LAS VEGAS – Todos os anos, no início de agosto a comunidade da segurança e de hackers empreendem uma peregrinação de todos os cantos do mundo em direção a Las Vegas, Nevada para participar de um conjunto de conferências de cibersegurança chamada: Black Hat, DEF CON e B-Sides. A Black Hat é, predominantemente e historicamente, uma conferência de segurança do mundo dos negócios, no entanto, nos últimos anos tem caminhado em direção aos consumidores, oferecendo novidades sobre os ataques contra casas inteligentes, infra-estrutura críticas, dispositivos móveis, etc.
Divulgação completa: não houve nenhuma informação sobre o hackeo de trens.
O pesquisador da Kasperky Lab Roel Schouwenberg explorou, em um relatório da SecureList, a idéia de uma Black Hat post-PC. Enquanto isso, Mike Mimoso do Threatpost analisou um comportamento padrão semelhante na sua própria peça dizendo: “O Firmware é o novo hacker black, desde memórias USB, passando por roteadores domésticos até automóveise podem ser vítimas de exploits, roubo de dados e invasão de privacidade”.
Por um lado, como um participante da conferência, posso dizer que esta é uma grande notícia, porque significa menos (ou, provavelmente, o mesmo número de) sessões informativas com relação aos erros em plataformas de software obscuras utilizadas principalmente por empresas. Além de mais conversas sobre as vulnerabilidades nos sistemas mais perto das nossas vidas diárias. Por outro lado, o enfoque variante da Black Hat é representativa de uma tendência alarmante: as vulnerabilidades de segurança estão rastejando cada vez mais perto das nossas vidas físicas.
A nota destaque
A nota destacada deste ano foi entregue por um iluminado de segurança muito respeitado chamado Dan Geer. Ao contrário do ano passado, quando o ex-diretor-geral da NSA Keith Alexander entreguou a nota destacada, este ano não houve guardas armados, provocadores nem os membros da multidão com caixas de ovos escondidos em suas mochilas. Em vez disso, uma multidão escutava com atenção cada uma das palavras do ensaio de quase 60 minutos no qual Geer, chefe de segurança da informação da In-Q-Tel (empresa de capital de risco pessoal da CIA), expôs seus dez mandamentos de segurança.
Os destaques incluem que os EUA devem dominar o mercado de vendas de vulnerabilidades, oferecendo dez vezes o preço de qualquer bug a venda e, em seguida, colocar as informações da vulnerabilidade em um repositório público, permitindo assim que as empresas possam corrigir todos os bugs e “reduzir o estoque de armas cibernéticas”.
Hacking Humanos, Hospitais
Retomando o conceito da segurança que afeta nossa vida real, como foi discutido em uma mesa-redonda sobre segurança em dispositivos médicos: algumas vulnerabilidades estão literalmente incorporadas em nossos corpos. Muito mais comum são aquelas que estão relacionadas com os dispositivos médicos que estão no hospital.
É só uma questão de tempo antes que um ataque seja dirigido a algum desses dispositivos. A boa notícia é que os próprios dispositivos são incrivelmente seguros. Uma bomba de insulina automatizada é muito melhor para regular e corrigir os níveis de insulina do que um adolescente com medidor de glicose no sangue e fornecimento mensal de seringas de insulina.
As vulnerabilidades existem na forma como esses dispositivos comunicam um com o outro e, em muitos casos, os dispositivos externos, quer seja aqueles que estão sob o controle de pacientes ou médicos. Vamos ser muito claros, a probabilidade de um assassino usando um lap top para administrar um choque fatal em um paciente com um marca-passo embutido é ridiculamente baixo. Os riscos reais aqui são muito mais chatos.
Quem é o responsável pela produção de patches para dispositivos médicos? Quem é o responsável por instalar os patches? Quem paga a conta? Infelizmente, as respostas para estas perguntas são uma combinação muito embaçada dos fabricantes de dispositivos, os hospitais e os próprios usuários. E quando usamos o dispositivo médico, não estamos falando apenas de marca-passos e bombas de insulina; estamos falando de aparelhos de ressonância magnética, ecocardiograma, máquinas de raio X, o tablet que um médico está segurando, e até mesmo os computadores (geralmente máquinas com Windows XP) que gerenciam um monte de dados médicos confidenciais.
Por isso, a manipulação maliciosa dos registros médicos – acidentais ou não – são talvez os riscos mais prováveis e perigosos que nós enfrentamos neste novo mundo dos dispositivos médicos conectados. Para fechar com uma boa notícia: é um sinal muito positivo de que estamos falando sobre esses problemas antes que o céu caia, o que é incomum no setor de alta tecnologia.
