Memória mal gerenciada I

David García    10 junio, 2020

Se tivéssemos que escolher uma vulnerabilidade particularmente prejudicial, provavelmente seria a execução arbitrária de código e, mais ainda, se ela puder ser explorada remotamente. As consequências podem ser fatais, como já vimos em muitos desses episódios (Conficker para analistas de malware , MS08-067 e EternalBlue para pentesters , WannaCry para todos, etc.).

La ejecución de código arbitrario ha sido y sigue siendo uno de los errores de programación que más pérdidas y reparaciones ha causado a lo largo y ancho de la historia del silicio. Por cierto, lo llamamos arbitrario porque, en realidad, la CPU ya está ejecutando código; la gracia de lo arbitrario es que se deja al arbitrio del atacante decidir qué código se ejecuta, puesto que es quien toma el control del proceso. De eso trata una explotación de este tipo: desviar la ejecución normal y determinada de un proceso a un agente extraño introducido en aquel de forma arbitraria por un atacante a través de un exploit.

A execução de códigos arbitrários em sido e continua sendo um dos erros de programação que causaram mais perdas e reparos ao longo da história do silício. A propósito, chamamos isso de arbitrário porque, na verdade, a CPU já está executando o código; a graça do arbitrário é que fica no arbítrio do invasor ecidir qual código será executado, pois é ele quem assume o controle do processo. É disso que trata uma exploração (exploit) desse tipo: desviar a execução normal e determinada de um processo para um agente estranho arbitrariamente introduzido nele por um atacante por meio de uma exploração (exploit).

Como exatamente isso acontece?

Existem muitas maneiras de executar código (daqui em diante entenderemos arbitrário). A definição, a propósito, não se limita aos executáveis ​​nativos. Um cross-site scripting não deixa de ser uma injeção de código estranho que, novamente, desvia a execução de um script para o snippet de código injetado.

Um dos fatores na execução do código no nível nativo é o derivado das falhas no gerenciamento de memória. Examinaremos os tipos mais comuns de erros, focando em como eles ocorrem e como os sistemas operacionais e as linguagens de programação estão evoluindo para reduzir o efeito que essas falhas têm quando são exploradas maliciosamente.

Voltando ao tempo, nem todos os idiomas tinham um gerenciamento manual do uso que eles faziam da memória. De fato, John McCarthy, um dos pais da Inteligência Artificial e criador do LISP, inventou o conceito de automatic garbage collection (memória liberada durante a execução de um processo) nos anos sessenta.

No entanto, apesar do fato de os recoletores de memória facilitarem a vida dos programadores (abstraindo-os do gerenciamento manual), era uma sobrecarga no consumo de recursos que alguns sistemas não podiam se permitir. Para se ter uma ideia, seria como se o rastreamento de voos de uma torre de controle do aeroporto em tempo real parasse por alguns segundos para eliminar a memória liberada.

É por isso que linguagens como C ou C ++ mantêm um peso enorme ao programar aplicativos de sistema. São linguagens sem coletor de lixo (embora seja possível utilizá-las por meio de bibliotecas) nas quais o peso do gerenciamento de memória recai inteiramente sobre o programador. E, é claro, quando você deixa o trabalho de uma máquina nas mãos de um ser humano … Pelo contrário, liberar os recursos que um coletor consome supõe um aumento enorme no desempenho e na resposta do programa e isso se traduz em um custo menor em hardware.

É tão difícil gerenciar a memória manualmente?

Obviamente, é uma pergunta muito aberta e a resposta dependerá do nosso nível de familiaridade com esse tipo de programação e as facilidades que a linguagem nos fornece, adicionadas ao uso de ferramentas e tecnologias externas implementadas no compilador.

Vamos dar um exemplo: suponha que desejemos associar uma string de texto a uma variável. Uma operação que é trivial em linguagens com gerenciamento automático de memória, por exemplo, em Python (é um código de exemplo, não vamos nos preocupar em corrigi-lo):

Bem, isso na linguagem C tem algumas adições interessantes. Primeiro de tudo, não sabemos o comprimento da string. Essa quantidade não é «padrão» com a string, precisamos encontrá-la ou adicioná-la como um parâmetro para a função. Segundo, como não temos seu tamanho, também não sabemos que memória precisaremos para armazená-lo e, terceiro: quem é o responsável por avisar quando não precisamos mais dessa memória?

Vamos ver um trecho de código (existem várias maneiras de implementar isso, mais seguro e melhor, mas isso servirá para ilustrar o que queremos dizer, por exemplo, usando strdup, «% ms» etc.):

Como vemos, nem começamos a manipular a cadeia quando já escrevemos código para detectar o fim de uma cadeia, reservar memória, monitorar os limites da matriz na pilha etc.

No entanto, o importante é examinar a linha 28, essa função «free», usada para dizer ao sistema para liberar a parte da memória que tínhamos reservado na função «ler». Aqui a situação é clara: não usamos mais essa memória e a devolvemos.

Em um código de exemplo, é fácil usar a memória, mas e se continuarmos usando essa memória reservada 200 linhas de código posteriormente? E se tivermos que passar esse ponteiro por várias funções? Como é claro quem está encarregado da memória, a função chamada ou quem chama essa função?

Nas entradas a seguir, veremos alguns cenários que se tornam vulnerabilidades devido a esse tipo de supervisão: liberação double free, uso de memória não inicializada, vazamentos de memória (memory leak) ou fuga de memória e ponteiros pendentes ou ponteiros soltos.

David García
@dgn1729

20 perguntas sobre aplicativos de rastreamento de contágio Covid-19

Gonzalo Álvarez Marañón    8 junio, 2020

Governos ao redor do mundo estão lançando aplicativos de rastreamento contágios da Covid-19. Apesar de seu louvável objetivo de impedir a propagação da pandemia e acelerar o retorno à normalidade, sem surpresa, eles estão envolvidos em controvérsias. Como o próprio nome sugere, um aplicativo de «rastreamento» levanta questões sobre a ameaça à privacidade e segurança dos cidadãos. Neste artigo, listamos 20 das perguntas mais frequentes que todos fazemos sobre o uso desses aplicativos .

1. Qual é o objetivo desses aplicativos ?

O objetivo desses aplicativos é impedir a propagação do vírus . No passado, o procedimento era diferente: por meio de entrevistas com indivíduos infectados, eles eram questionados sobre as pessoas com as quais haviam estado em contato. Uma vez identificados, esses indivíduos foram notificados para colocar em quarentena ou serem priorizados para testes de diagnóstico. Esse método manual também levanta preocupações com a privacidade, é propenso a erros, é extremamente caro em termos de tempo e pessoal e também é limitado a contatos que podem ser identificados pela pessoa infectada.

2. Como os aplicativos de rastreamento de contágio funcionam ?

Depende de cada aplicativo em particular, mas, em geral, todos eles funcionam emitindo constantemente códigos Bluetooth únicos e alterados. Ao mesmo tempo, monitoram constantemente os telefones à sua volta, gravando os códigos de qualquer outro telefone que esteja dentro de um determinado intervalo e por quanto tempo. Por exemplo, dentro de um raio de 2 metros por 10 minutos.

Quando uma autoridade de integridade confirma que um usuário está infectado, seu aplicativo carrega códigos anônimos gerados nas últimas duas semanas em um servidor. Se o aplicativo de outro usuário encontrar uma correspondência com um de seus códigos armazenados, ele notifica que eles podem ter sido expostos e informa sobre as etapas a seguir: quarentena ou teste de diagnóstico ou o que a autoridade de saúde decidir. 

O sistema usa Bluetooth LE, não GPS, é totalmente opcional, não coleta dados de localização dos usuários e não carrega nenhum código de ninguém sem um diagnóstico positivo do Covid-19.

3. O que a Apple e o Google têm a ver com tudo isso?

Em 10 de abril, a Apple e o Google se surpreenderam com o anúncio de sua aliança para criar uma tecnologia baseada no Bluetooth LE (Low Energy) para rastreamento de contatos integrado nos sistemas operacionais iOS e Android. Diferentes países poderão desenvolver seus aplicativos de rastreamento de contatos nas funções fornecidas pelas APIs e pelas plataformas Apple e Google. Ambas as empresas criaram essa tecnologia para facilitar aos governos de todo o mundo a criação de aplicativos de rastreamento de contágio, se assim o desejarem.

4. Por que esses aplicativos usam Bluetooth LE e não GPS?

A tecnologia GPS permite localizar uma pessoa o tempo todo, o que representaria uma séria ameaça à privacidade. Por outro lado, a comunicação Bluetooth ocorre diretamente entre dispositivos móveis, sem registrar o local onde ocorreu a proximidade, o que facilita a criação de um sistema descentralizado.

