O Facebook assinava um dos seus apps com uma chave privada compartilhada com outros apps no Google Play desde 2015

ElevenPaths    10 septiembre, 2019

O app Free Basics by Facebook é destinado a países com conectividade cara ou limitada, onde se oferece acesso gratuito ao WhatsApp e ao Facebook. Durante uma investigação, descobriu-se que sua versão Android utilizada um certificado “debug” compartilhado por outras aplicações não relacionadas ao Facebook e, inclusive, em outras lojas.

Aqui na ElevenPaths conseguimos comprovar essa associação maliciosa com apps de origem chinesa disponíveis no Google Play desde 2015. Isso significa que os desenvolvedores que compartilhavam essa chave poderiam, inclusive, alterar e influir o app original.

O dono da página Android Police avisou há alguns dias que o certificado utilizado para assinar a aplicação Facebook Basic era o mesmo de muitos outros apps em outros mercados, sem relação aparente e sem resposta dos desenvolvedores.

O Facebook não deu a devida importância, dizendo que não há evidência de que a falha tenha sido explorada e que já a havia corridinha. Mas a solução não é um processo tão simples assim e não causas como consequências são más notícias.

Causas

A plataforma Android obriga a assinatura de APKs com certificados automáticos. Isso viola a regra da cadeia de confiança, mas ao menos serve para garantir de certo modo a integridade do app e permitir sua atualização. Ao assinar um app com um certificado e subi-lo ao Google Play, não se pode mais alterar esse certificado (nem o nome do pacote APK) ao atualizar a aplicação. Caso o certificado seja perdido, o desenvolvedor terá que criar um app diferente e era isso que o Facebook deve ter feito para solucionar o problema.

Mas o Facebook supostamente não perdeu a chave privada do certificado utilizado, fez algo diferente (pior?), sobre o que só podemos imaginar. Para começar, os desenvolvedores usaram um certificado “Android Debug” sem preencher os dados reais o que, além de ser uma prática ruim, significa ter deixado na versão de produção o certificado das várias provas que fizeram.

Mas como é possível que terceiros pudessem usar esse certificado? Talvez ele seja do tipo público, eles existem e são usados por desenvolvedores por desconhecimento dos riscos ou porque desenvolver apps gratuitas. No entanto, é possível que a empresa tenha perdido o controle sobre o certificado, o que significaria, no mínimo, uma falta de segurança no desenvolvimento. Outra possibilidade é que o app tenha sido desenvolvido por um terceiro, talvez um freelancer, que realizou outros trabalhos depois do Free Basics, usando a mesma chave (o que é totalmente desaconselhável).

Pudemos comprovar aqui na ElevenPaths que os apps assinados como mesmo certificado não estavam disponíveis somente na loja oficial do Android e, em 2015, ano em que surgiu o Free Basics by Facebook, encontramos aplicações chinesas assinadas com o mesmo certificado e já removidas da loja de aplicações. 

* App: af739e903e97d957a29b3aeaa7865e8e49f63cb0
Firmado con: 5E8F16062EA3CD2C4A0D547876BAA6F38CABF625
En Google Play desde 2015-09-20 al 2016-10-07 aproximadamente.
 * App: 063371203246ba2b7e201bb633845f12712b057e
Firmado con: 5E8F16062EA3CD2C4A0D547876BAA6F38CABF625
En Google Play desde: 2015-10-21 al 2016-06-22 aproximadamente.
 * App: c6a93efa87533eeb219730207e5237dfcb246725
Firmado con: 5E8F16062EA3CD2C4A0D547876BAA6F38CABF625
En Google Play desde: 2015-09-15 al 2015-09-16 aproximadamente.

Consequências

Além dos prejuízos de imagem de marca para o Facebook, um atacante poderia ter se aproveitado dessa falha para atualizar de maneira fraudulenta o app. Como? Bom, para atualizar um app é necessário que se possua o mesmo certificado usado para assinar a aplicação originalmente e acesso a conta de desenvolvedor do Google Play. Não é algo simples, mas o Facebook estava facilitando metade do trabalho para o atacante.

Além disso, também se poderiam tornar mais fáceis os ataques de conluio de aplicações Android. Esses ataques são bem conhecidos e se caracterizam quando aplicações diferentes não são maliciosas por si só, mas podem através de colaboração entre elas realizar um ataque. Um exemplo disso é quando se soma permissões no dispositivo entre as aplicações para que, em conjunto, se tenha mais poder sobre o telefone. Individualmente, no entanto, elas são inócuas. Para conseguir esse tipo de ataque, os apps devem ser assinados com o mesmo certifica e, de novo, se todo o processo não é simples, foi tremendamente facilitado.

Para registro, o Facebook não quis recompensar o pesquisador que descobriu a falha porque ele a publicou no Twitter antes de reportar à empresa.

Recuperação de dados e apagamento seguro

ElevenPaths    3 septiembre, 2019

Nesse artigo vamos tratar dos problemas relacionados à recuperação de dados e, por outro lado, a destruição ou apagamento seguros.

Imagens, vídeos, documentos ou qualquer outro tipo de informação, tudo pode ser recuperado se soubermos quais passos seguir e se não sobrescrevemos os dados. A recuperação é útil no caso de apagamentos causados por vírus, erros em discos ou no sistema operacional.

O tempo transcorrida entre a deleção e a recuperação do dado não é necessariamente relevante. Tudo depende das técnicas utilizadas para recuperação ou como o dispositivo de armazenamento é utilizado.

Informações apagadas podem, geralmente, ser recuperadas sempre que não houver sido aplicado um procedimento de deleção segurança ou técnica anti-forense. Mesmo discos que sofreram danos físicos pode ser recuperados, nesse projeto do Github você pode encontrar ferramentas específicas e destinadas para essa aplicação.

As ferramentas contam com extensa documentação em suas respectivas páginas web. No caso do EaseUS e do Recuva, a utilização é supreendentemente fácil devido ao grande trabalho realizado pelos fabricantes para simplificar todo o processo de recuperação.

Mas e se dentro da uma empresa ou mesmo vida privada, por questões de privacidade ou requerimento legal, seja necessário apagar definitivamente informações? Para isso existe o recurso de deleção segura.

“As empresas, independente de seu tamanho o setor econômico, baseiam suas atividades na informação. O ciclo de vida dessa informação é formado, de maneira simplificada por três fases: criação, transformação e destruição. Toda informação tem uma vida útil, seja ela armazenada em formatos tradicionais ou digitais e quando um documento perde seu valor, deve-se empregar mecanismos de destruição seguros para evitar que terceiros recuperem seu conteúdo.”

INCIBE

Para falar de deleção segura, precisamos começar mencionando os padrões existente e documentados na planilha Excel publicada no GitHub.

Se observamos a lista podemos ver que, com a exceção do algoritmo de Bruce Schneier, todos os padrões têm origem militar ou governamental.

Assim como para as soluções de recuperação, criou-se uma planilha com uma matriz que identifica diferentes soluções que podem auxiliar você a conseguir um apagamento definitivo e seguro dos seus dados.

Quando falamos do processo de destruição segura das informações, as soluções de software não são sempre suficientes devem ser utilizadas em paralelo e, a depender da criticidade da informação a ser eliminada, recursos como a desmagnetização do dispositivo de armazenamento e sua incineração podem ser medidas válidas.

