sexta-feira, 9 de dezembro de 2011

Para quem não tira férias...

Dois cursos on-line, gratuitos, são uma ótima dica para os interessados em segurança da informação: “Cryptography” e “Computer Security”

Nosso post de hoje é uma dica para os interessados em segurança da informação. Uma não, duas. Duas sugestões de cursos on-line, gratuitos, oferecidos pela Berkeley University of California em parceria com a Stanford University. Os cursos “Cryptography” e “Computer Security” começam em janeiro e fevereiro, respectivamente, e recomenda-se que os candidatos possuam algum conhecimento em programação. As especificações podem ser encontradas nas páginas http://www.security-class.org/ e http://www.crypto-class.org/.

Um dos cursos aborda a Criptografia, indispensável para a proteção das informações contidas em sistemas de computação. Os estudantes aprenderão a raciocinar sobre a segurança das construções criptográficas e como aplicar esse conhecimento a aplicações do mundo real. Diversos protocolos serão analisados, bem como os erros existentes nos sistemas.

A segunda metade do curso abordará as técnicas de chaves-públicas, que permitem que duas ou mais partes gerem um chave secreta. Estará em pauta a teoria dos números, encriptação de chaves-públicas, assinatura digital e protocolos de autenticação. Mais para o final do curso, tópicos avançados serão abordados, como protocolos distribuídos e uma série de mecanismos de privacidade. O curso inclui deveres de casa por escrito e laboratórios de programação.

O professor é  Dan Boneh, que lidera o grupo de criptografia aplicada do departamento de Ciência da Computação da Universidade de Stanford. Boneh, autor de mais de uma centena de publicações no campo, dedica-se à pesquisa em aplicações de criptografia para segurança de computadores, incluindo sistemas de encriptação com novas propriedades, segurança web, segurança para dispositivos móveis, proteção de direitos autorais digitais e criptoanálise.

Segurança da Computação

O segundo curso sugerido também será ministrado por Boneh, juntamente com Professor John Mitchell, do Departamento de Ciência da Computação da Universidade de Stanford, especializado em segurança web, segurança de rede, análise de privacidade, linguagem de programação e design e  aplicações da lógica matemática para a ciência da computação.

O curso também conta com a professora Dawn Song, da UC Berkeley, que trabalha com segurança e questões de privacidade em sistemas de computação e redes, incluindo áreas que vão desde a segurança de software, segurança de rede, segurança de banco de dados, distribuídos sistemas de segurança, a criptografia aplicada.

O curso, intitulado Segurança da Computação ensinará como desenvolver sistemas de segurança e escrever códigos de segurança, como encontrar vulnerabilidades nos códigos e criar sistemas de software que limitam os impactos dessas vulnerabilidades. Outros tópicos abordados serão detecção de malware e plataformas de segurança móvel.

segunda-feira, 28 de novembro de 2011

Criar um perfil falso é considerado um ilícito?

 Por Alexandre Atheniense*

A americana Dana Thornton de 41 anos está sendo julgada por roubo de identidade porque criou um perfil falso de seu ex-namorado no Facebook. Na página, Dana escrevia como se fosse Michael. Os assuntos eram em sua maioria depreciativos sobre o estilo de vida dele. Se considerada culpada, pode pegar até 18 meses de prisão.

Na Califórnia, existe uma lei que pune usuários que criam perfis falsos na internet. A lei prevê multa de até US$ 1 mil ou um ano de prisão para pessoas que criarem perfis "fakes" em redes sociais, publicarem comentários em fóruns da internet ou enviarem e-mails se passando por outra pessoa.

E no Brasil, criar um perfil falso é considerado um ilícito? A legislação brasileira sobre esta matéria não é tão detalhista e contextualizada quanto a norte-americana, o que não significa dizer que exista impunidade para tais atos. O perfil exibicionista do brasileiro vem causando diversos problemas jurídicos em decorrência de sua presença online, sobretudo nas redes sociais. A incidência dos perfis falsos de brasileiros tem aumentado e por este motivo tem sido recorrente o uso não autorizado de imagens de terceiros, ataques à reputação na mídia digital, expondo as pessoas ao ridículo e, por estes motivos, em alguns casos, sendo punidos pela legislação brasileira.

O Twitter, Facebook e Orkut têm sido alvo de inúmeros perfis falsos tanto de pessoas famosas, mas também de pessoas comuns, usuários dessas redes sociais que tem perfis falsos criados para servir de alvo contra a sua honra. Tendo em vista futuros projetos para aferir mais confiabilidade do perfil das pessoas que trafegam pelas redes sociais, Facebook e Google iniciaram uma campanha no exterior para apagar alguns perfis de aparência falsa devido a transformação deste ambiente numa futura lucrativa plataforma de comércio eletrônico. No entanto, a realidade enfrentada no Brasil é de amplo descontrole dos provedores quanto à criação de perfis falsos.


"Se a pessoa que teve sua foto utilizada indevidamente neste perfil falso descobrir este fato e julgar que houve danos à sua imagem terá legitimidade e meios para comprovar o alegado e obter uma indenização judicial."

Para enfrentamento dos perfis falsos de acordo com legislação brasileira é preciso identificar algumas situações:

1. Inexiste na legislação brasileira tipo penal que defina que a criação de perfil falso na internet seja punível. Este ato em si viola as regra dos Termos de Serviço do site de relacionamento, que obriga o criador do perfil zelar pela integridade dos dados cadastrais. A punição será apreciada e aplicada pelo provedor que poderá culminar com a retirada do perfil.

2. Apurar se a pessoa que criar o perfil falso com o intuito do anonimato adota uma imagem da vítima para atribuí-la ao seu perfil falso. Se a pessoa que teve sua foto utilizada indevidamente neste perfil falso descobrir este fato e julgar que houve danos à sua imagem terá legitimidade e meios para comprovar o alegado e obter uma indenização judicial.

3. Se o internauta cria um perfil falso, incorpora a personalidade de outras pessoas e manifesta em nome de outrem, inserindo declaração falsa ou diversa da que devia ser escrita, com o fim de prejudicar, criar obrigação ou alterar a verdade sobre fato juridicamente relevante pode estar configurado crime de falsidade ideológica.

4. O resultado dos ataques à honra de terceiros gerados por criadores de perfis falsos na internet que buscam o anonimato tecnológico para caluniar, difamar e injuriar será punido nos termos previstos no Código Penal. Este ilícito poderá ter repercussão na esfera cível ante a comprovação do dano causado à reputação da vítima sendo passível de indenização de danos morais.

5. Outra hipótese relativa ao resultado da ação criminosa relativa a este tema se refere ao furto de dados relativos a identidade de terceiros, muitas vezes conceituado equivocadamente como roubo de identidade por alguns sites de tecnologia. Segundo a legislação penal brasileira, o termo correto nestes casos é furto e não roubo, pois a diferença que o legislador brasileiro atribuiu entre ambos versa sobre a incidência de grave ameaça ou violência a pessoa. Nos casos envolvendo dados, em regra o que ocorre é furto pelo vazamento de informações e nem sempre uso de violência para tal ato que se caracterizaria como roubo.

Este ilícito se caracteriza em duas etapas. Primeiro, alguém tem acesso aos dados da vítima, sem que haja qualquer abordagem direta ou indireta com a vítima para alcançar o resultado. Em segundo lugar, o criminoso utiliza estas informações para se fazer passar pela vítima e cometer fraudes e outros ilícitos em nome desta. O furto de identidade online é um grave problema que está avançando em grandes proporções nos últimos anos, sobretudo em decorrência do aumento de serviços prestados pelo meio eletrônico.

Os criminosos vêm sofisticando suas estratégias de engenharia social por meio eletrônico, ou seja, um meio intelectual e fraudulento, para mascarar a realidade e enganar conquistando a confiança da vítima detentora de dados, sejam senhas ou outras informações importantes os quais são o alvo do golpe. Este ilícito pode ser usado por qualquer meio de comunicação e já existe há décadas. Em se tratando do ambiente eletrônico é utilizado a partir de e-mails, sites falsos, acessos não autorizados, para que os criminosos se passem por organizações ou pessoas de credibilidade para utilizarem de dados da identidade de terceiros para praticarem ilícitos.

O resultado deste golpe quando ocorre a interatividade entre o criminoso e a vítima vem sendo punido pela prática de estelionato estabelecida no conhecido artigo 171 do Código Penal. O Projeto de lei de Crimes Cibernéticos (84/1999) prevê o acréscimo de uma conduta ilícita ainda mais abrangente e específica para as práticas comuns no ambiente eletrônico.

Atualmente, o ato de enviar spam ou phishing, isto é, envio de mensagens não solicitadas, caracterizadas por fraudes tentativas de vantagem indevida para acesso de senhas, fotos, músicas e outros dados pessoais, em que o criminoso se faz passar como uma pessoa confiável ou uma empresa enviando uma comunicação eletrônica oficial, por email, mensagem instantânea, SMS, e outros meios de comunicação, não é punível pela legislação brasileira.

Entretanto, o projeto de lei de Crimes Cibernéticos pretende definir como ilícito a conduta de divulgação não autorizada de vírus, mensagens, outros meios de comunicação ou sistema informatizado, que vise o favorecimento econômico do agente ou de terceiros em detrimento de outrem, aprovando o estelionato eletrônico. Está previsto ainda o agravante nos casos em que o agente se valer de nome falso ou da utilização da identidade de terceiros para a prática de estelionato, cuja pena será aumentada.


"O resultado deste golpe quando ocorre a interatividade entre o criminoso e a vítima vem sendo punido pela prática de estelionato estabelecida no conhecido artigo 171 do Código Penal. O Projeto de lei de Crimes Cibernéticos (84/1999) prevê o acréscimo de uma conduta ilícita ainda mais abrangente e específica para as práticas comuns no ambiente eletrônico."


O furto de identidade online é uma prática abominável que demandará a criação de novos hábitos de monitoramento contínuo dos dados pessoais e da reputação na mídia digital. Veja a seguir dicas para efetivar um plano de blindagem digital quanto a estes ilícitos:

- Armazenar dados importantes ou pessoais preferencialmente em sistemas especializados em gerenciamento de senhas como 1password, Norton Indentity Safe, ou pelo menos em arquivos ou diretórios com acesso mediante palavras chaves.

- Busque informações e aprenda como identificar visualmente mensagens eletrônicas ou sites que estejam associados com o spam e phishing.

- Apenas efetue transações financeiras online em sites seguros cujo endereço da página (URL) comecem por https, ou que estejam autenticados por empresas de segurança de informação confiáveis.