Por outro lado, o Bluetooth LE nos permite estimar com mais precisão a proximidade funcional em ambientes de alto risco: dentro de edifícios, veículos e aeronaves, tráfego subterrâneo, etc. Pode-se até saber se duas pessoas a menos de 2 m uma da outra estão separadas por uma partição que mede a força do sinal Bluetooth e com informações adicionais dos sensores do terminal: se está dentro ou fora de uma bolsa ou bolso, se está parado ou em movimento etc.

5. Até que ponto minha privacidade e segurança serão ameaçadas se eu instalar esses aplicativos ?

É difícil saber por que cada país desenvolverá seu próprio aplicativo e até cada região dentro de cada país, com base ou não na plataforma Apple e Google. Cerca de 300 cientistas e pesquisadores de todo o mundo assinaram um manifesto onde propõem os seguintes princípios que devem ser adotados por qualquer aplicativo :

  • Os aplicativos de rastreamento de contatos devem ser usados ​​apenas para apoiar medidas de saúde pública para a contenção do Covid-19. O sistema não deve ser capaz de coletar, processar ou transmitir mais dados do que o necessário para atingir esse objetivo.
  • Qualquer solução considerada deve ser totalmente transparente. Os protocolos e sua implementação, incluindo os subcomponentes fornecidos pelas possíveis empresas colaboradoras, devem estar disponíveis para análise pública. Deve ser documentado de forma inequívoca como, onde e para que os dados processados ​​são armazenados. Os dados coletados devem ser mínimos para o objetivo especificado.
  • Quando houver várias opções possíveis para implementar um determinado componente ou função do aplicativo, a opção que melhor preserva a privacidade deve ser escolhida. Desvios deste princípio são permitidos apenas se necessário para atingir o objetivo do aplicativo com mais eficiência e devem ser claramente justificados.
  • O uso de aplicativos de rastreamento de contato e os sistemas que os suportam devem ser voluntários, usados ​​com o consentimento explícito do usuário e os sistemas devem ser projetados para poderem ser desligados e todos os dados excluídos quando a crise atual atingir sua fim.

Por seu lado, Apple e Google garantem que a privacidade do usuário seja um requisito essencial no desenvolvimento de suas próprias especificações:

  • A posição do usuário não é necessária: qualquer uso do local será opcional. Caso seja necessário acessar a geolocalização do dispositivo, será necessário consentimento expresso.
  • Identificadores de proximidade exclusivos mudam a cada 15 minutos, por isso é inútil rastrear uma pessoa usando Bluetooth.
  • Identificadores de proximidade exclusivos serão trocados apenas entre dispositivos e não serão enviados para a nuvem.
  • O usuário deve decidir se deseja participar da iniciativa.
  • O usuário deve consentir se quiser ser identificado – anonimamente, sempre – como uma pessoa que possui o Covid-19.

Teremos que aguardar que os aplicativos implantados pelos diferentes governos avaliem até que ponto eles cumprem ou não essas diretrizes.

6. Qual a eficácia desses aplicativos para impedir a pandemia?

De acordo com uma análise dos pesquisadores do projeto Covid-Watch , os aplicativos de rastreamento de contatos exigem entre 50 e 70% da população para usá-los. Caso contrário, as pessoas sintomáticas não saberiam onde contrairam o vírus, e as pessoas assintomáticas continuariam a espalhá-lo sem saber. Para referência, na Coréia do Sul, apenas 10% da população chegou a usar o aplicativo oficial.

Por mais que a Apple e o Google ofereçam suporte a esses aplicativos, seu grau de penetração será menor que o esperado. Segundo analistas da Counterpoint Research , cerca de 1,5 bilhão de usuários usam telefones básicos que não operam no Android ou iOS e que não possuem chips Bluetooth LE. Da mesma forma, aqueles que usam smartphones com mais de cinco anos não poderão instalar esse aplicativo devido a restrições de tecnologia ou sistema operacional. 

Por sua parte, Bill Gates ressalta, com razão, em uma publicação recente no blog que: “uma limitação é que você não precisa necessariamente estar no mesmo local e ao mesmo tempo para infectar alguém; pode deixar o vírus na superfície. Este sistema perderia esse tipo de transmissão «.

Por fim, qualquer rastreamento de contato eficaz é inútil sem testes de diagnóstico maciços, que hoje ainda são poucos, caros e lentos. Além disso, os indivíduos diagnosticados precisam de liberdade financeira e espaço para quarentena. E muitas pessoas mais velhas ou de baixa renda, que podem estar em maior risco, são precisamente as menos propensas a ter smartphones capazes de hospedar esses aplicativos .

7. Quando o aplicativo me avisa que alguém que estava próximo foi infectado, que garantias tenho?

É claro que ninguém poderá notificar que está infectado porque o sistema se prestaria a todos os tipos de erros e abusos: de usuários que se auto-diagnosticam incorretamente, a  trolls  que inundam o sistema com falsos positivos. A solução exige que o diagnóstico positivo seja aprovado por uma autoridade médica ou de saúde pública competente.

Outros falsos positivos podem vir simplesmente de erros nos cálculos de proximidade do Bluetooth LE, especialmente porque ele falha na detecção de painéis, partições ou paredes.

Como qualquer sistema de detecção, os aplicativos de rastreamento terão seus falsos positivos e falsos negativos: desde vírus depositados na superfície até contatos com pessoas sem smartphone ou que optem por não ativar o rastreamento. 

8. Se o aplicativo me avisar que cheguei perto de uma pessoa infectada, o que devo fazer?

Cada país decidirá como você será notificado, por meio de uma chamada, uma mensagem ou uma notificação no smartphone . A partir daí, pode ser recomendável que você faça uma quarentena, visite um centro de saúde ou hospital para fazer o teste ou outras opções, dependendo do seu território.

9. Quais dados pessoais os aplicativos compartilharão e com quem?

Esses esquemas foram projetados para não carregar dados da maioria dos usuários (não infectados) e apenas códigos Bluetooth anônimos de pessoas infectadas. Mesmo assim, ao relatar o contágio, o usuário deve necessariamente carregar alguns dados no servidor, os quais, por mais anônimos que possam deixar um rastro, como o endereço IP do terminal . Quem gerencia esse servidor, provavelmente uma instituição de saúde pública, pode identificar os telefones das pessoas que se reportam como positivas e, portanto, seus locais e identidades.

Da mesma forma, tempos prudenciais são propostos para hospedar essas informações e é aconselhável não armazenar metadados de comunicações, mas, novamente, isso não parece ser intrinsecamente implementado no código, mas sim apela às boas práticas dos gerenciadores de servidores.

10. Quem saberá se eu fui infectado?

Quando um indivíduo compartilha voluntariamente seu diagnóstico, seu aplicativo carrega em um servidor os códigos que ele gerou nos 14 dias anteriores. Todos os aplicativos estão baixando essas listagens de código do mesmo servidor para verificar se algum deles corresponde aos armazenados localmente. Portanto, ninguém saberá se você foi infectado, exceto obviamente a autoridade de saúde que o diagnosticou em primeiro lugar.

11. Qual aplicativo você propõe usar previsivelmente na Espanha?

Aparentemente, o Secretariado de Digitalização e Inteligência Artificial está apostando em um sistema descentralizado como o recomendado pela UE . A Espanha aderiu inicialmente ao Pepp-PT , mas modificou parte de seu compromisso inicial e atualmente defende um sistema centralizado.

12. Quando seu uso começará?

Depende de cada país. Na Espanha, o início das operações está previsto para terça – feira, 28 de abril.

13. Sou obrigado a usar esses aplicativos ?

De momento não. Como vimos, a eficácia do sistema é baseada em seu uso maciço, portanto pelo menos 60% da população deve usá-los para que o sistema seja eficaz. Cada cidadão equilibrará em sua consciência o bem público com a salvaguarda da privacidade para tomar a decisão de usá-los ou não.

14. Se eu tiver o aplicativo instalado, alguém poderá acompanhar meus movimentos?

Em princípio, não, pois os aplicativos de rastreamento de contatos são baseados no Bluetooth LE e não no GPS. E digo, em princípio, porque o criador do aplicativo pode querer ativar o uso do GPS, mas essa opção não depende mais da plataforma de rastreamento fornecida pela Apple e pelo Google ou por outras iniciativas, como o DP3T . Em qualquer caso, exceto por um ataque cibernético em seus servidores, o monitoramento estará disponível apenas para as autoridades de saúde pública.

15. Muitos aplicativos de rastreamento de contágio estão surgindo em todo o mundo, são todos iguais?

Não. Embora todos sejam baseados em Bluetooth seguindo um esquema mais ou menos como descrito, eles diferem em quem controla as informações nos servidores e em quanta informação pessoal é armazenada nesses servidores. As versões que mais protegem a privacidade com ciúmes carregam apenas as chaves geradas pelos dispositivos, que não são pessoalmente identificáveis ​​(exceto por ataques complicados descritos abaixo). Em outras versões, os aplicativos também carregam o perfil pessoal completo dos usuários: nome, idade, endereço, código de identificação etc.

