roteia todo o tráfego da Internet, ao contrário dos servidores proxy , que só são usados ​​no navegador da web e algum outro app que permite configurar opções de conexão avançadas.

Além disso, a VPN se conecta e desconecta com muita facilidade , e tem segurança adicional nos pontos de acesso WiFi, desde que a conexão seja criptografada.

Uma conexão VPN é uma forma eficaz de evitar a censura, falsificando sua localização. Além disso, com uma VPN, seu provedor de Internet não poderia saber quais páginas você visita, mas, cuidado, a empresa que gerencia a VPN sabe.

Principais usos de conexões VPN

  • Teletrabalho: muito utilizado nas empresas que precisam acessar uma única rede privada. Além disso, é uma conexão criptografada previsivelmente com acesso protegido , o trabalhador tem o mesmo acesso como se estivesse pessoalmente na empresa.
  • Evite bloqueio de conteúdo e censura: quando você se conecta com VPN, seu dispositivo se comunica com o servidor VPN, e é este que se comunica com a Internet. É assim que você pode falsificar sua localização e inserir conteúdo que seu país proíbe, como o Facebook na China.
  • Camada extra de segurança: conectar-se ao aplicativo do seu banco em uma rede WiFi aberta nunca foi uma boa ideia. Esta conexão não é criptografada e é aqui que entra a camada de segurança extra da VPN. Os pacotes seriam enviados criptografados para que a pessoa que está “ouvindo” não possa fazer nada. Mas nem tudo é tão bonito quanto parece, uma VPN é tão segura e útil quanto seu provedor. Se você não confia em sua VPN, não a use, pois eles podem ser os únicos capturando seu tráfego, acompanhando o que eles fazem e vendendo sua largura de banda para o maior lance.
  • Downloads P2P: é importante saber que as conexões VPN também têm utilidade no download P2P, mesmo que você baixe torrents legais. Porém, é muito comum que os provedores de Internet tentem boicotar esses downloads, pois você gera muito tráfego. Por esse motivo, alguns provedores bloqueiam os downloads P2P, enquanto outros apenas os boicotam.

A nova força de trabalho digital e os riscos em torno da robótica de processo (RPA)

Martiniano Mallavibarrena    12 marzo, 2021

Nos últimos anos, muitas empresas de diferentes setores optaram por basear sua transformação digital na automação de processos (RPA – Robot Process Automation), o que tem facilitado a criação de centenas de milhares de bots (robôs de software ) nos ambientes de tecnologia de milhares de empresas globalmente. Esse pequeno exército de automação interage rotineiramente com os funcionários, formando uma nova «força de trabalho digital» (digital workforce).

Esses automatismos, conhecidos como bots , costumam ser uma versão moderna e ágil de scripts complexos de vários sistemas e, portanto, serão capazes de processar planilhas, baixar anexos de caixas de correio, planejar processos ou balancear relatórios contábeis. As pessoas envolvidas em processos de negócios podem agora (com um treinamento muito suave e muito lucro) programar bots poderosos fora do departamento de TI ou de fornecedores externos. É a abordagem conhecida como low code.

Nos últimos anos, o setor de RPA adicionou várias ferramentas relacionadas à Inteligência Artificial às suas suítes de software. Com esse reforço, evitaremos escrever programas de computador complexos e usar abordagens como o Aprendizado de Máquina para que o sistema seja treinado (por exemplo, detectando campos em todos os tipos de faturas, em qualquer idioma) e continue aprendendo com o tempo. A esta melhoria, sonha-se em adicionar alguma função do tipo PNL (Processamento de Linguagem Natural ou Programação Neuro-Linguística, em inglês) que permite, ao mesmo tempo, ter um primeiro nível de compreensãode informações textuais (mensagens de e-mail ou em bate-papos com clientes) em vários idiomas.

Todo esse poder de fogo é realidade em milhares de empresas onde processos financeiros e seguradoras aglutinam a maioria dos funcionários digitais. A indústria, a logística e as telecomunicações passaram vários anos utilizando essa tecnologia também é intensa.

Do ponto de vista da segurança cibernética, os cenários de RPA podem ser um novo foco de ataques de vários tipos. Os diferentes fabricantes dessas plataformas fornecem aos criadores de bot todas as funcionalidades possíveis em termos de criptografia de dados, autenticação, uso de plataformas de identidade de negócios externas, etc. De forma a permitir a criação de uma plataforma robótica verdadeiramente sólida em termos de segurança.