Existem uma quantidade enorme de ferramentas que podem ser tanto usadas para a deleção quanto para a recuperação segura de dados, uma simples busca no Google pode colocar você na direção correta. No entanto, os resultados variam muito de uma solução para a outra e, caso você dúvida, entre em contato com um profissional.

O conteúdo desse artigo faz parte das aulas do curso de Mestre em Investigação Forense e Gestão de Incidentes do EC-COUNCIL: Victoria Ibáñez ArroyoAlberto López RubalOscar Rodríguez PintosArturo Diaz GalacheDaniel Jiménez Díaz e David González González. A pesquisa e resultados desse trabalho podem ser encontrados em dois projetos do Github, que reúnem ferramentas para recuperar ou apagar de maneira permanente e seguro suas informações.

CyberThreat Intelligence: é a área que toda empresa de segurança precisa

ElevenPaths    29 agosto, 2019

Hoje, os ataques cibernéticos são realizados por pessoas que usam técnicas avançadas. É muito difícil prever as intenções e os meios que serão usados para realizar o ataque. Nesse cenário, a abordagem clássica de segurança cibernética não é suficiente. As empresas precisam recrutar profissionais especialistas em segurança para utilizar a inteligência de ameaças, identificar riscos desconhecidos e criar mecanismos de defesa avançados para proteger os ativos de TI das empresas.

Cyber Threat Intelligencetambém conhecida como CTI, é definida como a análise das informações sobre a ameaça, adversários e padrões empregados no ataque para tomar decisões com base em todos os itens acima para ações de prevenção, detecção resposta contra possíveis ciberataques. O processo de descobrimento de qualquer “unknown threat” segue as seguintes etapas: recolhimento de informações, investigação de dados recolhidos e análise de tendências durante a realização de um ataque. O principal objetivo da CTI é tornar a empresa capaz de identificar ameaças atuais e emergentes, desenvolvendo uma postura proativa de segurança, antes que essas falhas sejam exploradas. É uma rotina que deve ser compartilhada por todas as áreas de negócio para que seja possível se antecipar aos ataques.

O CTI pode ser utilizado para identificar os fatores de risco em ataques de malware, SQL injections, ataques a aplicações web, vazamentos de dados, phishing, ataques DoS etc. Estes riscos, depois de serem filtrados, podem ser colocados em um checklist para que sejam gerenciados corretamente. A Cyber Threat Intelligence é benéfica para a empresa porque permite que se faça uma gestão efetiva de ameaças, com planejamento e ações de mitigação através da análise específica, além disso fortalece o sistema de defesa das empresas, cria awareness em relação aos riscos e ajuda na resposta a incidentes.

Etapas da Threat Intelligence

Existem três etapas, ou classificações de informação: “unknown unknows”, “known unknowns”, “known knowns”. O processo começa na etapa de “unknown, unknowns” na qual não se tem qualquer ideia sobre a ameaça que se tenta localizar, depois de obter essas informações iniciais passamos às duas etapas seguintes. Em “knowm unknowns” analisamos os dados levantados e se entende a natureza da ameaça, seu funcionamento e características, o que nos leva à terceira fase “known knowns”, onde se mitigam as ameaças. Resumindo a CTI, podemos dizer que é o processo de recolhimento de informações sobre ataques presumidos para entender o motivo que estão por trás deles. Com essas informações de pode proteger e tentar prevenir as infraestruturas de TI da empresa. De forma gráfica:

Características do Threat Intelligence

  • Recolhimento de dados de várias fontes, tanto de código aberto como comerciais, assim como internas e externas
  • Criação de alertas personalizados e priorizados sobre a infraestrutura de TI da companhia
  • Identificação de Indicadores de Comprometimento (IoC) para prevenir que um ataque ponha em risco os ativos de TI
  • Permitir que se crie estratégias de proteção do ambiente
  • Permitir que se entenda os ataques em curso, incluindo who, what, when, where e o how das ameaças desconhecidas
  • Criar um índice de probabilidade de risco e o impacto que ele pode ter sobre o negócio
  • Recomendar diversas soluções para a mitigação do risco.

Como a Threat Intelligence ajuda as empresas?

Em uma definição simples, reduzindo os efeitos que as ameaças tem sobre os ambientes para fortalecer a maturidade de segurança das empresas, incluindo as seguintes áreas:

  • Identificação e proteção: a monitoria de ameaças internas e externas permite revelar ameaças desconhecidas e vulnerabilidades que podem pôr o negócio em risco. A inteligência de ameaças ajuda a adaptar a estratégia de segurança atual com as estratégias de ataques, diminuindo a eficiência e impacto das ameaças emergentes. Uma varredura extensiva permite que a empresa possa avaliar suas capacidades para definir a operabilidades da CTI.
  • Detectar: monitorar as ameaças e aplicar inteligência em tempo real ajuda as empresas a detectar ataques com mais rapidez e de maneira mais efetiva. A Threat Intelligence ajuda os analistas a descobrir ataques em suas etapas mais iniciais, reduzindo alertas irrelevantes e falsos positivos.
  • Responder: a CTI produz informação contextual sobre ataques que incluem IoCs, TTPs etc., que podem ajudar as empresas a prevenir a propagação de ataques, redução de impacto no negócio e duração. A inteligência de ameaças suporta o processo de mitigação e a tomada de decisões para ajudar a criar atividades de resposta a incidentes efetivas.
  • Recuperar: a CTI detecta e elimina os mecanismos permanentes usados pelos invasores, como arquivos mal-intencionados instalados nos sistemas, e fornece uma recuperação rápida dos ataques. A CTIA prioriza a segurança dos ativos e ajuda a melhorar seus mecanismos de segurança existentes.

Todos a bordo! Qual a direção do mercado e as principais tendências do Gartner Security and Risk Summit 2019?

ElevenPaths    20 agosto, 2019

O Gartner Security and Risk Summit 2019 foi a quinta edição local e segue uma sequência de sete eventos ao redor do mundo, reconhecido como um dos principais eventos do setor, identifica tendências de mercado e define seu direcionamento.

Aqui você encontra um resumo dos temas mais interessantes do evento! Foi um desafio estar em todas as sessões, são várias as trilhas de conteúdo paralelas que incluem não só a visão do próprio Gartner, mas também dos principais players da indústria de segurança, com visões tão interessantes quanto.

Empresas vendem valor, é isso que a segurança deve habilitar

Companhias de todos os setores estão renovando sua maneira de realizar negócios, “pivotando” para sobreviver, se você preferir. A economia do compartilhamento, a digitalização dos negócios, o “tudo as-a-service” dissolve a superfícies de controle da TI, ao mesmo tempo em que reduz os diferenciais de produtos.

A proposta de valor migra do produto para o serviço, a experiência, o valor entregue ao cliente. É um novo modelo de negócio, com desafios maiores e mais rápidos que não podem ser combatidos com a segurança da informação tradicional.

Os números de mercado traduzem essa tendência, a indústria de segurança da informação como um todo crescerá pouco mais que 8% até 2023, no entanto novos segmentos como cloud security acumularão mais de 40% de crescimento no mesmo período!

Não há dúvida de que os ambientes virtualizados, dinâmicos por natureza, gerarão os maiores desafios para as empresas. A segurança e a gestão de risco devem ser habilitadores da adoção dessa tecnologia e da continuidade dos negócios.

Já em relação ao usuário, temos que assumir que eles nunca serão conscientes sobre os problemas de segurança, e tudo bem! Eles devem estar realmente dedicados a investir seu tempo e talento para fazer a empresa crescer e não criar e memorizar uma senha diferente a cada 60 dias para cada um dos 10 sistemas que usa na empresa.

