Decepticons vs. Covid-19: a batalha definitiva

Gabriel Bergel    29 junio, 2020

Decepticons. Aqueles que são da Geração X se lembrarão muito bem de quem eram: na saga Transformers, eles eram os seres robóticos modulares com autoconfiguração mecânica do planeta Cybertron, liderado pela Megatron. Sem perceber, já nos anos 80 falamos sobre decepticons e robôs auto-configuradores.

A situação atual da pandemia Do Covid-19 nos forçou a nos confinar em nossas casas e, portanto, fomos forçados a trabalhar em casa. O vírus mudou a forma como usamos a Internet e o tráfego de rede aumentou em 70%.  E do ponto de vista social e psicológico, estamos todos sob um estresse social e emocional que, por outro lado, é muito normal nesses tipos de situações.

Esse conjunto de circunstâncias torna-se a imagem perfeita para os cibercriminosos, que estão mais do que nunca tentando aproveitá-lo para alcançar seus objetivos e obter dinheiro diretamente ou algo (informações, geralmente) que lhes permita obtê-lo.

O que isso tem a ver com Decepticons?

Decepticons se encaixam muito bem nesta «nova realidade». Considerando que os cibercriminosos estão cada vez mais usando a engenharia social para nos enganar, especialmente o phishing (que de acordo com a divisão de crimes na Internet do FBI é a forma mais proeminente de crimes cibernéticos), hoje temos que ser cautelosos, especialmente nestes tempos em que estamos mais distraídos pela pandemia. Então, se os cibercriminosos usam a decepção como sua principal arma, por que não nós?

Dentre todas as técnicas e estratégias que adotamos na cibersegurança, uma das mais importantes é a «decepção», entendida não como um sentimento de insatisfação, mas como o conceito inglês de engano.  No campo militar, este termo é usado para descrever essas ações realizadas com o objetivo de enganar os adversários sobre as capacidades, intenções e operações das próprias forças militares, afim de obterfalsas conclusões.

Na doutrina militar dos Estados Unidos o acrônimo MILDEC(MILitary DECeption)é usadoe na antiga doutrina militar da União Soviética e agora da Rússia eles usam o termo Maskirovka (russo: ) que literalmente significa camuflagem, ocultação, mascaramento.

Alguns exemplos históricos

Há inúmeros casos de uso dessa técnica em diferentes situações de conflito ou guerra, como o mítico cavalo de Tróia, usado por Aqueos como estratégia para entrar na cidade fortificada de Tróia; ou como na Segunda Guerra Mundial, quando um exército fantasma enganou Adolf Hitler com um desfile itinerante de tanques, canhões e aeronaves (em grande parte tripulados por atores e artistas) suplantando o Exército Aliado perto da linha de frente. Isso desviou a atenção para as tropas americanas, separando as forças alemãs e dando aos Aliados uma vantagem tática.

Em um capítulo da famosa série de televisão Viking vemos como Ragnar Lodbrok também usa uma estratégia engenhosa para entrar em Paris, fingir estar prestes a morrer e solicitar um enterro cristão na catedral. Uma vez dentro e para surpresa de todos, Ragnar sai de seu caixão e… o que acontece a seguir já é spoiler.   Este episódio realmente aconteceu, de acordo com o que as sagas vikings dizem, embora seu protagonista não fosse Ragnar, mas aquele que mais tarde se tornaria rei da Noruega, Harald Hardrada (Harald III da Noruega).

Figura 1: Rey Harald III de Noruega
Figura 1: Rey Harald III de Noruega

Decepção eHoneypot, eles são os mesmos?

Em nosso blog já falamos em uma ocasião sobre decepção e Nikos Tsouroulas explicou muito bem::

«Essas abordagens nos permitem implantar cenários falsos que simulam a infra-estrutura, os ativos e os perfis de nossa organização para mover um invasor para um ambiente controlado e monitorado, onde novos desafios e dificuldades são colocados em uma árvore de ataque, especificamente projetada com base na natureza de cada organização. Isso direciona os recursos de um invasor para uma infra-estrutura falsa, enquanto nossos verdadeiros ativos são protegidos e ganhamos inteligência do adversário (indicadores em seu C&C, ferramentas usadas, capacidades, motivações, etc.).»

No meu último trabalho de campo antes da pandemia, tive a oportunidade de trabalhar com a tecnologia dos amigos da CounterCraft (empresa espanhola que a Telefónica selecionou em 2016 para investir e apoiar sua expansão)e fiquei impressionado com o que havia avançado esse tipo de plataforma.

Provavelmente um termo que eles conheciam e que está muito relacionado a esta abordagem é honeypot.   É uma isca que pode ser usada com qualquer tecnologia, mais comumente em um servidor web. Existem muitas soluções de código aberto que permitem que você faça isso a um custo muito baixo, mas a decepção é um conceito mais amplo do que apenas um chamariz.

Figura 2: Honeypot
Figura 2: Honeypot

Antes de 2010, havia apenas algumas empresas de cibersegurança oferecendo produtos enganosos,mas graças à grande evolução que esse tipo de plataforma experimentou, ouso dizer que hoje já existem mais de 15 provedores de tecnologia enganosa..

Essas soluções podem ser um grande acelerador para as equipes de detecção e resposta, pois produzem alertas que os departamentos de segurança podem aproveitar para reagir e responder com mais precisão e em tempo hábil. Diante dos novos desafios de segurança cibernética que as empresas enfrentam durante esta crise de saúde, a CounterCraft preparou pacotes de segurança específicos para este fim e tem um catálogo de 25 campanhas de trapaça prontas para uso: phishing, exfiltração de dados, ataque SWIFT, detecção de movimento lateral, etc.

Conclusões

Não podemos esquecer o que o Gartner disse há um tempo atrás: o engano é simples e econômico, aumenta o tempo de detecção em 12 vezes e melhora o tempo para ficar em mais de 90%. O que eu gosto nesta solução é que ela combina inteligência avançada, compilada por campanhas, enriquecida com o MITRE ATT&CK,  para que você possa ter uma visão ampla sobre o que, quem e como você está agindo contra a organização.  Assim, podemos obter dados de ameaças, TTP e IOC de adversários que podem ser imediatamente compartilhados com soluções de segurança cibernética como SIEM, SOAR, MISP, Sandbox e outros.

