Análise de APPs relacionados a COVID19 usando Tacyt (II)

Andrés Naranjo    Amador Aparicio    7 septiembre, 2020

Continuamos com a pesquisa iniciada no post anterior em que analisamos esse tipo de aplicação com nossa ferramenta Tacyt . Em relação ao aplicativo analisado, podemos perceber que uma rápida olhada nas permissões no Tacyt já deixa claro que não se trata de um APP convencional: permissões de chamadas, contas, SMS, eliminação de processos, NFC, gravar áudio e um longo etc.

Tudo isso é muito mais típico de um APP malicioso do que de um APP legítimo, qualquer que seja sua funcionalidade. As probabilidades de que seja um cavalo de Tróia em execução em segundo plano para acessar informações confidenciais geradas através do dispositivo móvel são, portanto, altas.

As seguintes permissões que o APP precisa para ser executado no terminal se destacam como críticas:

  • android.permission.CALL_PHONE – Permite que um aplicativo inicie uma chamada telefônica sem passar pela IU do discador para o usuário confirmar a chamada.
  • android.permission.INTERNET – Permite que aplicativos abram conexões de rede.
  • android.permission.NFC – Permite que aplicativos executem operações de I / O por meio de NFC.
  • android.permission.READ_CONTACTS – Permite a um aplicativo ler os dados de contato do usuário.
  • android.permission.READ_PHONE_STATE – Permite acesso somente leitura ao status do telefone, incluindo informações atuais da rede celular, status da chamada e uma lista de todas as contas de telefone registradas no dispositivo.
  • android.permission.READ_SMS – Permite a um aplicativo ler mensagens SMS.
  • android.permission.RECEIVE_SMS – Permite que um aplicativo receba mensagens SMS.
  • android.permission.RECORD_AUDIO – Permite a um aplicativo gravar áudio.
  • android.permission.SEND_SMS – Permite que um aplicativo envie mensagens SMS.

Após a instalação do APP em um dispositivo Android, observa-se que ele só faz conexões com o endereço IPv4 149.154.167.99 no protocolo HTTPS.

Também podemos ver que o endereço IP anterior corresponde a um dos servidores do Telegram encarregados de gerenciar os bots para se comunicarem por este meio.

Após descompilar e analisar o código do APP malicioso, vemos que ele usa técnicas de ofuscação para tentar evitar a detecção por mecanismos antimalware existentes ou pelos mecanismos de proteção presentes nos dispositivos móveis atuais. O APP usa SQLite para armazenar localmente as informações confidenciais que obtém do dispositivo da vítima onde está instalado e, presumivelmente, para cada vítima, envia um aviso para um bot do Telegram.

Além disso, é muito provável que todas as informações que o APP malicioso coleta de cada uma de suas vítimas, como mensagens de áudio, buscas realizadas com o navegador em busca de parâmetros ou cookies de sessão, informações obtidas através da webcam , etc., é armazenado localmente em um banco de dados SQLite para despejo posterior em um servidor centralizado controlado pelo cibercriminoso.

Com essas claras indicações, já é possível verificar que muitos mecanismos antimalware identificam o APP como malicioso , detectando especificamente o famoso Trojan Cerberus, que permite o controle total do sistema. Os atacantes mais uma vez disfarçaram o Trojan com um tema marcante e relevante para o momento, tentando maximizar os downloads.

Conclusão

Como em tantas outras ocasiões e aproveitando as repercussões e incertezas geradas pela pandemia COVID-19, muitos aplicativos maliciosos estão usando técnicas de engenharia social para controlar dispositivos por meio de cavalos de Tróia tradicionais. Podemos apenas recomendar o download apenas de aplicativos de fontes oficiais para evitar problemas de segurança e privacidade.

FaceApp e dados pessoais, já não falamos sobre isso?

Christian F. Espinosa Velarde    3 septiembre, 2020

Já não tínhamos conversado sobre isso? A volta de aplicativos como o FaceApp e a comoção provocada pelas fotos por eles geradas, em que seus usuários podem se mostrar como mulheres e seus usuários como homens ou mudar sua idade e outros aspectos de sua aparência, é igual ao rebuliço que causaram ao aparecer e eles se tornaram uma tendência mundial.

Da mesma forma, não é novidade o alarme levantado por especialistas na área da cibersegurança e privacidade e proteção de dados pessoais quanto ao risco que a partilha da nossa imagem representa para a imensa maquinaria tecnológica subjacente à aplicação em questão. Então, não aprendemos nada sobre isso? As vozes de todos esses especialistas e especialistas caíram em ouvidos surdos? Parece que sim porque, novamente, milhares de usuários (se não mais) continuam a usar esses aplicativos.

Para ser um pouco mais claro sobre isso, devemos entender o que acontece com nossos dados. Embora hoje seja tudo divertido, no futuro, com os avanços no reconhecimento facial e no uso da biometria, nossos rostos serão cada vez mais usados ​​como senha para acessar diversos dispositivos e serviços, alguns com maior sensibilidade do que outros.

Riscos derivados e proteção de dados

Os riscos e ataques que podem surgir do uso desses aplicativos são bastante complexos. O roubo de identidade pode levar a consequências muito maiores, como o roubo de grandes quantidades de dados confidenciais e dinheiro , no caso de muitas entidades financeiras que já usam o reconhecimento facial para acessar seus aplicativos móveis, por exemplo. Esse problema seria ainda pior se o usuário que envia sua imagem ocupasse cargos gerenciais em empresas ou governos.

Agora, é necessário lembrar os problemas que foram encontrados nos termos e condições de uso e suas políticas de privacidade desses aplicativos? Vamos dizer sim e não. Essas políticas mudaram, de certa forma, para melhor, mas ainda não são isentas de riscos (nada está realmente). É verdade que os utilizadores leem cada vez mais estes documentos, mas continuam a utilizar uma linguagem bastante elaborada (mesmo para um advogado), que deixa um gosto desagradável na boca quando se fala de princípios aplicáveis ​​à proteção de dados pessoais. O princípio da transparência estabelece que as notificações legais devem ser simples e de fácil compreensão, e ainda estabelece que deve haver um consentimento real informado, expresso e explícito. Estes princípios de que falamos não são tirados do chapéu, mas estão estabelecidos no Regulamento Geral de Proteção de Dados , a norma relativa à proteção de dados pessoais.

Conclusão

Embora existam melhorias nos aspectos legais deste tipo de aplicações, é necessário que consideremos também os aspectos mais práticos. O aprendizado que devemos obter é que devemos ser muito mais cautelosos e responsáveis ​​quanto ao uso de nossos dados pessoais, pois estes não são um bem com o qual possam ser comercializados. Cada informação faz parte da nossa identidade, por menor que pareça.