Continuum automation… A segurança líquida

OK, a digitalização está aumentando e acelerando, os perímetros se dissolveram, o controle sobre dispositivos, dados e usuários está cada vez mais complexo. É o caos! De acordo com o Gartner, a nova abordagem da segurança deve ser a mesma, adaptação contínua e granular, identificando usuários e dispositivos, com o máximo nível de visibilidade sobre quem são e o que fazem no seu ambiente.

A resposta para esse desafio? Você pode estar pensando em inteligência artificial – ou na buzzword da vez: SOAR (Security Orchestration Automation and Response) – e ela realmente é capaz de aumentar a capacidade de resposta e o controle granular de dispositivos, micro segmentos de rede, instâncias virtualizadas, usuários, etc. mas devemos ser cautelosos quanto a sua aplicação. A automação pode publicar um erro de configuração para milhares de usuários em uma fração de segundo. Devemos adotar IA sim, mas como inteligência aumentada.

Figura 2 Freepik

A inteligência aumentada pode elevar a segurança da informação para um novo patamar, em que ela se torne um processo contínuo dentro da empresa e que não seja mais baseada em eventos. Pense que, após um processo de aprendizagem, o SOAR poderá receber um alerta do SIEM (Security Information Events Management) e orquestrar uma configuração em todo o seu ambiente sem que um único analista no SOC (Security Operation Center) toque em qualquer sistema.

Robôs, múltiplos fatores e o fim de buckets configurados como públicos (sim, isso é mais comum do que parece)

Aterrissar todas essas tendências pode não ser uma tarefa fácil para os gestores de segurança que devem lembrar sempre: não existe foco se você está tocando uma dezena de projetos juntos. Faça uma avaliação estratégica e escolha os projetos que tenham o maior impacto real para o seu negócio e, em paralelo, levem à maior redução de risco possível.

Falei que o usuário não se tornará mais consciente em relação à segurança, e ponto final. Por conta disso, políticas de uso de senhas e autenticação de múltiplo fator são projetos críticos, além disso surge como tendência soluções de monitoria de usuários com base em sua localização, que adaptam o controle de acesso dependendo de onde o usuário esteja (ou em que rede ele esteja conectado).

O cuidado crítico com políticas de autenticação e senha faz sentido à medida em que a adoção de nuvem acelera, não são raros os vazamentos e incidentes de segurança causados por configurações incorretas de buckets e outros serviços virtualizados. Por isso, as soluções CSPM (Cloud Security Posture Management) começam a despontar como foco de interesse das empresas. A função do CSPM é comparar o ambiente de nuvem utilizado pela empresa em relação às melhores práticas de segurança, indicando os passos para remediar qualquer falha identificada. Ele pode, inclusive, disparar alarme automáticos caso alguma configuração seja modificada ou algum workload potencialmente perigoso seja detectado.

As últimas tecnologias que devem tomar sua atenção formam uma sopa de letrinhas: RPA, DevSecOps e IAST.

Robot Process Automation (RPA) é uma aplicação prática e simples de aprendizado de máquina, a solução grava e aprende as ações de um usuário humano para repeti-las na sequência, automatizando fluxos de trabalho sem a necessidade de desenvolvimento adicional em sistemas legados. Os bots podem aumentar a capacidade de processamento de equipes de segurança e centros de operação de segurança, por exemplo, é possível gravar a recepção de um e-mail dizendo sobre um novo funcionário, gravar seu provisionamento no Active Directory e depois automatizar o processo. Da mesma maneira com o e-mail de desligamento.

Figura 3 kipargeter

DevSecOps é a evolução do modo de trabalho ágil para desenvolvimento de aplicações. Na abordagem DevOps, com sprints de desenvolvimento rápidos e frequentes, a utilização da abordagem tradicional de segurança da informação pode impactar negativamente os prazos de entrega dos projetos. Na nova abordagem, a segurança está totalmente integrada aos ciclos de desenvolvimento como uma responsabilidade compartilhada por todos no squad de produtos. E é aqui que o IAST entra, as soluções analisam código em busca de vulnerabilidades e falhas de segurança enquanto a aplicação é executada em testes automáticos, assistidos por um humano ou qualquer atividade que interaja com suas funcionalidades. Os relatórios de falhas são entregues em tempo real, o que não adiciona qualquer tempo ao processo de desenvolvimento.

As mudanças nos ambientes de TI vêm acelerando cada vez mais, mas a indústria da segurança da informação responde no mesmo passo. Temos um futuro brilhante à nossa frente, a sociedade digital será mais eficiente, usará menos recursos naturais, terá mais tempo para refletir e evoluir, nós que trabalhamos com segurança digital devemos garantir que isso seja feito sem riscos, para empresas e indivíduos. No que depender do que vi no evento, estamos no caminho certo!

Porque subir arquivos para a nuvem não significa que eles estão protegidos

ElevenPaths    14 agosto, 2019

O uso da computação em nuvem é uma evolução inegável dos ambientes de TI. A tecnologia permite que possamos alocar poder de processamento, espaço de armazenamento e ambientes virtuais completos à medida em que precisamos deles.

Há nem tanto tempo atrás assim, se você precisasse criar e testar uma aplicação, precisaria invariavelmente investir na compra de hardware e software para montar o ambiente em que essa aplicação seria executada. Já em produção, os servidores dessa aplicação deveriam acompanhar a expansão de sua adoção, isso significava mais processadores, mais memória, disco rígido, infraestrutura de rede, energia elétrica, largura de banda… Um pesadelo logístico e de custo.

Hoje, criar um ambiente para rodar uma aplicação demanda somente alguns cliques. Há uma infinidade de provedores de computação em nuvem nos quais você pode criar um servidor em segundos, adicionar espaço de armazenamento, sistemas operacionais, bancos de dados, capacidade de processamento e memória RAM sem levantar da cadeira. Não precisa mais do ambiente? É só apertar o kill switch.

O uso de computação como um serviço, na nuvem, revolucionou como os sistemas computacionais são desenvolvidos e como as empresas usam tecnologia, foi um catalisador para a digitalização dos negócios. Além da óbvia redução de custos, outros benefícios da nuvem são a alta disponibilidade, escalabilidade, redundância e segurança.

Todas as características da nuvem são inegáveis, com exceção de uma, a segurança. Não me entenda mal, os provedores de nuvem normalmente adotam controles de segurança em suas aplicações, infraestruturas e arquiteturas internas. Mas há um componente fundamental que pode invalidar boa parte dos recursos de segurança do provedor de nuvem e dos dados ou aplicações armazenadas: você.

Vamos aos fatos! Se a gente analisar dois dos últimos vazamentos aqui no Brasil, comprovamos essa falha crítica da nuvem chamada usuário.

No dia 22 de julho, um vazamento de mais de 250 GB tornou públicos dados pessoais de usuários de serviços financeiros, incluindo cópias de RG, CPF, contratos de financiamentos, holerites, comprovantes de endereço e até filiação, uma verdadeira mina de ouro para cibercriminosos que utilizam phishing. A maioria das pessoas eram clientes do Banco Pan, mas havia também dados de clientes do Banco Safra, Olé e Sabemi Seguradora. O fato mais trágico é que a origem do vazamento não foi cada uma dessas empresas, mas sim um prestador de serviço.