Em última análise, devo dizer que a decepção com a segurança cibernética é um meio de permanecer proativo ao invés de reativo. Estamos tentando tornar esta batalha mais simétrica, então desta vez não devemos apenas apoiar os Autobots,mas também nos juntar aos Decepticons.  

«Toda guerra é baseada em enganos.»

Sun Tzu

«Não é a espécie mais forte que sobrevive, nem a mais inteligente, mas a mais receptiva à mudança.»

Charles Darwin

Chaves para implantar uma Identidade Digital Corporativa 360

ElevenPaths    25 junio, 2020

Nos últimos anos, e paralelamente aos processos de transformação digital corporativa, um grande problema vem crescendo inadvertidamente nas estruturas fundamentais de qualquer organização.

Referimo-nos às desvantagens decorrentes da gestão e acesso ineficientes de identidade que, por um lado, dificultam a produtividade e prejudicam a expansão do negócio e, por outro, afetam significativamente a segurança da organização.

Fatores que causam problemas de gestão da identidade:

  • Evolução tecnológica não planejada baseada em soluções parciais e isoladas.
  • Crescimento inorgânico corporativo e atraso na integração de diretórios de identidade.
  • Falta de processos de gerenciamento padrão do ciclo de vida e uma política de função e autorização.
  • Demora na implementação de medidas corretivas e na implementação de uma estratégia de identidade corporativa.

Este paper começa com a descrição dos problemas gerados por uma gestão ineficiente da Identidade Corporativa para descrever abaixo um modelo de governança de identidade baseado na metodologia CARTA do Gartner. Finalmente, ele detalha os recursos que uma solução completa de gerenciamento de identidade e acesso deve ter.

Paper completo

Click to access Paper-IAM-Infographic-BR.pdf

Nova chamada para o programa ElevenPaths CSE

ElevenPaths    25 junio, 2020

Como muitos de vocês já viram em nosso blog e em nossas redes sociais, o programa ElevenPaths CSE (enviado principal de segurança), que nasceu como uma experiência piloto, foi um sucesso total. Portanto, continuamos com ele.

Como você sabe, na ElevenPaths sempre apostamos em talento e paixão por tecnologia e segurança cibernética. O programa ElevenPaths CSE (Chief Security Envoy) é um programa de reconhecimento e suporte para os excelentes profissionais de segurança que fazem parte do setor e gostam de compartilhar seus conhecimentos com a comunidade.

Por esse motivo e após um ano muito satisfatório, lançamos uma nova convocação para todos os profissionais do setor que desejam fazer parte dele.

O que é o programa ElevenPaths CSE?

É uma iniciativa lançada da ElevenPaths com a qual buscamos reconhecer e apoiar profissionais do setor . Além disso, os profissionais selecionados por este programa terão uma série de benefícios.

As CSEs selecionadas colaborarão diretamente com a missão das  CSAs (Chief Securiy Ambasadors) na promoção da cultura de segurança cibernética e seus próprios conhecimentos e habilidades através da participação em eventos, entrevistas e postagens especializadas , nas quais receberão o apoio. dos diferentes canais de comunicação nos quais o ElevenPaths está presente.

A quem possa interessar?

A todas as pessoas apaixonadas por segurança de computadores que são referência no setor e gostam de comunicar seus conhecimentos. Na ElevenPaths, empresa de cibersegurança da Telefónica, queremos reconhecer seu trabalho e apoiá-los na disseminação de seus conhecimentos de cibersegurança.

Quais são as funções de um CSE do ElevenPaths?

  • Participação em fóruns especializados.
  • Escrevendo artigos para blogs e revistas.
  • Participação em investigações de segurança.
  • Suporte em redes sociais.

Em quais áreas do conhecimento de segurança cibernética procuramos reconhecer especialistas como CSEs do ElevenPaths?

  • Comunicações. WiFi, Celular, VoIP RSD.
  • Sistemas industriais e infraestruturas críticas, indústria 4.0, IoT, IIoT, OT.
  • Corte de hardware e corte de carro .
  • Videogames e consoles.
  • Dispositivos móveis.
  • Reversão, malware , APT e botnets .
  • Forense e RI, DFIR.
  • Vulnerabilidades, confusão, exploração e cobertura .
  • Nuvem, CASB e virtualização.
  • Criptografia, criptomoeda, blockchain , gerenciamento de identidades e biometria.
  • Saúde, dispositivos médicos e vestuário .

Benefícios de um CSE do ElevenPaths

Um ou um ElevenPaths CSE obterá os seguintes benefícios:

  • Título que reconhece a CSE como especialista em segurança cibernética.
  • Suporte e promoção do CSE através dos canais de comunicação oficiais do ElevenPaths.
  • Acesso às ferramentas, serviços e treinamento próprios da ElevenPaths em segurança cibernética.
  • Participação em eventos e reuniões de segurança cibernética de classe mundial, bem como em outros campos profissionais, sem nenhum custo associado.
  • Participação em pesquisa.

Quais são as diferenças entre um CSA e um CSE?

Um CSA (Chief Security Ambasador) é uma pessoa que representa o ElevenPaths e tem entre seus objetivos a divulgação e promoção da cultura de segurança cibernética nos diferentes fóruns, conferências, revistas, etc. em que participamos.

Por outro lado, um CSE (Chief Security Envoy) é uma pessoa que colabora na missão da CSA de promover a cultura de segurança cibernética, expandindo seu escopo e, portanto, o ElevenPaths.

 ElevenPaths ser um CSE 

  •  Seja contratado pela ElevenPaths ou tenha uma remuneração financeira.
  • Viagens e acomodações no desenvolvimento de suas funções.
  • Realizar ações comerciais e venda de produtos ou serviços.
  • Crie e / ou ofereça treinamento ou workshops de treinamento.
  • Executar as ações propostas por um CSA. CSE com poder de decisão.