Após este breve comentário, espero não cair nesse cyberdéjà vu novamente e gostaria de não ter essa conversa novamente no futuro.

Análise de APPs relacionadas ao COVID19 usando Tacyt (I)

Andrés Naranjo    Amador Aparicio    31 agosto, 2020

Aproveitando toda a atenção monopolizada por esse assunto, os markets oficiais de aplicativos , Google Play e Apple Store, recebem uma enxurrada de aplicativos diariamente . Ambas as plataformas, especialmente o Android, já limitam a publicação e a pesquisa de termos como «covid» ou «coronavirus»: o Google declarou guerra àqueles que tentam tirar proveito do medo para obter downloads. Atualmente, apenas aqueles que pertencem a propriedades oficiais dos diferentes governos permanecem no Google Play.

Para esta análise rápida, usaremos a ferramenta Tacyt da ElevenPathso ecossistema de inteligência cibernética móvel , onde sua estrutura de Big Data monitora, armazena, analisa, correlaciona milhares de novos aplicativos todos os dias e cujas informações podemos acessar para comparar ou comparar com base em consultas fáceis e simples.

Uma das vantagens que a Tacyt nos oferece é que podemos ter todos os aplicativos acessíveis, independentemente da localização. Como o Google Play só pode oferecer resultados, dependendo do país de origem, de acordo com a disponibilidade que o desenvolvedor propôs. Da Espanha, vamos ao repositório oficial do Google Play e procuramos os aplicativos relacionados ao COVID19.

Aplicativos oficiais na Espanha acessíveis no market do Google (10 no total)
Aplicativos oficiais na Espanha acessíveis no market do Google (10 no total)

No entanto, nada a ver com o número de aplicativos encontrados em qualquer market não oficial:

Aplicativos encontrados no market alternativo APTOIDE apenas com o termo "coronavírus"
Aplicativos encontrados no market alternativo APTOIDE apenas com o termo «coronavírus»

 Como em outros markets, o Aptoide, por exemplo, não baixa diretamente o aplicativo que solicitamos, mas o «downloader» através do qual o download real será solicitado. Isso pode ser facilmente intuído, verificando se o tamanho do arquivo é o mesmo:

Downloads de aplicativos da APTOIDE
Downloads de aplicativos da APTOIDE

De fato, verificamos facilmente no Tacyt ao fazer o upload desses aplicativos, ele os detecta como um, com o mesmo hash:

This image has an empty alt attribute; its file name is image-3.png

E é que o Tacyt não apenas inclui seus próprios mecanismos de descoberta e download de aplicativos, mas também, usando a função de upload (via web ou API), o usuário pode enviar os aplicativos a serem analisados, que podemos ver rotulados como «userUpload” e também rotule-os com nossas próprias etiquetas de identificação (como na imagem, o autor do upload ou o mercado de onde foi baixado).

Essa função de upload pode ser muito útil para detectar em markets não oficiais versões alteradas de nossos aplicativos legítimos , por exemplo, de um banco. O Tacyt inclui um botão para comparar aplicativos na interface.

De qualquer forma, não perdemos a oportunidade de desencorajar totalmente a instalação de aplicativos de fontes não oficiais .

Pesquise com Tacyt no Google Play por aplicativos relacionados ao COVID19 desde o início da Pandemia

Vamos focar a investigação no Google Play . Os filtros são usados ​​para formar a seguinte pesquisa no Tacyt. Como você pode ver, essas consultas compostas comuns (dorks) na pesquisa do Google, por exemplo, são fáceis de ler:

((packageName: * covid19 *) OR (packageName: * coronavirus *)) AND (origem: "GooglePlay") AND (createDate: "2020-03-14 00:00:00 - hoje")

Dorking ”para pesquisar com aplicativos Tacyt no Google Play relacionados ao COVID-19 publicados desde o início do estado do alarme
Dorking para pesquisar com aplicativos Tacyt no Google Play relacionados ao COVID-19 publicados desde o início do estado do alarme

Resposta de Tacyt com a pesquisa anterior:

This image has an empty alt attribute; its file name is image-5.png
Aplicativos relacionados ao COVID-19 publicados no Google Play que não são da Espanha
Aplicativos relacionados ao COVID-19 publicados no Google Play que não são da Espanha

Agora, estamos procurando no Tacyt aplicativos não oficiais relacionados ao COVID19 a partir da data oficial de início da pandemia . Para esta tarefa, podemos usar o parâmetro ORIGIN indicando a exclusão, por exemplo -origin: GooglePlay, ou seja, todos aqueles cuja origem não é oficial.

((packageName: * covid19 *) OR (packageName: * coronavirus *)) AND (-origin: GooglePlay) AND (createDate: "2020-03-14 00:00:00 - hoje")

Aplicativos não oficiais publicados desde o início da pandemia
Aplicativos não oficiais publicados desde o início da pandemia

Por exemplo, examinamos as permissões do aplicativo com o nome do pacote » coronavirus.tracker.news » e faremos uma análise rápida.

As seguintes permissões são suspeitas: (apenas comentamos permissões diferentes das permissões «normais» de aplicativos oficiais que violam a privacidade ou a segurança)

  • android.permission.CHANGE_WIFI_STATE : permite que o APP altere o status da conectividade Wi-Fi.
  • android.permission.INTERNET : permite que o APP abra conexões de rede.
  • android.permission.WRITE_EXTERNAL_STORAGE: permite que o aplicativo grave no armazenamento externo do dispositivo.
  • android.permission.READ_EXTERNAL_STORAGE : permite que o APP leia o armazenamento externo do dispositivo.
  • android.permission.WAKE_LOCK – Permite usar o PowerManager WakeLocks para impedir que o processador entre no modo de suspensão ou a tela fique escura.

Para qualquer investigação, podemos carregar os aplicativos no Tacyt em lotes e depois pesquisá-los usando uma tag personalizada e localizando, por exemplo, como dissemos, permissões suspeitas:

This image has an empty alt attribute; its file name is image-8.png
This image has an empty alt attribute; its file name is image-9.png

Da mesma forma, poderíamos ter procurado por indicações sobre a data de validade do certificado (às vezes com duração suspeita), apikeys , seqüências de texto ou e-mails associados a malware e um longo período de tempo …

Veremos na próxima parte mais algumas informações sobre os resultados.