Em outro caso recente, uma clínica especializada em cirurgias cardíacas, a Cirurgião Cardíacos Associados (CCA), teve vazados dados médicos que incluíam prontuários, solicitações de exames e reembolsos, troca de mensagens, resultados de testes de imagem e boletins médicos. O que, além de ser uma mina de ouro para extorsão e phishing como caso anterior, configura crime com detenção de até três anos para o responsável por quebra de sigilo profissional.

Amazon Simple Storage Server

Qual a semelhança entre esses dois casos? A utilização de um serviço de armazenamento de arquivos em nuvem da Amazon, conhecido como S3 (ou Simple Storage Server) que, como o nome diz, é simplesmente um serviço que disponibiliza espaço de armazenamento na nuvem com diferentes níveis de serviço e desempenho. O Amazon S3 pode ser utilizado para diversas aplicações como troca de arquivos, armazenamento de componentes para aplicações web e projetos, backup etc. O serviço conta com recursos avançados para a proteção dos dados armazenados ali como políticas de acesso e criptografia, o problema aqui é que esses recursos dependem do usuário para serem habilitados. Os “buckets”, como o fornecedor chama cada instância do serviço, da CCA e do correspondente bancário dos cases acima estavam configurados para ter acesso público. Ou seja, qualquer usuário que buscasse o serviço na web poderia copiar os dados armazenados ali, um erro primário.

Não estou seguro na nuvem! E agora?

A situação é preocupante, mas pode ser resolvida também com alguns cliques e boas práticas. Quer saber por onde começar? Minha sugestão são os oito passos abaixo.

  1. Mínimo privilégio possível: essa é uma regra de ouro! Ao desenvolver seus sistemas, utilize essa regra que determina que o nível de acesso de usuários deve ser o mínimo possível para que eles possam realizar suas tarefas. Se você tem um usuário que cria relatórios semanais com base nos dados hospedados, ele só deve ter acesso de leitura e não direitos de edição dos dados, por exemplo.
  2. Políticas de IAM: o uso de políticas de gestão de identidade e acesso permite que se faça um controle programático das autorizações e do nível de acesso aos serviços hospedados. É possível criar políticas granulares que determinam níveis de acesso por usuários, grupos de usuários e através de uma linha de tempo. Você pode configurar que usuários envolvidos em um sprint do seu projeto tenham seu acesso bloqueado depois de determinado período.
  3. Defina políticas para cada instância: você deve configurar o nível de acesso para cada uma das instâncias do seu serviço hospedado na nuvem, normalmente é possível permitir acesso público (para todos que tenham o endereço da aplicação), somente a usuários com o domínio da companhia (@suaempresa.com.br) ou usuários específicos.
  4. Use permissões com parcimônia: seja seletivo com quais usuários ou grupo de usuários você concede permissão de edição ao serviço, evite sempre que possível atribuir direitos de edição a grupos de usuários. É normal haver permissões para qualquer usuário que tenha uma conta ativa do serviço que você está utilizando, ou seja, um usuário com conta Amazon poderia acessar a sua aplicação, mesmo que não faça parte da sua empresa.
  5. Use múltiplo fator de autenticação: alguns provedores poder permitir que você defina um segundo modo de autenticação para confirmar um comando crítico para a sua instância, por exemplo, é possível definir que um grupo de arquivos só seja copiado ou apagado com a confirmação de um código enviado ao celular cadastrado como gestor daquele projeto.
  6. Monitore continuamente o serviço: você deve manter um olhar próximo aos índices de desempenho da sua instância de aplicação ou armazenamento em nuvem, alguns serviços permitem a criação de alarmes quando certas operações são realizadas, configure-os para saber se alguma ação crítica for realizada, como cópia de arquivos ou deleção em massa.
  7. Use criptografia sempre que possível: a maioria dos serviços de hospedagem em nuvem permite que você configure criptografia no transporte de dados (quando você acessa ou grava dados na nuvem) e APIs, conectores específicos, que permitem criptografar dados e acesso em clientes a aplicativos de usuários finais. Considere a utilização desse recurso para evitar por em risco os dados por conta de dispositivos móveis ou prestadores de serviço, por exemplo.
  8. Use senhas fortes: sempre utilize senhas fortes para proteger seus arquivos, sempre! Para ser considerada forte, uma senha deve ter pelo menos 12 caracteres, combinar letras maiúsculas e minúsculas, caracteres especiais e números. Você não deve utilizar a mesma senha para diferentes serviços da internet e é recomendável trocar suas senhas a cada 90 dias.

O uso de serviços a aplicações em nuvem materializa a máxima “com grandes poderes vem grandes responsabilidades”, você tem em suas mãos uma infinidade de recursos computacionais que podem ser ligados, desligados e dimensionados com alguns cliques. Não prestar atenção em algumas regras básicas de segurança pode, no entanto, tornar o uso da nuvem em uma tempestade perfeita para cibercriminosos.

Fique atento!

A última moda hacker são os ataques de superfície: uma onda retrô!

ElevenPaths    12 agosto, 2019

Podemos não querer, mas o malware e todo o ecossistema que os rodeia é uma indústria. Uma industria ilegal, mas com todas as características de uma organização: maximizar os lucros com o menor investimento, o mais rápido possível. Essa indústria tem seu próprio componente de Pesquisa & Desenvolvimento e, mesmo entre os grupos antagonistas, técnicas e recursos são copiados para competir pelo mesmo objetivo: infectar e capitalizar essa infecção. Existe toda uma taxonomia de técnicas e procedimentos para atingir esse objetivo. Desde os primeiros vírus primitivos que imitavam com grande precisão suas contrapartes biológicas, à sofisticadas armas digitais capazes de desativar ou neutralizar a infraestrutura industrial.

Pense, por exemplo, no STUXNET e na mudança de jogo causado por ele: não se trata mais de mineração de dados ou seqüestro de arquivos, agora sabemos que essas criações podem devolver uma cidade ou uma nação inteira ao século 19 sem disparar sequer uma única bala. As técnicas de infecção evoluem, assim como as técnicas de uso uma vez que a vítima é controlada e temos dois clássicos contemporâneos: mineração de criptomoeda e técnicas de ransomware. Nos últimos meses, vimos uma oscilação de crescimento ou se preferirem podemos chamar de um “boom” entre esses dois propósitos intimamente ligados ao preço do bitcoin. Ou seja, quanto mais o Bitcoin se depreciava, menos interessado em implantar clientes se mostraram os ataques, uma vez que era uma fonte relativamente baixa de retorno. Uma curiosidade: podemos ver esses dois gráficos, correspondentes ao preço do Bitcoin e à tendência de busca do termo «cryptominer».

Quanto maior o preço do Bitcoin, maior o ruído causado pelo termo associado ao malware. Intrigante observar o pico localizado no mesmo período que o pico de busca do termo se apresenta.

O outro lado do funil

Se tirarmos fora a motivação financeira dos atacantes, do ponto de vista da análise é muito interessante o estudo e a observação da evolução do vetor de entrada, o aríete contra o sistema do usuário; ou melhor, da vítima.

Sem um gateway que permita uma infecção rápida e maciça, você não obtém um grande retorno do investimento, deixando assim os esforços em dúvida se houve ou não uma vitória. É necessário, portanto, investir para se ter uma alavanca hábil que garanta um bom número de portas abertas durante uma campanha de infecção. É por isso que os analistas dão ênfase especialmente ao acompanhamento da evolução desses vetores.