- Mantenha instalado e atualizado um firewall, antivírus e antispyware para monitorar eventuais inserções de códigos maliciosos.

- Monitore si próprio diariamente pelas ferramentas de busca. Aprenda a usar o Google Alerts. Esta pode ser uma ferramenta inicial e gratuita, que irá ajudá-lo a acessar em tempo real novas inserções relacionadas ao seu nome auxiliando-o a detectar incidentes envolvendo os seus dados pessoais.

- Caso o fato se relacionar com as hipóteses acima mencionadas procure um advogado para que possa agir em curto espaço de tempo para enfrentar o ilícito antes que os danos estejam fora de controle.

Nem sempre a tipificação da conduta ilícita norte-americana para punir os criadores de perfis falsos na internet é idêntica à adotada pela legislação brasileira. Entretanto, a punibilidade em nosso país para esta prática já existe e transforma num campo minado a conduta daqueles que ainda acham que a internet é uma zona sem lei e que a tecnologia favorece ao anonimato.


* Alexandre Atheniense é advogado especialista em Direito Digital. Sócio de Aristoteles Atheniense Advogados. Coordenador da Pós Graduação em Direito de Informática da ESA OAB-SP. Editor do Blog DNT “O Direito e as Novas Tecnologias”.

quarta-feira, 16 de novembro de 2011

“Novas ameaças demandam novas estratégias”

A empresa de segurança RSA teve sua rede interna atacada em março deste ano, mas até hoje há reverberações do evento, que comprometeu a segurança dos geradores de senha SecurID. De lá para cá, houve apenas uma notificação de um cliente vítima da brecha da RSA: a Lockheed Martin, a maior fornecedora de serviços de TI e tecnologia bélica e de inteligência para o governo dos EUA. Mas, a RSA não descarta futuros ataques, daí o motivo do burburinho.

"Levando-se em conta que não existe uma coisa chamada segurança perfeita, é impossível prever o que pode acontecer. No entanto, trabalhamos proativamente com os clientes logo após o ataque, em Março, e continuamos desde então", disse Eddie Schwartz, CSO (chief security officer) da RSA, em entrevista ao site Security Dark Reading.

Essa posição de transparência da empresa, que se tornou parceira da TechBiz Forense Digital ao adquirir a NetWitness, também está presente no artigo de Uri Rivner, publicado na última edição da revista SecureView sob o título “Anatomia do Ataque Zero-Day à RSA”. Uri é o diretor de novas tecnologias, proteção de identidades e verificações da RSA. Ele está envolvido em pesquisas sobre fraudes on-line e desenvolvimento de estratégias para mitigar e prevenir ameaças. E diz:

"Como indústria, temos que agir rápido e desenvolver uma nova doutrina de defesa; os dias felizes dos bons e velhos hackers se foram. Também se foram os paradigmas antigos de defesa. Novas ameaças demandam novas estratégias”. 

“Talvez esse incidente possa ser usado como um exercício para as empresas olharem para a própria infraestrutura e analisar quais as opções possuem para mitigar ataques similares. As ameaças avançadas persistentes são perigosas e precisamos aprender algo com o ocorrido. Como indústria, temos que agir rápido e desenvolver uma nova doutrina de defesa; os dias felizes dos bons e velhos hackers se foram. Também se foram os paradigmas antigos de defesa. Novas ameaças demandam novas estratégias”.

Concordamos com o apelo de Uri e por isso traduzimos livremente trechos de seu artigo que pode ser originalmente lido na versão em PDF da revista.

Trechos do artigo “Anatomia do Ataque Zero-Day à RSA”, de Uri Rivner 

Sobre as Ameaças Persistentes (APT) 

As ameaças avançadas persistentes, cuja sigla em inglês é APT (Advanced Persistent Threat), possuem basicamente três fases principais. A primeira é o ataque de engenharia social; esse é um elemento chave que diferencia um APT de um ataque convencional de hacker. A APT combina engenharia social com vulnerabilidades no end-point para acessar o PC do usuário. Uma vez lá dentro, o atacante já está na rede; só é preciso achar uma maneira de acessar os usuários e sistemas certos, e prosseguir com as atividades hacking regulares.

(...)

A parte da engenharia social é igualmente simples. No começo dos anos 80, você tinha caras como Matthew Broderick no filme “Jogos de Guerra” procurando por modems conectados a redes suscetíveis. Broderick mapeava as redes e encontrava pontos fracos. Seus ataques nada tinham a ver com os usuários; ele se baseava nas fraquezas da infraestrutura. Mas, se Matthew estivesse interpretando um hacker APT dos dias atuais a primeira coisa que ele faria seria visitar um site de mídia social. Ele coletaria inteligência de pessoas da organização, não da infraestrutura. Depois ele enviaria um email de spear-phishing para os funcionários de interesse.

Sobre os ataques à RSA 

No nosso caso, os atacantes enviaram dois diferentes email com phishing ao longo de dois períodos do dia. Esses e-mails foram enviados para dois pequenos grupos de colaboradores. Quando se olha a lista dos alvos, não há nenhum insight flagrante; nada que indique um alto nível dos alvos. O título do email era “Plano de Recrutamento 2011”. Isso já era suficientemente intrigante para que um dos funcionários retirasse o email da caixa de lixo e clicasse no anexo, que era uma planilha do Excel intitulada “2011 Recruitment plan.xls”.

A planilha continha um exploit zero- day que instalava uma backdoor através de uma vulnerabilidade do Adobe Flash (CVE- 2011-0609). A Adobe acabou de lançar um patch de emergência zero-day. O exploit injetou códigos maliciosos no PC do funcionário, permitindo acesso total à máquina. O atacante nesse caso instalou uma ferramenta de administração remota conhecida como Poison Ivy RAT variant. Se você está familiarizado com APTs, reconhecerá a Poison Ivy, que já foi muito utilizada em outros ataques, incluindo o GhostNet.

A importância da rápida detecção 

A próxima fase da APT é se mover lateralmente dentro da rede. Isso porque os pontos iniciais de entrada nem sempre são suficientemente estratégicos para o atacante. Eles precisam de usuários com mais acessos, mais direitos sobre a administração de serviços e servidores relevantes. É por isso que, ao falhar na prevenção da fase de engenharia social, é tão importante detectar a invasão rapidamente.

Em muitas das APTs divulgadas nos últimos 18 meses os atacantes tiveram meses para navegar pela rede através do usuário atacado, mapeando a rede e os recursos disponíveis, e procurar um caminho para atingir os ativos desejados. Depois eles utilizam as contas afetadas, juntamente com várias outras táticas, para ganhar acesso aos usuários mais estratégicos.

No caso dos ataques a RSA, a linha do tempo era mais curta, mas assim mesmo houve tempo para que os atacantes identificassem e ganhassem acesso aos usuários mais estratégicos. Primeiro os atacantes coletaram credenciais dos usuários comprometidos (usuário, domain admin, e service accounts). Eles realizaram uma escalação privilegiada de usuários não administrativos nos sistemas-alvo, e depois moveram-se para ganhar acesso aos alvos-chaves, o que incluem experts em processos e administradores de servidores de TI e não TI.

A terceira fase 

Se o atacante achar que pode existir no ambiente sem ser detectado, ele pode continuar no modo discreto por um bom período. Se ele achar que está correndo risco de ser descoberto, ele se move mais rapidamente e completa a terceira e mais barulhenta fase do ataque. (...)

Na terceira fase do APT, o alvo é extrair o que puder. O atacante da RSA estabeleceu acesso aos servidores de teste e pontos chaves de agregação; isso foi feito para se preparar para a extração. Depois ele foi ao servidor de interesse, removeu dados e os moveu para os servidores internos de teste, onde os dados foram agregados, comprimidos e encriptados para a extração. Em seguida, o atacante utilizou o FTP para transferir arquivos RAR de senha protegidas do servidor de arquivos da RSA para um servidor de testes externo, comprometendo máquinas do provedor hosting. Esses arquivos foram subsequentemente puxados pelo atacante e removidos do servidor externo comprometido para eliminar qualquer rastro do ataque.

Eu espero que essa descrição ofereça informações que possam ser usadas para entender o que está acontecendo e as correlacionar com outras APTS. Na RSA, já estamos aprendendo rapidamente, promovendo tanto mudanças de curto prazo até passos largos para estabelecer uma completa doutrina de defesa.

Seguem 3 URL associadas ao atacante em questão:
  • Good[DOT ]mincesur[DOT ]com 
  • up82673[DOT]hopto[DOT]org 
  • www[DOT ]cz88[DOT ]net

quinta-feira, 10 de novembro de 2011

Qual é o meu papel nessa história?

Por Roberta Maia*


Durante a cobertura do evento ICCyber 2011, em Florianópolis, como assessora de imprensa da TechBiz Forense Digital,  escutei em mais de uma palestra a constatação ou o apelo de que o combate aos crimes digitais deve mobilizar toda a sociedade, e não só as empresas, governos e forças da lei. Só para exemplificar, seguem dois depoimentos coletados durante o evento:

¨A sociedade inteira está envolvida nisso e é preciso montar um sistema de defesa em que todos estejam envolvidos e se comunicando. É uma tarefa complexa¨, Giovani Thibau, diretor da TechBiz Forense Digital.

"O governo não pode lidar com isso sozinho. É preciso um plano de choque imediato e a única força é unir poder público, privado e sociedade civil”, Oscar Eduardo Ruiz Bermudez, diretor da empresa colombiana Internet Solution.

Essa necessidade de engajamento da sociedade como um todo também está presente no relatório da InSa (National Security Alliance’s Cyber Council), organização norte-americana de inteligência e segurança que diz:

“Entidades sociais estão intrinsicamente relacionadas quando se trata da arena cibernética e por isso precisam adotar soluções coletivas para que elas possam ser efetivas”. E o documento questiona: “A comunidade está suficientemente informada sobre as ameaças cibernéticas em larga escala?” 

Como usuária de computador e derivados (tablets e smartphones) fico me perguntando como posso contribuir de fato para minimizar os impactos de crimes e ataques virtuais, além dos tradicionais cuidados para evitar ser vítima de vírus, phising etc. E jogo essa pergunta para os que me leem. Como?