Se você deseja se inscrever no programa ou precisar de mais informações, escreva-nos para  [email protected] explicando os motivos pelos quais você acha que seria um bom candidato para se juntar à nossa equipe de CSEs.

Memória mal gerenciada III

David García    24 junio, 2020

Se tivéssemos que escolher uma vulnerabilidade potencialmente perigosa, provavelmente seria aquela que permite a execução de código arbitrário, ainda mais se ela pudesse ser explorada remotamente. No primeiro post, apresentamos os problemas que uma memória mal gerenciada pode provocar; em seguida, falamos do double free. Agora, veremos mais exemplos.

Dangling pointers ou hanging pointers

O gerenciamento manual de memória é complexo e deve-se prestar atenção à ordem das operações, onde os recursos são obtidos e onde deixamos de usá-los para poder liberá-los em boas condições.

Também é necessário acompanhar cópias de ponteiros ou referências que, se forem liberadas antes do tempo, fazem com os ponteiros fiquem «soltos» ou, em sua versão em inglês, os Dangling Pointers. Ou seja, fazer uso de um recurso que já foi liberado. Um exemplo:

Executamos:

Isso nos deixa com um ponteiro que aponta para uma área de memória inválida (heap) (observe que não é respondido nada depois de «(p2) apunta a …»). Além disso, não há como saber se um recurso que copiou sua direção continua sendo válido, da mesma forma que não é possível recuperar um leak dememória se sua referência for perdida (veremos isso mais adiante).

Para sinalizar que um ponteiro é inválido, atribuímos NULL a esse ponteiro (em C ++ «moderno» atribuiríamos nullptr) para identificar de alguma maneira que ele não aponta para nada. Mas se esse NULL não for verificado, não será útil para nós. Portanto, para cada ponteiro que utilize um recurso, deve-se verificar se ele «não é NULLo».

A boa prática é, portanto: quando liberamos memória, atribuímos NULL ou nullptr (em C ++) para sinalizar que esse ponteiro não aponta mais para algo válido. Além disso, antes de usá-lo, tanto para copiá-lo quanto para remover sua referência, verificamos sua validade.

Memory leaks ou vazamentos de memória

O oposto de usar uma área de memória que não é mais válida é fazer com que nenhum ponteiro aponte para uma área de memória válida. Depois que a referência é perdida, não poderemos mais liberar a reserva de memória, sendo que este espaço ficará ocupado indefinidamente até o término do programa. É um grande problema quando o programa não termina, por exemplo, em um servidor, onde normalmente fica em execução até que a máquina seja desligada ou que ocorra outra interrupção inevitável.

Um exemplo (se você deseja replicá-lo, faça-o em um sistema virtualizado de teste):

O código mostrado à direita está consumindo partes da memória até que toda ela seja usada. Isso faz com que o sistema esgote a memória RAM, comece a fazer swapping e finalmente inicie o OOM-killer para interromper o processo por ultrapassar o consumo.

O que é o OOM-killerÉ um procedimento especial do kernel (em sistemas Linux) para eliminar processos na memória para que o sistema não fique instável. Na captura de tela, podemos ver a saída do comando ‘dmesg’, que reflete o kill do nosso processo devido ao sobrecarga de recursos que ele representa para o sistema.

Se analisarmos o código, veremos que inserimos um loop infinito no qual a memória está sendo reservada e o mesmo ponteiro é reatribuído para novos blocos dessa memória. As referências anteriores não são liberadas e perdidas, resultando em um vazamento de memória (exatamente como um cano quebrado) que termina drasticamente.

Obviamente, isso é uma dramatização do que acontece em um programa real, mas a realidade é que ocorre assim. O problema é que as reservas de memória não são controladas em um ponto, as referências perdidas se acumulam e acabam sendo um problema. É possível que, em aplicativos com vazamentos de memória que usamos apenas por algumas horas, tenhamos uma desaceleração (isso era mais evidente nos tempos em que a memória RAM era mais limitada) ou um acúmulo de memória. Mas nos servidores é comum que isso leve a uma queda no serviço.

No próximo post, veremos o uso de memória não inicializada.

O Zoom procura ser mais seguro graças à compra do Keybase

Gonzalo Álvarez Marañón    22 junio, 2020

O confinamento decretado como uma medida excepcional para interromper a expansão do COVID-19 forçou milhões de pessoas em empresas, escolas e casas a interagir virtualmente. Impelidos para usar aplicativos de vídeo chamada em grupo no trabalho, nas aulas ou simplesmente em contato com familiares e amigos, os usuários enfrentaram o difícil desafio de escolher qual aplicativo usar.

Normalmente, o critério predominante ao optar por um ou outro é popularidade ou gratuidade, sem pensar duas vezes em segurança ou privacidade. Afinal, se é gratuito e «todo mundo usa», por que pensar mais? Para melhor ou para pior, aplicativo mais favorecido pelo público acabou sendo o Zoom . Semanas após a quarentena começou, ele permanece no topo da lista dos gratuitos mais baixados aplicativos tanto para S e Android , com uma figura fabulosa de 300 milhões de usuários diários.

Como é sabido, quanto mais popular um programa ou aplicativo se torna, mais atrai cibercriminosos . Talvez o enorme sucesso não tenha sido imaginado pela própria empresa Zoom ou talvez eles não levassem a segurança a sério desde o início, mas a verdade é que eles chegaram à formatura com o dever de casa desfeito.

