Vulnerabilidades no Panamá

Soube-se hoje que os sistemas da Mossack Fonseca estavam carregados de vulnerabilidades (Wired):

"The front-end computer systems of Mossack Fonseca are outdated and riddled with security flaws, analysis has revealed.

The law firm at the centre of the Panama Papers hack has shown an "astonishing" disregard for security, according to one expert. Amongst other lapses, Mossack Fonseca has failed to update its Outlook Web Access login since 2009 and not updated its client login portal since 2013.

Mossack Fonseca's client portal is also vulnerable to the DROWN attack, a security exploit that targets servers supporting the obsolete and insecure SSL v2 protocol. The portal, which runs on the Drupal open source CMS, was last updated in August 2013, according to the site's changelog.

On its main website Mossack Fonseca claims its Client Information Portal provides a "secure online account" allowing customers to access "corporate information anywhere and everywhere". The version of Drupal used by the portal has at least 25 vulnerabilities, including a high-risk SQL injection vulnerability that allows anyone to remotely execute arbitrary commands. Areas of the portal's backend can also be accessed by guessing the URL structure, a security researcher noted.

The company's client portal, which it boasts gives customers access to "corporate information anywhere and everywhere", runs on an outdated open source CMS with at least 25 vulnerabilities
Mossack Fonseca's webmail system, which runs on Microsoft's Outlook Web Access, was last updated in 2009, while its main site runs a version of WordPress that is three months out of date. A further vulnerability makes it possible to easily access files uploaded to the backend of Mossack Fonseca's site simply by guessing the URL. (...)"

Artigo completo: The security flaws at the heart of the Panama Papers, Wired

Roubo de identidade

Roubo de identidade mais frequente e mais fácil, alerta Comissão Proteção Dados
Observador, 21/2/2016

"Nuno foi constituído arguido e impedido de sair do país porque usurparam a sua identidade, um crime que segundo a Comissão Nacional de Proteção de Dados é cada vez mais frequente e que as pessoas facilitam ao exporem-se na internet.

(...)

Mas Clara Guerra, coordenadora do serviço de informação e relações internacionais da Comissão Nacional de Proteção de Dados (CNPD), diz que não é estranho, mas sim uma prática cada vez mais comum, facilitada hoje pela displicência com que pessoas e instituições divulgam e expõem dados pessoais na internet.

(...)

Dados divulgados pela GNR em novembro passado dão conta de 680 crimes relacionados com burla informática e nas comunicações em 2014 (que têm vindo a aumentar desde 2012) e outras tantas queixas de falsificação ou contrafação de documentos.

A usurpação acontece tanto no mundo físico como no digital, avisa Clara Guerra, explicando que até no lixo há muita informação, porque há pessoas que aí colocam, por exemplo, faturas, sem as destruir primeiro. Ou até mesmo cartões multibanco caducados.

“Através disso, através da engenharia social, conseguem-se obter dados, abrir contas bancárias. E hoje, na internet, as pessoas disponibilizam muitos dados, relacionam-se com empresas à distância, faz-se identificação remotamente”, diz.

E depois, acrescenta, pode acontecer um roubo de identidade, até sem a vítima saber, para com ela se praticarem atos ilícitos. E as “pessoas podem ter dificuldade em provar que não foram elas as autoras desses atos”.

Este ano, a CNPD colocou a usurpação de identidade no centro do debate, um instrumento de crime que afeta 200 mil pessoas por ano nos Estados Unidos só no serviço de saúde, com 25 por cento dos britânicos a já terem sido alvo de roubo de identidade, salienta Clara Guerra.

Ninguém está a salvo, diz. E, por isso, há precauções que podem ser tomadas, como “não andar sempre com o wi-fi do telemóvel ligado”, porque há formas de simular uma rede pública e aceder ao conteúdo de telemóveis, mas também de computadores, como há formas também de obter remotamente dados de passaportes ou de identificadores de Via Verde (radiofrequência).

“E depois há uma prática antiga, que começou com o Bilhete de Identidade e não se percebe porquê”, lamenta. Clara Guerra explica que hoje se pedem fotocópias ou digitalizações do Cartão de Cidadão “por tudo e por nada”, o que é ilegal, e que tem motivado muitas queixas à CNPD. “As pessoas devem apresentar queixa”, frisa.