 * Roberta Maia é assessora de comunicação do Grupo TechBiz. Formada em jornalismo pela PUC Minas, já trabalhou nos cadernos de tecnologia, veículos e cultura do jornal O Tempo. É especializada em Arte e Filosofia pelo curso de pós-graduação lato sensu da PUC Rio.

quinta-feira, 3 de novembro de 2011

[SIEM] Correlacionamento de Eventos

Luiz Sales Rabelo*

Independentemente do tamanho, as empresas de hoje encaram ameaças sérias e crescentes, tais como cibercriminosos em busca de seus dados confidenciais ou tentando inviabilizar o acesso a sistemas críticos. Os perfis dessas ameaças estão sempre evoluindo e crescendo em grau de sofisticação, mas ainda assim há muita ameaça interna: se a empresa permite que seus funcionários tenham acesso a dados da corporação, então ela está exposta a furto de dados corporativos e dados confidenciais de clientes.

Outro ponto muito importante nos negócios atuais é o atendimento a regulamentações impostas por organizações internacionaios e países, dentre as quais, podemos destacar: SOX, PCI-DSS, FISMA, GLBA, HIPAA, Basel, etc.. Estar em conformidade (compliance) com estas regulamentações possibilita a concretização de novos negócios e dá mais confiança e credibilidade aos parceiros. Mas como tentar evitar fraudes e ainda estar em conformidade com tantas regras?

A ArcSight tem a as respostas, e uma delas é o Correlacionamento de Eventos, também conhecido pela sigla SIEM (Security Information and Event Management). Eventos (ou logs) são registros, normalmente armazenados em arquivos de texto simples ou em banco de dados, que armazenam tudo o que se passa em sistemas informatizados.


"Já imaginou a quantidade de logs de eventos que os sistemas de uma grande corporação geram? Esses logs, isolados, podem nos dizer muito a respeito das ferramentas que os geraram. Combinados então, são capazes de nos informar exatamente quem, como e onde determinada situação ocorreu."


A correlação desses eventos possibilita a reconstrução de um cenário passado, mostrando o que efetivamente ocorreu com um sistema computacional em outro momento. Por exemplo, cruzando as informações de eventos, é possível detectar que o funcionário JOÃO, do financeiro, não passou pela catraca da portaria, não passou pelo relógio de ponto, mas está acessando o ERP da empresa. Bem, muito provavelmente, como o funcionário não passou pela catraca e nem pelo relógio de ponto, alguém está utilizando a credencial do JOÃO para acessar o ERP.

Esse é só um exemplo bobinho, mas que já demonstra muito bem os poderes do correlacionamento dos eventos. Já imaginou a quantidade de logs de eventos que os sistemas de uma grande corporação geram? Esses logs, isolados, podem nos dizer muito a respeito das ferramentas que os geraram. Combinados então, são capazes de nos informar exatamente quem, como e onde determinada situação ocorreu.




*Luiz Sales Rabelo é analista de Segurança e consultor em computação forense da Techbiz Forense Digital. Desde outubro de 2010, é instrutor autorizado pela AccessData a transmitir os conhecimentos sobre a ferramenta FTK 3. É MCP (Microsoft Certified Professional) e ACE (AccessData Certified Examiner).Autor do blog: http://forensics.luizrabelo.com.br/ 

terça-feira, 25 de outubro de 2011

Segurança e Defesa Cibernética: Recursos Humanos

Sandro Süffert*

O maior desafio ao tentar desenvolver capacidades de Segurança e Defesa Cibernética não é técnico, comercial ou processual, e sim humano. Isto é verdade em todos os níveis, desde pequenas empresas, passando por grandes organizações públicas e privadas, incluindo países inteiros.

A diferenciação entre "Segurança" e "Defesa" tem sido definida pela esfera - civil ou militar - das ações  de proteção, detecção ou reação executadas. Porém isto se dificulta em um cenário como a Internet, em que a dificuldade de atribuição de responsabilidade é imensa (ver final do post).

O problema é global. Ações de espionagem industrial direcionadas a informações estratégicas e infraestruturas críticas são os acontecimentos mais comuns nesta esfera. Os Estados Unidos recentemente sugeriu oficialmente uma "pressão diplomática" juntamente com seus aliados na Ásia e Europa, para que os chineses assumam responsabilidade por ações que são contínuas - e documentadas em incidentes como GhostNet, Aurora, Shady Rat, Kneber, Night Dragon - entre outros.

Além disso, o desafio político é muito grande: como coordenar iniciativas de resposta e troca de informações sobre ameaças entre forças armadas, empresas públicas e privadas (muitas envolvendo concessões de exploração de infraestruturas críticas)?

Uma coisa é certa: mais importante do que adquirir ou desenvolver qualquer tecnologia é conseguir treinar os recursos humanos necessários e priorizar a atenção nas ameaças reais de uma organização (aos interessados, leia mais sobre este tema nestes dois artigos).

Um exemplo da complexidade de se preparar adequadamente para o tema "Segurança Cibernética"
é o documento Identity & Information Assurance Related Policies and Issuances (pdf). Trata-se de um excelente gráfico que organiza e aponta para os inúmeros textos de regulamentações e guias sobre Segurança da Informação no governo federal norte-americano.

Se depois de ver este gráfico você ainda não se convencer da complexidade do assunto, gostaria de citar um trecho dito pelo guru Dan Geer - que nos lembrou disso durante sua palestra na Source Boston de '08:

"Security is perhaps the most difficult intellectual profession on the planet.  The core knowledge base has reached the point where new recruits can no longer hope to be competent generalists, serial specialization is the only broad option available to them."

Para completar as referências sobre a complexidade e a necessidade de formação de mão de obra adequada para operar CiberSegurança e/ou CiberDefesa: há cerca de um ano, uma comissão responsável por assessorar a presidência norte-americana sobre o tema publicou um interessante documento intitulado "A Human Capital Crisis in CyberSecurity" (pdf).

Uma das conclusões do relatório é a seguinte: incluindo todos os profissionais de áreas governamentais (incluindo militares) e civis nos nos Estados Unidos, existem hoje apenas 1.000 (mil) profissionais devidamente treinados e habilitados a trabalhar com "CyberSecurity" por lá. Para uma adequada preparação na área de Defesa Cibernética, o estudo indicou uma necessidade atual de 30 mil pessoas.

Enquanto isto, no Brasil...

Dentre as iniciativas feitas até o momento pelo Centro de Defesa Cibernética (CDCiber) - cujo núcleo está em organização deste Agosto deste ano -, está a previsão de criação da Escola Nacional de Defesa Cibernética (pdf).

Objetivo: "conceber Instituição de Ensino de presença nacional, que tenha como foco formar e capacitar profissionais para exercerem funções específicas na manutenção da defesa cibernética, contribuindo com a segurança cibernética das infraestruturas críticas nacionais, por meio da inclusão da sociedade nas atividades do Setor Cibernético."

Ações Estratégicas: "criar a Escola Nacional de Defesa Cibernética (EsNaDCiber), fomentar a parceria entre a Escola e as instituições de ensino públicas e privadas, fomentar a parceria entre a Escola e entidades públicas e privadas, capacitar profissionais para atuarem na segurança e na defesa cibernética das infraestruturas críticas nacionais, incentivar a participação do MEC e do MCT no aprimoramento do projeto, identificar as melhores práticas no emprego das novas tecnologias de ensino, quantificar as demandas de pessoal a qualificar, identificar competências existentes para atuar no setor, identificar cursos já existentes que atendam às demandas prementes, implementar cursos de demanda premente, visando atender às necessidades de curto prazo, sugerir ao MEC a implementação de ações educacionais de fomento na área de segurança e defesa cibernética."

Existem diversas universidades que potencialmente podem auxiliar este projeto relacionado à Segurança das Informações e Comunicações: Unb, Unicamp, USP, UFPel, UFSM, ITA, IME, UECE, UFPE  - apenas para citar algumas mais ativas no setor (* veja update abaixo para uma lista mais completa).

Além disto, diferentes órgãos de governo possuem material humano com expertise para auxiliar a iniciativa: Ministério da Defesa (Exército, Marinha, Aeronáutica), Presidência da República (Secretaria de Assuntos Estratégicos, Agência Brasileira de Inteligência, Gabinete de Segurança Institucional - DSIC/CTIR), Ministério da Justiça (Departamento de Polícia Federal, Procuradoria Geral da República), Ministério do Planejamento, Ministério da Educação (RNP), Ministério de Ciência e Tecnologia (Secretaria de Politica de Informática, Comitê Gestor da Internet no Brasil - CERT.BR).

Listando rapidamente (e não exaustivamente) apenas algumas das diferentes especialidades necessárias para formar e suportar times complexos de cibersegurança. É possível visualizar a dificuldade de contratação (e/ou coordenação) deste grupo de profissionais (aproveito para listar algumas referências profissionais e organizacionais brasileiras com experiência comprovada nas áreas listadas).

   1. Análise de Malware e Engenharia Reversa (Febraban, GAS, Ronaldo Lima, Fábio Assolini, Pedro Bueno, Ranieri Romera, Guilherme Venere, Tiago Assumpção)
   2. Análise de Risco (Módulo, Axur)
   3. Análise de Vulnerabilidades em Hardware (CEPESC, ..)
   4. Conscientização de Segurança (Anderson Ramos, Patrícia Peck)
   5. Correlação de Eventos de Segurança (Luiz Zanardo, Marcelo Souza, Janilson Correia, Daniel Cid)
   6. Criptografia (Routo Terada, ABIN, Cryptus, eSEC, José Gondim)
   7. Direito Digital (Opice Blum, Coriolano Camargo, Atheniense, Omar Kaminski, José Milagre)
   8. Resposta a Incidentes (Jacomo Picolini, Klaus Jessen, Cristine Hoepers)
   9. Forense Computacional (SEPINF, Techbiz Forense, DataSecurity, Tony Rodrigues, Marcelo Caiado, William Teles)
  10. Pentesting (Wendel Henrique, Rodrigo Rubira, Felipe Balestra, Joaquim Espinhara, Rafael Ferreira)
  11. Segurança de Sistemas Embarcados (Alberto Fabiano, Rodrigo Almeida, Sérgio Prado)
  12. Segurança de Sistemas Operacionais (Fernando Cima, Jeronimo Zucco, Marcelo Tossati)
  13. Segurança de Aplicações Web (Wagner Elias, Lucas Ferreira, Thiago Zaninotti)
  14. Segurança de Backbone (Daniel Kratz, Karlos Correia, Kleber Carriello)
  15. Segurança de Sistemas SCADA (Marcelo Branquinho, ..)
  16. Segurança de Rede (Aker, Breno Silva, Frank Ned, ..)
  17. Segurança de Redes Wireless (Nelson Murilo, Leonardo Militelli, ..)