Tipos de ataque contra RPA

Os ataques que provavelmente serão tentados em uma implantação de RPA normalmente terão a ver com autenticação , especialmente quando o ambiente é complexo (federação, MFA, 2FA, etc.) e o ataque nos consoles centrais (onde o Log será armazenado sistema, autorizações, caixas de credenciais, etc.). Devemos lembrar que os bots que interagem com nossos sistemas de negócios precisarão de conjuntos de credenciais análogos aos usados ​​por funcionários humanos.

Um segundo vetor de ataque estará relacionado ao código-fonte e às possíveis fragilidades do ecossistema usual dos próprios programadores, empresas de serviços, subcontratados, etc. Se as medidas de desenvolvimento seguro não forem extremas (uma estrutura do tipo DevSecOps, por exemplo) e as melhores práticas forem maximizadas (como o uso de caixas de credenciais, em vez de senhas claras) ou sistemas de autenticação externa (para contas com maiores privilégios), iremos gerar inadvertidamente uma grande superfície de ataque para nossos adversários.

Os sistemas de treinamento e outras funções de Inteligência Artificial devem ser revisados seguindo essas boas práticas para evitar vulnerabilidades facilitadoras nos sistemas finais que iremos colocar em produção.

As principais estruturas de segurança cibernética (como o NIST nos Estados Unidos) podem ser aplicadas para revisar todo o conjunto de controles que devemos levar em consideração ao desenvolver nossa solução RPA específica.

Em uma empresa com uma força de trabalho mista (funcionários humanos e robôs de software ), o nível de monitoramento e governança constante da segurança cibernética não pode ignorar esses novos “funcionários digitais” e toda a tecnologia que os mantém ativos. Eles, como nós, farão o login nos sistemas, criarão e utilizarão arquivos com informações sigilosas e atuarão diretamente em nossas plataformas de negócios (ERP, CRM, etc.), possivelmente em formato 24 × 7. Se essas plataformas forem vulneráveis ​​e oferecerem uma grande superfície de ataque, uma nova geração de riscos de segurança cibernética começará a aparecer na agenda de cada CISO.

Por tudo isso, nossa abordagem atual de cibersegurança deve ser preparada gradativamente para incluir este tipo de plataformas, processos e atividades em sua cobertura. Em breve fará parte do nosso dia a dia e devemos estar preparados.

Mulheres na cibersegurança

ElevenPaths    9 marzo, 2021

Eu sempre fui uma pessoa que gosta de encarar desafios, acho que por isso iniciei na área de tecnologia na época da faculdade, quando resolvi trocar a ideia de seguir uma carreira acadêmica por uma faculdade de ciências da computação. E a vida não foi fácil, a faculdade era predominantemente masculina e o mercado de trabalho não era diferente. Trabalhei em diferentes empresas algum tempo depois, iniciei minha carreira na área de cibersegurança. Eu tinha um fascínio por aqueles profissionais incríveis que defendiam as empresas dos hackers do mal.

A área de cibersegurança é uma área predominantemente masculina, o que faz com que algumas mulheres não direcionem as suas carreiras para esse interesse. E mesmo depois que elas decidem ingressar nessa área, ainda enfrentam diversas barreiras. Um estudo de 2017 (ISC)2 descobriu que 51 por cento das mulheres na segurança cibernética enfrentaram alguma forma de discriminação.

Também um relatório da Cybersecurity Ventures afirma que as mulheres representam apenas 20% da força de trabalho da cibersegurança, enquanto um estudo do (ISC)2 usando critérios diferentes, aponta o número um pouco mais alto, 24%. Embora a porcentagem de mulheres na cibersegurança tenha aumentado desde 2013 – quando as mulheres representavam apenas 11% da força de trabalho do setor – ainda há uma lacuna de gênero.

E é importante eliminar essa lacuna de gênero. Ter mais mulheres na cibersegurança ajuda as empresas e o setor a preencher a necessidade cada vez maior de talentos. O estudo do (ISC)2 constatou que as mulheres nessa área são, em geral, mais educadas do que os homens, e uma porcentagem maior de mulheres está alcançando posições de liderança. O (ISC)2 constatou que 44% dos homens em cibersegurança têm pós-graduação, em comparação com 52% das mulheres. Toda a força de trabalho e a organização como um todo podem se beneficiar com o recrutamento de mulheres mais qualificadas e ambiciosas.

E o problema hoje não é que haja muitos homens na área, mas sim que não há mulheres suficientes. Além disso, as mulheres acabam ingressando mais em funções de risco, privacidade, governança do que em áreas técnicas.  Buscar a igualdade de gênero na cibersegurança requer trabalho de ambos os lados. Essas mulheres precisam se mostrar preparadas para serem levadas a sério e entender o que isso significa em qualquer ambiente em que estejam.