Os três grandes golpes para aumentar a segurança

Entre os numerosos problemas e escândalos de segurança e privacidade, três se destacaram em particular:

  1. Zoombombing : Este ataque consiste em invadir uma sala Zoom e compartilhar a tela com imagens de extrema violência, pornografia ou qualquer outra forma de trollagem. O zoombombing tornou-se popular nas escolas e universidades, o que obrigou a suspender as aulas. Muitas instituições educacionais até baniram o uso do Zoom em favor de outros aplicativos. O Zoom aprendeu a lição difícil e implementou várias medidas para combater o zoombombing: senhas obrigatórias, sessões de bloqueio, expulsão de participantes, operação restrita da tela e bate-papo compartilhados, ícone de segurança mais visível etc. Ele também publicou um guia de boas práticas para proteger salas de aula virtuais .
  2. Compartilhando dados com o Facebook : como um milhão de outros aplicativos , o Zoom no iOS usa um SDK do Facebook para permitir que seus usuários façam login usando sua conta do Facebook, conhecida como login social. Esse SDK coleta alguns dados sobre os usuários, como modelo do dispositivo, versão do aplicativo ou operadora de telefonia, e os envia para os servidores do Facebook, mesmo que eles não tenham uma conta no Facebook e, portanto, não o usam para fazer login. . Não se sabe o que o Facebook faz com essas informações, mas em resposta a inúmeras reclamações, o Zoom removeu completamente o SDK do Facebook .
  3. Declarações falsas sobre criptografia de ponta a ponta segura : o Zoom afirmou em seu site usar criptografia de ponta a ponta em suas conexões, mas verificou-se que eles estavam realmente usando a criptografia TLS para criptografar as comunicações entre clientes e servidores , o que implica que os servidores Zoom tenham acesso a todas as vídeo chamadas. A empresa não teve escolha senão recuar: “Tendo em vista o interesse recente em nossas práticas de criptografia, para começar, queremos pedir desculpas pela confusão que causamos ao implicar erroneamente que as reuniões do Zoom eram capazes de usar criptografia. de ponta a ponta «.

Plano de segurança de 90 dias

No espírito de recuperar sua imagem e sua base de usuários, em 1º de abril, o Zoom surpreendeu com um plano de segurança de 90 dias. Como parte desse plano, em 8 de abril, o Zoom criou um comitê de segurança composto por alguns CISOs muito importantes. No mesmo dia, ele contratou o conhecido especialista em segurança cibernética de Stanford Alex Stamos , ex-CISO do Facebook, como consultor de segurança para revisar sua plataforma.

Em 27 de abril, lançou o Zoom 5.0 , com suporte para criptografia AES-GCM com chaves de 256 bits . Mas (e esse é um grande «mas») as chaves de criptografia para cada reunião são geradas pelos servidores Zoom. Em outras palavras, um cibercriminoso não pode espionar uma conversa entre dois usuários, mas Zoom pode, se ele quiser.

Por outro lado, outros serviços, como Facetime , Signal ou Whats pp , usam criptografia de ponta a ponta verdadeira: ninguém, exceto os dois usuários nas duas extremidades da comunicação, pode ver seu conteúdo porque eles mesmos geram as chaves de criptografia. Consequentemente, nem os cibercriminosos nem os servidores da empresa prestadora de serviços podem espionar as conversas.

Sem criptografia de ponta a ponta, o Zoom poderia ser forçado a entregar os registros de reuniões a um governo em resposta a solicitações legais. Esses pedidos ocorrem o tempo todo em todo o mundo . De fato, empresas como Apple, Google, Facebook e Microsoft publicam relatórios de transparência detalhando quantas solicitações de dados de usuários recebem de quais países e quantas delas atendem. No entanto, o Zoom não publica esses relatórios de transparência.

A criptografia de ponta a ponta do Keybase que o Zoom procura para suas vídeo chamadas

No papel, a criptografia de ponta a ponta parece direta: os clientes geram chaves de sessão efêmeras e as trocam criptografando-as com a chave pública do destinatário . Infelizmente, gerar e gerenciar todas essas chaves para fornecer criptografia de ponta a ponta escalável em vídeo chamadas de alta qualidade com dezenas de participantes e mais de 300 milhões de usuários se conectando aos seus servidores diariamente é um formidável desafio tecnológico. Então o Zoom foi para o Keybase.

Em 7 de maio, ele comprou a empresa de courier e transferiu arquivos com proteção criptográfica de ponta a ponta , Keybase.io , por um valor não revelado. Com sua ajuda, o Zoom espera oferecer um modo de reunião criptografado de ponta a ponta. Obviamente, apenas para contas pagas.

Além disso, como declaram em sua declaração:

  • Eles continuarão a colaborar com os usuários para melhorar os mecanismos de geração de relatórios disponíveis para os hosts de reunião para relatar participantes indesejados e problemáticos.
  • O Zoom não monitora ou monitora proativamente o conteúdo da reunião, mas sua equipe de segurança continua a usar ferramentas automatizadas para procurar evidências de usuários abusivos com base em outros dados disponíveis.
  • O Zoom não criou e não criará um mecanismo para decifrar reuniões ao vivo para fins de interceptação legal.
  • Eles também não têm como inserir seus funcionários ou outras pessoas em reuniões sem que sejam refletidos na lista de participantes. Eles não criarão nenhum backdoor criptográfico para permitir a vigilância secreta das reuniões.

Por fim, o Zoom está comprometido em permanecer transparente e aberto à medida que você cria sua solução de criptografia de ponta a ponta . Na verdade, ele planeja lançar um rascunho detalhado do design de criptografia na sexta-feira, 22 de maio.

Como é o Zoom após a compra do Keybase

A reação de Zoom foi admirável. Longe de negar críticas ou processar os investigadores para descobrir suas vulnerabilidades, o Zoom respondeu com um ambicioso plano de segurança de 90 dias cujo Santo Graal será a criptografia de ponta a ponta fornecida pela Keybase.

O Zoom tomou as decisões erradas de segurança no passado, mas parece claramente determinado a se tornar o aplicativo de videochamada mais poderoso e seguro do mercado. Está demonstrando como, com autocrítica e transparência, é possível emergir mais forte de uma grave crise de segurança

Gonzalo Álvarez
@gonalvmar

Criptografia de coronavírus

Gonzalo Álvarez Marañón    18 junio, 2020

Governos e autoridades de saúde de todo o mundo estão lançando aplicativos de rastreamento de contágio. Além disso, em uma aliança sem precedentes, Apple e Google uniram forças para criar uma API que facilita seu desenvolvimento. Os cientistas concordam que a adoção desses tipos de aplicativos pelo maior número possível de cidadãos ajudará a retardar a expansão do Covid-19. De acordo com um cálculo aproximado, se 80% dos usuários de terminais móveis com iOS ou Android os instalarem, isso seria equivalente a 56% da população total, número suficiente para contribuir significativamente para interromper a pandemia .