PS: Estas lista de áreas e referências acadêmicas, governamentais e empresariais se iniciou a partir de referências pessoais e aguardo sugestões (especialmente para os tópicos com reticências ...) para atualizar a lista com nomes que os leitores podem incluir nos comentários, abaixo.

Aos interessados em se atualizar no assunto "Segurança e Defesa Cibernética), seguem 10 artigos -  recheados de informações e links - publicados recentemente aqui no blog com assuntos relevantes à Segurança e Defesa Cibernética:

    * http://sseguranca.blogspot.com/2011/02/revista-info-fev2011-quando-bits-viram.html
    * http://sseguranca.blogspot.com/2011/07/i-jornada-de-trabalho-de-defesa.html
    * http://sseguranca.blogspot.com/2011/09/diginotar-cassl-e-netnames-dns-ataques.html
    * http://sseguranca.blogspot.com/2010/07/0day-lnk-infocon-amarelo-senha-default.html
    * http://sseguranca.blogspot.com/2011/05/empreiteira-militar-americana-atacada.html
    * http://sseguranca.blogspot.com/2011/04/aprendendo-com-o-ovo-do-cuco-cuckos-egg.html
    * http://sseguranca.blogspot.com/2010/01/china-vs-google-e-cia-ou-nao-ha-como.html
    * http://sseguranca.blogspot.com/2009/03/ghostnet-possivel-espionagem.html
    * http://sseguranca.blogspot.com/2009/01/governo-obama-lista-cybersecurity-como.html
    * http://sseguranca.blogspot.com/2011/08/timeline-da-cobertura-de-ataques.html

Como contribuição, segue algum material sobre treinamento na área já publicado por aqui:

    * http://sseguranca.blogspot.com/2009/12/livros-de-seguranca-resposta-incidentes.html
    * http://sseguranca.blogspot.com/2009/03/material-de-treinamento-para-equipes-de.html
    * http://sseguranca.blogspot.com/2010/12/preparacao-de-equipes-na-area-de.html



(*)

Através da COMSIC, o José Eduardo Brandão, do IPEA, colaborou com a lista de outras universidades ainda não citadas, a partir de um levantamente feito em dezembro de 2010:


Centro Universitário do Pará, Faculdade de Tecnologia e Ciências, Faculdade Estácio, Faculdade Paraíso do Ceará, Faculdades Integradas Rio Branco, FURB - Universidade Regional de Blumenau, IFES, IFPR, IFRS, IFSC, IME, Instituto Federal Catarinense Campus Videira, Instituto Federal de Goiás, Instituto Federal de Mato Grosso, IPEA, IPT, ITA, PUCPR, PUCRS, SENAC, SENAC/RS, UDESC, UECE, UENP, UESPI, UFABC, UFAM, UFBA, UFCG, UFF, UFMA, UFMG, UFMT, UFPI, UFPR, UFRGS, UFRN, UFRJ, UFPE, UFSC, UFSE, UFSM, UFU, UnB, UNESP, UniCEUB, Unibalsas, Unicamp, UNIFACS , UNIJORGE, UNIMEP/FATEC, Uninove, UNISINOS, Unisul, UNIVALI, Universidade Católica de Brasília, Universidade Cruzeiro do Sul, Universidade do Estado de Mato Grosso, Universidade Estadual de Maringá, USP e UTFPR.


Como referência, os Estados Unidos possuem uma iniciativa que lista "Centros de Excelência" acadêmica em "Information Assurance" publicada em http://www.nsa.gov/ia/academic_outreach/nat_cae/institutions.shtml


* Sandro Süffert é CTO (Chief Technology Officer) da Techbiz Forense Digital, consultor em computação forense e professor convidado pela Universidade de Brasília, departamento de Engenharia Elétrica, do curso de pós-graduação em Computação Forense. Desde 2006 é membro da HTCIA (High Technology Crime Investigation Association) e é autor do blog de segurança http://blog.suffert.com. É profissional certificado em ACE (AccessData Certified Examiner); ACIA (ArcSight Certified Integrator/Administrator); ACSA (ArcSight Certified System Analyst); EnCE (Encase Certified Examiner), entre outras.

quinta-feira, 22 de setembro de 2011

Forense de Registro Windows

Por Sandro Süffert*

Há dois meses divulguei um material (109 pag.) sobre Forense de Memória, tanto no blog da Techbiz Forense Digital quanto no blog SSegurança. Como o feedback foi muito positivo, resolvi também publicar por aqui o material que preparei sobre Forense de Registro Windows (83 pag.).

VEJA A APRESENTAÇÃO


Livros: 

I - Windows Forensic Analysis v2, Harlan Carvey Capítulo 3 – Windows Memory Analysis, Capítulo
4– Registry Analysis

II - EnCE – The Official Encase Certified Examiner Study Guide, 2ndEdition, Steve Bunting Capítulos 3 – First Response e 9 – Windows Operating System Artifacts e 10 – Advanced Windows - Registry

III - Malware Forensics – Investigating and Analyzing Malicious Code, James Aquilina, - Eoghan Casey, Cameron Malin Capítulos 3 – Memory Forensics: Analyzing Physical and Process Memory Dumps e 9 – Analysis of a Suspect Program

IV – Microsoft Windows Registry Guide, 2nd Edition

V - "Registry Forensics" de Harlan Carvey <= :http://www.amazon.com/Windows-Registry-Forensics-Advanced-Forensic/dp/1597495808

Papers / Documentações: 

“Inside the Registry” Windows NT Magazine – Mark Russinovich
http://technet.microsoft.com/en-us/library/cc750583.aspx

Windows 7 UserAssist Registry Keys - Didier Stevens: Into The Box Magazine. http://intotheboxes.wordpress.com/2010/04/05/into-the-boxes-issue-0x1/

Guide To Profiling USB Device Thumbdrives and Drive Enclosure on Win7, Vista, and XP http://blogs.sans.org/computer-forensics/files/2009/09/USBKEY-Guide.pdf http://blogs.sans.org/computer-forensics/files/2009/09/USB_Drive_Enclosure-Guide.pdf

RegRipper Documentation -http://regripper.net/RR/Documents/Documents.zip - Registry Reference Deleted Apps ACMRU Windows Forensic Analysis -RegRipper version 2.02 Cheat Sheet

AccessData Registry Viewer Documentationhttp://www.accessdata.com/supplemental.html Registry Quick Find Chart Registry Offset UserAssist Registry Key

Forensic Analysis of the Windows Registry in Memory - Brendan Dolan-Gavitt: http://www.dfrws.org/2008/proceedings/p26-dolan-gavitt.pdf

Recovering Deleted Data From the Windows Registry - Timothy Morgan: http://www.dfrws.org/2008/proceedings/p33-morgan.pdf

Forensic Analysis of Unnalocated Space in Windows Registry Hive Files – Jolantha Thomasen (University of Liverpool) http://www.sentinelchicken.com/data/JolantaThomassenDISSERTATION.pdf

Ferramentas:

1) Virtual Machines: 

1.0) VMWare Workstation, Server ou Player:http://www.vmware.com
1.1) VM SIFT Workstation 2.0: https://computer-forensics2.sans.org/community/siftkit/

2) Ferramentas Free/GPL:

2.1 - FTKImager -http://www.accessdata.com/downloads.html#FTKImager
2.2 - Process Monitor - Sysinternals -http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx 2.3 – Reg Ripper (+ RegSlack, + RegScan, +RipXp) -http://regripper.net/?page_id=150
2.4 – Registry Viewer - AccessData:http://www.accessdata.com/downloads.html#ForensicProducts 2.5 – Registry Summary Report Files - AccessData:http://www.accessdata.com/downloads/rsrfiles/AllRSRFiles.zip
2.6 – RegExtract (GUI/CLI) – WoanWare:http://www.woanware.co.uk/downloads/
2.7 – RegShot - http://sourceforge.net/projects/regshot/files/
2.8 – RegLookup -http://projects.sentinelchicken.org/reglookup/download/
2.9 – USBDeview -http://www.nirsoft.net/utils/usb_devices_view.html
2.10 – USBDeviceForensics -http://www.woanware.co.uk/usbdeviceforensics/
2.11 – UserAssist -http://blog.didierstevens.com/programs/userassist/
2.12 – FGET – https://www.hbgary.com/community/free-tools/
2.13 – TimeLord -http://computerforensics.parsonage.co.uk/timelord/timelord.htm
2.14 – MiTec Windows Registry Recovery –http://www.mitec.cz/wrr.html

3) Ferramentas Comerciais: 

3.1 – AccessData FTK 3.1 + Registry Viewer –http://www.accessdata.com
3.2 – Encase Forensics 6.17 – http://www.guidancesoftware.com UserAssist Decoder V3.3 Enscript -https://support.guidancesoftware.com/forum/downloads.php?do=file&id=832 (requer acesso ao suporte da Guidance) Registry Examiner Enpack -https://support.guidancesoftware.com/forum/downloads.php?do=file&id=752 (requer acesso ao suporte da Guidance)


* Sandro Süffert é CTO (Chief Technology Officer) da Techbiz Forense Digital, consultor em computação forense e professor convidado pela Universidade de Brasília, departamento de Engenharia Elétrica, do curso de pós-graduação em Computação Forense. Desde 2006 é membro da HTCIA (High Technology Crime Investigation Association) e é autor do blog de segurança http://blog.suffert.com. É profissional certificado em ACE (AccessData Certified Examiner); ACIA (ArcSight Certified Integrator/Administrator); ACSA (ArcSight Certified System Analyst); EnCE (Encase Certified Examiner), entre outras.

quinta-feira, 15 de setembro de 2011

A hora da ciberinteligência

Por Roberta Maia*

Relatório da InSA alerta sobre a importância de enxergar o problema da cibersegurança como um todo e não mais em partes para reduzir conflitos cibernéticos, roubos, sabotagens e espionagem 


O National Security Alliance’s (InSA) Cyber Council, organização norte-americana de inteligência e segurança, acaba de publicar o primeiro de vários relatórios destinados a ampliar a visão dos tomadores de decisão da indústria e do governo sobre a importância do desenvolvimento de uma “inteligência cibernética”. O intuito é discutir porque é necessário investir na chamada “cyber intelligence” e incitar reflexões sobre como garantir uma visao estratégica sobre as ameaças do mundo virtual. Depois de uma análise minuciosa do contexto cibernético (vale a pena ler o relatório), a InSA chega a algumas conclusões.