O que os criminosos da indústria de ransomware recomendam para que você não seja afetado por ransomware?

Sergio de los Santos    27 agosto, 2020

Todos conhecemos as recomendações de segurança que os profissionais oferecem para se protegerem contra malware . Geralmente: use o bom senso (pessoalmente, um dos conselhos menos aplicáveis ​​e abstratos que podem ser dados), use um antivírus, um firewall (?) … Todas as boas intenções que não são práticas, muito repetidas, mas não são muito eficazes. Usuários e empresas continuam infectados. se, para variar, ouvirmos os próprios criadores de ransomware ? Não é possível que eles tenham uma visão mais prática e realista do que fazer para evitar seu próprio ataque? Quais são as recomendações deles contra si mesmos?

Primeiro, devemos diferenciar entre o ransomware doméstico e o profissional de ransomware. No primeiro, o objetivo é o computador aleatório de qualquer indivíduo , pode ser aquele que não age. O segundo é o ransomware desenvolvido com uma empresa específica como alvo. Os atacantes passarão meses planejando o ataque, provavelmente semanas na rede e em poucos minutos criptografarão tudo o que puderem para pedir um resgate milionário . E uma vez afetado, pouco pode ser feito. A Garmin pagou recentemente e o CWT também, uma empresa de gerenciamento de viagens de negócios e eventos dos Estados Unidos que acabou de pagar US $ 4,5 milhões para decifrar seus próprios dados. O acordo com o negociador atacante foi por bate-papo e foi tornado público. A transcrição mostra a gestão de qualquer negócio entre profissionais . Vamos parar com as recomendações feitas pelo negociador «ruim» ao representante da CWT e analisar sua eficácia.

Recomendações anti ransomware

Note-se que são recomendações dos próprios atacantes e para ajudar grandes empresas atacadas por ransomware profissional. Vamos com eles e ver se são adequados.

Lista de recomendações. Fonte: Twitter Jack Stubb s
Lista de recomendações. Fonte: Twitter Jack Stubbs
  • Desabilitando senhas locais
    Nos sistemas e servidores controlados pelo Controlador de Domínio, é uma boa idéia não usar usuários locais e focar nos do controlador de domínio. Isso permite rastreabilidade aprimorada e exposição reduzida. Boa recomendação.
  • Forçar o encerramento da sessão do administrador
    Quando os invasores já estão em casa na rede, eles tentam passar para o administrador do domínio e abrir sessões com ele, caso contrário, não poderão criptografar tudo o que é importante e os backups. É uma boa ideia que essas sessões terminem, expirem e sejam totalmente monitoradas.
  • Impedir que o WDigest (Digest Authentication) usado no LDAP armazene senhas na memória
    O invasor aqui se refere, velado e quase certamente, a Mimikatz e como ele provavelmente recupera a senha de administrador do controlador de domínio e aumenta os privilégios graças a esta ferramenta. Se um determinado valor do Windows estiver definido como zero, eles não poderão ver a senha claramente e a elevação será difícil para os invasores. Excelente recomendação.
  • Atualizando senhas todos os meses
    Há muita controvérsia nisso sobre a atualização de senhas . Para os usuários, é tedioso atualizar todos os meses e acabar anotando-os ou seguindo um padrão. Mas para administradores (que é onde esse criminoso aponta), faz sentido . Os invasores podem passar mais de um mês em uma rede sem se revelar, estudando quando é o melhor momento para iniciar o ataque mais eficaz. Alterar suas senhas, que eles provavelmente já descobriram, pode forçá-los a repensar o ataque e pode desfazer muito do seu trabalho. Recomendação interessante.
  • Reduza as permissões do usuário para acessar o essencial.
    Bem, essa é uma recomendação comum. Também muito provavelmente se refere à maneira como os atacantes gerenciam, de um usuário particular, elevar privilégios graças à negligência na segmentação de permissões e privilégios.
  • Applocker e o uso dos aplicativos necessários
    Este é o sonho de todo administrador de rede: ter uma lista branca de aplicativos que os usuários podem executar e ignorar o resto. Com o AppLocker, já integrado no Windows, seria suficiente. Funciona muito bem e permite limitar por certificado, localização, etc. Os invasores não poderiam baixar suas ferramentas e iniciá-las para elevar privilégios. É uma medida excelente e complexa de se tornar realidade, embora não seja impossível.
  • Não conte com antivírus a curto prazo O antivírus (como tal) não é a melhor solução para detecção precoce. «Não conte com eles.» Aqui, o invasor afirma que o antivírus pode servir a longo prazo, como algo reativo. E, infelizmente, está certo, o antivírus, como tal, é um elemento reativo e é aí que funciona melhor: como um sistema para detectar e erradicar uma infecção quando ela já ocorreu. Para evitar, é razoável usar um conjunto de medidas muito mais amplo. Além disso, ele esclarece que o antivírus só funciona se o invasor «por algum motivo não atacar no curto prazo».Isso implica que atacantes profissionais raramente são impulsivos. Eles levam um tempo para analisar a vítima e atacar de forma eficaz.
  • Instale um EDR (EndPoint Detection and Response) e que os técnicos saibam trabalhar com
    ele.Um EDR é mais do que um antivírus, é realmente destinado à detecção precoce, análise do que acontece no sistema em tempo real, além de assinaturas antivírus tradicionais. E sim, isso pode ser útil. Mas a sutileza que o atacante acrescenta é interessante: não apenas pelo uso, mas também pelo fato de «os técnicos trabalharem com ele». Como qualquer software , é inútil montar o EDR se não estiver configurado corretamente, for conhecido, funcionar e for monitorado corretamente.
  • Trabalhando 24 horas por dia
    Para grandes empresas, o atacante recomenda três turnos de oito horas para os gerentes, cobrindo assim 24 horas por dia. Isso implica que os invasores provavelmente procurarão momentos em que os administradores não estejam trabalhando para iniciar ataques, movimentos laterais ou elevações de privilégios. Se tiverem sucesso sem que os alarmes disparem (e sendo verificados), eles poderão apagar as faixas. Mudanças tão completas de «vigilância humana» são importantes.