Há alguns anos, o vetor de entrada favorito era formado por Java, Adobe Reader e Flash. Não havia um único kit de exploração de vulnerabilidade que não abrangesse várias explorações nesses. Pesquisadores de vulnerabilidade viveram uma idade de ouro autêntica, onde o anúncio de zero-daysnesses programas já era tão comuns que eles pararam de ser notícia e se transformaram em um fluxo contínuo de boletins que estavam se transformando em munição para alimentar a incansável maquinaria das campanhas de malware.

Foram dias de vinho e rosas para estes pesquisadores até que…  os navegadores se adiantaram e vetaram os plugins e assim tornaram impossível implementar complementos binários para conteúdo fora dos padrões web. O Java foi o primeiro a cair e, embora a morte dos applets estivesse em andamento desde muito antes (especialmente impulsionada pelo Flash), o peso dos exploits que estavam saindo para o Java acelerou a remoção dos navegadores.

Logo a mesma coisa aconteceu com o Flash, embora fosse preciso mais do que Java para ser condenado ao exílio. Curiosamente, até Steve Jobs rejeitou o uso do Flash no iOS pelas mesmas razões que ele foi criticado: é um código proprietário e tem sérios problemas de segurança, além de um consumo de recursos incompatível com a autonomia móvel. O Flash, que havia começado a tomar o terreno dos applets Java, acabou sendo substituído pela tecnologia nativa dos navegadores: a web. Tudo aponta para 2020 como a data de fim de vida da tecnologia que nasceu da Macromedia.

Por fim, o problema de facilitar a leitura de documentos PDF postados na web, foi resolvido com leitores específicos para este tipo de formato implementados em JavaScript, e, portanto, embutidos como outra funcionalidade do próprio navegador, o que fez a inclusão de um complemento desnecessário já que agora pode-se  chamar uma aplicação nativa. Mais uma vez, uma porta fechada.

Detalhe das vulnerabilidades do Adobe Flash. Observe a queda drástica de 2017 (dados de cvedetails.com).

E atacar o navegador diretamente? Sim, mas com nuances. O Pwn2Own é uma competição onde você pode explorar um navegador, dos principais conhecidos, com vulnerabilidades de zero-day, até então não conhecidas. Embora todos os anos tenha havido vencedores em todas as categorias, o Chrome tem sido impecável há dois anos.

As medidas de segurança vem dando bons frutos e tem conseguido endurecer as regras do jogo entre investigadores e programadores. Por exemplo, não é mais contado como válido uma falha crítica de um componente do navegador somente, agora você precisa encontrar uma combinação vencedora que permita ignorar a sandbox em que o processo em execução é executado.

Embora seja verdade que alguns navegadores não possam seguir esse movimento, há uma certa tendência para migrar para o Chrome. Por exemplo, Edge, o navegador da Microsoft está mudando sua base para o Chromium, assim como o Opera. Inclusive, a Microsoft está reforçando a segurança dos processos isolando a execução destes em um ambiente quase completamente isolado do sistema. E a pergunta que fica é: como os hackers estão lidando com esta nova situação? A resposta já demos no início deste artigo, seus membros, equipes, setores destinados a pesquisa e desenvolvimento não somente tem se concentrado na busca de novas vias comuns de infecção, eles estão se reinventando para verificar o que pode ser mais rentável. Quando se fecham algumas portas, é necessário retornar ao início e examinar que acessos ou possíveis violações podem continuar sendo rentáveis, para investir neles tempo e recursos. Este novo meio de pensar tem seus frutos.

Agora é retro

O Office, o conjunto de escritório que venceu a guerra dos pacotes de escritório nos anos 90, incorporou uma tecnologia bastante poderosa para que seus usuários avançados pudessem ir além da já rica gama de funcionalidades à sua disposição: embutindo uma linguagem de programação forte com uma gama gigantesca de bibliotecas de funções e objetos à sua disposição.

Embora a ideia pareça ser ótima em um mundo ideal, muito rapidamente tivemos uma resposta das possibilidades «armamentistas» dos mecanismos de script que se tornaram visíveis. Como o «Melissa» de 1999, foi o nome com o qual um dos primeiros vírus de macro de mídia foi batizado, (que dava a permissão ao último e popular ILOVEYOU, que afetou o gerenciador de e-mail do Microsoft Outlook). Inaugurou-se um período de «vírus macro» que se estenderia até o fim do milênio …, alguns anos depois, o tivemos um “silêncio”.

Após um período em que os fabricantes de malware se concentraram nessas macros para difundir suas criações, tornou-se mais lucrativo investir em outros vetores mais frutíferos, como serviços de escuta, sem as proteções adequadas, ou o navegador e suas inúmeras conexões nativas que transbordaram aos seus contemporâneos. O malware baseado em macros não estava mais na moda.

Até que alguém percebeu quão relativamente fácil é aquele vetor esquecido, comparado a atual besta de sete cabeças e três caudas que é a exploração de um navegador.

As macros retornaram, mais uma vez, e as caixas de correio foram novamente preenchidas com e-mails com anexos voltados ao Office e com «fotos particulares de alguém», «folhas de pagamento de funcionários» e ou «informações que ninguém deseja publicar sobre o fato relevante do momento». Uma inadvertida segunda juventude das macros.

As macros no século XXI

A crescente popularidade das macros como um vetor de infecção é um sinal claro de que existe um movimento forte e real, impulsionado pela necessidade de expandir o parque de máquinas infectadas, uma operação cirúrgica e com um objetivo bem definido. Tanto a exploração de vulnerabilidades no Office como o uso de engenharia social ou uma combinação destes, serve para perfurar as defesas e assim abrir uma brecha. O que mais ajuda muito na credibilidade de uma campanha de malware é  o fato de que esses supostos documentos serem destinados e/ou conterem informações supostamente confidenciais, como por exemplo: «fatura para pagamento.xls» ou «lista de senhas.docx», são manchetes suculentas que atraem os curiosos para uma armadilha mortal, este tipo de manchete são iscas perfeitas  num anzol.

Mas técnicas adicionais de ofuscação e a popularidade do powershell também foram adicionadas a esta mistura, algo que não existia na primeira idade de ouro deste tipo de isca! Então fica-se uma pergunta, como se parece uma macro mal-intencionada dos dias de hoje?

Usamos o DIARIO (um detector de malware especializado em documentos que não precisa do conteúdo do documento para analisá-lo e, portanto, nos permite carregar informações que podem ser consideradas privadas) e analisamos uma amostra «típica».

Se for observado, uma das primeiras ações que a macro executa é levantar um processo no PowerShell, com uma cadeia de caracteres que tenta se ofuscar (novamente sem sucesso, já que é uma cadeia em base64 e compactada que é facilmente reversível). O uso desse tipo de ocultação não impede a análise, embora dificulte a detecção por cadeias.

Quanto à codificação da carga diretamente no PowerShell em vez de ser feita no VBA (Visual Basic for Applications) é devido, na maioria dos casos, ao uso de estruturas de exploração que usam o PowerShell, criando um stub ou wrapper mínima e funcional para se executar. Ou seja, o criador desse tipo de malware nem se importa em saber a linguagem das macros ou mesmo do PowerShell, pois a estrutura cria esse tipo de carga «sob demanda».