A primeira delas é sobre a importância de um trabalho coletivo, que envolva a parceria publico-privada e o ambiente acadêmico. O relatório diz: “é preciso formar uma comunidade de ciberinteligência: governo, provedores de internet e de telecomunicações, CERTs, e outras entidades formais de segurança da informação, além de companhias e vendedores especializados.” Essas entidades sociais estão intrinsicamente relacionadas quando se trata da arena cibernética e por isso precisam adotar soluções coletivas para que elas possam ser efetivas. E a InSA exemplifica: ataques em infraestrutura crítica de uma nação, como eletricidade, podem afetar hospitais, serviços de emergência e outras vítimas não intencionais.

Espaço complexo 

Essa visão holística do problema também deve direcionar a análise e a investigação dos crimes digitais. “O ambiente cibernético, acoplado com a tecnologia, tem criado um novo e multidimensional espaço de ataque. Existe uma interconexão entre as camadas espacial, físico, lógica e a social, pelas quais o adversário se move impunemente. A complexidade desse espaço de ataque demanda dos investigadores uma compreensão das relações existentes entre essas camadas e uma capacidade de apontar a origem do perpetrador e sua intenção.” Os perfis dos adversários são variados. A idade é irrelevante e não existem limites geográficos ou motivos definidos.

A ameaça pode vir de um adolescente sem antecedentes criminais ou de grupos terroristas que usam a internet para conduzir as suas operações. Estados-Nações podem usar a internet para conduzir espionagem, roubo de propriedade intelectual, operações ofensivas, como interrompimento de linhas de comunicação ou dos meios de comunicação.


"Para que essa análise em conjunto seja efetiva, para que haja uma aproximação inteligente do problema, é preciso ter informações completas, acuradas, oportunas sobre as ameaças. Nesse sentido o relatório da InSA reforça, indiretamente, a importância do trabalho desenvolvido pela TechBiz Forense Digital."


As motivações também são variadas: simples curiosidade, interesses financeiros ou intelectual, desejo de prejudicar uma instituição ou estado. Os alvos podem ser indivíduos, instituições comerciais, infraestrutura e nações. E a InSA alerta: “Os atacantes estão migrando dos simples ataques por negação de serviço para outros mais complexos”, e refere-se ao Stuxnet.

Leis
As regulamentações nacionais e internacionais também devem caminhar em conjunto com as demandas das demais instituições sociais. Regras, protocolos, padrões e leis ainda são insuficientes e desconectados, para não dizer, conflitantes. E o relatório enfatiza a importância de desenvolver estratégias, políticas, doutrinas, leis e promover o engajamento global na discussão de caminhos que gerem mais estabilidade e segurança na arena cibernética. Fóruns e comissões internacionais são importantes para estudar a demanda da cyber intelligence e o valor adicionado da cibersegurança.

Para que essa análise em conjunto seja efetiva, para que haja uma aproximação inteligente do problema, é preciso ter informações completas, acuradas, oportunas sobre as ameaças. Nesse sentido o relatório da InSA reforça, indiretamente, a importância do trabalho desenvolvido pela TechBiz Forense Digital. A InSa afirma que é preciso:

  • Identificar continuamente vetores atuais e emergentes de ameaças. 
  • Identificar em profundidade as especificações técnicas de um ataque cibernético, incluindo questões da cadeia de suprimento, caminhos a serem explorados, natureza e características das infeções, fragilidades dos sistemas/produtos, efeitos e planos antecipados ou atividades em andamento. 
  • Ter controle da situação, identificar que tipo de atividade está ocorrendo ou já ocorreu nas redes, ter consicência dos danos nas áreas e garantir o desenvolvimento e aprimoramento das defesas. 
Os apontamentos do INSA’s Cyber Council ajudam a lidar com um problema cuja gravidade pode ser melhor sentida com os numeros envolvendo os ciberataques, mesmo que essas avaliações ainda sejam pouco acuradas.  As estimativas variam de pesquisa para pesquisa.

“Kshetri (2010) estimou em um estudo do FBI/McAfee custos anuais de US$ 400 bilhões gerados pelo cibercrime aos Estados Unidos. Anderson (2010) estima que o potencial de perdas em um ataque cibernético bem-sucedido em uma infraestrutura de petróleo do Reino Unido está na ordem de centenas de bilhões de dólares.” Vale destacar outro dado do relatório: “o documento Federal Information Security Market 2010-2015 indica que a demanda por produtos e serviços de segurança da informaçãoo irá crescer de US$ 8,6 bilhões em 2010 para R$ 13,3 bilhões em 2015, com taxas anuais de crescimento de 9,1%.”

Para fazer jus à seção Ponto de Vista, colocamos na roda perguntas levantadas no relatório para que você opine e comente:

  • Será que a pressa em obter lucros nos mercados da Era da Informação está nos conduzindo para um abismo, fazendo-nos ignorar, subestimar ou restringir as verdades inconvenientes do mundo cibernético que garantem a segurança da informação?

  • Os nossos esforços de inovação estão tão centrados no mercado e em novas funcionalidades que não podemos, simultaneamente, inovar em algum nível (baixo, médio ou alto) de segurança da informação e garantir maior rigidez nos processos? 

  • A comunidade está suficientemente informada sobre as ameaças cibernéticas em larga escala? 
* Roberta Maia é assessora de comunicação do Grupo TechBiz. Formada em jornalismo pela PUC Minas, já trabalhou nos cadernos de tecnologia, veículos e cultura do jornal O Tempo. É especializada em Arte e Filosofia pelo curso de pós-graduação lato sensu da PUC Rio.

quinta-feira, 25 de agosto de 2011

Análise de evidências embutidas em imagens


Luis Sales Rabelo*

OCR, sigla em inglês para Optical Character Recognition, é uma tecnologia que permite reconhecer caracteres de texto em imagens, transformando-nos em texto editável. Esta tecnologia é muito popular hoje em dia, pois a grande maioria dos scanners acompanha pelo menos um programa de OCR, que pode ser usado para obter texto de páginas impressas, substituindo a digitação manual.

As fontes True Type utilizadas pelos editores de texto são gravadas em modo vetorial, uma descrição matemática das curvas e linhas que compõem o caracter. Esse recurso permite que o tamanho da fonte seja alterado livremente, sem perda de qualidade. Um programa de OCR atua basicamente comparando os caracteres digitalizados com estas fontes gráficas.





Inicialmente, o programa examina a página para mapear os espaços em branco, reconhecendo títulos, colunas, parágrafos e imagens, o que permite manter a ordem correta do texto. Programas de OCR mais avançados, são capazes de manter toda a formatação da página. O segundo passo, consiste em comparar cada caracter com modelos de fontes suportadas pelo OCR. Havendo uma certa porcentagem de coincidência, o caracter é reconhecido. Como este primeiro processo demanda uma semelhança muito grande entre as fontes e os caracteres digitalizados, muitos acabam não sendo reconhecidos. Mas ainda não é o fim do mundo =)

Nos caracteres não reconhecidos, é aplicado um segundo processo bem mais minucioso, que consiste em analisar geometricamente cada caracter, calculando a altura, largura, e combinações de retas, curvas e áreas em branco. Novamente, é usada a lei da probabilidade: um caracter com uma curva em forma de meia lua que continua na forma de uma reta, por exemplo, tem uma grande chance de ser um "d" minúsculo.

Esse segundo processo é muito mais demorado, pois para cada letra é preciso gerar todo um novo conjunto de caracteres gráficos. Se mesmo com o exame minucioso, não for possível reconhecer o caracter, o programa poderá utilizar um corretor ortográfico para corrigir erros bobos, ou preecher espaços vazios. Com a ajuda do corretor, "Ca1e-se" seria substituído por "Cale-se" e "Paralele#Ìpe~o" seria alterado para "Paralelepípedo".

Uma última alternativa para reconhecer caracteres ilegíveis, pode ser mostrar individualmente o bitmap de cada caracter não reconhecido e, pedir ao usuário que o substitua pela letra correspondente, ou então, simplesmente, usar um s;imbolo como ~,% ou # no lugar do caractere para que o usuário possa corrigir o erro manualmente depois.

Em computação forense, algumas vezes nos deparamos com casos que a evidência principal está embutida em uma figura, como por exemplo um print screen de uma tela suspeita, ou várias paginas digitalizadas de um arquivo. Esses conteúdos dos arquivos de imagens não são responsivos a uma busca por palavra-chave.



Print Screen, você está fazendo isso errado...


Para resolver esta questão, a AccessData implementou o recurso OCR que reconhece caracteres dentro de um arquivo de imagens e fotos no HD suspeito. Seu uso é bastante simples, e uma vez processado e indexado, o FTK utiliza o Index Search para que as palavras sejam localizadas nas figuras. Para processar as evidências com o OCR, o perito deve, ao adicionar a evidência, clicar em "Refinement Options":




Depois de abrir o "Refinement Options"o perito deve marcar a opção "Optical Character Recognition" e depois clicar em "OCR Options...".










Como se pode ver, na tela OCR Options o perito pode escolher os tipos de arquivos que serão analisados pela engine do OCR. O engine é o algorítimo que será utilizado para processar os arquivos. Dependendo da sua licença, estará disponível o Tesseract (http://4n6.cc/QdPt6) ou GlyphReader (http://4n6.cc/3dT2W).




Depois de processar a evidência com a opção OCR marcada, o perito deve ir até o Index Search para fazer sua busca.


A pesquisa é feita normalmente sem distinção entre busca em arquivo de texto e arquivo de imagem. Simples, basta processar o caso/evidência com OCR e depois realizar as buscas desejadas. Caso a palavra-chave seja encontrada em um arquivo gráfico, este arquivo será responsivo ao critério de busca!

Veja uma demonstração do recurso no vídeo a seguir:








*Luiz Sales Rabelo é analista de Segurança e consultor em computação forense da Techbiz Forense Digital. Desde outubro de 2010, é instrutor autorizado pela AccessData a transmitir os conhecimentos sobre a ferramenta FTK 3. É MCP (Microsoft Certified Professional) e ACE (AccessData Certified Examiner).Autor do blog: http://forensics.luizrabelo.com.br/


segunda-feira, 22 de agosto de 2011

Por que precisamos mais do que sistemas de prevenção de ataques?


Por Rodrigo Antão*

Em eventos, happy hours, reuniões de negócio que tenho feito com profissionais de segurança da informação tenho me deparado com um número cada vez maior de profissionais muito confortáveis com suas estruturas de prevenção de incidentes.

Trabalhando com soluções de resposta a incidentes e forense computacional há algum tempo acabo passando por arauto do mau agouro. Sempre tento contemporizar as conversas com os fatos recentes, amplamente divulgados na mídia, dos ataques contra empresas e governos do mundo todo. Quando levanto essas situações os profissionais de segurança e TI sempre trazem números e estatísticas que mais parecem vir da boca de analistas de mercado financeiro: “...tantos por cento de block..”, “... tendência de queda...”.