Conclusões

Levando em conta que eles acabaram de receber 4,5 milhões de euros por um resgate que eles mesmos causaram, o atacante, sem dúvida, pertence a um grupo profissional que sabe o que está fazendo. As recomendações parecem sinceras e, embora possam parecer contraproducentes, visam dificultar o seu próprio trabalho . Por que revelar esses truques? Ele o comunica à vítima (que lembramos que acabamos de pagar) e apenas a ela como um ato de profissionalismo. Eles concluíram uma transação entre «profissionais» para um serviço e fornece um «bônus» de informações. Como o encanador que, depois de consertar um bloqueio no oleoduto, o aconselha antes de sair, enquanto ele estende a conta, sobre como evitar que o banheiro entupa novamente.Nenhum encanador negaria essa pequena dica porque acha que a perde. Pelo contrário, como um bom profissional, o invasor precisa criar confiança, porque na próxima vez que atacar uma grande empresa e exigir milhões, ele quer saber que pagá-los é a melhor opção para recuperar os dados. Trate bem seus clientes atuais e futuros … mesmo que sejam vítimas.

Mas mesmo que essas dicas tenham vazado, presumimos que elas não se importam nem um pouco. Existem milhares de grandes empresas por aí que irão ignorá-lo. Devido à ignorância ou falta de recursos, eles continuarão sendo vítimas em potencial. Os invasores podem se dar ao luxo de aconselhar sobre como impedi-los de se atacarem, e ainda continuam desfrutando de uma superfície de ataque suficiente para apoiar um negócio próspero.

SASE: O futuro das redes e segurança está aqui

ElevenPaths    27 agosto, 2020

Desde que o Gartner publicou seu relatório “O Futuro das Redes de Segurança na Nuvem” em agosto de 2019, apontando o conceito SASE como a chave para o futuro do networking e da segurança, o murmúrio em torno dele continuou a crescer. Mas, apesar de tudo o que foi escrito desde então, continuamos a ouvir frequentemente perguntas como: O que é SASE realmente? ou onde posso comprá-lo?

A verdade é que o SASE não é um produto ou serviço que se pode comprar diretamente de um fornecedor, mas um novo modelo na prestação de serviços de rede e segurança. Representa uma evolução significativa das tendências que surgiram nos últimos anos como Segurança como Serviço ou Rede como Serviço. Além disso, a SASE visa cobrir um grande número de cenários de rede e segurança, tecnologias e serviços, por isso não é surpreendente que haja alguma confusão em torno desse conceito.

Em seguida, tentaremos esclarecer o problema que leva ao surgimento da SASE, descrever o modelo, os benefícios para o cliente e quais são as chaves para sua adoção.

Paper completo

Click to access sase-futuro-redes-seguranca-pt.pdf

Cibersegurança pandêmica (II)

Gabriel Bergel    24 agosto, 2020

Continuamos com a segunda parte deste artigo, na qual analisamos a situação atual em suas três dimensões. Vamos lembrar que na primeira parte do post falamos sobre a primeira dimensão, pessoal. Agora vamos desenvolver os outros dois: cibersegurança e pandemia.

Segunda dimensão: cibersegurança

Curiosamente, pode-se dizer que tudo já foi hackeado. Se você não acredita em mim, convido você a revisar nossos relatórios de pesquisa em segurança cibernética ou visitar o infográfico Informação é bonita .

O relatório mais recente do DBIR 2020 indicou que ‘os tempos não mudam’, como roubo de credenciais, ataques de engenharia social ( comprometimento de phishing e email) e erros humanos causaram a maioria das violações de segurança em 2019 (67%) . Os funcionários de hoje, trabalhando em casa, podem ser particularmente vulneráveis ​​a esses ataques; portanto, é nesse ponto que devemos concentrar os esforços de prevenção.

Além disso, adiciono alguns dados adicionais: por um lado, três anos atrás, havia um ataque cibernético a cada 39 segundos ; por outro, a Cybersecurity Ventures prevê que os danos por crimes cibernéticos custarão ao mundo US $ 6 trilhões em 2021 , em comparação com US $ 3 trilhões em 2015.

Por que o cibercrime se tornou tão popular hoje? Porque move muito dinheiro. Os cibercriminosos provavelmente estão ganhando muito mais do que o proprietário de um negócio lucrativo de sucesso. Estas são algumas figuras extraídas de uma investigação do Digital Shadows:

  • Mercados on-line ilegais: US $ 860 bilhões
  • Segredo comercial, roubo de propriedade intelectual: US $ 500 bilhões
  • Negociação de dados: US $ 160 bilhões
  • Crimeware / Cibercrime como serviço (CaaS): US $ 1,6 bilhão
  • Ransomware : US $ 1 bilhão

Em relação aos cibercriminosos, a faixa etária se tornou mais ampla e seus ataques mais avançados. Eu chegaria ao ponto de dizer que a maioria dos cibercriminosos é da geração do milênio e se comporta como dita sua geração: eles querem resultados rápidos usando o mínimo de recursos, esforço e tempo.

Para ilustrar isso, temos, por exemplo, crianças como Kane Gamble, que em 2015, com apenas 15 anos de idade, acessaram contas do então diretor da CIA John Brennan e do vice-diretor do FBI Mark Giuliano, usando engenharia social . Outro exemplo é o de Park Jin Hyok, suposto líder do grupo Lázaro , que também é milenar e é uma das pessoas mais procuradas pelo FBI. Muitas das ações desse grupo foram financiadas pela corrida armamentista nuclear de Kim Jong-Un.

Token Park Jin Hyok. Fonte: FBI
Token Park Jin Hyok. Fonte: FBI

Terceira dimensão: a pandemia

A pandemia de COVID-19, declarada mundialmente em 11 de março de 2020 por seus altos níveis de contágio e letalidade, é uma situação crítica de saúde sem precedentes no século XXI. Nos forçou a permanecer em quarentena ou isolamento social, o que implica uma série de desafios psicológicos, sociológicos e profissionais, como a adaptação prolongada ao teletrabalho.

Hoje vivemos preocupados com o número de mortes e pessoas infectadas pelo vírus, a falta de vacina, etc. Além disso, estamos começando a ficar angustiados com a incerteza de um retorno à “normalidade” e estamos começando a experimentar uma crise econômica global. Em resumo, estamos diante de um cenário não encorajador.

Do ponto de vista corporativo, hoje existem mais funcionários remotos e, portanto, menos funcionários de TI e segurança prontos para atenuar ataques e invasões. Isso e tudo o que foi dito acima cria um ambiente favorável para os cibercriminosos, que aproveitam precisamente essas situações de preocupação, incerteza e estresse para ativar suas campanhas de fraude e fraude. A desconcentração generalizada e o alcance global da pandemia facilitam o trabalho dos cibercriminosos e aumentam a probabilidade de sucesso de suas campanhas.