E diz que o próprio Banco de Portugal deu indicações aos bancos para tirarem fotocópias do Cartão de Cidadão. “Já avisamos o Banco de Portugal que não se pode sobrepor à lei”, diz a responsável, acrescentando que de nada serviu.

(...)"

artigo completo no Observador

Para além do Stuxnet

Massive US-planned cyberattack against Iran went well beyond Stuxnet
ArsTechnica

The Stuxnet computer worm that destroyed centrifuges inside Iran's Natanz uranium enrichment site was only one element of a much larger US-prepared cyberattack plan that targeted Iran's air defenses, communications systems, and key parts of its power grid, according to articles published Tuesday.

The contingency plan, known internally as Nitro Zeus, was intended to be carried out in the event that diplomatic efforts to curb Iran's nuclear development program failed and the US was pulled into a war between Iran and Israel, according to an article published by The New York Times. At its height, planning for the program involved thousands of US military and intelligence personnel, tens of millions of dollars in expenditures, and the placing of electronic implants in Iranian computer networks to ensure the operation targeting critical infrastructure would work at a moment's notice.

Another piece of the plan involved using a computer worm to destroy computer systems at the Fordo nuclear enrichment site, which was built deep inside a mountain near the Iranian city of Qom. It had long been considered one of the hardest Iranian targets to disable and was intended to be a follow-up to "Olympic Games," the code name of the plan Stuxnet fell under.

The Nitro Zeus revelations first came to light in the documentary Zero Days, which describes the growing conflict between the west and Iran over its nuclear enrichment program and the disagreements that developed inside the US and Israel about how to stop it. The movie, which is scheduled to be first shown on Wednesday at the Berlin Film Festival, was directed by Alex Gibney, who has also directed the Oscar-winning Taxi to the Dark Side and We Steal Secrets: The Story of WikiLeaks.



Lista de preços do ciber-crime

A lista é tirada do site Brutal Security e não ponho as mãos no fogo pelo conteúdo, mas aqui vai:

  • Hacking corporate mailbox: $500
  • Winlocker ransomware: $10-20
  • Unintelligent exploit bundle: $25
  • Intelligent exploit bundle: $10-$3,000
  • Basic crypter (for inserting rogue code into a benign file): $10-$30
  • SOCKS bot (to get around firewalls): $100
  • Hiring a DDoS attack: $30-$70/day, $1,200/month
  • Botnet: $200 for 2,000 bots
  • DDoS botnet: $700
  • ZeuS source code: $200-$500
  • Windows rootkit (for installing malicious drivers): $292
  • Hacking Facebook or Twitter account: $130
  • Hacking Gmail account: $162
  • Email spam: $10 per one million emails
  • Email spam (using a customer database): $50-$500 per one million emails
  • SMS spam: $3-$150 per 100-100,000 messages

Top data breaches 2015

começam os top 10's de 2015:

Biggest data breaches of 2015

"From Ashley Madison to VTech it has been a nasty data breach year"

Lições de segurança de um filme do 007

Ontem fui ver o “Sepctre”, o novo filme da série 007. Fantástico como sempre. 

Na série o agente 007 quase sempre lutou contra as ameaças da época (guerra fria, ameaça nuclear, pós-guerra fria, terrorismo, barões da droga, etc.). Este não é excepção. O tema é o perigo da espionagem generalizada e de os dados recolhidos caírem nas mãos de organizações criminosas (a Spectre no filme). 

Do filme é possível extrair uma série de lições sobre segurança (informática):

- Cuidado com os dados. Se alguma organização (9 Eyes no filme) recolhe quantidades enormes de dados o perigo não é (apenas) ela própria, mas também organizações criminosas (Sepctre no filme) que lhes possam deitar a mão.

- Ainda a ameaça interna. No filme um membro dos 9 Eyes - o C - ia dar intencionalmente à Spectre acesso aos dados.