Existem muitos desses frameworks, conhecidos e populares pela comunidade de pentesters ou equipes de rede, para os quais foi projetado. Como o  Empire, PowerSploit ou Nishang, ao uso da suíte profissional Cobalt Strike. Embora sejam indispensáveis para avaliar a segurança das organizações, por outro lado é um impulso para a industrialização da cadeia de produção de malwares, que permite a entrada com um baixo nível de requisitos e experiência.

Em resumo, nada se vai completamente. No final, o atacante segue sua filosofia de passar pela vida mais fácil e não complicada. Agora é mais difícil de explorar um navegador? Tudo bem, apelamos para a ignorância e curiosidade do usuário. É relativamente fácil e tentador forçar um documento com malware. Apesar dos filtros estarem cada vez melhores, o spam continua se espalhando de tempos em tempos e geralmente vale a pena o fato de que apenas 1% em cem milhões ainda clicam… afinal é um milhão “fácil”. E um milhão já é um bom resultado.

Descobrindo o mundo do biohacking

ElevenPaths    7 agosto, 2019

O que é o biohacking? Para mim, o biohacking mais que um campo de pesquisa da ciência é um estilo de vida, uma forma de pensar diferente do status quo, biologicamente falando. Se você fizer uma pesquisa sobre o tema na internet, os primeiros resultados trarão algo como DIYB (Do It Yourself Biology), ou faça biologia por si mesmo. Isso significa estudar, analisar, experimentar com corpo humano usando algo externo, desde uma vitamina ou suplemento mineral até tecnologia. Com qual objetivo? Bom, com o objetivo principal da ciência: melhorar, curar enfermidades, aumentar capacidades físicas ou cognitivas e, inclusivo, a média de vida das pessoas.

Uma forma simples de definir o que é biohacking seria “a ciência que tem como objetivo, em primeiro lugar, melhorar as capacidades do corpo humano manipulando suplementos e/ou tecnologia”, sua segunda missão seria “fazer com que o conhecimento, técnicas e tecnologia necessárias para realizar a primeira missão estejam ao alcance de todos”, ou seja, disponibilizar para todo mundo aquilo que estaria ao alcance somente de grandes laboratórios e corporações, democratizando a “ciência” de vanguarda. Colocamos aqui “ciência” entre aspar porque biohacking não é realmente uma ciência, não é reconhecida por tal e tão pouco é aprovada por alguma associação internacional de medicina ou saúde, por isso, não a matéria não é praticada por doutores em clínicas ou hospitais e, sim, por investigadores apaixonados, a maioria com conhecimentos médicos, ou hacking.

O que está realmente acontecendo em biohacking hoje em dia? Estamos convertendo nossos corpos (ou de um amigo) em laboratórios, claro que com os devidos cuidados e precauções em atuar com ética e responsabilidade, porque não estamos fazendo testes com software ou hardware e um erro poderia, literalmente, custar a vida de alguém.

Consideramos que esse é um movimento que sustenta que os seres humanos podem e devem usar a tecnologia para aumentar e evoluir sua espécie.

Como começar a navegar no biohacking?

Em relação à parte mais natural do biohacking, recomendamos pesquisar e seguir o Dave Asprey, considerado “o pai do biohacking”. Uma forma simples de começar é fazendo uma dieta alimentar, assim de maneira simples mudamos ou hackeamos nosso organismo, comendo menos carboidratos, mais vegetais, mais vitaminas, menos açúcar, tudo combinado com muito exercício e água, claro. A partir dessa mudança em seu corpo e cérebro, você estará preparado para começar o biohacking.

Avançando nas técnicas de biohacking, passamos ao uso da tecnologia propriamente dita, uma forma relativamente simples mas que requer um compromisso maior com o transhumanismo ou a cultura cyborg e até uma dose de tolerância a dor, é o implante de um chip. Hoje existem muitos sites como o Dangerous Things, onde se pode adquirir um chip especialmente desenhado para ser implantado, além das instruções para a aplicação, ainda que se recomende faze-lo com alguém que tenha experiência médica. Nesse vídeo, podemos ver uma palestra com a história do biohacking no projeto “Abrir a Barreira de Acesso como Magneto, aumentando a Segurança”.

Aumente sua segurança com um chip

Como é possível aumentar a segurança usando um chip em vez de um cartão de acesso? Simples, um cartão pode ser perdido, pode ser roubada, pode quebrar, etc. Um chip implantando não, é muito mais seguro que um cartão. Poderíamos usar um implante para entrar em casa, apartamento ou escritório sem a necessidade de chaves, mas isso é só o começo, para pessoas com deficiências os usos são incríveis. É isso que defende Zoltan Istvan, que concorreu à presidência dos Estados Unidos como chefe do Partido Transhumanista que disse que “ter um implante é divertido e conveniente, para algumas pessoas com deficiências distintas, que não tem braços por exemplo, ter um chip nos pés é a forma mais simples de abrir portas ou operar alguns dispositivos modificados para ler chips”.

Mas é na saúde que se avança cada vez mais em biohacking, por isso espera-se que rapidamente a matéria seja aprovada por organismos internacionais de saúde. No Chile existem 2 projetos muito importantes criados para pessoas com deficiência (1% da população mundial) chamados Overmind (apresentado na Vila Biohacking na Defcon 26) e a Mi Voz (projeto que obteve o 4º lugar em “Uma Idéia para Mudar a História”).

Se você se interessa por esses projetos, e quer saber mais sobre o biohacking, assista o webinar “Biohacking The Discapacity na nossa 5ª temporada dos nossos #11PathsTalks.

Como analisar documentos com o FOCA em dez passos (ou menos)

ElevenPaths    5 agosto, 2019

Cada vez que criamos um documento no escritório, salvamos muito mais informação do que pensamos, independente de que esse arquivo seja um texto feito no Microsoft Word, uma apresentação feita no PowerPoint ou uma planilha criada no Excel, arquivos PDF e até imagens se encaixam nessa regra. Existe um conteúdo adicional gravado nos arquivos que recebe o nome de metadados e podem conter dados como, por exemplo, o nome do autor, data de criação do documento, modificação e título. Ainda que isso já seja bastante informações, uma análise mais profunda nos permitiria extrair dados adicionais, não só dos documentos, mas do ambiente em que eles foram criados.

É possível extrair senhas, nomes de usuário, nomes de pastas, nomes de servidores, impressoras, edições realizadas no documento e muito mais, tudo isso partindo de um arquivo comum de escritório! Esse tipo de informação põe em risco não só a privacidade, mas a segurança digital da empresa e pode ser utilizada por um cibercriminoso para analisar a infraestrutura de TI para planejar um ataque (em uma técnica chamada “fingerprinting”). No caso de imagens, a informação mais relevante que pode ser obtida é a localização geográfica da fotografia, criando um itinerário realizado pelo usuário. Os metadados são mais importantes do que parecem à primeira vista, não? Talvez o caso mais emblemático de análise de metadados seu deu com Tony Blair, primeiro ministro britânico, no documento Word que, teoricamente, provava a existência de armas de destruição em massa no Iraque. Uma revisão dos metadados indicou revisões e comentários no documento e pôde provar que a informação era falsa.

O FOCA é uma ferramenta gratuita criada pela ElevenPaths muito eficaz na análise de metadados, seja em um documento único ou em toda a organização. O FOCA é uma ferramenta de código aberto, disponível para download no repositório GitHub da ElevenPaths. Nesse post veremos como é simples extrair dados de um documento e também como obter informações de metadados de toda a organização através de um passo-a-passo.