Isso se reflete nos números e estatísticas sem precedentes fornecidos por diferentes fontes, como o Google, que, por meio de seu relatório de transparência, indicou que em janeiro deste ano registrou 149.000 sites de phishing ativos . Em fevereiro, esse número quase dobrou para 293.000, e em março atingiu 522.000, um aumento de 350% em relação a janeiro. Em maio, 1.915.0000 sites já estavam registrados.

Hoje, a fraude , a fraude e o phishing por e-mail, fraudes telefônicas prevalecem , onde chamam as vítimas que se apresentam como membros de uma clínica ou hospital e alegam que um parente da vítima contratou o vírus para solicitar a pagamento do tratamento médico correspondente, etc. Também encontramos aplicativos falsos de mapeamento de contágio ou que se apresentam como governos ou hospitais , e existem até vacinas falsas à venda . Hoje, quem pensa em comprar suprimentos médicos on-line deve pensar duas vezes e verificar muito bem se o fornecedor em questão é uma empresa legal e credenciada.

Conclusões

Observando as três dimensões, podemos compreender que a segurança cibernética é mais necessária hoje do que nunca. Devemos investir nele e nos preocupar com os riscos aos quais nos expomos na Internet. O cenário mudou: não importa mais se a empresa é conhecida ou atraente para os cibercriminosos, não importa seu tamanho ou o setor em que está localizada. Todas as empresas devem estar cientes do risco potencial que o trabalho diário implica, pois estão lidando com dados pessoais e informações confidenciais de colaboradores e clientes.

A partir do serviço de ameaças cibernéticas do Cyberoperation Security Center (SCC), fizemos um útil guia para os riscos de segurança cibernética e recomendações para o COVID-19 que eu recomendamos consultar. Para mais informações, siga-nos nas redes sociais, visite nosso site e nosso blog.

O malware ClipBanker tenta parar nossa ferramenta de defesa CryptoClipWatcher

Área de Inovação e Laboratório ElevenPaths    20 agosto, 2020

malware pode modificar a área de transferência para dar o «switcheroo» ao portfólio de criptomonedas ainda existe. Para combatê-lo, no ElevenPaths, criamos o CryptoClipWatcher , uma ferramenta que vigia a área de transferência e alerta se são feitas alterações inadvertidas. O ClipBanker de malware leva isso em consideração e tenta interromper o processo antes de infectar.

Durante anos, a técnica de seqüestro de área de transferência de criptografia tem sido comum em malware . Em 2018, introduzimos o CryptoClipWatcher. Uma vez instalada, nossa ferramenta verifica se, depois que um  endereço de carteira ou criptomoeda é copiado  para a área de transferência, ele é modificado antes de ser substituído por outra coisa. Mostramos aqui um vídeo que explica como funciona.

https://youtu.be/daOXXOFMPdI

O Trojan ClipBanker, programado em .NET, detecta nossa ferramenta há um tempo e tenta pará-la. A última amostra conhecida que verificamos é de maio de 2020. Vamos ver como isso acontece.

Operação do malware

Como mencionamos, esse malware monitora a área de transferência para roubar criptomoedas, mas também exfiltra chaves privadas do formato de importação de carteira (WIF) através do registrador IP. O interessante é como ele se defende de ser analisado ou detido. Para verificar se está sendo executado em uma máquina virtual, use o WMIC para verificar informações sobre o BIOS, use especificamente o comando «wmic bios» e procure por palavras como VBOX, VirtualBox, XEN, qemu, bochs e VM.

This image has an empty alt attribute; its file name is image-42.png

Para detectar antivírus, use também o WMIC para perguntar à Central de Segurança do Windows que produtos existem. A consulta é:

ManagementObjectSearcher ('root \\ SecurityCenter2', 'SELECT * FROM AntivirusProduct')

This image has an empty alt attribute; its file name is image-43.png

E, em seguida, pesquise nosso CCW.

This image has an empty alt attribute; its file name is image-44.png

Na função a seguir, chamada CCW, localize se existe um processo com um nome específico armazenado na variável ccwProcessName.

This image has an empty alt attribute; its file name is image-45.png

A variável é ofuscada:

Essa sequência está na base64 e este XOR f952db5f-fac5-4f65-8d60-db225f0c1c26 foi aplicado a ela por sua vez na base64. Uma vez resolvido:

Nosso aplicativo é executado com privilégios no sistema, portanto , ele só poderá interromper o processo se o malware também executar com esses privilégios elevados.

A amostra que analisamos é: 5dd16f9e2351216d683038f772ef8ca07373eb04d4e97b3a031bb98c1dca25c9

ElevenPaths expande seu portfólio de soluções de segurança na nuvem com Prisma Cloud da Palo Alto Networks

ElevenPaths    12 agosto, 2020
  • A empresa de cibersegurança da Telefónica Tech alcançou o status de Premier Public Cloud MSSP Partner da Palo Alto Networks

ElevenPaths, empresa de segurança cibernética da Telefónica Tech, expandiu seus serviços de segurança em nuvem gerenciada (Cloud MSS) ao incorporar a tecnologia Prisma Cloud ™ da Palo Alto Networks® em sua oferta, que abrange ambientes de nuvem pública como AWS®, Azure® e GCP ™, cujos serviços também são fornecidos por meio da unidade Cloud da Telefónica Tech. Cloud MSS oferece aos clientes um serviço de segurança nativo da nuvem completo para uma adoção e experiência mais seguras, oferecendo equipes de segurança uma visibilidade e proteção dos ativos em tempo real, um controle contínuo do nível de proteção e uma resposta a incidentes. Como Prisma Cloud Partner (Prisma MSSP) Com experiência e competência técnica comprovada, ElevenPaths é um parceiro natural de segurança em nuvem que gerencia e garante a implantação bem-sucedida do Cloud MSS com base no Prisma Cloud e protege os dados e cargas de trabalho do cliente na AWS, Azure e GCP.

Palo Alto Networks Prisma Cloud é uma plataforma de segurança nativa em nuvem (CNSP) completa que fornece às empresas a cobertura de segurança e conformidade de que precisam em seu portfólio de tecnologias, aplicativos e dados em nuvem. Garante agilidade, eficiência e acelera o desenvolvimento das operações de segurança e equipes de DevOps, bem como o desenvolvimento e implantação de aplicativos nativos da nuvem de forma segura.