A Coalizão TCN foi criada recentemente , uma coalizão global para estabelecer os protocolos de rastreamento dos primeiros contatos digitais para combater o Covid-19. Essa coalizão visa unir esforços para desenvolver um protocolo aberto e compartilhado que possa ser usado por vários aplicativos para conter a pandemia e preservar a privacidade. 

16. Esses aplicativos violam as leis de proteção de dados?

De acordo com o comunicado de imprensa da Comissão Europeia , «eles devem estar em total conformidade com as regras de privacidade e proteção de dados da UE, estabelecidas nas diretrizes apresentadas hoje após consulta ao Comitê Europeu de Proteção de Dados».

17. Quando a pandemia passar, você poderá me rastrear?

Esta pergunta difícil de responder. Jaap-Henk Hoepman, professor de segurança digital da Universidade Radboud Nijmegen, na Holanda, e chefe do  Laboratório de Privacidade e Identidade , não é claro, como denunciado em seu blog . Para ele, os perigos desse sistema não são que ele possa efetivamente ajudar essa futura fase de retorno à normalidade, mas tudo o que poderia surgir depois de implementar esse tipo de sistema em nossos celulares: 

  • A polícia pôde ver rapidamente quem esteve perto da vítima de um crime ativando o telefone da vítima como «infectado». 
  • O mesmo poderia ser aplicado para encontrar as fontes dos jornalistas ou dos «informantes» que vazam informações.
  • Uma empresa pode instalar beacons Bluetooth equipados com este software em pontos de interesse para marcar certos beacons como «infectados» e, assim, localizar aqueles que passaram por ele. 
  • Se você possui a Página inicial do Google em casa, o Google pode usar esse sistema para identificar todos os que visitaram sua casa. 
  • Se o seu parceiro estiver com ciúmes, ele poderá instalar um aplicativo secreto no seu celular para segui-lo e verificar com quem você esteve em contato; ou pais para espionar seus filhos. 

18. Como a criptografia por trás desses aplicativos funciona ?

Colocando-nos em uma perspectiva mais técnica, a criptografia varia de aplicativo para aplicativo , mas todos seguem etapas semelhantes:

  1. Ao instalar o aplicativo, é gerada uma chave exclusiva associada ao dispositivo em questão, levando em consideração os componentes do sistema. Assim, a imprevisibilidade e a impossibilidade de replicação são buscadas para garantir privacidade e anonimato. Além disso, ele é armazenado localmente no dispositivo com segurança.
  2. A partir dessa primeira chave, uma segunda chave é derivada, que será regenerada diariamente.
  3. Enquanto o Bluetooth está ativado, a comunicação é usada para enviar, nos pacotes associados ao protocolo, um identificador de proximidade. Os terminais habilitados para Bluetooth trocam esses identificadores de proximidade entre si quando caem dentro do raio de alcance mútuo predefinido. Essas chaves mudam a cada 15 minutos e são derivadas das chaves diárias anteriores.
  4. Identificadores de proximidade enviados e recebidos são processados ​​e armazenados exclusivamente localmente.
  5. Se um dos proprietários do telefone for diagnosticado como positivo, as autoridades de saúde atribuirão a ele um número de permissão.
  6. Essa pessoa envia uma solicitação ao banco de dados público com o número de permissão e seu histórico de números de eventos de contato transmitidos.
  7. Se o número da permissão for válido, os números dos eventos de contato serão armazenados no banco de dados e transmitidos para todos os outros telefones.
  8. Cada telefone compara números de eventos de contatos publicados publicamente com sua própria história . Se houver uma correspondência, isso significa que eles estavam perto de um indivíduo infectado e são instruídos sobre o que fazer em seguida.

19. Quais cenários de ataque podem ser projetados para contornar as medidas de proteção?

Diferentes ataques são embaralhados para revelar a identidade dos usuários diagnosticados como positivos. Felizmente, as arquiteturas descentralizadas exigem rastreamento individual do usuário, o que consome tempo e reduz drasticamente a escala do ataque.

Por exemplo, um invasor pode gravar o rosto de todos na frente da câmera enquanto grava sinais Bluetooth de seus aplicativos . No futuro, se um desses transeuntes informar que é positivo, o aplicativo do invasor receberá todas as suas chaves de servidor como qualquer outra e poderá corresponder aos códigos que o usuário emitiu ao passar na frente da câmera. , identificando assim um estranho como positivo.

Outra versão desse ataque de correlação permitiria o rastreamento comercial: uma empresa de publicidade poderia localizar beacons Bluetooth em lojas na rua que coletam códigos de rastreamento de contatos emitidos pelos clientes que os visitam. A empresa poderia então usar o aplicativo de saúde pública para baixar todas as senhas das pessoas que mais tarde foram diagnosticadas com o Covid-19 e gerar todos os seus códigos nas últimas duas semanas. Esse método poderia determinar hipoteticamente qual trilha de código representava uma única pessoa e segui-las de loja em loja. 

Como o sistema leva não apenas o tempo de exposição como variável, mas também a proximidade dos dispositivos, um invasor pode gerar falsos positivos amplificando seu sinal via hardware para que os usuários que estão a uma grande distância ainda sejam notificados, apesar de É fisicamente impossível para eles serem infectados por esse usuário.

Talvez o problema mais sério esteja no design dos aplicativos e não nos ataques em potencial. Como o criptógrafo Moxie Marlinspike , criador do popular aplicativo de comunicações criptografadas Signal, argumenta no Twitter após o anúncio da Apple e do Google , de acordo com a descrição inicial da API da Apple e do Google, o telefone de cada usuário do aplicativo teria que baixar cada dia, as chaves de cada pessoa recém-diagnosticada com o Covid-19, o que se traduz rapidamente em uma carga de dados significativa: «Se um número moderado de usuários de smartphones for infectado em uma determinada semana, isso significa 100s [megabytes] por cada telefone para baixar ».

Um argumento a favor do sistema centralizado é que os aplicativos podem determinar melhor quem precisa fazer o download de quais chaves, coletando dados de localização GPS, enviando aos usuários apenas as chaves relevantes para sua área de movimento. 

Nesse caso, o Google e a Apple apontam que, se um aplicativo de rastreamento de localização deseja usar o GPS, ele deve primeiro pedir permissão ao usuário, como qualquer aplicativo.  

20. Por que a Apple e o Google mudaram o nome da proposta?

Em sua nova declaração de 24 de abril , a Apple e o Google não se referem mais ao sistema como «rastreamento de contatos», mas como «notificação de exposição», pois consideram que essa expressão explica melhor o valor da proposta. Eles dizem que o objetivo da ferramenta não é «rastrear» os usuários, mas «notificá-los» quando houver uma possível exposição a uma pessoa com coronavírus. Para determinar o nível de exposição, o software poderá calcular a proximidade entre os dispositivos e o tempo de exposição, limitado a 30 minutos.

Gonzalo Álvarez
@gonalvmar

Plano de continuidade: do papel à ação

Diego Samuel Espitia    4 junio, 2020

As empresas de médio e grande porte que devem obedecer às regras e controles de seu setor ou país tiveram que desenvolver o que é conhecido como BCP ( Business Continuity Plan ), também conhecido como plano de continuidade de negócios. Nele, especialistas na operação da empresa ou consultores especializados determinam o curso das ações a serem tomadas nos diferentes cenários em que a continuidade dos negócios é ameaçada. Por outro lado, muitas pequenas empresas tiveram que implementá-las para poder fazer negócios com empresas que, em regra, precisam solicitá-lo.

Isso ocorreu após os ataques de 11 de setembro de 2001, quando ficou claro que muitas empresas não sabiam como reagir no caso de sua sede ser bloqueada. Portanto, foram levantados cenários de calamidade em uma área do negócio ou em todo o negócio, buscando alternativas para preencher essa lacuna por um período de tempo. Em alguns desses planos, terremotos, maremotos e fechamentos de acessos devido a circunstâncias sociais, entre outros, foram levados em consideração, mas quantos tiveram uma pandemia nas possíveis causas de bloqueio de negócios?

Poucas empresas levaram isso em consideração, mas esse é o problema mais simples, porque, embora algumas das abordagens feitas para desastres naturais ou bloqueios de acesso à sede principal tenham sido tomadas como referência, não sabemos exatamente quando isso pode ser feito. voltar ao trabalho.

A tecnologia e segurança que um BCP deve ter em uma pandemia

Vamos começar com o que deveria ter sido feito anteriormente para ser preparado. É essencial ter um piloto de como nossos serviços e nossos funcionários reagiriam ao teletrabalho , porque, embora usemos uma VPN que permita simular que o trabalhador está diretamente conectado à rede da empresa, os serviços e a rede não estão necessariamente preparados para receber solicitações de essa conexão.