Porém, apesar dos números, uma transformação vem surgindo e as mulheres tem sido cada vez mais representadas. Tem surgido no mercado mulheres fortes, com um nível de confiança e com uma gama de habilidades. As mulheres tem se apoiado cada vez mais e criado sonoridade umas com as outras. 

E elas não estão sozinhas, existem diversas comunidades que trabalham para mudar esse cenário. Essas comunidades ajudam a que as mulheres encorajem umas às outras e tenham exemplos de grandes mulheres já na área, além de apoiar no ingresso da carreira ou em uma mudança a uma carreira já em andamento. Eu participo como líder voluntária em uma dessas comunidades, a WOMCY (Women in Cybersecurity) e tem sido uma experiência fantástica essa troca com tantas mulheres incríveis e interessadas em aprender e se desenvolver cada vez mais.

A WOMCY é uma organização latino-americana dedicada a aumentar o número de mulheres na segurança cibernética. A organização é voltada para mulheres de todas as idades na América Latina, incluindo meninas em idade escolar e mulheres já em carreiras de segurança cibernética de sucesso. O objetivo é eliminar a lacuna de gênero na segurança cibernética nos países latino-americanos. Ela faz isso por meio de palestras e orientação profissional para meninas em idade escolar, e serviços de educação, orientação e recrutamento para mulheres que buscam progredir em suas carreiras de segurança cibernética.

Existem outras comunidades voltadas para mulheres no mercado, umas delas é a Cybersecurity Girls, focado em mentoria a mulheres na área, com mentores voluntários e desenvolvimento de pesquisa. E o mercado tem muitas outras comunidades, basta procurar uma que combine com você. Outras dicas para as mulheres que desejam ingressar nessa área é que comecem seu networking com profissionais da área, as comunidades são um bom começo. Tenha um mentor, alguém que já está colocado no mercado e possa te direcionar melhor, conheça as diferentes áreas que existem na cibersegurança e pratique sempre!!!

Essa prática pode ser feita através de hackatons, bootcamps, CTFs (capture the flag), etc. Uma busca rápida te mostrará uma série de eventos para você participar. Embora você possa se sentir intimidado no início nesses eventos, lembre-se que provavelmente há muitos outros como você que estão apenas começando. Acredite sempre em você e não desista.

Hoje na Eleven Paths temos o movimento” #MulheresHachers uma iniciativa global, com o objetivo de tornar visível o papel das mulheres no setor de tecnologia e conscientizar nossas meninas sobre seu potencial para estudar carreiras de STEM. Nosso objetivo é inspirar crianças e jovens com a preocupação com o mundo tecnológico e incentivá-los a romper com estereótipos de gênero.

Queremos valorizar e fortalecer a imagem das mulheres nas profissões relacionadas às novas tecnologias, setor onde a maioria dos profissionais permanece homens.

Na Eleven Paths Brasil temos orgulho de participar dessas iniciativas e vamos juntas buscar cada vez mais a segurança para todos!

#MulheresHacker 2021, está AQUI!

ElevenPaths    8 marzo, 2021

Certamente, se você nunca ouviu #MulheresHacker você está se perguntando o que é essa hashtag ou o que ela significa. Não fique confuso, #MulheresHacker não é uma hashtag, é um movimento que queremos levar a todos os lugares deste planeta para dar às mulheres e à tecnologia a visibilidade e importância que elas realmente têm. Bem-vindos ao #MulheresHacker 2021, juntem-se ao movimento! 

Essa ação vem para se tornar um movimento internacional que dá força e valoriza o potencial de meninas, meninas e mulheres para estudar e treinar no que quiserem, e continuar no topo de suas carreiras profissionais. Deixando de lado os estereótipos sociais atuais, apresentaremos através de uma série de 6 vídeos situações reais sobre mulheres, hackers e profissões tecnológicas, para fazer parecer que qualquer pessoa, sendo mulher ou homem, pode se dedicar a profissões técnicas e mais com a demanda atual que está gerando transformação digital. 

Sonhos e aspirações não entendem gênero e, portanto, promover e apostar em uma maior presença do papel feminino em ambientes de trabalho e carreiras STEM focadas em tecnologia é o objetivo desta iniciativa que promovemos a partir da Telefónica Tech. 