Infelizmente, desde o anúncio do lançamento desses aplicativos, todos os tipos de trotes e notícias falsas circularam, espalhando mentiras sobre cenários de conspiração de espionagem em massa. Esse medo infundado pode levar muitas pessoas a não usar o aplicativo quando ele estiver disponível em seu país. Por isso, neste artigo, explicaremos como sua criptografia funciona para garantir a privacidade dos usuários.

Criptografia de aplicativos com base na API da Apple e Google

Se as autoridades de saúde do seu país ou região tiverem criado um aplicativo, você poderá acessar a Apple Store ou a Play Store para fazer o download, dependendo do dispositivo ser iOS ou Android, respectivamente. Embora você possa ter mais de um aplicativo instalado no seu dispositivo que usa notificações de exposição, só pode haver um ativo ao mesmo tempo.

Se você decidir instalar voluntariamente o aplicativo autorizado em sua região ou país, ele solicitará permissão para coletar e compartilhar identificadores aleatórios. Para proteger sua privacidade, o aplicativo usa um gerador de números aleatórios criptograficamente seguro para gerar de forma aleatória e independente uma chave de exposição temporária (ExpKey) a cada 24 horas. A partir dela , uma chave de criptografia para gerar os identificadores de proximidade temporários ( Rolling Proximity Key ou RPIKey) e uma chave de criptografia de metadados associada ( Associated Encrypted Metadata Key) são derivadas por meio de uma função HDKF. ou AEMKey) para criptografar metadados adicionais, caso você teste positivo mais tarde.

RPIKey = HKDF (ExpKey, NULL, UTF8 (“EN-RPIK”), 16)

AEMKey = HKDF (ExpKey, NULL, UTF8 ("EN-AEMK"), 16)

Especificações Bluetooth Low Energy ( Bluetooth Low Energy ou BLE) pressupõe que o endereço MAC do seu dispositivo mude a cada 15-20 minutos para evitar o rastreamento do dispositivo. Sempre que o seu endereço MAC é alterado, o aplicativo gera um novo identificador de proximidade rotativo ( ID de proximidade rotativa ou RPID) obtido por criptografia, usando o AES-128 com a tecla RPIKey anterior, o valor da nova janela de tempo de 10 minutos, Ti .

RPID = AES128 (RPIKey, UTF8 (“EN-RPI”) || 0x000000000000 || Ti)

Por outro lado, os metadados associados são criptografados com o AES128-CTR usando o AEMKey anterior como chave e o RPID como IV.

AEM = AES128 - CTR (AEMKey, RPID, metadados)

Figura 1. Esquema chave da notificação de exposição (fonte: especificação de criptografia de notificação de exposição )

Esses metadados incluem a data, a duração estimada da exposição e a intensidade do sinal Bluetooth. Para proteger ainda mais sua privacidade, a duração máxima estimada registrada é de 30 minutos. A intensidade do sinal do Bluetooth ajuda a entender a proximidade dos dispositivos. Em geral, quanto mais próximos os dispositivos, mais forte será a intensidade do sinal. Além disso, outros dispositivos que recebem seus IDs de Bluetooth os registram de maneira semelhante e os armazenam junto com os metadados associados.

Como você pode ver, nem os identificadores Bluetooth nem as teclas aleatórias do dispositivo incluem informações sobre sua localização ou sua identidade. O GPS não pode ser visto em lugar algum, portanto não há como rastrear seus movimentos.

Seu terminal e os terminais ao seu redor trabalham em segundo plano, trocando constantemente essas informações sobre RPID e metadados criptografados por meio do BLE, sem a necessidade de abrir o aplicativo para que esse processo ocorra.

O que acontece se eu testar positivo para o Covid-19?

Se você for diagnosticado posteriormente com o Covid-19, seu terminal publicará suas últimas 14 chaves de exposição temporária (ExpKey) em um servidor das autoridades de saúde de sua região ou país chamado Servidor de Diagnóstico. Sua missão é adicionar as chaves de diagnóstico de todos os usuários que deram positivo e distribuí-las a todos os outros usuários que participam da notificação da exposição.

Todos os outros dispositivos no sistema fazem o download dessas 14 chaves, geram novamente os identificadores RPID nos últimos 14 dias e os comparam com os identificadores armazenados localmente. Se houver uma correspondência, o aplicativo terá acesso aos metadados associados (mas não ao identificador correspondente), para que você possa notificar que uma possível exposição ocorreu e o guiará sobre as medidas a serem tomadas com base nas instruções emitidas pelas autoridades de saúde .

Dependendo do design, o aplicativo pode gerar um valor de risco de exposição que o governo ou as autoridades de saúde poderiam usar para personalizar as diretrizes especificamente para você controlar melhor a pandemia. O valor do risco de exposição é definido e calculado com base nos metadados associados, bem como no valor do risco de transmissão que o governo ou as autoridades de saúde podem definir para as chaves aleatórias do dispositivo correspondente. Em nenhum caso o valor do risco de exposição ou o valor do risco de transmissão será compartilhado com a Apple ou o Google.

Os parâmetros usados ​​para esse valor de risco de transmissão podem incluir informações que você forneceu a eles (como os sintomas que você relata ou se seu diagnóstico foi confirmado por um teste) ou outras informações que o governo ou as autoridades de saúde considerem que podem afetar por seu risco de transmissão, como sua profissão. As informações que você decide fornecer ao governo ou às autoridades de saúde são coletadas de acordo com os termos da política de privacidade do aplicativo e suas obrigações legais.

Por outro lado, se você permanecer saudável e não tiver um resultado positivo, suas Chaves de Exposição Temporária não sairão do seu dispositivo.