- Atenção às credenciais de autenticação. Um organização criminosa que deseja dominar o mundo deixa o 007 entrar numa reunião super-secreta autenticando-se apenas com um nome (Rato Mickey) e um token (um anel com um polvo desenhado)…

- Privacidade vs dados de localização. No filme o mau (Blofeld) tinha um telefone via satélite que permitiu a Mr. White e ao James Bond localizar as suas instalações super-secretas. Má ideia…

- Cuidado com a reutilização de segredos. No filme o anel com o polvo passou pelas mãos dos criminosos dos últimos filmes da série e todos deixaram o seu ADN…


- Defesa em profundidade é importante, mas manter o adversário fora do perímetro ainda é melhor. Como em tantos filmes da série, os maus deixam o James Bond entrar nas suas instalações antes de o liquidarem. Este não é excepção e os resultados são maus como habitual. Moral da história: os adversários são perigosos, logo é melhor mantê-los fora das muralhas.

Relato sobre o CCS 2015



A 22ª edição da ACM Conference on Computer and Communications Security (CCS 2015) decorreu em Denver dentre os dias 12 e 16 de Outubro de 2015. Cerca de 670 pessoas participaram no evento, o qual foi composto por 12 sessões técnicas, 10 workshops, 3 tutoriais e 28 pósteres/demos. Foram recebidas 660 submissões de artigos, dos quais 128 foram aceites (resultando numa taxa de aceitação de 19.4%).

Antes de apresentarmos algumas notas sobre o CCS 2015, sugerimos uma rápida consulta ao programa e aos proceedings do evento a fim de localizar os artigos que mais lhe interessam. Seguem abaixo alguns destaques desta edição:

### Oradores convidados:
- A primeira keynote foi apresentada pelo Dr. Edward Felten (Deputy U.S. Chief Technology Officer) e tratou sobre a relação atual entre o governo e os investigadores da área da segurança. O principal foco foi apresentar os pontos prioritários para a segurança da computação e comunicação no governo americano e chamar a atenção para a importância de os investigadores participarem nas tomadas de decisão e de se envolverem com o governo dos seus países.
- A keynote do segundo dia foi apresentada pelo Dr. Moti Yung (Google Inc. & Columbia Univ.) sobre a importância de aproximar o lado teórico da investigação em segurança ao lado prático da investigação em sistemas. 

### Principais tópicos
Os artigos apresentados no CCS englobam um amplo espetro de tópicos. Segue uma lista com alguns destes (e exemplos de artigos) que foram mais discutidos durante o evento:

- Ataques à segurança de sistemas e protocolos (e.g., Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice)
- Computação sobre dados cifrados (e.g., Inference Attacks on Property-Preserving Encrypted Databases)
- Criptomoedas (e.g., Micropayments for Decentralized Currencies)
- Terceirização segura e eficiente de armazenamento (e.g., Secure Deduplication of Encrypted Data without Additional Independent Servers)
- Privacidade diferencial e estatística (e.g., Privacy-Preserving Deep Learning)
- Censura e resistência (e.g., CacheBrowser: Bypassing Chinese Censorship without Proxies Using Cached Content)
- Segurança e privacidade em dispositivos móveis (e.g., Cracking App Isolation on Apple: Unauthorized Cross-App Resource Access on MAC OS~X and iOS)
- Privacidade em redes sociais (e.g., Face/Off: Preventing Privacy Leakage From Photos in Social Networks)

### Notas CCS 2015:
Seguem abaixo as notas de alguns artigos apresentados no CCS 2015:

Imperfect Forward Secrecy: How Diffie-Hellman Fails in Practice
Os autores apresentam uma vulnerabilidade no TLS (chamada Logjam) que permite reduzir os requisitos de segurança no protocolo Diffie-Hellman através de ataques do tipo man-in-the-middle. Foi considerado um dos 3 melhores artigos do CCS 2015 (best-paper award). Recebeu 3 dos 10 "strong accept" atribuídos ao longo de todo o processo de revisão dos artigos. Mais informações em: https://weakdh.org/

Inference Attacks on Property-Preserving Encrypted Databases
O artigo apresenta alguns ataques capazes de inferir o conteúdo de colunas de uma base de dados cifrada (property-preserving). Um detalhe interessante sobre o artigo é que este recebeu uma resposta pública antes mesmo de ser apresentado no evento. Os responsáveis pelo CryptDB alegaram que os autores deste artigo não seguiram as boas práticas de configuração da base de dados e por isso tiveram sucesso nos ataques apresentados. Resta então ler os dois documentos para tirar conclusões.