Com o comportamento que pode ser evidenciado na Internet, ao validar os serviços expostos, observa-se um crescimento de mais de 40% no uso do RDP, como mostra Shodan em seu blog . Fazendo uma pesquisa simples, são encontrados computadores com vulnerabilidades conhecidas:

Embora nem todas as empresas tenham a tecnologia para implantar VPNs suficientes para que toda a empresa se conecte para trabalhar remotamente, é algo que deveria ter sido considerado para evitar a exposição de serviços vulneráveis. Para isso, existem muitas comparações e auxílios na Internet que permitem tomar decisões seguras que se encaixam no orçamento.

Em segundo lugar, as empresas devem saber o que expuseram na Internet e como é o uso habitual desses serviços , uma vez que somente com esses dados básicos já é possível identificar quando o uso de redes externas está excedendo as capacidades de cada um. serviços ou quando você é vítima de um ataque cibernético.

Qual é o próximo passo?

Após limpar os serviços expostos, é possível começar a tomar medidas de segurança da informação , que devem ser ativadas ao iniciar o plano de continuidade. Ou seja, neste momento eles já devem estar totalmente operacionais e em ajustes.

Essas medidas devem ter como objetivo a identificação completa dos usuários, uma vez que , por serem remotas, não existem medidas de identificação local, como a rede, o MAC do equipamento e sua configuração. Na maioria dos casos, apenas o usuário e a senha são controlados, o que provou não ser um mecanismo que garante a identificação.

Depois de ter esse controle, você deve começar a monitorar eventos em todos os serviços e ter alertas de alerta para a detecção de ameaças externas , porque nesse momento todas as conexões serão feitas fora da rede da empresa. Por esse motivo, todos os controles de segurança de perímetro devem passar no que foi calculado nos planos de continuidade.

O que fazer depois?

A última medida a ser considerada neste plano de continuidade é a das ferramentas tecnológicas que serão utilizadas para controlar as operações e o trabalho dos diferentes grupos da empresa . Eles também devem receber treinamento para os funcionários, para os quais é essencial ter aliados estratégicos no mundo da tecnologia.

Isso ocorre porque são muitas ferramentas disponíveis na Internet, mas nem todas elas cumprem as medidas de proteção de informações necessárias para garantir a continuidade dos negócios. Um dos principais exemplos dessas ferramentas pode ser visto nos serviços em nuvem, que nos últimos anos tiveram um crescimento exponencial de opções e implementações, mas nem sempre é feito com medidas de segurança suficientes. Isso é fundamental se você tiver em mente que isso é quase a pedra angular da transformação digital e um bom desenvolvimento do plano de continuidade , que hoje deve estar operando em sua capacidade máxima.

Conclusões

Após o primeiro mês de medidas globais, verificou-se que os planos de continuidade de negócios de algumas empresas funcionaram corretamente em termos de seu objetivo essencial de manter os funcionários cumprindo suas obrigações e poder acessar informações. No entanto, devido ao crescimento dos serviços expostos na Internet e às vulnerabilidades detectadas, a segurança da informação não foi levada em consideração no design desses planos.

Isso é evidenciado nos relatórios de controle que foram feitos em nosso SOC (Centro de Operações de Segurança) e que foi extensivamente analisado em diferentes mídias pelos nossos especialistas ElevenPaths e publicado em um guia de riscos e recomendações nos tempos do COVID-19 .

Por esse motivo, as empresas devem começar a adaptar os planos a novas circunstâncias e a implementar controles e mecanismos que não apenas permitam que seus funcionários cumpram suas funções, mas também garantam a segurança das informações que, em um futuro próximo, será a continuidade das empresas.

Diego Samuel Espitia
ElevenPaths CSA
@dsespitia

A segurança por trás da API da Apple e do Google para rastreamento de contágio COVID-19

Gonzalo Álvarez Marañón    2 junio, 2020

Como parar a expansão do COVID-19? No momento, existem apenas respostas parciais. Entre eles, o rastreamento de contatos tem se mostrado eficaz desde o século 19: identificando pessoas que poderiam ter sido expostas ao vírus o mais rápido possível. Infelizmente, é um processo trabalhoso e demorado, que depende de entrevistas pessoais ou por telefone e requer um trabalho delicado de detetive.

Não vivemos no século XXI? Por que não usar os smartphones que todo mundo tem no bolso para acompanhar possíveis infecções? Vamos deixar nossos dispositivos acompanharem os contatos e, se alguém for infectado mais tarde, notificará automaticamente todos os que estão próximos a ela.

Todo mundo quer ter seu próprio aplicativo de rastreamento de contágio

Levados por essa idéia, os governos de metade do mundo se lançaram em uma corrida violenta para criar aplicativos , serviços e sistemas para monitorar infecções, com mais ou menos respeito à privacidade.

Preocupados com os direitos dos cidadãos, vários grupos de pesquisa desenvolveram protocolos de privacidade , incluindo a equipe TraceTogether em Cingapura; o grupo PACT (Private Automated Contact Tracing) , liderado por pesquisadores do Massachusetts Institute of Technology (MIT) em Cambridge; e o consórcio predominantemente europeu, o Rastreamento de Proximidade de Preservação da Privacidade Descentralizada (DP-3T) .

Essa é a quantidade de aplicativos de rastreamento de contatos e a confusão gerada por eles que o MIT lançou o projeto Covid Tracing Tracker para rastrear rastreadores . Em 22 de maio, eles haviam documentado 25 esforços automatizados para rastrear contatos individuais e significativos globalmente, incluindo detalhes sobre o que são, como funcionam e quais políticas e processos foram implementados em torno deles.

Apple e Google estouraram com sua proposta tecnológica para registro de exposição

No início desta febre do aplicativo de rastreamento, em 10 de abril, a Apple e o Google assinaram um pacto sem precedentes para desenvolver em conjunto uma tecnologia de rastreamento de contágio baseada em Bluetooth. Os dois rivais trabalharam em sua API com um objetivo inabalável: privacidade em primeiro lugar . Eles entraram em conflito com muitos governos que não compartilhavam sua proteção de privacidade ciumenta, como a da França ou do Reino Unido e seu Rastreamento de Proximidade Preservador de Privacidade Pan-Europeu (PEPP-PT) , que defende esquemas centralizados com geolocalização via GPS.

Mas todas as suas reivindicações caíram em ouvidos surdos: ou eles jogaram de acordo com as regras ditadas pela Apple e Google , ou eles mesmos criaram seus aplicativos . No final, governos e instituições públicas não tiveram escolha senão render-se à evidência: ninguém pode competir contra a aliança de dois gigantes da tecnologia como Apple e Google. Então, finalmente, em 20 de maio, a Apple e o Google anunciaram que sua API está pronta para uso exclusivo de organizações de saúde pública e será usada em 22 países:

«O que criamos não é um aplicativo, mas as autoridades de saúde incorporarão a API em seus próprios aplicativos que as pessoas instalam. Nossa tecnologia foi projetada para fazer com que esses aplicativos funcionem melhor. Cada usuário pode decidir se deve ou não optar pelas notificações de exposição; o sistema não coleta ou usa o local do dispositivo; E se uma pessoa é diagnosticada com COVID-19, cabe a ela denunciá-la ou não em seu aplicativo de saúde pública. A chave do sucesso está na adoção do usuário e acreditamos que a ênfase na proteção da privacidade incentivará o uso desses aplicativos. ”

Se você instalou a atualização mais recente de seus respectivos sistemas operacionais, poderá verificar se o suporte para instalação de aplicativos já está disponível .

Como a API de notificação de exposição da Apple e do Google funciona

Nesta apresentação , Apple e Google explicam como funciona de uma maneira simples:

  1. Alice e Bob possuem um iPhone e um telefone Android, respectivamente, ambos com um aplicativo de saúde que usa a API de notificação de exposição. Na quinta-feira, eles se encontram sentados em um banco e conversando por um tempo. Durante esse período, cada um de seus telefones está transmitindo sinais de identificação completamente anônimos e alterando e, ao mesmo tempo, coletando os sinais de identificação transmitidos pela outra pessoa. Seus telefones sabem que entraram em contato e armazenam essas informações no próprio dispositivo, sem transmiti-las para qualquer outro lugar.
  2. Uma semana depois, Bob desenvolve sintomas do COVID-19, vai ao seu centro médico e é diagnosticado com a doença. Você abre seu aplicativo de saúde, verifica seu diagnóstico usando a documentação do provedor oficial de serviços de saúde e seu telefone carrega seus beacons de identificação dos últimos 14 dias em um servidor em nuvem.
  • Mais tarde naquele dia, o aplicativo de saúde de Alice baixa uma lista de todos os faróis de pessoas que contrataram recentemente o COVID-19. Devido ao contato com Bob no banco, Alice recebe uma notificação informando que ela entrou em contato com alguém que possui o COVID-19. Alice não sabe que foi Bob quem contratou o COVID-19 porque nenhuma informação de identificação pessoal foi coletada, mas o sistema sabe que Alice foi exposta a uma pessoa infectada pelo COVID-19 por 10 minutos na quinta-feira, com base na força do sinal. Bluetooth entre seus dois telefones.
  • Alice segue as etapas do aplicativo de saúde que lhe diz o que fazer após a exposição ao COVID-19. Se Alice adoecer mais tarde com o COVID-19, ela seguirá os mesmos passos descritos acima para alertar as pessoas com quem esteve em contato, permitindo que todos controlem melhor a possível exposição.