Algumas considerações finais sobre a API da Apple e do Google e sua privacidade

Dada a imagem do Big Brother do Google e da Apple em nossa imaginação coletiva, muitas pessoas não se importam com a criptografia dessa API e não confiam nessas duas empresas. Para oferecer mais segurança , lembre-se de que:

  • Você decide se deve ou não receber notificações de exposição: essa tecnologia só funciona se você optar por ela. Se você mudar de ideia, poderá desativá-lo a qualquer momento.
  • O Sistema de Notificações de Exposição não rastreia sua localização: ele não coleta ou usa a localização do seu dispositivo usando GPS ou outros meios. Use o Bluetooth para detectar se dois dispositivos estão próximos um do outro, sem revelar sua localização.
  • Nem o Google, nem a Apple, nem outros usuários podem ver sua identidade: todas as correspondências no sistema de Notificações de exposição são processadas no seu dispositivo. As autoridades de saúde podem solicitar informações adicionais, como um número de telefone, para contatá-lo e fornecer orientações adicionais.
  • Somente as autoridades de saúde podem usar esse sistema: o acesso à tecnologia será concedido apenas a aplicativos das autoridades de saúde. Seus aplicativos devem atender a critérios específicos de privacidade, segurança e uso de dados.
  • A Apple e o Google desativarão o sistema de notificação de exposição em cada região quando não for mais necessário.

O sucesso está na massa crítica

Lembre-se de que esses aplicativos só terão efeito se pelo menos 80% dos usuários de iOS e Android os instalarem e mantiverem o Bluetooth ativado quando saírem de casa. Se você desativar a conexão Bluetooth no seu dispositivo, os IDs aleatórios do Bluetooth também não serão mais coletados e compartilhados com outros dispositivos. Isso significa que o aplicativo não poderá notificá-lo se você tiver sido exposto a alguém com o Covid-19.

Portanto, cada cidadão equilibrará em sua consciência o bem público com a salvaguarda da privacidade para tomar a decisão de usar esses aplicativos ou não.

Memória mal gerenciada II

David García    17 junio, 2020

Se tivéssemos que escolher uma vulnerabilidade particularmente prejudicial, provavelmente seria a execução arbitrária de código, principalmente, se ela puder ser explorada remotamente.  No post anterior, apresentamos os problemas que podem ser causados ​​por memória mal gerenciada. Agora veremos alguns exemplos concretos.

Double Free, Um exemplo Básico.

Essa falha ocorre quando liberamos duas vezes o mesmo bloco de memória reservada. Vamos ver um programa que faz isso muito «bem»:

Reservamos dois blocos, copiamos cadeias para eles e eles são liberados porque não precisamos mais deles (observe as chamadas para «Free«). Vamos ver a execução:

Tudo certo, agora nós vamos propositalmente deixar o deslize de liberar o bloco que já havíamos lançado. Isso não demonstra a vulnerabilidade em si (que é mais complexa de se explorar), mas verifica o que acontece quando fazemos algo errado nas estruturas de memória dinâmica da pilha.

Vamos executar e ver o que acontece:

Como podemos ver, a segunda string não foi impressa no terminal, como no programa anterior. O que aconteceu?

Ao liberar um bloco do heap essa lacuna foi deixada livre. Nós exigimos outro espaço para a variável p2 e nos foi atribuído outro bloco, mas lembre-se de que p1, embora tenha sido liberado, ainda aponta para seu bloco original … que agora pertence a p2.

Como relançamos p uma segunda vez, o que realmente fazemos é liberar memória que está sendo usada por outro ponteiro que não está relacionado ao objeto p. O uso de p2 se torna instável, pois estamos usando uma região de memória que já está liberada. Vejamos agora como os endereços de memória foram formados:

Como podemos ver, p2 pega o endereço do bloco que já tinha p, mas foi liberado. Vamos ver a mesma situação, mas liberando os dois blocos no final da função:

Se bem gerenciada a situação, os dois indicadores irão apontar para blocos diferentes, desta forma os recursos não serão liberados ao mesmo tempo e tudo irá ocorrer conforme o planejado.

Nós repetimos. O gerenciamento manual de memória é complexo, muito complexo. E deve-se prestar atenção à ordem das operações, onde os recursos são obtidos e onde paramos de usá-los, para liberá-los em boas (e seguras) condições.

No próximo post, veremos os dangling pointers ou ponteiros pendurados

David García
@dgn1729

ElevenPaths da Telefonica expande sua colaboração com a Fortinet para melhorar a segurança do setor industrial

ElevenPaths    16 junio, 2020

ElevenPaths e Fortinet firmam parceria para melhorar a segurança cibernética em infraestrutura e processos industriais, fornecendo soluções abrangentes de OT, TI e IoT a seus clientes

A ElevenPaths, unidade de segurança cibernética da Telefónica Tech, e a Fortinet, líder global em soluções amplas, integradas e automatizadas de segurança cibernética, anunciaram hoje a expansão de sua colaboração para oferecer novos serviços de segurança gerenciados para clientes do setor industrial, fornecendo assim segurança avançada para seus ambientes de tecnologia operacional (OT), tecnologia da informação (TI) e Internet das Coisas (IoT).

Por meio da ampliação dessa parceria, a ElevenPaths está utilizando as soluções do Fortinet Security Fabric para sistemas de controles industriais para atender à crescente demanda das organizações por serviços de segurança gerenciados, garantindo que o ambiente de OT e TI esteja protegido e compatível. A ElevenPaths oferecerá a seus clientes as soluções de segurança de OT da Fortinet com a melhor proteção contra ameaças para ambientes corporativos de TI que se estendem do datacenter, à nuvem e ao perímetro da rede, combinados com o alcance global e a ampla experiência dos profissionais de segurança da Telefónica para fornecer o melhor serviço para diferentes setores industriais.