Extração de metadados de um ou vários arquivos locais

Passo 1: após baixar e executar o FOCA, clicamos na opção “Metada” [1] e, com o botão direito do mouse clicamos na área [2] indicada na imagem e, finalmente, em “Add file[3] (se desejado, podemos adicionar o conteúdo completo de uma pasta de arquivos selecionando a opção “Add folder”), selecionando o arquivo que será analisado. Também é possível arrastar e soltar arquivos ou pastas diretamente nessa área.

Passo 2: depois que o arquivo é carregado, clicamos sobre ele com o botão direito do mouse [4] e selecionamos a opção “Extract Metadata[5]:

Passo 3: para visualizar os resultados, vamos nos concentrar na parte esquerda do painel onde aparecerá na seção “Metada” o nome e o formato do arquivo aberto (nesse caso um .docx chamado “Test1) [6]. Clicando sobre ele, podemos ver à direita um resumo de todos os metadados extraídos [7]:

Extraindo todos os metadados de uma organização

Passo 1: será necessário criar um projeto. Para isso, clicamos no menu “Project” e selecionamos “New Project[1]:

Passo 2: podemos usar o menu [2]Select Project” para abrir projetos salvos anteriormente, ao criar um projeto desde zero, deixamos essa opção em branco. Em “Project Name” daremos o nome do projeto [3]. O campo “Domain website[4] permite introduzir o URL que desejamos auditar, se houver domínio alternativos onde queremos que o FOCA também procure arquivos, podemos adiciona-los em “Alternative domains[5]. Os arquivos baixados (logo veremos esse passo) serão armazenado na pasta definida no campo “Folder where save documents[6]. Finalmente, clicamos em “Create[7] para criar o nosso projeto.

Passo 3: nesse ponto voltamos à tela “Metadata”. O primeiro passo será marcar motores de busca em “Search Engines[8] (no exemplo, usaremos os três). Na seção “Extensions” temos a opção de selecionar o tipo de arquivo que queremos buscar em nosso projeto [9]. Depois de clicar em “Search all”, será mostrado ao longo do tempo (definido pela quantidade de arquivos localizados na URL do projeto) uma lista similar a que podemos ver na imagem abaixo [10].

Passo 4: para analisar o arquivo (ou arquivos) obtidos na análise, o processo é similar a abrir um arquivo único. Dessa vez, porém, temos que realizar um passo prévio: o download. Para isso, clicamos sobre o arquivo com o botão direito do mouse [11] (é possível selecionar vários arquivos mantendo a tecla “Shift” pressionada) e selecionamos a opção “Download” como mostrado na etapa [12]. Podemos também baixar todos os arquivos da lista clicando em “Download All”.

Passo 5: quando o download for concluído, veremos um ponto à direita na coluna “Download”, além da data e hora em que o arquivo foi baixado. Agora podemos extrair os metadados clicando em “Extract Metadata[13] e depois analisar seu conteúdo [14] clicando em “Analize Metadata”:

Passo 6: finalmente obtemos o resultado mostrado na imagem abaixo (ocultamos por motivos de privacidade as informações) onde se pode claramente notar o nome do computador em que o arquivo foi criado [15], dados dos servidores [16], nome dos usuários [17], o tipo do software [18] e também informações gerais sobre a criação do arquivo, como data etc.

No vídeo a seguir mostramos em detalhe mais informações sobre o FOCA e opções de funcionamento:

Além disso, nesse livro publicado pela editora 0xWord, é possível encontrar em detalhe todas as funcionalidades e possibilidades de uso do FOCA:

É importante utilizar um software como o FOCA para auditar tanto arquivos pessoais como corporativos. Dessa forma pode-se ter uma visão sobre o conteúdo que estamos tornando público de maneira involuntária, evitando vazamentos de dados. Se você precisa de uma solução profissionais, lembre-se que a ElevenPaths oferece o Metashield Protector, uma solução com várias ferramentas para analisar, proteger e filtrar metadados de arquivos.

Diga-me quais dados solicitas a Apple e te direi que tipo de governo és

ElevenPaths    31 julio, 2019

Algumas vezes governos de apoiam em grandes corporações para realizar seu trabalho. Quando determinar uma ameaça passa por conhecer a identidade ou ter acesso aos dados de um potencial atacante ou vítima em perigo, a informação digital que as empresas armazenam podem ser vitais para uma investigação, evitando uma catástrofe.

A Apple publicou um relatório sobre quais dados são solicitados por governos, além de indicar em que medidas esses pedidos são atendidos. Desde a eliminação de apps da loja de aplicativos, passando por acesso de contas privadas. Que governo pede oque? Elaboramos alguns gráficos para tentar responder essa questão.

Solicitações baseadas em dispositivos

Essa tabela representa as solicitações de informações de dispositivo. Esse tipo de solicitação acontece quando há investigações sobre roubos ou perdas de dispositivos. Elas ocorrem também quando estão em curso análises de fraude. São solicitados, normalmente, detalhes dos clientes Apple associados aos dispositivos ou conexões aos serviços da empresa, desde um IMEI até números de série de aparelhos.

Podemos notar que a China é a líder, solicitando dados de clientes que estão associados às contas ou dispositivos Apple. Pode-se imaginar que a pirataria, tão comum no país, e fraudes sejam a razão dos grandes números.

Solicitações baseadas em dados financeiros

Esse pedidos estão, quase sempre, relacionados à investigações relacionadas à atividades fraudulentas com cartões de crédito ou gift cards utilizados para comprar produtos da Apple.

Os EUA e a Alemanha são os países com mais solicitações desse tipo, o que pode ser explicado pela quantidade de fraudes relacionados com cartões de crédito nos EUA (ainda que pareça estranho, nos Estados Unidos é muito habitual solicitar somente uma assinatura para validar o pagamento). Aqui observamos que são atendidas menos solicitações.

Solicitações baseadas em contas

São solicitadas informações relacionadas a contas que tenham sido utilizadas desrespeitando a legislação local dos países ou os termos de uso da própria Apple. Nessa solicitação estão incluídas contas de iCloud e iTunes, nome de usuário, endereço e o conteúdo armazenado na nuvem (backup, fotos, contatos etc.)

Essa talvez seja a medida mais intrusiva em que a Apple compartilha conteúdo privado. De novo, China e EUA são os que mais fazem solicitações desse tipo. Curiosamente, os pedidos da China são atendidos em 98% das vezes, já os do EUA são atendidos “somente” 88% das vezes. A Apple pode negar as solicitações se considerar que há algum erro na forma ou na razão do pedido. Precisamos considerar que a Apple além de oferecer os dados, pode compartilhar “metadados” não relacionados diretamente aos arquivos, isso não é contado como solicitação atendida ainda que ofereça alguma informação pessoal.

Solicitações relacionadas com preservação de contas

Seguindo a regulamentação da Lei de Privacidade em Comunicações Eletrônicas (ECPA) dos EUA, pode ser solicitado à Apple que “congele” uma conta por até 180 dias. Essa é uma medida prévia ao pedido de acesso à conta enquanto se espera uma autorização legal para acesso aos dados, que evita que o usuário apague suas informações.

Os EUA são, de novo, o país que mais faz solicitações desse tipo. Curioso é o fato de que a China desaparece neste gráfico, apesar de que essa solicitação é um passo prévio ao pedido de acesso de dados, em que a China é bem ativa. Será possível que na China não haja problemas em obter autorizações judiciais?