As restrições impostas pela Apple e pelo Google para aplicativos de saúde pública que usam sua API

Deseja usar a API da Apple / Google de notificação de exposição no seu aplicativo ? Você precisará seguir uma série de restrições se quiser ser aprovado:

  • Os aplicativos devem ser criados por ou para uma agência de saúde pública.
  • Somente um aplicativo é permitido por país, para garantir que não haja fragmentação e promover alta adoção pelo usuário. No entanto, diferentes versões são contempladas por estado ou província.
  • O consentimento explícito do usuário é necessário em sua instalação.
  • Não colete ou use dados de localização GPS do seu telefone.
  • Os sinalizadores e as teclas Bluetooth não revelam a identidade ou a localização do usuário.
  • O usuário controla todos os dados que ele deseja compartilhar e a decisão de compartilhá-los, incluindo o resultado positivo de um teste.
  • As pessoas que dão positivo não são identificadas por outros usuários, nem pelo Google ou pela Apple.
  • Os aplicativos devem coletar apenas a quantidade mínima necessária de dados e serão usados ​​apenas para notificação de exposição pelas autoridades de saúde para o gerenciamento da pandemia de COVID-19.
  • Nenhum outro uso de dados do usuário, incluindo publicidade direcionada, é permitido.
  • Não importa se você tem um telefone Android ou iPhone, ele funciona em ambos.

Dois grandes desafios pela frente

Além das preocupações com a privacidade, com ou sem a ajuda da Apple e do Google, esses aplicativos continuam enfrentando vários desafios difíceis de superar, destacando sua utilidade e necessidade. Dois se destacam:

  • Medição precisa de proximidade: um dos principais desafios práticos para rastrear contatos telefônicos via Bluetooth é fazer medições precisas da proximidade de dois dispositivos. A tecnologia Bluetooth mede a distância entre os dispositivos com base na intensidade do sinal emitido, mas essa intensidade pode ser afetada por muitos fatores, como a orientação do telefone e os obstáculos pelos quais ele deve passar. Por exemplo, se duas pessoas estiverem de costas, cada uma segurando um smartphone nas mãos, elas podem ser detectadas como mantendo a distância social estabelecida quando estão realmente se tocando. Se quisermos usar esses aplicativos para monitorar o coronavírus, precisaremos de dados muito melhores para medir distâncias. No Laboratório Lincoln do MIT, eles estão realizando experimentos com robôs móveis equipados com smartphones para melhorar a precisão da medição de distância:
  • Adoção por massa crítica de cidadãos: outro desafio é garantir que pessoas suficientes baixem o aplicativo para que o sistema seja eficaz: pelo menos 60% da população. O problema é que nem todo mundo tem um iPhone ou um smartphone Android. De fato, os grupos mais vulneráveis, como idosos e socialmente desfavorecidos, apresentam as menores taxas de adoção desses dispositivos.

Miragem tecnológica ou arma decisiva na luta contra o vírus?

Embora ninguém duvide da eficácia do rastreamento de contatos para impedir a propagação de pandemias, esses aplicativos nascem envolvidos em controvérsias e críticas são ouvidas de todos os setores e tribunos. Sua eficácia, adoção em massa e garantia de privacidade são questionadas. No entanto, nas palavras do Dr. Michael J. Ryan, diretor executivo do Programa de Emergências em Saúde da OMS:

«A perfeição é inimiga do bem quando se trata de gerenciamento de emergências. A velocidade excede perfeitamente. E o problema que temos na sociedade agora é que todos têm medo de cometer um erro. Todo mundo teme as consequências dos erros. Mas o maior erro não está se movendo. O maior erro está sendo paralisado pelo medo do fracasso.

As próximas semanas revelarão se esses aplicativos são o sonho nerd de uma sociedade hiper-tecnificada ou um aliado indispensável na luta contra o coronavírus. Pelo menos você tinha que tentar.

Localizadores de dispositivos IoT: por que escolher se podemos usar todos eles?

Nacho Brihuega    1 junio, 2020

portais de pesquisa de dispositivos IoT hoje são mais do que conhecidos e usados ​​pela comunidade hacker para fazer consultas ou para ter uma primeira «foto» dos serviços ativados em um teste .

Devido à atual situação de confinamento, muitas organizações tiveram que implementar em muito pouco tempo a infraestrutura necessária para garantir o trabalho remoto a seus funcionários. Rapidamente, usando esses mecanismos de pesquisa, foi detectado um alto nível de serviços habilitados para esse fim, a maioria sendo RDP . No início do confinamento, havia 29.657 , que em 10 horas subiram para 29.835 e, no dia da conclusão deste cargo, havia 34.753 .

Onde se destacam as principais cidades da atividade tecnológica.

Lembre-se: não para RDPs públicos, sim para VPN.

Isso significa que os serviços RDP que podem ser vulneráveis ​​ao BlueKeep estão sendo publicados ( https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708 ) por não terem aplicado os patches correspondentes de segurança.

Que implicações isso tem?

Desde o início do confinamento, várias campanhas de phishing ou anexos com malware já foram detectados usando o COVID-19 como isca. No final, são sempre os mesmos atores que estão por trás dessas ameaças.

Para detectar picos como esses ou coletar informações desses mecanismos de pesquisa, não devemos nos limitar a um deles, mas usar o máximo possível e contrastar os dados obtidos. Alguns mecanismos de pesquisa são:

script Heisenberg

Automatizar é um fazer must , eu peguei um par de roteiros para cada um dos serviços e unificaram em um que faz consultas cada serviço e pode rapidamente tomar um primeiro olhar. Eu chamei esse script de «Heinserberg», você pode encontrá-lo no meu github .

Aqui estão algumas perguntas para entender as características do script :

  • Que faz? Obtenha portas abertas dos serviços Shodan, Censys, BinaryEdge e Onyphe.
  • Qual é a sua linguagem de programação? Python3.
  • O que é necessário? APIs livres desses serviços.
  • Os resultados podem ser exportados? Sim, em .xlsx.

Vendo isso, entramos para ver o uso da ferramenta. A opção h exibe a ajuda :

Como você pode ver, o script espera receber os endereços IP em um documento .txt usando o parâmetro -i e as APIs necessárias usando o parâmetro -a .

Em relação ao arquivo com as APIs, a seguir está um exemplo de como o arquivo seria:

Abaixo está um exemplo como prova de conceito sobre seu uso:

No final do programa, a saída é obtida:

Existe a opção de exportar os resultados no Excel, com o resultado das portas dependendo de cada serviço:

Aproveitando a situação atual do confinamento, gostaria de aproveitar as funcionalidades desses serviços para adicionar alguma opção adicional, como, por exemplo, uma coluna extra com o resumo das portas identificadas ou para desenvolver um conector de banco de dados.

Espero que tenham gostado e até a próxima.

Nacho Brihuega
@n4xh4ck5

DataCOVID-19: combatendo o coronavírus com os dados de posição aproximados do seu celular

Gonzalo Álvarez Marañón    28 mayo, 2020

#fiqueemcasa : é o pedido de governos, empresas e indivíduos a todos os cidadãos para contribuir com o fim da pandemia. Mas como nem todo mundo fica em casa o tempo todo, surgem muitas perguntas: as medidas de distanciamento social aumentam ou diminuem os movimentos populacionais entre territórios? Existem áreas com maior aglomeração ou afluxo do que outras? Qual a concentração populacional das diferentes áreas em relação à sua capacidade sanitária?

Para responder a essas perguntas, o Governo lançou um estudo para medir a variação diária dos fluxos populacionais que se deslocam no nível municipal ou provincial durante a crise da saúde chamada DataCOVID-19 . O poder do Big Data é, portanto, colocado a serviço da saúde pública:

«Analisar grandes quantidades de informações e tirar conclusões úteis, ganhando eficiência na tomada de decisões em saúde baseadas em evidências, mais coordenadas e adaptadas a cada território. »

O governo não deseja rastrear você para multá-lo se você não cumprir o confinamento

Por muitos anos, as empresas usam Big Data e Business Intelligence para decisões orientadas a dados . Por exemplo, a LUCA , unidade de dados da Telefónica, criou a plataforma Smart Steps , que analisa dados anônimos no acesso à sua rede e gera informações agregadas sobre as tendências globais de grupos de pessoas, ajudando as organizações a otimizar sua proposta de valor.