A solução que mais tenho ouvido sobre defesas grandiosas é o DLP (Data Loss Prevention) ou Prevenção a Vazamento de Dados. Tive algumas experiências com diretores e vice-presidentes de grandes empresas brasileiras que me deram aulas de DLP, com todos os argumentos de venda da solução (ponto pro time de marketing deles). Em vários casos parece que eles me chamaram – um cara de reação e defesa – para confirmar a boa escolha que fizeram.

Nas primeiras reuniões quase me convenci que o mundo havia realmente virado uma réplica do Éden e que agora todos as informações estavam para sempre a salvo dos incautos fraudadores internos.

Estive um dia desses numa grande empresa do ramo financeiro em São Paulo, fui falar com o Diretor de Riscos e Compliance. Para cada item da apresentação que eu fazia ele apontava uma das funcionalidades do DLP que estava implementando, tipo: “Isso eu faço com DLP Data in Motion, aquilo eu faço com DLP Data at Rest, aquilo outro eu coloco um agente no servidor e resolvo...”. Confesso que fiquei muito feliz, há anos não via tamanha defesa tecnológica por parte de um cliente. Sinal de maturidade e desejo real de entender o que precisa ser feito para mitigar os problemas internos por meio da tecnologia. Mas algo ali ainda não estava certo.

Essas situações me remetem à palestra de Bruce Schneier, o papa da segurança da informação, no TED - Ideas Worth Spreading: “The Security Mirage”. Schneir diferencia a sensação de segurança com a realidade e alerta: “Você pode se sentir seguro, mesmo que não esteja; e você pode estar seguro, mesmo que não sinta”.

Você pode se sentir seguro quando tranca a porta da sua casa, mas você está realmente seguro? Você pode se sentir seguro quando protege os ativos de sua empresa com soluções de prevenção, mas você realmente está seguro ou é só uma sensação de segurança? O debate está posto. Posicione-se. Opine. Coloque o seu ponto de vista.

* Sobre Rodrigo Antão
Rodrigo Antão é gerente de negócios da TechBiz Forense Digital e professor do curso de pós-graduação da Faculdade Impacta. Possui mais de dez anos de experiência no mercado de tecnologia, também trabalhando como gerente de produto, gerente técnico e system engineer. É especialista em Segurança da Informação, Computação Forense, Anti-fraude e eDiscovery. É certificado no uso das seguintes tecnologias: ACE (Accessdata Certified Examiner); EnCE (Encase Certified Examiner); MCSA 2000/2003 (Microsoft Certified Systems Administrator); MCSE 2000 (Microsoft Certified Systems Engineer) e MSF Practitioner (Microsoft Solutions Framework Practitioner).




segunda-feira, 15 de agosto de 2011

Censura às redes sociais no Reino Unido

Os distúrbios no Reino Unido levaram o premier David Cameron ameaçar bloquear temporariamente as mídias sociais e torpedos. Um contrassenso. Em fevereiro, o premier elogiou o papel das mídias sociais na queda de regimes autocráticos, descrevendo-as como "uma poderosa ferramenta nas mãos de gente cansada de corrupção". Cameron ressaltara ainda que a liberdade de expressão e a internet deveriam ser respeitadas "tanto na Praça Tahrir quanto em Trafalgar Square."

A questão que se coloca hoje em Ponto de Vista é: é realmente possível cercear as mensagens em sites de redes sociais (Facebook), microblogs (Twitter) e mensageiros instantâneos (BBM - BlackBerry Messenger)? É possível monitorar continuamente todas os comentários dos usuários incitando a desordem pública? Até que ponto o rastreamento das mensagens BBM (que são privadas) para identificar os responsáveis pelos atos de vandalismo, se configura como violação da privacidade de todos os seus usuários?

Dê a sua opinião, coloque aqui o seu ponto de vista.




quinta-feira, 11 de agosto de 2011

Combate ao spear phising

*Marcelo de Souza

O termo spear phishing é relativamente antigo mas tem estado em destaque ultimamente, principalmente devido a ataques direcionados a algumas empresas e órgãos de governo. No phishing comum, um indivíduo mal intencionado envia milhares de e-mails sem um alvo específico, buscando vítimas aleatórias que possam “morder a isca”, no intuito de obter dados pessoais, senhas ou até mesmo visando disseminar malware para a criação de botnets. Já no spear phishing, a própria palavra spear (arpão, em inglês) mostra que o indivíduo tem um alvo específico em sua “pescaria”: uma ou mais pessoas que têm alguma relação com uma organização (funcionários de uma empresa, clientes estratégicos, etc.). Nesse caso, os e-mails enviados são cuidadosamente elaborados com conteúdo (modelo, assunto e informações) muito próximo do dia a dia do destinatário.

Em qualquer um dos casos de phishing, e ainda mais no spear phishing, o remetente se utiliza da engenharia social para alcançar seu objetivo. Contra isso a melhor alternativa ainda é a conscientização do usuário. Porém, como não se deve contar apenas com boas práticas dos usuários, várias soluções tecnológicas podem ajudar no combate às ameaças envolvidas.

É importante lembrar que o spear phishing é apenas parte do modus operandi de um atacante que visa comprometer a segurança ou obter informações sensíveis de uma organização. Como exemplo, os seguintes passos poderiam ser seguidos:

1) após a obtenção de dados do usuário de uma empresa alvo em fontes diversas (redes sociais, por exemplo), o atacante elabora e envia o e-mail de spear phishing contendo um arquivo PDF infectado com código malicioso para este destinatário;

2) o destinatário abre o arquivo num leitor de PDFs que possui uma vulnerabilidade não corrigida e que permite a execução do código malicioso;

3) o malware contido no PDF ou baixado da Internet pelo leitor vulnerável é executado, realizando instruções maliciosas na máquina do usuário e na rede local, ou até mesmo se comunicando com a Internet para enviar credenciais capturadas;

4) credenciais enviadas de volta para o atacante que criou o spear phishing são usadas para acesso à empresa-alvo, que permitiriam atividades diversas na rede, inclusive para vazar informações sigilosas.

Para detectar, identificar e corrigir ações decorrentes de ataques como este, a TechBiz Forense Digital oferece diversas soluções que, devidamente integradas, permitem a mitigação dos riscos associados.

Nos casos de incidentes como estes, é fundamental que exista a consciência situacional na iminência de um ataque. Para isso, produtos da NetWitness que realizam a captura de todo tráfego de rede da organização permitiriam a detecção do recebimento de e-mails com arquivos PDF anexos contendo payload malicioso. A solução NetWitness Spectrum seria capaz de analisar automaticamente o arquivo anexo ao e-mail e em tempo real alertar a presença de instruções maliciosas.

“Contra isso a melhor alternativa ainda é a conscientização do usuário. Porém, como não se deve contar apenas com boas práticas dos usuários, várias soluções tecnológicas podem ajudar no combate às ameaças envolvidas.”

Os eventos gerados pelos produtos da NetWitness poderiam ser enviados à solução de SIEM (Security Information and Event Management) da ArcSight, o ArcSight ESM, para correlação dos eventos e consequente escalonamento do incidente. Ao receber e correlacionar o evento “PDF malicioso enviado para fulano@empresa.com.br”, a solução pode ser capaz de gerar um alerta assim que o usuário acesse sua caixa de e-mails, agregando informações que possam identificar a máquina que seria infectada, e até mesmo aumentar o nível de severidade do alerta caso saiba que o software da máquina não está atualizado.O nível de detalhe dependerá da integração com outras ferramentas presentes no ambiente, tais como gateways de e-mail, scanners de vulnerabilidades, etc.

Outros níveis de defesa também seriam possíveis. As medidas citadas acima permitiriam apenas a detecção e identificação de ameaças, sendo cabível portanto outra solução de resposta que possa ser integrada às demais. Uma delas é a EnCase CyberSecurity, que responde ao incidente de infecção de uma máquina realizando a remediação e eliminação de artefatos maliciosos, permitindo também a investigação forense do ocorrido na máquina.

Na hipótese de invasão da rede interna da empresa, por conta de uma resposta inadequada ao incidente, também poderiam ser aplicadas as soluções da NetWitness e ArcSight para impedir outras consequências do ataque. Um exemplo seria impedir o vazamento de informações sigilosas. O produto NetWitness NextGen teria capacidade de detectar documentos específicos que estejam trafegando para fora da rede, informando para o ArcSight ESM que por sua vez dispararia um comando de bloqueio do tráfego no firewall, ou até mesmo de remoção do acesso da máquina à rede no switch. Tudo isso dependeria apenas da simples integração com os outros elementos de rede presentes no ambiente.

Conforme apresentado, a ameaça de spear phishing traz consigo uma série de outras ameaças que podem colocar em risco a segurança de uma organização. A TechBiz Forense Digital está apta a oferecer contra-medidas para todas elas, mitigando estes riscos com soluções integráveis para detecção, investigação e reação.

*Marcelo de Souza é consultor forense e líder técnico de soluções da ArcSight na TechBiz Forense Digital. Atua há 10 anos na área de segurança da informação, tendo trabalhado em empresas de telecomunicações e consultoria. Possui vasta experiência em detecção/prevenção de intrusões, resposta a incidentes e gestão de centros de operação de segurança (SOC).

quinta-feira, 4 de agosto de 2011

EID para análise de pornografia

* Luiz Sales Rabelo

Em computação forense, algumas vezes nos deparamos com casos que envolvem conteúdo pornográfico: seja em uma simples ação para garantir que a política de segurança da companhia esteja sendo respeitada pelos usuários ou em uma investigação mais complexa. Brincadeiras à parte, passar o dia vasculhando arquivos pornográficos pode ser desagradável ou até mesmo costrangedor...






Para resolver esta questão, o Forensic Toolkit (FTK), fornecido pela AccessData, traz um recurso muito interessante chamado EID: Explicit Image Detection. Basicamente, este é um recurso que localiza, identifica e classifica todos os arquivos de imagens (GIF, JPG, PNG, etc..) das evidências do caso em um ranking que vai de 0 (não pornográfica) até 100 (pornografia explícita). Para detecção deste conteúdo, o FTK utiliza três profiles:





  • X-DFT: profile padrão, sempre selecionado, gera um ranking bem balanceado entre velocidade e acerto.