ElevenPaths Cloud MSS e sua equipe qualificada de segurança em nuvem i-SOC da Europa e América Latina utilizam o Prisma Cloud para fornecer ferramentas de proteção, detecção e resposta de ponta para seus clientes, onde quer que estejam. O serviço avalia os ambientes de nuvem dos clientes em tempo real em relação a conjuntos de regras personalizados, com base nos modelos de regras de segurança integrados da Prisma Cloud e conjunto de regras proprietárias ElevenPaths, para identificar potenciais riscos e prevenir potenciais problemas de segurança. O monitoramento contínuo de incidentes de segurança é supervisionado por uma série de operações direcionadas que avaliam continuamente o nível geral de segurança na nuvem e respondem a ameaças e incidentes de segurança.

O paradigma da nuvem levanta novos desafios de segurança em todo o seu processo de implementação: estabelecer um sistema de segurança abrangente para manter o nível apropriado de segurança em um ambiente que muda tremendamente ou ser capaz de incluir segurança no pipeline de DevOps para fornecer uma infraestrutura e carga de trabalho seguras. A oferta de segurança em nuvem da ElevenPaths inclui ferramentas e serviços profissionais e gerenciados para ajudar os clientes a superar esses desafios. Cloud MSS concentra seus esforços em operações e resposta a ameaças desconhecidas para ajudar os clientes a implementar um sistema de segurança em nuvem eficaz, escalável e controlável.

“Como você não pode garantir o que não pode ver, a prevenção e a detecção de riscos tornam-se um desafio”, afirma Alberto Sempere, diretor de marketing e produto da ElevenPaths. “Com o ElevenPaths MSS Cloud desenvolvido com Prisma Cloud, as equipes de TI e segurança de nossos clientes podem gastar menos tempo testando e avaliando seu ambiente e mais tempo evoluindo seus negócios. Este serviço ajuda os clientes a avaliar, compreender e automatizar melhor sua posição em segurança na nuvem. ”

Na visão de Alex Zinin, vice-presidente de negócios de provedores de serviços mundiais, Palo Alto Networks, “As organizações estão cada vez mais se voltando para MSSPs para lidar com o ambiente complexo de ameaças a nuvens públicas, escassez de talentos técnicos e condições de negócios, mantendo os custos de segurança sob controle. Temos orgulho de trabalhar com a ElevenPaths na EMEA e na América Latina para levar o poder da Prisma Cloud a organizações e empresas em todo o mundo, ajudando a tornar cada dia mais seguro do que o anterior. ”

Comunicado de imprensa completo

Click to access elevenpaths-expande-solucoes-seguranca-nuvem-prisma-cloud-palo-alto-networks.pdf

Cibersegurança pandêmica (I): pessoas

Gabriel Bergel    12 agosto, 2020

A cibersegurança é ainda mais importante nesses tempos de pandemia em que os ataques cibernéticos estão aumentando, sim, mas, além de um objetivo comercial no nível corporativo, também deve ser parte integrante de nossas vidas.

No início deste ano, nós o resumimos neste podcast da Rádio ElevenPaths : gosto de analisar a situação atual em três dimensões: pessoas, segurança cibernética e pandemia. Focando a dimensão das pessoas, neste artigo falaremos sobre nomofobia, phubbing , IAD e FOMO.

Primeira dimensão: pessoas

Hoje, o smartphone se tornou o dispositivo eletrônico mais importante em nossas vidas, no qual estamos totalmente conectados. As redes sociais se tornaram o canal de fato de comunicação e relações humanas, e fazemos pleno uso da Internet, como você pode ver no infográfico que Lori Lewis publica todos os anos .

No entanto, smartphones, redes sociais e Internet não apenas trouxeram benefícios, pois para muitos (dependendo da idade e do nível de escolaridade), isso significou um processo forçado e complexo de transformação digital. Portanto, no mundo digital é normal observar pouca consciência dos riscos existentes na Internet e falta de higiene digital.

Por alguns anos, começamos a observar novas patologias e fobias derivadas desse uso intensivo que discutimos anteriormente, que veremos abaixo.

Nomofobia

Este termo deriva do acrônimo em inglês No Phobia Mobile Phone , fobia de não ter o telefone ou de não poder usá-lo, devido à falta de bateria ou falta de sinal de dados. Se você tiver problemas para deixar o celular ou se sentir ansioso quando souber que perderá o serviço por algumas horas, ou mesmo se os pensamentos de ficar sem ele causarem ansiedade, você pode ter nomofobia. Aqui está uma nota muito interessante da RTVE a esse respeito.

É algo muito sério, porque diferentes estudos indicam que afeta mais de 53% dos usuários em todo o mundo. Existe até um teste que mede a escala de dependência e dependência de smartphones ( EDAS ) com 40 perguntas.

Phubbing

Essa patologia, também chamada de sintonia digital ou sem sintonia , deriva da anterior. Ocorre quando estamos conversando, em uma reunião, almoçando ou fazendo alguma interação com alguém, e essa pessoa para de prestar atenção e começa a olhar para o celular .

O termo oriundo da união das palavras em inglês desprezar (desprezar, ignorar) e telefone foi cunhado durante uma campanha publicitária liderada pela agência de publicidade McCann para o dicionário australiano Macquarie. A agência solicitou propostas de seus funcionários para designar uma nova palavra para descrever esse comportamento.

Um estudante universitário australiano chamado Alex Haigh, que foi internado em McCann enquanto a campanha estava em andamento , cunhou o termo e, em 2016, criou o site Stop Phubbing para impedir (como ele mesmo disse) que, no futuro, os casais percam a capacidade de Comunique cara a cara e conte com a atualização de seus estados.

Nesse site, Haigh concluiu em sua pesquisa que 90% dos adolescentes preferiam o contato via texto do que face a face e que 97% dos clientes alegavam que sua comida tinha um sabor pior quando era vítima desse comportamento. É provável que esses números tenham aumentado hoje.

IAD

Outra patologia mais antiga, considerada a base das outras, é conhecida como IAD (por sua sigla em inglês) ou «Transtorno de Dependência da Internet». Se você joga videogame on-line por muito tempo , faz compras on – line compulsivamente, participa ativamente de redes sociais e, por tudo isso, considera que o uso do computador e / ou celular interfere em sua vida diária, nos relacionamentos com outras pessoas etc. talvez você tenha IAD.

Este distúrbio foi descrito em 1995 pelo Dr. Ivan Goldberg . Uma investigação do Centro Nacional de Informações sobre Biotecnologia dos EUA (NCBI), realizada em 2012, indicou que sua prevalência nas culturas dos EUA e da Europa era incrível: afetou até 8,2% da população total. No entanto, outros relatórios sugeriram que isso afetava até 38% da população em geral. Se você acha que tem, pode responder a este questionário criado pela Psycom .