UCognito: Private Browsing without Tears
O artigo discute algumas limitações e falhas nas implementações de navegação privada (private browsing) dos browsers atuais. Basicamente os vários browsers diferem na semântica de navegação privada e nas garantias que fornecem. Os autores do artigo apresentam uma solução para contornar as referidas limitações.

Micropayments for Decentralized Currencies
O artigo trata dos custos elevados das transacções electrónicas e apresenta formas alternativas para micro pagamentos. O Bitcoin Lightning Network (https://lightning.network/) foi apontado pela audiência como uma outra solução relacionada.

### Notas WPES 2015:
Seguem abaixo as notas de alguns artigos do WPES 2015 (Workshop on Privacy in the Eletronic Society):

Known Unknowns: An Analysis of Twitter Censorship in Turkey
Este artigo analisou os relatórios de transparência do Twitter sobre tweets e contas censuradas a pedido de diversos governos. Os autores identificaram uma discrepância significativa entre os resultados apresentados nos relatórios e os números calculados como sendo reais.

Rook: Using Video Games as a Low-Bandwidth Censorship Resistant Communication Platform
Este artigo apresentou uma solução que utiliza videojogos para ultrapassar barreiras de censura. São utilizadas técnicas de estenografia nos pacotes de dados dos jogos de forma a que estes transmitam mensagens sem serem detetadas.

Privately (and Unlinkably) Exchanging Messages Using a Public Bulletin Board
Este artigo propôs um protocolo de comunicação unidirecional que utiliza um quadro de avisos público como meio de comunicação privado, onde não é possível identificar as pessoas envolvidas na conversa.

A High-Throughput Method to Detect Privacy-Sensitive Human Genomic Data
Este artigo propôs um método de alto desempenho para detetar sequências genómicas sensíveis à privacidade. Tal técnica permite, por exemplo, aplicar premissas fortes de segurança à parte do genoma humano sensível à privacidade, aplicando um esforço viável à parte do genoma menos sensível. Este foi o único trabalho apresentado no evento que envolveu universidades portuguesas.

### Prémios ACM:
A ACM SIGSAC possui 2 prémios que são atribuídos anualmente durante o CCS. Neste ano, Ross Anderson (autor do famos artigo "Why Cryptosystems Fail") foi premiado na categoria inovação (Outstanding Innovation Award) e Steve Lipner foi premiado na categoria contribuição (Outstanding Contribution Award).
### CCS 2016:
Em 2016, o CCS será realizado em Viena e será organizado pelo centro de investigação SBA. A chamada de trabalhos será publicada nos próximos meses e o deadline das submissões ocorrerá provavelmente entre Abril e Maio de 2016. O vencedor do prémio de inovação da ACM SIGSAC em 2015, Ross Anderson, será um dos oradores convidados.

Deixe a sua opinião, nos comentários abaixo, sobre outros artigos que valem a leitura e mereçam ser mencionados.

Vinícius Cogo

SHA-1: "don't panic, but prepare for a future panic"

É assim que o B. Schneier resume o novo resultado:

Especially note this bit: "Freestart collisions, like the one presented here, do not directly imply a collision for SHA-1. However, this work is an important milestone towards an actual SHA-1 collision and it further shows how graphics cards can be used very efficiently for these kind of attacks." In other words: don't panic, but prepare for a future panic.

This is not that unexpected. We've long known that SHA-1 is broken, at least theoretically. All the major browsers are planning to stop accepting SHA-1 signatures by 2017. Microsoft is retiring it on that same schedule. What's news is that our previous estimates may be too conservative.


Tolerância a intrusões e diversidade na prática


Navy Diversifies Ships' Cyber Systems to Foil Hackers
IEEE Spectrum online

Cyber attacks could prove just as deadly to technologically advanced warships as missiles and torpedoes in the future. That is why the U.S. Navy has been developing a defense system to protect its ships against hackers who threaten to disable or take control of critical shipboard systems.


The Resilient Hull, Mechanical, and Electrical Security (RHIMES) system aims to prevent cyber attackers from compromising the programmable logic controllers that connect a ship’s computers with onboard physical systems. RHIMES uses slightly different versions of core programming for each physical controller so that a cyber attack can’t disable or take over all shipboard systems in one fell swoop.