  • X-FST: profile para varredura mais rápida. É utilizado também para gerar ranking de pastas de arquivos, baseado no número de arquivos desta pasta que alcance um score alto no ranking de pornografia. Foi desenvolvido com uma tecnologia diferente do X-DFT, para permitir uma resposta rápida em um grande volume de imagens. Devido à agilidade do algorítimo, pode mesmo ser utilizado em aplicaçõe que exigem análise em tempo real das imagens.

  • X-ZFN: profile para varredura que gera o menor número de falsos negativos, recomenda-se utilizar este profile para uma segunda análise (Additional Analysis), apenas para as pastas de arquivos identificadas como pornográficas pelo X-DFT.

Gerei uma biblioteca com algumas imagens "inocentes" e outras imagens pornográficas para analisar o comportamento da ferramenta. Para facilitar a visualização dos resultados, todas as imagens eróticas/pornográficas foram armazenadas em um diretório "have fund pics".

Neste diretório é possível perceber que o X-FST não acusou apenas uma das oito imagens potencialmente suspeitas, o que deixou o diretório com um ranking bem elevado:





Dentro deste diretório, criei outro diretório, desta vez com quatorze itens, conforme print abaixo. Novamente, apenas uma pequena parcela (três imagens) foram "ignoradas" pela ferramenta, mantendo um nível de acerto muito satisfatório:






O teste que eu fiz contou também com outras imagens, em outros diretórios, com conteúdo "inocente". Os resultados foram os seguintes:

  • De 160 imagens não pornográficas, o sistema acusou 21 falsos positivos

  • De 23 imagens pornográficas, o sistema acusou 4 falsos negativos (sendo que duas são imagens em b&w)

Resultado final: de 183 imagens utilizadas para o teste, o sistema me indicou 40 (19 realmente pornográficas e 21 falsos positivos) imagens para serem analisadas, ou seja, aproximadamente 22% da amostra!

Veja uma demonstração deste recurso no vídeo abaixo:





Paul Henry escreveu um texto muito bom sobre o EID no blog da SANS, analisando um conjunto de 60.000 (!!!) imagens. Vale a pena a leitura!


* Luiz Sales Rabelo é analista de Segurança e consultor em computação forense da Techbiz Forense Digital. Desde outubro de 2010, é instrutor autorizado pela AccessData a transmitir os conhecimentos sobre a ferramenta FTK 3. É MCP (Microsoft Certified Professional) e ACE (AccessData Certified Examiner).Autor do blog: http://forensics.luizrabelo.com.br/

segunda-feira, 18 de julho de 2011

Segurança nas Redes Sociais

Por Roberta Maia*

Esta segunda edição do Ponto de Vista está pautada em matéria publicada no jornal O Globo sobre as redes sociais. Elas irão substituir emails, sites de compras, outras ferramentas de chats? Estamos seguros para migrar definitivamente para esses ambientes? Mais uma vez queremos saber a sua opinião.

Nesta segunda-feira, 18 de julho, o jornal O Globo tem como matéria de capa do caderno de Economia um texto que discorre sobre o crescimento da importância das redes sociais. O subtítulo resume: “internet migra para sites como Facebook e Twitter, onde o usuário pode jogar, consumir, ler”.

Ao longo do texto, o repórter Carlos Alberto Teixeira mostra como as tradicionais trocas de mensagens, fotos, além de games, chats, videoconferências, compras, aplicações financeiras, currículos e notícias migram e se adaptam aos ambientes das redes sociais e escreve: “Há quem acredite que, no futuro, a internet básica será coisa apenas para nerds e pessoas das áreas técnicas, enquanto a grande massa de internautas acabará em redes sociais que já existem ou que ainda estão por vir”.

A pergunta que fica no ar é: o quão expostos e vulneráveis estamos nesses ambientes? Dados aparentemente banais, como o nome do seu melhor amigo, do seu cachorro ou do seu restaurante preferido são um prato quente para a ação dos botnets – vírus que são controlados por um pirata virtual e que infectam uma rede de computadores a partir de uma máquina central.

Em palestra promovida pela TechBiz Forense Digital no ano passado, o Chief Security Officer (CSO) da NetWitness, Eddie Schwartz, alertou: “Os botnets não querem apenas informações de cartão de crédito, mas contas do Yahoo, Facebook, informações sobre a sua família, porque são dados que podem gerar senhas”.

Nesta edição do Ponto de Vista, gostaríamos de saber a sua opinião sobre esse assunto. Você se sente seguro em redes sociais? Até onde você se expõe? Os atuais mecanismos para garantir a confidencialidade da troca de informações são suficientes?

* Roberta Maia é assessora de comunicação do Grupo TechBiz. Formada em jornalismo pela PUC Minas, já trabalhou nos cadernos de tecnologia, veículos e cultura do jornal O Tempo. É especializada em Arte e Filosofia pelo curso de pós-graduação lato sensu da PUC Rio.

quarta-feira, 6 de julho de 2011

Consequências jurídicas dos ataques aos sites do Governo

* Alexandre Atheniense

A onda de ataques de hackers a diversos sites do Governo Brasileiro está sendo investigada pela Polícia Federal e por alguns órgãos militares e deverá contar com a colaboração de outros países. A identificação de autoria dos responsáveis pode ser difícil, mas não é impossível. A aplicação da lei brasileira só será possível se os hackers identificados tiverem domicílios no Brasil.

Se a investigação identificar que um hacker seja domiciliado no exterior, teremos poucas chances de punição pela lei brasileira, pois inexiste tratados de extradição para estes crimes. Entretanto, se o mesmo for domiciliado no Brasil as chances de punição serão maiores.

Uma vez identificada a autoria quais seriam as punições cabíveis contra os hackers? A análise do fato nos remete a avaliação que algumas condutas ainda prescindem de definição como crime pela legislação brasileira, enquanto que outras já poderão ser punidas.

As condutas que ainda não se tornaram crime na legislação brasileira estão previstas no PL 84/99, tramitando há 12 anos no Congresso Nacional. Não há estimativa de prazo para sanção deste projeto de lei devido a impasses políticos, sobretudo de manifestações de alguns grupos que defendem que o PL ainda não estaria maduro para ser votado, ou mesmo que o correto seria aguardar a tramitação do Projeto de Lei denominado Marco Civil da Internet, que sequer ainda foi remetido para o Congresso Nacional.

As condutas ilícitas previstas no PL 84/99 que poderiam punir os hackers seriam: acesso não autorizado a sistema informatizado; obtenção, transferência ou fornecimento não autorizado de dado ou informação; divulgação ou utilização indevida de informações e dados pessoais; inserção ou difusão de código malicioso; interrupção ou perturbação de serviço informático; falsificação de dados eletrônicos públicos ou particulares; estelionato eletrônico; dano a dado eletrônico alheio e atentado contra serviços de utilidade pública.

Entretanto, outras condutas já poderiam ser imputadas contra os infratores, com base no artigo 265 do Código Penal, que pune aquele que atentar contra a segurança ou serviço de utilidade pública. O crime prevê pena de reclusão de 1 a 5 anos e multa.

Se desta invasão tiver ocasionado danos a infraestrutura do site ou da rede interna dos sistemas, poderá incidir o crime de dano previsto no artigo 163 do Código Penal, cuja punição será de 1 a 6 meses e multa. Se constatada a vulnerabilidade da reputação das instituições envolvidas no ataque, poderá ainda ocorrer a incidência de reparação de danos materiais e morais.


"É importante desatar o nó político que se criou nos últimos tempos para finalizar a tramitação do projeto de lei de crimes cibernéticos".

Caso estas invasões tenham possibilitado o acesso dos hackers a dados sigilosos, este resultado poderá concorrer para que estes venham a obter vantagens ilícitas a partir destas informações. Nestes casos poderão estar sujeitos a diversas penalidades, tais como: divulgação de segredo, preceituado no artigo 153 do Código Penal, cuja pena é de detenção de um a seis meses, ou multa; extorsão, artigo 158, pena de reclusão de quatro a dez anos e multa; estelionato, artigo 171, com reclusão de um a cinco anos e multa.

É importante desatar o nó político que se criou nos últimos tempos para finalizar a tramitação do projeto de lei de crimes cibernéticos. É certo que o Poder Legislativo Brasileiro tem uma tradição de acelerar os trâmites dos Projetos de Lei a partir de alguns escândalos midiáticos, mas a meu ver, nada justifica mais uma vez, o retardamento da tramitação do Projeto de Lei de Crimes Cibernéticos, em detrimento da aprovação do Marco Civil da Internet cuja remessa ao Congresso sequer ainda ocorreu.

Não discuto a inegável importância do Marco Civil cujo debate está focado na necessária proteção de dados do cidadão brasileiro, mas se analisarmos o regimento interno do Congresso Nacional, concluiremos que a versão atual do Projeto de Lei de Crimes Cibernéticos teve recentemente sua redação alterada para a supressão de alguns artigos e adequação da linguagem tecnológica.

Entretanto, é importante frisar que não será possível nova modificação do texto do PL 84/99 para inserção de novas condutas ilícitas ou alteração da dosimetria das penas já preceituadas. A queda de braço que ora se afigura é saber se o Projeto de Lei de Crimes Cibernéticos de fato irá a votação em plenário no Congresso em agosto, para posterior remessa a sanção da Presidenta Dilma ou se ganhará força a proposta alternativa divulgada por um grupo de deputados, logo após o adiamento da votação do PL 84/99 que havia sido designada para a primeira semana de julho. Esta proposta que ainda sequer foi encaminhada ao Congresso, tem como objetivo reduzir de 12 para dois o número das condutas ilícitas descritas no PL de crimes cibernéticos que devam ser consideradas como ilícitos penais.


* Alexandre Atheniense é advogado especialista em Direito de Tecnologia da Informação, sócio da Aristoteles Atheniense Advogados, Coordenador do Curso de Pós Graduação de Direito de Informática da ESA OAB/SP, Editor do blog DNT – O Direito e as Novas Tecnologias.

quarta-feira, 22 de junho de 2011

Como instalar o Oracle 10g na solução da AccessData

*Luiz Sales Rabelo

Um dos recursos-chave da solução de computação forense da AccessData, o FTK, é a utilização do Oracle para melhor performance da ferramenta. Esta é uma versão do Oracle 10g adaptada para a solução da AccessData. Algumas raras vezes, um erro durante o processo de instalação pode abortar o instalador e o Oracle não é instalado.



Este mensagem de erro acontece algumas raras
vezes, e é simples de solucionar.