Já se passaram quatro anos desde que a Telefónica decidiu apoiar essa realidade social através #MulheresHacker. A iniciativa surgiu como uma necessidade, observando as conclusões de diversos estudos em que se concluiu que a partir dos 15 anos as meninas perdem o interesse pela ciência e tecnologia sem motivo, e decidem seguir carreiras de saúde e cuidados, ou focadas em letras. 

Para conter essa perda, #MulheresHacker nasceu com objetivo específico: impulsionar a comunidade de mulheres cientistas da empresa a criar benchmarks sobre as menores e garantir que elas não percam o interesse por essas carreiras tecnológicas. 

Para criar tecnologia, você só tem que ter desejo e paixão. Nossas diferenças são deixadas de lado quando se trata de talento e potencial. Essa é a principal razão que levou #MulheresHacker 2021 a se tornar um movimento global que busca trazer os dois gêneros para um caminho comum: a inclusão no mundo da tecnologia. Toda uma corrida de fundo que construiremos juntos pela mão de nossos #MulheresHacker porque no mundo hacker todos nós nos encaixamos. 

Mais informações: https://mujereshacker.telefonica.com/

Nova versão do FARO: crie seu próprio plugin e contribua para sua evolução

Juan Elosua    4 marzo, 2021

Hoje vamos apresentar a vocês uma nova versão do FARO, nossa ferramenta de código aberto para detectar informações confidenciais que já falamos neste blog em julho de 2019.

Como mencionamos anteriormente, FARO permite detectar e classificar informações confidenciais de diferentes tipos de documentos, como: texto, arquivos compactados, html, e-mails, etc. Além disso, graças à sua tecnologia OCR, ele também pode detectar informações em imagens ou documentos digitalizados. Tudo isso para contribuir para um maior controle dos dados sigilosos de nossa organização.

Figura 1 – Exemplo visual de entidades detectadas e resultados FARO

Nesta nova versão, adicionamos novas funcionalidades e melhorias , entre as quais queremos destacar o sistema de plugins com suporte multi-idioma. Agora é possível criar plug-ins simples para FARO para detectar novas entidades com informações confidenciais.

“FARO é uma ferramenta aberta à comunidade que convida qualquer pessoa interessada no seu desenvolvimento ou evolução a aceder ao repositório e deixar o seu feedback ou qualquer outra contribuição que possa contribuir para o seu desenvolvimento futuro.”

Multi-language plugin do sistema

Graças à nova arquitetura modular da FARO e seu sistema de plugins, é possível detectar novas informações confidenciais sem um conhecimento profundo do funcionamento interno da ferramenta. Só será necessário focar na definição de padrões para a detecção de informações sensíveis e incorporar configurações para sua validação e contexto.

Dois tipos de padrões foram definidos para cada pluginO primeiro padrão é utilizado quando a entidade a ser localizada é muito específica e, portanto, podemos detectá-la com uma confiança muito alta, gerando uma baixa taxa de falsos positivos.

"BITCOIN_P2PKH_P2SH_ADDRESS": r"[13][a-km-zA-HJ-NP-Z0-9]{26,33}"

Padrão 1 – Exemplo de padrão de detecção para endereços BTC

O segundo padrão, porém, é mais geral e pode gerar um número maior de falsos positivos. Em cada plugin FARO, você pode adicionar um contexto que aumenta a confiança de que a detecção está correta para evitar esses falsos positivos. Este contexto é baseado em dicionários de palavras que são pesquisadas antes ou depois, das entidades potenciais detectadas, para poder nos ratificar na decisão.

"MOVIL_ESPAÑA": r"[67](\s+|-\.)?([0-9](\s+|-|\.)?){8}"

Padrão 2 – Exemplo de padrão de detecção de número de celular

Além disso, os plugins no FARO permitem adicionar uma validação automática se, por exemplo, existirem os dígitos de controle de uma conta bancária, aumentando assim consideravelmente a certeza de que é a informação que queremos detectar.

Por fim, observe que cada plugin pode ser definido para vários idiomas, personalizando o contexto e o padrão a ser localizado com base no idioma original do documento.

No wiki do projeto você encontrará todas as informações técnicas para a elaboração de plugins. Incentivamos todos a participarem, seja contribuindo com novos plugins para melhorar a ferramenta ou testando o FARO em sua organização e enviando feedback via Github.

O centro de cibersegurança TEGRA faz parte da unidade conjunta de investigação em cibersegurança IRMAS (Sistemas Avançados de Gestão de Direitos de Informação), que é cofinanciada pela União Europeia, no âmbito do Programa Operacional FEDER Galicia 2014-2020, para promover o desenvolvimento tecnológico, inovação pesquisa de qualidade.