“In the event of a cyber attack, RHIMES makes it so that a different hack is required to exploit each controller,” said Ryan Craven, a program officer of the Cyber Security and Complex Software Systems Program in the Office of Naval Research, in a press release.“The same exact exploit can’t be used against more than one controller.”
(...)

SYNful Knock: backdoor para routers

Mais desenvolvimentos sobre a backdoor SYNful Knock para routers Cisco. Vários routers com a backdoor foram descobertos pelo mundo fora:


Malicious Cisco router backdoor found on 79 more devices, 25 in the US

The highly clandestine attacks hitting Cisco Systems routers are much more active than previously reported. Infections have hit at least 79 devices in 19 countries, including an ISP in the US that's hosting 25 boxes running the malicious backdoor.

That discovery comes from a team of computer scientists who probed the entire IPv4 address space for infected devices. As Ars reported Tuesday, the so-called SYNful Knock router implant is activated after receiving an unusual series of non-compliant network packets followed by a hardcoded password. By sending only the out-of-sequence TCP packets but not the password to every Internet address and then monitoring the response, the researchers were able to detect which ones were infected by the backdoor.

satlink hijacking

It's Turla Hackers | Satellite Turla Still Alive And Hiding In The Sky

Law enforcement agencies, with the help of leading IT security providers, are keen on blocking all the malware Command & Control servers they find. Sometimes, they efficiently shut down massive botnets by putting their controlling structure out of business. But one of the most advanced threat actors is still out there.

One of the reasons for Turla’s success, besides the group’s obvious professionalism, is their ability to hide the ends – namely, the above-mentioned C&Cs. Research by Kaspersky Lab experts reveals that they’re achieving this using a trick known as satlink hijacking – a technique this Russian-speaking group has been using since 2007. It involves exploiting the vulnerability of asynchronous satellite internet connections to sniff traffic, distilling the IP addresses of satellite subscribers. All the attackers need then is to set up their servers with the same IPs, configure these addresses into their malware and, after a successful infection, wait for its call for C&C.

artigo original

81% de responsáveis TI da saúde admitem que já ocorreram intrusões - estudo KPMG



"Eighty-one percent of healthcare executives say their organizations have been compromised by at least one malware, botnet or other kind of cyberattack during the past two years, according to a survey by KPMG.

The KPMG report also states that only half of those executives feel that they are adequately prepared to prevent future attacks. The attacks place sensitive patient data at risk of exposure, KPMG said.

The 2015 KPMG Healthcare Cybersecurity Survey polled 223 CIOs, CTOs, chief security officers and chief compliance officers at healthcare providers and health plans."

...

Artigo completo
Computerworld

(com agradecimentos ao Nuno Miguel Neves)

brinquedos da NSA para todos


"When Der Spiegel and Jacob Appelbaum published leaked pages of the National Security Agency's ANT Catalog—the collection of tools and software created for NSA's Tailored Access Operations (TAO) division—it triggered shock, awe, and a range of other emotions around the world. Among some hardware hackers and security researchers, it triggered something else, too—a desire to replicate the capabilities of TAO's toolbox to conduct research on how the same approaches might be used by other adversaries.

In less than 18 months since the catalog's leak, the NSA Playset project has done just that. The collection boasts over a dozen devices that put the power of the NSA's TAO into the hands of researchers. Project creator Michael Ossmann—a security researcher, radio frequency hardware engineer, and founder of Great Scott Gadgets—detailed the tools at a presentation during the Black Hat conference in Las Vegas last week, and he talked with Ars more about it this past weekend at DEF CON 23.

Many of the software components of the 50-page ANT catalog were things that had already been developed by security researchers. Some of the discovered capabilities appeared to stem from off-the-shelf hardware (or its equivalent) and software similar to existing tools; they were simply combined in a package suitable for spy work. But other pieces of hardware in the NSA's catalog appeared to have no openly available equivalent—such as wireless bugs planted in computer cables or connectors. Some of those bugs were radio "retro-reflectors," wiretaps that only broadcast data when hit by a directed radio signal. (It's similar in concept to "The Thing"—the infamous bug Soviet spies planted inside the US Embassy in Moscow.)"

...

artigo completo na ArsTechnica