Este erro é causado por alguma outra versão do Oracle já existente na estação forense e pode causar incompatibilidades com a versão disponível no DVD da ferramenta da AccessData.
A solução deste problema é muito simples:

  • Desinstalar qualquer versão do Oracle já existente nas máquinas pelo painel de controle Adicionar/Remover Programas
  • Deletar manualmente a chave de registro: HKEY_LOCAL_MACHINE\Software\ORACLE\
  • Deletar manualmente o diretório: C:\ProgramFiles\Oracle\ ou C:\Arquivos de Programas\Oracle\
  • Deletar manualmente o diretório: C:\Oracle ou C:\OraNT
  • Feito isso, reinicie o computador e prossiga a instalação do Oracle do DVD2 da AccessData normalmente.

* Luiz Sales Rabelo é analista de Segurança e consultor em computação forense da Techbiz Forense Digital. Desde outubro de 2010, é instrutor autorizado pela AccessData a transmitir os conhecimentos sobre a ferramenta FTK 3. É EnCe, MCP (Microsoft Certified Professional) e ACE (AccessData Certified Examiner).Autor do blog: http://forensics.luizrabelo.com.br/

segunda-feira, 13 de junho de 2011

Forense em Windows: Aquisição e Análise de Memória

* Por Sandro Süffert

Estou iniciando a reformulação de material sobre Forense Windows e Linux e nos últimos dias em contato com alguns profissionais da área recebi algumas solicitações para envio da última versão do capítulo sobre Aquisição e Análise de Memória em ambientes Windows. Depois de enviar o material para alguns, resolvi divulgar publicamente a parte teórica aqui no blog. Fico desde já a disposição para esclarecimentos e para recebimento de críticas e sugestões.

Para ver o material, clique aqui.


* Sandro Süffert é CTO (Chief Technology Officer) da Techbiz Forense Digital, consultor em computação forense e professor convidado pela Universidade de Brasília, departamento de Engenharia Elétrica, do curso de pós-graduação em Computação Forense. Desde 2006 é membro da HTCIA (High Technology Crime Investigation Association) e é autor do blog de segurança http://blog.suffert.com. É profissional certificado em ACE (AccessData Certified Examiner); ACIA (ArcSight Certified Integrator/Administrator); ACSA (ArcSight Certified System Analyst); EnCE (Encase Certified Examiner), entre outras.

quarta-feira, 8 de junho de 2011

Redes sociais na mira dos golpes às corporações

Golpes virtuais utilizam informações disponíveis em redes sociais para ataques a redes corporativas

Por Alexandre Atheniense*

Os cibercriminosos vêm utilizando informações disponíveis em redes sociais, como Facebook e LinkedIn, para criar e-mails maliciosos. O LinkedIn, por exemplo, contém diversas informações sobre o perfil profissional de seus integrantes tornando-se uma ótima fonte para que os golpistas virtuais possam praticar engenharia social para praticar seus crimes.

Em Segurança da Informação denomina-se “Engenharia Social” as práticas utilizadas para obter acesso a informações importantes ou sigilosas em organizações ou sistemas por meio da enganação ou exploração da confiança das pessoas. Para isso, o golpista pode se passar por outra pessoa, assumir outra personalidade, fingir que é um profissional de determinada área, etc. É uma forma de entrar em organizações sem a necessidade da força bruta ou de erros em máquinas. Explora-se as falhas de segurança das próprias pessoas que, quando não treinadas para esses ataques, podem ser facilmente manipuladas.

Segundo informado pelo site Computerworld, no mês passado, o laboratório de ferramentas analíticas e de computação Oak Ridge descobriu que um malware sofisticado de roubo de dados havia se infiltrado em suas redes. A invasão teve origem em um e-mail de phishing enviado para cerca de 600 funcionários. A mensagem foi “disfarçada” para parecer um comunicado sobre mudanças de benefícios redigido pelo departamento de recursos humanos. Quando alguns empregados clicaram em um link anexado no e-mail, o malware foi baixado para seus computadores. Esses tipos de e-mails têm sido o método preferido para invadir redes corporativas. Os e-mails de phishing são personalizados, localizados e desenvolvidos de maneira a parecere oriundos de uma fonte confiável.

"No Brasil, a criação e propagação de phishing ainda não é tipificada como crime na legislação. O projeto de lei de Crimes Cibernéticos (PL 84/1999) que tramita há 12 anos no Senado propõe tipificar esta prática como um crime de estelionato eletrônico. O PL prevê em seu Art. 6° punição com multa e prisão de até quatro anos para quem difunde, por qualquer meio, código malicioso com intuito de facilitar ou permitir acesso indevido à rede de computadores, dispositivo de comunicação ou sistema informatizado."

Para se ter uma noção da gravidade desse problema, um relatório semestral de segurança na internet realizado pela Microsoft e divulgado semana passada encontrou evidências de um aumento de 1.200% nos ataques de phishing em 2010. De acordo com o estudo da Microsoft, estes ataques representavam, um ano antes, menos de 10% de todas as fraudes cometidas por meio de sites de relacionamento. No fim de 2010, esta proporção aumentou para 85%. Recente pesquisa da ESET, empresa européia de segurança digital, apontou que o Brasil lidera o número de tentativas de roubo de dados bancários pela Internet na América Latina.

A prevenção destes ataques deverá demandar inicialmente desconfiança do conteúdo divulgado e posterior checagem de fontes dos fatos narrados por meio de outros ambientes que não sejam exclusivamente o digital. É necessário que as informações divulgadas sobre o perfil em sites de relacionamentos sejam restritas ao foco dos temas ali tratados, ou seja, o usuário deve definir qual postura ele quer adotar naquela rede social: pessoal ou profissional.

No Brasil, a criação e propagação de phishing ainda não é tipificada como crime na legislação. O projeto de lei de Crimes Cibernéticos (PL 84/1999) que tramita há 12 anos no Senado propõe tipificar esta prática como um crime de estelionato eletrônico. O PL prevê em seu Art. 6° punição com multa e prisão de até quatro anos para quem difunde, por qualquer meio, código malicioso com intuito de facilitar ou permitir acesso indevido à rede de computadores, dispositivo de comunicação ou sistema informatizado. No entanto, temos que ressaltar que o phishing pode ser utilizado como um meio para praticar outros ilícitos que já estão tipificados no Código Penal, tal como crime de dano, falsidade ideológica dentre outros.

*Alexandre Atheniense é advogado especialista em Direito e Tecnologia da Informação. Sócio de Aristoteles Atheniense Advogados. Vice-Presidente de Assuntos Jurídicos da Sucesu-MG. Coordenador da Pós Graduação em Direito de Informática da ESA OAB-SP e editor do blog DNT - O Direito e as Novas Tecnologias.

quinta-feira, 26 de maio de 2011

Cyberwar: qual é a sua opinião sobre isso?

Inauguramos hoje em nosso blog uma nova seção: Ponto de Vista. Neste primeiro post, convidamos o gerente Marcos N.B Pereira para sugerir um tema que possa suscitar o debate e estimular a sua participação. Confira e opine!


Tenho encontrado constantemente, em minhas leituras diárias, o termo "Guerra Cibernética" e passei a me questionar o que seria, realmente, uma Cyberwar? Quais as suas consequências e como podemos combatê-la?

Primeiramente, é preciso entender o contexto. Sabemos que a grande rede de computadores nos trouxe a possibilidade de estarmos virtualmente em qualquer lugar e acessar dados e informações a qualquer momento. Podemos copiar e divulgar pensamentos e opiniões a uma velocidade espantosa. Se Einstein estivesse vivo será que ele tentaria relativizar o conhecimento?

Voltando ao tema: se os países detentores de domínios militares garantiam sua soberania pelos limites das fronteiras geográficas e por seu poderio bélico, na atualidade um jovem de 13 anos de idade, em sua casa, com um computador e o seu conhecimento pode provocar um estrago a uma nação.

É sabido que a extinção completa da guerra cibernética não é possível, mas é possível monitorar as ameaças e reduzir os seus danos. E a TechBiz Forense Digital sabe muito bem os caminhos para se alcançar esse estado de alerta e de reação.

E você, o que pensa sobre isso? Como as nações podem se proteger e se preparar diante das ameaças virtuais? Você acha que essa é realmente uma questão relevante ou há um exagero dos veículos de comunicação? Comente, opine, participe deste debate.




Marcos Nascimento Borges Pereira é graduado em Engenharia Civil pela Universidade Federal de Minas Gerais (1992) e mestre em Administração pela Faculdade Novos Horizontes (2008). Também possui MBA em Gestão de Projetos (2007) pela FGV e Pós-graduação em Análise de Sistema pela UFMG. Atualmente é professor Oficial do Chapter PMI de Minas Gerais, Titular das Faculdades PUC-MG, UNA, SENAC São Paulo e SENAC Minas Gerais e sócio da Techbiz Forense Digital. Possui as seguintes certificações: PMP, MCSE, VCP e outras.

terça-feira, 17 de maio de 2011

Eventos de Forense: ADUC, CEIC, SANS...

Por Sandro Süffert*

Mais uma vez a TechBiz Forense Digital e alguns clientes estao presentes em dois dos maiores eventos de Forense Computacional do mundo: AccessData User Conference e Computer Enterprise Investigation Conference.

Existem excelentes conferências de Segurança pelo mundo como a CCC, Infiltrate, BlackHat e Defcon no que tange a novas técnicas de exploração e ataque a sistemas. O diferencial destas conferências é o foco em REAÇÃO e INVESTIGAÇÃO de crimes e incidentes - o que juntamente com as conferências do SANS e a TechnoSecurity e TechnoForensics as tornam muito atrativas para profissionais da nossa área.

Tem sido uma excelente oportunidade para conhecer as últimas tendências em Resposta a Incidentes, Auditoria, Computação Forense e CyberSecurity. O conteúdo técnico - com raras exceções - costuma ser bom, e os contatos com profissionais, clientes e fabricantes de países de todo o mundo são sempre importantes.


CONFIRA:

Agenda completa ADUC
Agenda completa CEIC























Início da aula "New Technology for the Improved Handling of Advanced Exploits" - no ADUC


* Sandro Süffert é CTO (Chief Technology Officer) da Techbiz Forense Digital, consultor em computação forense e professor convidado pela Universidade de Brasília, departamento de Engenharia Elétrica, do curso de pós-graduação em Computação Forense. Desde 2006 é membro da HTCIA (High Technology Crime Investigation Association) e é autor do blog de segurança http://blog.suffert.com. É profissional certificado em ACE (AccessData Certified Examiner); ACIA (ArcSight Certified Integrator/Administrator); ACSA (ArcSight Certified System Analyst); EnCE (Encase Certified Examiner), entre outras.