Portanto, não é apenas surpreendente, mas também aplausos, que o Estado decida usar essas ferramentas poderosas para tomar decisões eficazes baseadas em dados, sem nenhum risco para nossas liberdades . E foi precisamente esse uso avançado de dados que o Governo propôs em 27 de março com a Ordem SND / 297/2020 :

«Confie ao Secretário de Estado para Digitalização e Inteligência Artificial, do Ministério de Assuntos Econômicos e Transformação Digital, seguindo o modelo adotado pelo Instituto Nacional de Estatística em seu estudo de mobilidade e através do cruzamento de dados de operadoras móveis, de tal maneira adicionado e anonimizado, a análise da mobilidade das pessoas nos dias anteriores e durante o confinamento. »

Agora, houve quem interpretou este parágrafo como se fosse uma pesquisa individual e personalizada de cada cidadão para monitorar se eles cumpriam ou não o confinamento e para multá-los de acordo. Como esperado, depois de um tempo, os boatos inundaram as redes sociais com mensagens orwellianas: perda de liberdades, violação do direito à privacidade, espionagem do Estado em conluio com os teleoperadores e pior.

Embora seja agora, no meio da crise do coronavírus, quando este estudo gerou essa enorme comoção, na realidade essa controvérsia vem de trás. Como o INE explicou em uma declaração de outubro de 2019 em relação a outro estudo controverso sobre mobilidade em viagens de férias:

«As operadoras não fornecerão dados individuais em números de telefone, nem nos proprietários das linhas, de modo que o INE não poderá rastrear a posição de nenhum terminal».

Como então o INE pode saber tudo sobre o movimento da população como um todo?

Certamente você sabia que os telefones celulares se comunicam com antenas localizadas nas células. Cada antena atende a todos os terminais que se enquadram em sua área de cobertura a qualquer momento. Em áreas densamente povoadas, os operadores localizam muitas células e se unem para atender ao grande número de assinantes que entram em cada uma delas, a distâncias tão pequenas quanto 400 m, enquanto em áreas despovoadas as antenas podem chegar a 8 km.

À medida que um usuário de celular se move, ele muda de uma célula para outra. Para que a telefonia móvel funcione, sua operadora precisa saber a todo momento em qual célula você está para enviar ou receber chamadas. Como as células da rede celular cobrem áreas que geralmente variam de 800 a 8000 m 2 , não é possível localizar um usuário com total precisão, como um GPS . A posição conhecida pelo operador é sempre aproximada, com um erro típico entre 400 m e

8.000 m . Com base nesse erro, é possível saber em que bairro um terminal está localizado, mas não é possível determinar se está dentro de casa, no parque ou no supermercado.

Portanto, os operadores transferem para o INE dados anônimos e aproximados da posição, sem dados pessoais de qualquer tipo . Os dados de posição aproximados das três grandes operadoras nos permitem ter uma amostra de mais de 40 milhões de telefones celulares em toda a Espanha, dividindo todo o território nacional em cerca de 3.200 áreas de mobilidade. Os dados de localização não são extraídos dos terminais móveis, mas são extraídos da rede móvel e atribuídos no nível do distrito censitário, que é a menor unidade geográfica usada.

Como se isso não bastasse, os operadores também evitam uma pré-identificação subsequente dos terminais por meio de várias medidas extras de proteção à privacidade: estabelecendo áreas muito grandes em áreas pouco povoadas, excluindo áreas com menos de 5.000 assinantes, etc. O estudo continuará durante a emergência de saúde e até que a normalidade seja restaurada.

Após essas operações, o INE recebe apenas informações agregadas que permitem tirar conclusões do tipo, por exemplo, que 3,5% dos habitantes de um determinado bairro saem para trabalhar diariamente, em comparação com 17,9% em outro bairro. Porém, com base nos dados fornecidos pelos operadores, o INE e o Estado não têm como determinar se você fica em casa ou não.

Este estudo está em conformidade com as leis de proteção de dados?

A resposta é um retumbante «sim». Como nenhum dado pessoal é usado ou fornecido, nem qualquer outro que possa servir para identificar usuários, não é possível cruzar caminhos com outras fontes de dados , como aquelas referentes ao estado de saúde das pessoas ou ao endereço de residência.

Caso você ainda tenha dúvidas sobre o respeito às leis, a verdade é que o anonimato dos dados para fins estatísticos ou de pesquisa é um tratamento legal coberto pelo atual quadro jurídico , tanto em termos de proteção de dados quanto de serviços. telecomunicações. E não podemos esquecer o considerando 4 do RGPD:

» O processamento de dados pessoais deve ser projetado para servir a humanidade.»

E o considerando 46 prevê que alguns tratamentos respondam:

«Tanto por importantes razões de interesse público quanto pelos interesses vitais do titular dos dados, como quando o tratamento é necessário para fins humanitários, incluindo controle de epidemias e sua disseminação, ou em situações de emergência humanitária».

Em resumo: não há motivo para alarme. O DataCOVID-19 não entra em conflito com o Regulamento Geral de Proteção de Dados (RGPD) . Pelo contrário, segue as diretrizes estabelecidas pela Agência Espanhola de Proteção de Dados.

Tecnologias a serviço da saúde e preservação da vida

Big Data ea posição aproximada do móvel são duas armas tecnológicas ao longo do Estado na luta contra a pandemia, garantindo o direito à privacidade. Graças a essas informações, as agências de saúde poderão analisar os efeitos do confinamento, fazer previsões sobre a evolução da pandemia, entender melhor o uso das unidades de saúde e tirar outras conclusões úteis na luta contra o coronavírus. Com a colaboração de todos, tornaremos possível.

Gonzalo Álvarez
@gonalvmar

Como fazer solicitações de API REST aos serviços ocultos do Tor a partir de um APK Android

Rafael Ortiz    27 mayo, 2020

Encontraremos uma prova de conceito na área de Inovação e Laboratório como parte da arquitetura necessária para criar um serviço oculto do Tor. Não é um aplicativo móvel para esse serviço, é oculto através de uma API JSON. No entanto, parece que não existem muitas maneiras (bem documentadas) de realizar essa tarefa que parece simples a prinicipio. Vamos compartilhar nossas notas, veja como adicionar esse suporte ao seu aplicativo.

Se não for interessado na parte de contextualização, poderá ir direto para a parte «Implementação»

Contexto

Primeiro, vamos dar uma olhada nos diferentes blocos de construção que vamos precisar para fazer solicitações para um serviço oculto do nosso aplicativo. As explicações supõem que você tem noções básicas de desenvolvimento de aplicativos para Tor e Android.

Orbot, NetCipher e o Projeto Guardian

Orbot é um aplicativo gratuito para Android que atua como um  proxy Tor para o seu dispositivo. Como se você estivesse executando o serviço Tor em seu telefone, assim como você faria em qualquer outro sistema Linux.  Orbot foi desenvolvido pelo Guardian Project,que cria e mantém muitos aplicativos Android focados em privacidade. Eles são a equipe por trás do Tor Browser para Android (oficialmente aprovado), bem como o combo Orfox+Orbot que veio antes.

No entanto, forçar um usuário a instalar e executar o Orbot antes de executar seu aplicativo não é uma experiência agradável. Para corrigir isso, NetCipher foicriado. O NetCipher fornece, entre outras coisas, uma classe de utilitárioor OrbotHelper que permite que o aplicativo verifique se o Orbot está instalado, incentive o usuário a instalá-lo facilmente e execute automaticamente o Orbot em segundo plano quando o aplicativo for iniciado.  O processo é análogo ao de quando o pacote do navegador Tor lança um serviço Tor em segundo plano.

No entanto, não é exatamente a mesma coisa. O navegador oficial atual do Tor para Android remove o NetCipher e o Orbot como um requisito, e opta por incluir o Tor no próprio aplicativo. Isso dá aos usuários do navegador Tor uma experiência simples e integrada entre as plataformas. No entanto, usaremos o Orbot, pois sua integração é muito mais simples do que adicionar um daemon Tor ao nosso aplicativo.

Volley Library E ProxiedHurlStack

Exemplos fornecidos para muitas bibliotecas HTTP Android diferentes podem ser encontrados na página do gitlab da biblioteca netCipher. Os principais métodos suportados são HttpUrlConnection, OkHttp3, HttpClient e Volley. Há também exemplos de implementações para cada uma dessas técnicas.