Solicitações de apagamento ou restrição de contas

Pedidos de deleção de Ids da Apple ou restrições de acesso são muito menos habituais. Os Estados Unidos fizeram esse tipo de solicitação 6 vezes e 2 contas foram apagadas. O restante dos países, uma ou duas vezes, que nunca foram atendidas.

Solicitações Emergenciais

Também amparado pela ECPA, é possível fazer solicitações de dados em situações emergenciais, em que os dados serão supostamente usados para evitar perigo de morte ou dano sério a indivíduos.

Curiosamente aqui, o Reino Unido lidera o ranking de pedidos com 198 contas, ainda que eles não tenham sido todos atendidos. Os EUA vêm na sequência, outros países realizam somente algumas solicitações, quase sempre atendidas. Será que o Reino Unido se limita a solicitar dados dos seus cidadãos à Apple somente em situações emergenciais?

Solicitações relacionadas a retirada de apps da loja de aplicativos

Normalmente esses pedidos estão relacionados a apps que violam alguma lei local.

A China lidera esse ranking, de longe. Seguido pela Noruega, Arábia Saudita e Suíça. Aqui, Estados Unidos que aparece muito no ranking de solicitação de informações gerais, desaparece por completo.

No relatório também se fala de acesso aos dados solicitados por terceiros, por uma ordem judicial. São 181 solicitações, das quais a Apple atendeu 53.

Conclusões

As conclusões são complexas e podem ser encaradas como um “copo meio cheio ou meio vazio”. Podemos achar que os governos demandam muita informação pessoal porque seus sistemas de justiça funcionem de maneira mais ágil ou que as fraudes aconteçam mais nesses países justamente porque os governos não são eficientes. A interpretação é livre, o que podemos fazer são algumas interpretações baseadas nos dados:

  • O interesse da China em eliminar aplicações consideradas ilegais
  • O destaque do Reino Unido para as solicitações de emergência
  • O caráter preventivo dos Estados Unidos que solicita congelamento de contas muito mais do que outros países
  • A Alemanha dedicada às fraudes financeiras relacionadas aos produtos da Apple
  • China, União Europeia, Taiwan e Brasil são os países que solicitam mais dados pessoais

Nesse exercício compilamos em gráficos os dados divulgados em formato planilha pela própria Apple. É importante especificar que todas as solicitações são realizadas por lote, por exemplo, a Apple contabiliza o número de solicitações de remoção de apps que podem conter um número indeterminados de apps dentro de cada uma delas. Igualmente com as solicitações de contas e o número de contas inclusos em cada pedido. Quando a Apple reporta o número de solicitações atendidas, fala de pedidos e não do total de contas. Por exemplo, a Apple recebe 10 solicitações, com 100 contas entre todos os pedidos e diz que atendeu 90% deles, isso não nos permite saber quantas contas individuais há em cada um desses pedidos. É um exercício que, se não parece muito exato, nos dá uma ideia aproximada da quantidade real de dados processados pela Apple.

O JavaScript está em toda lugar, assim como suas falhas!

ElevenPaths    26 julio, 2019

Nos anos 90, na maioria dos casos, o JavaScript serviu para pouco mais do que criar efeitos em website, como fazer “nevar no Natal” ou celebrar outras datas comemorativas.

Atualmente, essa tecnologia de programação é famosa em toda a comunidade digital. Com ela se constroem aplicações web modernas, profissionais e para dispositivos móveis, o JavaScript está em execução em backends, frontends, embedado em dispositivos IoT, controlando robôs. Está em toda a parte!

Vemos cada vez um aumento de estabilidade e popularidade na tecnologia JavaScript – com componentes chamados popularmente de bibliotecas ou frameworks – segundo dados extraídos de comunidades de desenvolvimento como stackoverflowGitHubgoogletrends stateofjs.

Fonte: https://insights.stackoverflow.com/survey/2019#technology
JavaScript com os repositórios mais ativos em GitHub

Com base nesta informação, observamos como o JavaScript vem se consolidando de maneira acelerada em diversos projetos na web em de diferentes indústrias. Mas, como em toda tecnologia ou linguagem de programação, cibercriminosos estão à espreita para se aproveitar de falhas e novas vulnerabilidades, afetando a segurança dos dados processados por essas aplicações.

Em um estudo realizado pela Universidade Northeastern foi consolidado de forma acelerada em vários projetos na Internet em diferentes setores.

Mas como em qualquer linguagem de programação ou tecnologia, os hackers  buscam falhas onde essas «novas» tecnologias, que se utilizam das infraestruturas tecnológicas de empresas, indústrias e usuários estão deixando de verificar se há vulnerabilidades e, dessa forma, afetam a segurança dos dados que eles estão criando a partir desses aplicativos.

Em um estudo realizado pela Northeastern University, foi constatado que mais de 37% dos sites usam bibliotecas com, ao menos, uma vulnerabilidade conhecida. Estão incluídas nessa análise o JQuery, Angular, Protótipo ou Backbone, entre outros que você pode rever em detalhes aqui.

O «ecossistema JavaScript» em sua própria história não possui uma estrutura sólida para documentar vulnerabilidades em suas bibliotecas ou estruturas. Nos últimos anos, houve uma tentativa de fazer algo na comunidade para manter uma lista consistente de vulnerabilidades conhecidas. As vulnerabilidades do JQuery aparecem na Web CVE, mas o que acontece com o Angular que não aparece? O fato de não aparecer lá não significa que não tenha vulnerabilidades, mas sim que tenha seu próprio lugar no GitHub, onde são documentadas  suas vulnerabilidades.

CVE até a data do Projeto NodeJS
https://www.cvedetails.com/product/22804/?q=Nodejs

Além das vulnerabilidades conhecidas até o momento no NodeJS, uma das discrepâncias e preocupações existentes na comunidade é como saber se os pacotes fornecidos pelos desenvolvedores são um código seguro a ser incluído em seu projeto. Isso é algo semelhante ao que acontece com os plug-ins de gerenciadores de conteúdo, como o WordPress, o Drupal etc. Uma vez que falhas de segurança são frequentemente encontradas nelas.

As tecnologias de programação JavaScript estão aumentando em toda a Internet e agregam recursos e simplicidade que permitem acelerar os processos de desenvolvimento. As indústrias estão incorporando essa linguagem em quase todos os seus projetos, mas, como acontece com qualquer tecnologia, pontos fracos e melhorias devem ser adotados em seus processos de análise de segurança.

Em geral, existem opções para adaptar os controles de segurança em seu projeto de desenvolvimento e tentar fazê-lo da maneira mais segura e funcional possível. Nós da ElevenPaths, tentamos contribuir com a nossa inovação para a indústria e a comunidade, por isso temos feito coisas como habilitar dupla autenticação no NodeJS, ou desenvolver ferramentas para fortalecer o Wodpress entre outros.

Os processos de desenvolvimento de software de hoje em dia são muito mais complexos, pois dependem não apenas de uma tecnologia, mas de várias que são somadas camada a camada para se obter sucesso em termos de funcionalidade, segurança, desempenho e outros. Mas isto não pode ser desculpa para esquecermos os procedimentos, documentações, aplicações de controles de segurança necessários e o monitoramento frequente das fraquezas que aparecem nas tecnologias utilizadas nos projetos, para que assim caso necessário possa se executar alguma ação no tempo certo e na hora certa.

Texto Original – ES: Carlos Ávila
Tradução -PT: Cristiano Góes