“Muitos de nossos clientes estão passando por transformações digitais, nas quais as tecnologias OT e IoT desempenham um papel de liderança. Embora haja benefícios significativos nessas tecnologias, elas também levam a uma maior exposição a riscos de segurança, que devem ser gerenciados e tratados adequadamente. A tecnologia da Fortinet é parte integrante de nossas ofertas e estratégias de segurança cibernética para garantir que estamos lidando com os novos e crescentes riscos de segurança de nossos clientes”, disse Alberto Sempere, diretor de Produtos e Marketing da ElevenPaths.

A Fortinet possui o mais abrangente conjunto de soluções para a proteção de ambientes industriais no mercado de segurança cibernética. Como líder em segurança e proteção de OT, a Fortinet é capaz de enfrentar uma ampla gama de desafios de ambientes de TI e OT isolados, fornecendo proteção instantânea de vulnerabilidades e acesso remoto seguro, enfrentando, assim, os desafios de segurança cibernética, proteção e confiabilidade da indústria de OT.

“A Fortinet e a ElevenPaths têm uma parceria de longa data, trabalhando juntas para ajudar nossos clientes a proteger suas inovações digitais em rápida evolução. Estamos entusiasmados em expandir ainda mais nossa colaboração para combinar os serviços de segurança da ElevenPaths com os recursos amplos, integrados e automatizados do Security Fabric da Fortinet, para fornecer segurança avançada às redes OT e infraestruturas críticas”, disse John Maddison, vice-presidente executivo de Produtos e CMO da Fortinet.

A ElevenPaths ocupa a posição de líder em segurança cibernética para ambientes industriais, trazendo o conhecimento de suas equipes multidisciplinares de especialistas, a capacidade de seus MSSPs inteligentes que oferecem serviços gerenciados globais, bem como sua experiência como operador de comunicações críticas e provedor de serviços de segurança física para oferecer uma proposta diferenciada de segurança digital a seus clientes em todo o mundo.

«O desafio da digitalização no setor industrial é uma realidade nos mercados da América Latina. Apesar de ser um setor mais resistente a mudanças e evoluir em um ritmo tecnológico mais lento, as palavras economia, otimização, aceleração e melhoria estão começando a estar entre as principais preocupações dos líderes de OT e TI. Um parceiro, como a Telefonica, que pode chegar ao mercado, é essencial para apoiar os setores industriais com as soluções Fortinet, a fim de minimizar os riscos de segurança cibernética, permitindo que as organizações aproveitem a visibilidade e o valor agregado proporcionado pelas novas tecnologias para monitorar e otimizar os processos de produção em tempo real, tornando-os mais seguros, mais simples, mais eficientes e lucrativos”, disse João Horta, vice-presidente de Vendas para Prestadores de Serviços da Fortinet para a América Latina e Caribe.

A Fortinet e a ElevenPaths trabalham juntas há vários anos e, em junho de 2016, reforçaram sua colaboração incorporando a plataforma Security Fabric da Fortinet aos serviços de segurança gerenciados da ElevenPaths. Agora, a ElevenPaths aproveitará as soluções de segurança de TI, OT e IoT da Fortinet, expandindo ainda mais sua parceria estratégica. A ElevenPaths é um parceiro MSSP Expert que trabalha em conjunto na Europa e na América Latina para fortalecer a segurança de clientes em comum.

A ElevenPaths também é parceira da aliança de tecnologia Fabric-Ready no Open Fabric Ecosystem da Fortinet. O Open Fabric Ecosystem da Fortinet é um dos maiores do setor de segurança cibernética, com mais de 360 ​​integrações de tecnologia, e estende os benefícios do Security Fabric a clientes em comum, permitindo que eles obtenham segurança avançada e abrangente em toda a sua infraestrutura.

A cibersegurança é um dos serviços digitais oferecidos pela Telefónica que foram integrados recentemente, juntamente à nuvem e à IoT/Big Data, ao Telefónica Tech, uma nova unidade que reúne esses três negócios com alto potencial de crescimento, focados em apoiar seus clientes na transformação digital.

Comunicado de imprensa

Click to access ElevenPaths-Fortinet-NdP-PORT.pdf

DIARIO, o detector de malware de documentos que respeita a privacidade

Área de Inovação e Laboratório ElevenPaths    15 junio, 2020

Vamos imaginar que um usuário receba um arquivo do Excel com informações que deveriam ser secretas ou confidenciais. O usuário acha que pode ser um malware , mas o antivírus local não o detectou (desde que chegou ao email ou ao disco rígido e o antivírus não se manifestou). E se realmente fosse malware ? Como poderíamos verificar isso?

Se o enviarmos para um sistema multivírus na Web ou, por e-mail, para um administrador que possa nos ajudar a distingui-lo, poderemos divulgar informações confidenciais se o arquivo for legítimo. Você comprometeria informações confidenciais para tentar proteger seu sistema. No entanto, se você não usar nenhuma medida de segurança porque acredita que o documento não deve ser compartilhado, ele poderá infectar o sistema. É nesse ponto que pensamos que o Diario  poderia entrar em cena.

Sobre O DIARIO

Diariamente  é um novo conceito de detecção de malware . O DIARIO digitaliza e analisa documentos estaticamente e sem a necessidade de conhecer o conteúdo desses arquivos. Ele usa a estrutura característica e a forma do arquivo sem usar nenhum conteúdo sensível para análise. DIARIAMENTE extrai as funcionalidades e com elas cria um vetor impossível de atribuir a um único arquivo. Com esse vetor, técnicas padrão de Machine Learning são usadas para detectar malware .

O modelo usado é flexível e é rotineiramente treinado com as amostras de malware mais recentes para poder detectar e complementar além das assinaturas antivírus tradicionais.

Esse sistema de detecção baseado no Machine Learning é patenteado e foi totalmente construído pela área de inovação e laboratório da ElevenPaths.