Infelizmente, esses exemplos associados a eles para outros clientes HTTP não funcionam na primeira vez. A maioria deles não foi usada em praticamente um ano, e parece que o método padrão de implementação do tor passou de NetCipher+Orbot (análogo ao proxy da instalação local do FireFox via Tor) para um serviço Tor integrado ao próprio APK (análogo ao pacote do navegador Tor).

Depois de algumas tentativas, acontece que você realmente não precisa do info.guardianproject.netcipher:netcipher-volley artefato para o Tor trabalhar no aplicativo. Se você der uma olhada na fonte do StrongHurlStack.java, você pode ver que é bastante simples de reimplantar. Também batemos com este post stackoverflow que descreve o mesmo conceito. O exemplo não inclui um SSLSocketFactory como o StrongHurlStack  faz,  mas podemos contar com o Tor para fornecer a criptografia de ponta a ponta e a segurança de identidade que o SSL forneceria.  Para serviços ocultos tor, ssl é redundante.

Implementação

Para este processo, assumimos que o usuário já possui uma API acessível como um serviço oculto em somesite.onion.

As dependências a serem adicionadas ao arquivo build.gradle  no nível do aplicativo são as seguintes:

dependencies {
    implementation 'com.android.volley:volley:1.1.1
    implementation 'info.guardianproject.netcipher:netcipher:2.1.0
}

Certifique-se de atualizar as versões mais recentes no momento da implantação.

Em seguida, crie um arquivo e classe ProxiedHurlStack.java;conforme descrito nas amostras do NetCipher e no post stackoverflow e adicione-o ao seu projeto.

package your.app.here;

import com.android.volley.toolbox.HurlStack;
import java.io.IOException;
import java.net.HttpURLConnection;
import java.net.InetSocketAddress;
import java.net.Proxy;
import java.net.URL;

public class ProxiedHurlStack extends HurlStack {
    @Override
    protected HttpUrlConnection createConnection(URL url) throws IOException {
        Proxy proxy = new Proxy(
                Proxy.Type.SOCKS,
                InetSocketAddress.createUnresolved("127.0.0.1", 9050)
        );
        return (HttpURLConnection) url.openConnection(proxy);
    }
}

Agora, em nosso arquivo MainActivity.java,  podemos importar todas as bibliotecas correspondentes.

package your.app.here;

import com.android.volley.Request;
import com.android.volley.RequestQueue;
import com.android.volley.Response;
import com.android.volley.VolleyError;
import com.android.volley.toolbox.JsonObjectRequest;
import com.android.volley.toolbox.Volley;

import org.json.JSONObject;

import info.guardianproject.netcipher.proxy.OrbotHelper;

Em seguida, iniciamos uma solicitação para init() e instalaOrbot() a partir do nosso método onCreate()para executaro Orbot em segundo plano. Se o Orbot já estiver instalado, init() retornará verdadeiro e pedirá ao Orbot para se conectar à rede Tor. Mas se o Orbot ainda não estiver instalado, init() retornará falso e o usuário será redirecionado para a Play Store para instalar o Orbot. Quando a instalação estiver concluída, o aplicativo dirá ao Orbot para criar uma conexão com a rede Tor.

@Override
protected void onCreate(Bundle savedInstanceState) {

    // ... other actions here ...

    if (!OrbotHelper.get(this).init()) {
        OrbotHelper.get(this).installOrbot(this);
    }
}

Agora podemos fazer uma solicitação via JSON para o nosso serviço oculto. Você deve adicionar a próxima parte, não importa para onde você envia solicitações para a API.

JSONObject jsonBody = new JSONObject("{\"your payload\": \"goes here\"}");
RequestQueue queue = Volley.newRequestQueue(this, new ProxiedHurlStack());
String url = "http://somesite.onion/your/api/endpoint/here";

JsonObjectRequest jsonRequest = new JsonObjectRequest(
    Request.Method.POST, url, jsonBody,
    new Response.Listener<JSONObject>() {
        @Override
        public void onResponse(JSONObject response) {
            // do something with the response
        }
    },
    new Response.ErrorListener() {
        @Override
        public void onErrorResponse(VolleyError error) {
            // do something with the error
        }
    }
);

queue.add(jsonRequest);

E é isso! Agora você pode testar seu aplicativo e ver as solicitações da API para o seu serviço oculto.

ElevenPaths atinge o status de competência Amazon Web Services Security

ElevenPaths    26 mayo, 2020

A empresa de cibersegurança da Telefónica Tech demonstrou uma vasta experiência técnica e de consultoria para ajudar os clientes a adotar, desenvolver e implantar projetos de segurança complexos que lhes permitem proteger seus ambientes na AWS para estabelecer e manter uma postura de segurança adequada. segurança na nuvem.

A ElevenPaths, a empresa de segurança cibernética da Telefonica Tech, alcançou o status de Competência de segurança da Amazon Web Services (AWS) . Esse reconhecimento demonstra que a ElevenPaths tem uma vasta experiência em ajudar os clientes a atingir suas metas de segurança na nuvem, alinhada às melhores práticas e diretrizes de segurança da AWS combinadas à experiência da ElevenPaths no design de plataformas e processos de segurança para o gerenciamento adequado da segurança na nuvem.

A AWS fornece soluções escaláveis, flexíveis e lucrativas, voltadas para startups e empresas globais. Para oferecer suporte à integração e implantação contínuas dessas soluções, a AWS estabeleceu o Programa de competências da AWS para ajudar os clientes a identificar os parceiros de consultoria e tecnologia altamente experientes da AWS Partner Network (APN Network) e conhecimento do setor.

Os Parceiros de competência de segurança da AWS obtiveram êxito na criação de produtos e soluções na AWS para oferecer suporte a clientes em várias áreas, incluindo: segurança de infraestrutura, gerenciamento de políticas, gerenciamento de identidades, supervisão de segurança, gerenciamento de vulnerabilidades e proteção de dados. Obter competência em segurança como parceiro de consultoria da AWS, especializado em engenharia de segurança, distingue a ElevenPaths como membro da rede AWS APN, fornecendo serviços de consultoria especializados para ajudar as empresas a adotar, desenvolver e implantar projetos de segurança complexos que protegem seus clientes. ambientes na AWS para estabelecer e manter uma postura de segurança em nuvem adequada na AWS.

Além disso, a Telefónica Tech mantém uma colaboração estratégica com a Amazon Web Services para facilitar a transição para a nuvem para clientes corporativos. A Telefónica inclui a AWS em sua oferta de serviços em nuvem para o mercado B2B e possui uma equipe de especialistas treinados e certificados na AWS. Também criou um Centro de Excelência em Nuvem na Espanha e no Brasil, que fornece serviços de consultoria profissional e ajuda os clientes a integrar serviços na nuvem pública, e também será lançado nos demais países que compõem a região coberta pela Telefónica Hispam. No último ano, dezenas de profissionais da Telefónica foram treinados e especializados na Espanha, no Brasil e em vários países da Hispam em tecnologias de nuvem da AWS.

“Estamos muito orgulhosos desse reconhecimento da AWS. Isso mostra que estamos indo na direção certa e nos incentiva a continuar trabalhando para ajudar nossos clientes a melhorar sua segurança na nuvem e, portanto, reduzir o risco no processo de transformação digital «, disse Alberto Sempere, diretor de produtos e marketing da ElevenPaths. “Nossos especialistas em segurança na nuvem são totalmente treinados para projetar, implantar e gerenciar os recursos inovadores de segurança nativos da nuvem da AWS e ajudar nossos clientes a mover cargas de trabalho para a nuvem de uma maneira segura e respeitosa. conformidade regulatória. «

O ElevenPaths oferece uma abordagem abrangente de ponta a ponta à segurança da nuvem que permite orientar e acompanhar seus clientes durante todo o processo de adoção segura da nuvem. Com a clara ambição de ser o provedor de serviços de segurança em nuvem de referência em seus mercados, desenvolveu nos últimos dois anos uma proposta de valor completa, transformando internamente sua tecnologia, processos e pessoas com o treinamento e a certificação de profissionais de segurança cibernética em arquiteturas e especialização da AWS por especialistas certificados em segurança da AWS na Espanha e no Brasil. Essa proposta permite dar a melhor resposta para os novos desafios derivados da mudança de paradigma da adoção da nuvem, inclui Serviços de segurança profissional na nuvem para ajudar os clientes no design de um ambiente seguro da AWS, seguindo as práticas recomendadas de segurança para a arquitetura da AWS e o design da plataforma de segurança em nuvem que melhor se adapte às suas necessidades, combinando serviços nativos da AWS e tecnologia avançada de fabricantes de segurança. Além disso, a proposta inclui o Serviço de Segurança Gerenciada ElevenPaths para a Nuvem (Cloud MSS), que gerencia a segurança dos ambientes da AWS dos clientes a partir do SOC, fornecendo visibilidade completa dos ativos da nuvem, segurança de rede e sua postura de segurança, identificando também os riscos inerentes e detectando ataques cibernéticos e incidentes de segurança, para os quais leva em consideração os requisitos de conformidade e os padrões de governança do cliente.