FOMO

Para finalizar, o FOMO, do inglês Fear Of Missing Out , é o medo de perder alguma coisa, uma nova ansiedade decorrente da popularização do smartphone e das redes sociais. FOMO é a manifestação moderna de um medo típico, o da exclusão. De certa forma, somos animais programados para fazer parte de um grupo e as redes sociais cumprem o papel que os amigos físicos sempre tiveram. No mundo real, é fácil ignorar o que acontece fora do nosso campo de visão, mas no mundo digital estamos a um clique de saber o que nossa família, amigos e conhecidos estão fazendo a qualquer momento.

À luz desses comportamentos e distúrbios, é um pouco mais claro por que as pessoas se tornaram o foco principal dos cibercriminosos por anos.

Continuaremos desenvolvendo este post em uma segunda parte, fique atento ao nosso blog. Enquanto isso, convidamos você a ouvir o sexto episódio de nosso podcast «Notícias com nossos CSAs» na Rádio ElevenPaths.

Como seguir as infecções por COVID-19, descobrir contatos no WhatsApp ou compartilhar seus genes, respeitando sua privacidade

Gonzalo Álvarez Marañón    10 agosto, 2020

Quando você se inscreve em uma nova rede social, como o WhatsApp, é perguntado com frequência se deseja descobrir quem dentre seus contatos já faz parte dessa rede social ( descoberta de contatos ). Mas se você não deseja fornecer sua lista completa de contatos, como saber se alguém está na rede social sem compartilhar sua agenda?

Países em metade do mundo estão desenvolvendo COVID-19 monitoramento infecção aplicativos . Na Espanha, por exemplo, o piloto Radar COVID foi lançado na ilha de La Gomera no final de junho. Esses aplicativos levantam muitas suspeitas em relação à privacidade. Seria possível descobrir se você esteve em contato com alguém que foi infectado sem você ou o servidor sabendo exatamente quem eles são?

Ou imagine que um laboratório tenha descoberto um medicamento contra o COVID-19 que funciona apenas com pessoas que possuem certos genes. Como o laboratório pode saber se você possui esses genes sem revelar todo o seu genoma para eles ou o laboratório revelando quais são esses genes específicos?

O que está acontecendo?

O Big Data e a computação em nuvem estão dando origem a uma infinidade de situações nas quais duas partes têm um conjunto de dados que desejam compartilhar com a outra para encontrar a interseção entre os dois conjuntos. Claro, apenas revelando os dados em comum. Esse é um antigo problema criptográfico conhecido como PSI ( Private Set Intersection ) que está enfrentando um forte ressurgimento. Além dos três cenários já mencionados, existem muitos outros casos de uso:

  • Uma empresa desenvolve um aplicativo de diagnóstico remoto para COVID-19 com precisão extraordinária a partir de uma lista de sintomas fornecidos pelo paciente. O paciente não deseja divulgar seus sintomas para a empresa, nem deseja divulgar a ninguém quais sintomas eles usam para o diagnóstico.
  • A mesma pessoa recebe atendimento médico em locais diferentes. Diferentes administrações querem saber quais pacientes visitaram centros de saúde em outras comunidades sem divulgar sua lista de pacientes.
  • Para realizar uma operação internacional, várias agências nacionais de segurança cibernética desejam encontrar a interseção entre seus bancos de dados de IPs criminais sem divulgar suas listas de IPs completas.
  • Uma agência de publicidade envia um anúncio on – line a um grupo de usuários. Alguns desses usuários compram o produto posteriormente em uma loja física. A agência deseja encontrar a interseção entre o grupo de usuários que viram o anúncio do produto e aqueles que o compraram em lojas físicas ( conversões de anúncios online para offline ).
  • Uma empresa de alimentos saudáveis ​​serve refeições para muitos funcionários de outra empresa, que realiza exames médicos duas vezes por ano. A empresa de restaurantes deseja saber se os funcionários que reduziram o colesterol no último ano consumiram seus alimentos, mas a outra empresa não deseja (nem deve) divulgar os dados de saúde de seus funcionários. 

Quanto mais força a nuvem e o Big Data ganham, mais novos casos de uso surgem todos os dias: detecção de botnets , identificação de truques em jogos online , compartilhamento de localizações, descoberta de credenciais comprometidas etc.

A necessidade de realizar essa interseção de conjuntos em particular tornou-se clara, mas a questão é: como alcançá-lo? A criptografia oferecia inúmeras técnicas de PSI, desde a solução ingênua de hash até protocolos de terceiros semi-confiáveis ​​e protocolos envolvendo apenas duas partes. Vamos ver brevemente como eles funcionam.

A solução ingênua com funções hash

Consiste em comparar os hashes de cada elemento dos dois conjuntos. Se dois hashes coincidirem, ocorreu um ajuste. Essa abordagem, que era usada pelo WhatsApp na época, é simples e rápida, mas não é segura porque, com um pequeno conjunto de dados ou com baixa entropia, como números de telefone, é perfeitamente viável realizar um ataque de força bruta. , calculando os hashes de todos os elementos possíveis. Dessa forma, armado com a lista de hash de todos os telefones, o WhastApp não apenas saberia os contatos que você compartilha, mas também os números de telefone de todos os seus contatos!

Da mesma forma, essa abordagem não serve para comparar DNIs, identificadores simples, nomes etc. Ele fornece segurança apenas quando os dados a serem comparados são aleatórios ou possuem uma entropia alta.

PSI baseado em terceiros semi-confiáveis

Outra abordagem mais robusta é passar cada um dos elementos dos conjuntos pela mesma função HMAC com uma chave secreta com a qual as duas partes, Alice e Bob, concordaram anteriormente. Eles enviam seus dados aleatórios para o terceiro, Trent, que retorna o conjunto de interseções para cada um deles. Como Alice e Bob mantiveram uma tabela particular com as saídas da função HMAC para cada dado em seus respectivos conjuntos, eles podem procurar nessa tabela as configurações e determinar quais elementos eles compartilham.

A informação máxima vazada para Trent é a cardinalidade do conjunto de interseções, ou seja, quantos elementos Alice e Bob têm em comum; e a cardinalidade dos sets de Alice e Bob, já que Trent saberá se Alice tem mais elementos em seu set que Bob ou vice-versa. É claro que Trent pode ser malicioso e tentar enganar Alice e Bob, por exemplo, retornando um conjunto de interseções diferente do real. Felizmente, existem ajustes simples neste protocolo para impedir esse tipo de manipulação por Trent. O que você nunca descobrirá são os dados de Alice e Bob.