Existem muitas soluções baseadas no Machine Learning para detectar malware , mas o DIARIO difere delas porque:

  • É especializada nos documentos em que é mais necessário respeitar a privacidade: PDF e Office.
  • Treinamos nosso modelo de aprendizado de máquina com as amostras menos detectadas, por sua vez, pelos mecanismos antivírus. Dessa forma, podemos cobrir a lacuna que as soluções tradicionais geralmente custam mais. Não se destina a substituir antivírus, mas a complementá-los.
  • Possui um painel para o analista validar e reforçar o sistema de maneira confortável. Este painel pode ser usado por analistas para realizar pesquisas de malware : atribuição, detecção, aprendizado, análise e investigação, etc. Assim, teríamos dois perfis de usuário: aquele que deseja usar o serviço de previsão sem comprometer os dados nos documentos e o analista que pode tirar proveito do banco de dados sem ter que acessar nenhum dado comprometedor nos documentos.
  • As análises são muito rápidas. Precisamos de uma parte mínima do arquivo para carregar no servidor e prever o ataque. Não é que o servidor descarte o arquivo, é que ele não é necessário.

Como é consumido?

Está em execução há alguns meses, aqui apresentamos as fórmulas para consumi-lo:

  • Web : o usuário só precisa arrastar o arquivo no analisador e receberá a previsão sem comprometer as informações do documento.
  • Plug – in de email : você pode enviar anexos de maneira conveniente sem comprometer sua privacidade. Daremos outros detalhes mais tarde.
  • Painel de analistas : de onde documentos e características podem ser pesquisados, analisados ​​ou relacionados, mantendo a confidencialidade do documento, desenvolvendo novas investigações e melhorando a inteligência coletiva. Por enquanto, funciona por convite.
  • Os links podem ser compartilhados em páginas estáticas com resultado e previsão.

Você não confia no sistema? Muito bem, para isso temos as fórmulas de remessa parcial.

  • API : qualquer pessoa pode consumir através de uma API. Crie seu próprio cliente, encaixe-o em seus repositórios, etc. O FOCA já o integra.
  • SDK e ferramentas por linha de comando . No nosso GitHub.
  • Cliente para Windows, Linux e Mac, que mostra o conteúdo necessário para o cálculo e no qual apenas o necessário é carregado.

Eficácia

Executamos alguns testes que permitem afirmar que o nível de detecção (e falsos positivos) está no nível de qualquer outra solução comercial. Por outro lado, realizamos um teste com tipos especiais de malware de macro, principalmente com o que não é detectado pelos sistemas de assinatura tradicionais. O relatório completo está disponível em https://diario.elevenpaths.com

Laboratório ElevenPaths e Área de Inovação     

TypoSquatting: usando seu cérebro para enganá-lo

Diego Samuel Espitia    11 junio, 2020

O cérebro é incrível e evoluiu ao longo de milhares de anos para simplificar a vida ou reduzir o tempo de processamento em coisas que considera desnecessárias. Uma delas é ler cada letra em um texto escrito, que pode ser verificado de várias maneiras, como nos três exemplos a seguir:

Por que isso acontece?

Isso se deve à maneira como aprendemos a ler, porque, inicialmente, vemos apenas imagens e só depois de entendê-las, quando começamos a fazer a associação com sons e palavras. Quando estamos acostumados a ler as mesmas palavras por um longo tempo, nosso cérebro coloca palavras onde elas não substituem ou imediatamente substituem os números pelas letras correspondentes ou podem ler quando são escritas ao contrário, entre muitas outras coisas.

Sem dúvida, essa capacidade cerebral é incrivelmente poderosa, mas também gera alguns riscos de segurança cibernética devido à possibilidade que ela oferece para enganar facilmente. Por exemplo, se você receber uma mensagem dizendo «www.gooogle.com», não perceberá que «goooge» possui três «o» em vez dos dois que o site real possui.

O que é TypoSquatting

Por muitos anos, os cyber criminosos perceberam que é possível usar essa habilidade contra nós. As campanhas de phishing usam essas pequenas alterações no texto para enganar os usuários, sendo muito eficazes se estiverem associadas a sentimentos de medo ou impacto econômico. Esse tipo de ameaça foi chamado de TypoSquatting .

Com a atual crise de saúde causada pelo Covid-19, o uso dessa técnica aumentou significativamente. Uma das entidades que mais foi usada para gerar esses boatos é a Organização Mundial de Saúde, que teve que publicar uma declaração expressa de segurança cibernética para tentar mitigar os danos causados ​​por esses boatos.

Um dos milhares de exemplos está em um dos sistemas de rastreamento de pandemia que foram gerados, chamado coronatracker.com , que é usado como base para diferentes mutações no typosquatting , como podemos ver abaixo:

Para resumir a análise, apenas o segundo domínio detectado será utilizado, coronatracker.info, que usa a técnica de alterar o domínio raiz ( com para obter informações ) para que a vítima, ao se concentrar no nome da página, não perceba nenhuma outro dos detalhes. Neste outro exemplo abaixo, um SMS tenta enganar o usuário usando o domínio de um banco, alterando o domínio raiz de com para um.

Analisando coronatracker.info com nossa ferramenta TheTHE, você pode ver como essa farsa do TypoSquatting oculta um site dedicado ao envio de phishing e que o domínio foi criado na primeira semana da pandemia, como milhares de outras que surgiram. Usando o IP, vemos, na primeira imagem, que ele já foi relatado no AbuseIP por ser um IP suspeito e, no segundo, vemos como a análise com o Maltiverse o detecta como malicioso.

Usando o domínio, parece que isso já foi relatado no Virus total e que ele adiciona que responde a 9 endereços IP diferentes.

Como você pode ver, os criminosos não perdem a oportunidade de implantar malware . Essa tempestade de eventos desencadeados pela pandemia é o momento perfeito para usar todos os mecanismos à sua disposição para acessar dados pessoais, dados comerciais, dados financeiros ou simplesmente máquinas que podem ajudá-lo a obter mais vítimas.

Essas técnicas não são aplicadas apenas em domínios, mas também em aplicativos móveis, pacotes de software de desenvolvimento , e-mails, mensagens instantâneas, SMS e qualquer outro meio que possa ser usado para fazer as vítimas clicarem no link.

Diego Samuel Espitia
@dsespitia