Como parceiro de consultoria de segurança da AWS, a ElevenPaths é bem qualificada e certificada para orientar, com seus profissionais de segurança cibernética como Especialistas em segurança da AWS, clientes em todas as fases do desenvolvimento do projeto de segurança. Essas fases incluem o design, implantação e integração de serviços nativos da AWS, bem como a manutenção da infraestrutura da AWS, ativos do cliente, aplicativos e as ferramentas usadas para protegê-los adequadamente. Esse reconhecimento encoraja a ElevenPaths a continuar sua estratégia, melhorar e evoluir constantemente seus recursos para antecipar e responder aos desafios atuais e futuros de seus clientes na adoção segura da AWS.

Comunicado de imprensa completo

Click to access elevenpaths-aws-press-release-2020-en-2.pdf

Que tipos de profissionais trabalham no Security Operations Center (SOC)

ElevenPaths    25 mayo, 2020

Do nosso Centro de Operações de Segurança (SOC), localizado em 12 locais diferentes ao redor do mundo, oferecemos serviços de Prevenção, Detecção e Resposta que nos permitem garantir a segurança de nossos clientes, mas isso só é possível graças ao trabalho realizado por nossos mais 400 profissionais.

Este trabalho é realizado 24 horas por dia e 7 dias por semana , para que possamos prestar atenção constante e personalizada, para a qual temos perfis diferentes:

Gerente de Segurança

  • Interlocução com o cliente
  • Gerenciamento de ponta a ponta (do início ao fim)
  • Governo de segurança

Oficina técnica

  • Visão do cliente
  • Administração e suporte
  • Monitoramento de segurança

Analista local

  • Classificação da informação
  • Contextualização do cliente
  • Especialistas em tecnologia

Coordenador da equipe 24 × 7

  • Conformidade com o SLA (contrato de serviço ao cliente do fornecedor)
  • Monitoramento de KPI
  • Geração de sinergia

Coordenador de Serviços

  • Evolução do serviço
  • Contratos de rastreamento
  • Gerenciamento de ativos

Se você quiser saber mais sobre o nosso SOC e como trabalhamos nele, não perca este vídeo interessante:

As 10 principais palestras do TED para aprender sobre segurança cibernética

Gonzalo Álvarez Marañón    18 mayo, 2020

O nível médio de apresentações profissionais é geralmente tão baixo que as pessoas preferem trabalhar ao invés de ouvi-las. Você o verá em todos os tipos de reuniões: no segundo slide, os participantes já estão respondendo ao e-mail ou finalizando um relatório. Felizmente, nem todas as apresentações são criadas da mesma forma: por mais de 20 anos, as conversas do TED lançaram um raio de esperança nesse cenário sombrio. Neste post, apresentamos as 10 melhores palestras para aprender sobre segurança cibernética e, ao mesmo tempo, para aprender diretrizes e truques sobre como melhorar suas próprias apresentações.

1. Bruce Schneier: A Miragem da Segurança

A segurança é um sentimento e uma realidade. O sentimento e a realidade da segurança certamente estão relacionados entre si, mas também é verdade que eles não são os mesmos. Na maioria das vezes, quando a percepção de segurança não coincide com a realidade de segurança, é porque a percepção de risco não coincide com a realidade de risco.

Não avaliamos matematicamente os compromissos de segurança, examinando as probabilidades relativas dos diferentes eventos. Em vez disso, temos atalhos, regras gerais, estereótipos e preconceitos, geralmente conhecidos como «heurísticas». Essas heurísticas afetam a maneira como pensamos sobre os riscos, como avaliamos a probabilidade de eventos futuros, como consideramos os custos e como assumimos compromissos. E quando essas heurísticas falham, nosso sentimento de segurança se desvia da realidade da segurança.

Nesta palestra, o guru de criptografia Bruce Schneier explica quais são alguns dos vieses cognitivos por trás da nossa avaliação incorreta do risco de segurança cibernética e como superá-los.

2. Marta Peirano: Por que você está me observando, se eu não sou ninguém?

A escritora, jornalista e ativista Marta Peirano revela nesta palestra a realidade assustadora da vigilância à qual vivemos sujeitos sem nosso conhecimento e, é claro, sem nosso consentimento. Peirano desmascara em voz alta esse mito ingênuo de «não tenho nada a esconder». Sua vida on-line deve permanecer protegida pelo anonimato, não porque você tenha algo a esconder, mas porque sua privacidade é um direito fundamental. Se você não fizer nada para protegê-los, seus dados não serão mais seus.

3. Caleb Barlow: De onde vem o cibercrime?

O ex-vice-presidente de segurança da IBM propõe responder ao crime cibernético com o mesmo esforço coletivo que aplicamos a uma crise de saúde como a Covid-19: compartilhar informações oportunas sobre quem está infectado e como a doença está se espalhando. Segundo Barlow, precisamos democratizar os dados de inteligência de risco. Temos que conseguir que organizações públicas e privadas abram e compartilhem o que está em seu arsenal privado de informações. Os ciberataques se movem rapidamente; nós temos que nos mover mais rápido. E a melhor maneira de fazer isso é abrir e compartilhar dados sobre o que está acontecendo. Se você não compartilha, você faz parte do problema.

4. Mikko Hypponen: Combatendo vírus, defendendo a Internet

25 anos se passaram desde o primeiro vírus de PC (cérebro A), espalhado de disquete para disquete. O que antes era um incômodo agora se tornou uma ferramenta sofisticada de espionagem e crime. Nesta palestra, Hypponen explica como funciona a economia do crime cibernético.

5. Ralph Langnet: Cracking Stuxnet, uma arma cibernética do século XXI

Quando foi descoberto pela primeira vez em 2010, o worm de computador Stuxnet representava um quebra-cabeça intrigante. Além de seu nível incomumente alto de sofisticação, um mistério ainda mais preocupante surgiu: seu objetivo. Com a ajuda de sua equipe, ele identificou o Stuxnet como um ataque ciber-físico direcionado a um alvo específico e único, identificou esse alvo como o programa nuclear iraniano (algo em que ninguém queria acreditar por meses) e analisou os detalhes exatos de como esse ataque, ou mais precisamente, esses dois ataques foram feitos para funcionar. Nesta palestra, você aprenderá como funcionam os ataques direcionados contra a infraestrutura crítica.

6. Mikko Hypponen: Três tipos de ataques cibernéticos

Existem três grandes grupos de ciberataques: cibercriminosos, que buscam se enriquecer por meio de negócios online ilegais; hacktivistas, que procuram protestar e mudar situações políticas; e os governos das nações, que procuram espionar e controlar os cidadãos, sim, mesmo nas democracias ocidentais. Seu governo espiona você.

7. Avi Rubin: Todos os seus dispositivos podem ser invadidos

Os ataques cibernéticos vão além dos danos ao computador e do roubo de dados. Eles também podem matar. Esta palestra explica como o hacking de dispositivos funciona com um impacto real nas vidas humanas: dispositivos médicos, veículos, etc. Qualquer dispositivo com software pode ser vulnerável. Terá erros. E se houver erros, eles serão explorados. Não podemos esquecer que toda a tecnologia deve incorporar segurança.

8. James Lyne: Cibercrime todos os dias e o que fazer com isso

Você está ciente do que seus dispositivos revelam sobre você? Quanta segurança e privacidade você oferece em troca de conforto e utilidade? Os malwares obras porque 99% das vítimas não tomar as precauções mais básicas. Como o malware ataca ? O que pode acontecer com você? E como você pode se proteger? James Lyne irá atualizá-lo nesta palestra.

9. Lorrie Faith Cranor: O que há de errado com a sua P@$$w0Rd?

Para combater os pontos fracos nas senhas baseadas em texto, tanto inerentes quanto induzidas pelo usuário, administradores e organizações geralmente instituem uma série de regras – uma política de senha – que os usuários devem aderir ao escolher uma senha. Como deve ser uma boa senha? Depois de estudar milhares de senhas reais para descobrir os erros mais surpreendentes e comuns do usuário, Lorrie Cranor tem algumas respostas.

10. Finn Myrstad: Como as empresas de tecnologia o decepcionam, fornecendo suas informações e privacidade

Qual é a utilidade de proteger sua casa com uma trava se alguém puder entrar através de um dispositivo conectado? Apesar de nunca ler os termos e condições, esforço inútil, marque a caixa informando que você possui e prospere, concorda que suas informações pessoais são coletadas e usadas. As empresas colocam toda a carga sobre o consumidor. A tecnologia só beneficiará a sociedade se respeitar os direitos humanos mais básicos, como a privacidade.