PSI baseado em duas partes

E se você não quiser depender de terceiros? Não há problema. Existem muitas abordagens alternativas nas quais apenas as duas partes envolvidas que desejam encontrar a interseção entre seus conjuntos interagem.

Uma das primeiras abordagens propostas e conceitualmente mais simples é baseada nas premissas criptográficas do famoso protocolo Diffie-Hellman para acordar chaves de sessão entre duas partes através de um canal inseguro. Nesse caso, Alice e Bob aplicam o protocolo DH para compartilhar uma chave de sessão para cada dado em seus respectivos conjuntos. Qualquer chave compartilhada encontrada nos dois conjuntos indica que o elemento correspondente é um membro dos conjuntos originais de ambas as partes. Vamos ver com mais detalhes como funciona:

  1. Alice e Bob concordam com um grande número primo, p , usando um canal público.
  2. Alice gera aleatoriamente uma chave privada, a .
  3. Alice calcula o haxixe , i , de cada um dos valores no seu conjunto original. Na verdade, essa etapa é um pouco mais complicada, pois é necessário repetir o hash até que g seja um módulo raiz primitivo p , mas não entraremos em detalhes matemáticos.
  4. Para cada uma destas i valores , Alice calcula o uma modificação valor de p .
  5. Alice envia esses valores para Bob.
  6. Bob gera aleatoriamente uma chave privada, b .
  7. Bob calcula repetidamente a de hash , i , de cada um dos valores no seu conjunto original, até que eles são raízes primitivas modulo p .
  8. Para cada um desses valores de hash , Bob calcula b mod p .
  9. Bob calcula as chaves compartilhadas para cada elemento no conjunto original de Alice, elevando os valores recebidos de Alice ao poder de sua chave privada, ou seja, ab mod p .
  10. Bob envia seus valores calculados, b mod p , para Alice, bem como as chaves compartilhadas calculadas correspondentes aos elementos do conjunto original de Alice, ab mod p .
  11. Alice calcula as chaves compartilhadas para cada elemento do conjunto original de Bob, elevando os valores recebidos de Bob ao poder de sua chave privada, ou seja, ba = ab mod p , para cada um dos valores recebidos de Bob .
  12. Alice compara as chaves compartilhadas calculadas a partir dos elementos de seu próprio conjunto original, ab , com as chaves compartilhadas calculadas com os elementos de Bob, ab . A interseção consiste nos elementos do conjunto original de Alice cuja chave compartilhada também pode ser encontrada no conjunto de chaves compartilhadas calculado a partir dos elementos do conjunto original de Bob, ab = ab .

Desde a publicação deste protocolo, surgiram dezenas de alternativas que usam primitivas criptográficas cada vez mais sofisticadas. Protocolos muito elaborados com base em outros algoritmos de chave pública foram propostos, como operações com RSA cego ; baseado em filtros Bloom ; em criptografia totalmente homomórfica ; na transferência inconsciente (OT) para transmitir os dados dos conjuntos; ou em variantes do  circuito confuso de Yao , capaz de simular qualquer função matemática com um circuito booleano usando exclusivamente portas lógicas AND e XOR.

Desafios de segurança e escalabilidade PSI

Os desafios de segurança e escalabilidade enfrentados por todos esses protocolos para calcular a interseção privada de conjuntos são muito variados:

  • Os protocolos mais eficientes funcionam para pequenos conjuntos de algumas centenas a milhares de elementos. No entanto, em muitas aplicações reais, conjuntos de bilhões de dados precisam ser comparados, exigindo alternativas mais rápidas.
  • Além de exigir poucas operações para sua operação, é importante minimizar as comunicações para troca de dados entre as partes.
  • Nem todos os oficiais envolvidos cumprirão as regras. Na computação segura multipartidária , dois tipos de adversários são considerados: semi-honesto (ou passivo) e malicioso (ou ativo). O adversário semi-honesto tenta obter o máximo de informações possível sobre a execução de um determinado protocolo, sem se desviar das etapas do protocolo. Mais perigoso e realista é o adversário malicioso, porque ele se desvia arbitrariamente das etapas do protocolo para jogar com vantagem e obter mais informações do que os outros. Protocolos PSI robustos contra adversários mal-intencionados são consideravelmente mais pesados ​​e menos eficientes que os protocolos semi-honestos resistentes a adversários.
  • O PSI mais simples aborda as informações de filtro: no mínimo, o número de elementos em cada conjunto e o número de elementos no conjunto de interseção. Em aplicativos em que nem sequer é aceitável filtrar essas informações, são necessários protocolos mais seguros, que infelizmente exigem mais operações e mais largura de banda.

Quanto mais a nuvem e o Big Data avançam, maior a demanda por PSI

À medida que as leis e os regulamentos de proteção de dados evoluem em um esforço para proteger a esfera privada da vida dos cidadãos, a interseção privada de conjuntos permitirá que organizações públicas e privadas continuem a gerar conhecimento do Big Data que beneficia ao cidadão, cumprindo os regulamentos de privacidade.

Em junho de 2019, o Google anunciou uma ferramenta para executar operações na interseção do conjunto chamada Participe e computação privadas. De acordo com o comunicado de imprensa:

Usando esse protocolo criptográfico, duas partes podem criptografar seus identificadores e dados associados e, em seguida, juntá-los em uma consulta. Eles podem fazer certos tipos de cálculos no conjunto de dados sobreposto para obter informações úteis dos dois conjuntos de dados juntos. Todas as entradas (identificadores e seus dados associados) permanecem totalmente criptografadas e ilegíveis durante todo o processo. Nenhuma das partes nunca divulga seus dados brutos, mas pode continuar respondendo às perguntas feitas usando a saída de cálculo. Esse resultado final é a única coisa que é descriptografada e compartilhada na forma de estatísticas agregadas, como contagem, soma ou média dos dados nos dois conjuntos.

O Private Join and Compute combina interseção de conjuntos privados com criptografia totalmente homomórfica para proteger dados individuais. O vídeo a seguir dá uma idéia de como funciona:

O PSI pressupõe a interseção entre a voracidade dos dados das grandes organizações e o direito à privacidade dos cidadãos. Gigantes de tecnologia como Google , Microsoft ou Baidu estão investindo enormes somas de dinheiro e neurônios criptografados nessas tecnologias. Nos próximos meses, veremos onde os aplicativos massivos de análise de dados se voltam, seja para favorecer o cidadão com melhores serviços ou corroer ainda mais sua privacidade prejudicada. Porque, como afirmou o criptógrafo Phil Rogaway:

A vigilância que preserva a privacidade ainda é vigilância.