Yahoo criptografará todo o seu serviço de e-mail
Yahoo, que recebeu muitas críticas por não criptografar seu serviço de e-mail (e por outros motivos também), anunciou uma série de alterações de segurança que estarão fazendo nos próximos meses e anos. Dentre as mudanças será um movimento para criptografar todas as comunicações do seu serviço de e-mail. A mudança vai colocá-los em pé de igualdade com o Google.
Você pode ler mais sobre a alteração da segurança que o Yahoo está implementando aqui no Blog da Kaspersky ou mais no Threatpost.
Hackeando carros a distância
Eu desejaria que tivessemos falando de uma conferência na qual uma dupla de pesquisadores hackearam um carro a distância. Infelizmente, eu estou falando sobre uma dupla de pesquisadores que descubriram como controlar a distância vários modelos de carros, essencialmente, transformando-os em duas toneladas de carros telecomandados.
Nós falamos sobre o hackeamento de carros durante mais de um ano aqui no Blog da Kaspersky e, provavelmente, não vamos deixar de falar. A razão para isso é porque os carros conectados são uma tendência. No momento, hackear um carro é um trabalho árduo, requer um conhecimento muito específico de protocolos muito específicos que são geralmente usados em carros.
No entanto, logo os carros terão seus próprios sistemas operacionais, os seus próprios mercados de aplicativos e, com o tempo, será possível que eles tenham seus próprios navegadores web. Sistemas operacionais, aplicativos e navegadores são três coisas que os cibercriminosos sabem explorar.
Além disso, assim como os dispositivos médicos, o problema de remendar vulnerabilidades de segurança no veículo apresentaria problemas graves. Será que o cliente tem que trazer o carro para o revendedor para obter a atualização? Se sim, como muitas pessoas trariam seus carros para recall? Ou, será que os fabricantes criariam algum mecanismo de atualização a distância? Se for esse o caso, então o que acontece se uma atualização rompe a funcionalidade ou pior é de alguma forma sequestrado ou falsificado por um cibercriminoso.
A boa notícia é que Charlie Miller do Twitter e Chris Valasek de IOActive desenvolveram um antivírus como ferramenta de detecção que pode ver se alguém está tentando manipular as comunicações entre os vários sensores e computadores construídos em automóveis e assim bloquear o tráfego malicioso.
BadUSB – todos os USB são ruins
Karsten Nohl (foto acima) desenvolveu um exploit que tira proveito do fato de que quase todos os usuários de computadores no mundo aceitam a entrada de cartões de memória USB. Nohl, cientista-chefe da Security Research Labs, chama o ataque de “BadUSB”. O que ele fez, essencialmente, foi substituir o firmware incorporado nesses dispositivos, a fim de deixá-los em silêncio e realizar um rol de atos maliciosos, incluindo a injeção de código malicioso em máquinas e redirecionamento do tráfego de dados.
“Um USB é projetado para funcionar desta maneira: ninguém fez nada de errado”, disse Nohl. “E não há nenhuma maneira de corrigi-lo. Enquanto tenhamos USBs, podemos ter dispositivos disfarçados de outros dispositivos. É uma questão de segurança estrutural”.
Devido a este ataque estar dirigido a uma universalidade do modelo USB, é possível que milhares de milhões de máquinas sejam potencialmente vulneráveis a este ataque. Nohl também teme que a natureza ubíqua do erro e suas possíveis explorações poderiam minar a confiança. “Não há nenhuma ferramenta de limpeza que remova ou substitua o firmware malicioso. Isto torna mais fácil as infecções, e torna mais difícil a recuperação das infecções”.
Nohl soube do ataque logo que foi de conhecimento a ferramenta de hacking da NSA.
A honesta quadrilha do CryptoLocker
O grupo de trabalho que desligou o ransomware CryptoLocker também apareceu na Black Hat. Durante sua exposição, mostraram um email de uma vítima que enviou à quadrilha CryptoLocker a fraude. A vítima, uma mãe solteira, sem o dinheiro necessário para pagar o resgate implorou aos criadores do malware para desbloquear sua máquina, que ela precisava para o seu trabalho.
Histórias como esta e outras semelhantes obrigaram o grupo de trabalho a se reunir e acabar com o CryptoLocker. Curiosamente, eles disseram que a quadrilha responsável pelo CryptoLocker era completamente fiel à sua palavra. Durante meses, nós dissemos que você nunca deve pagar para ter sua máquina desbloqueada porque não há garantia de que isso nunca vai acontecer. No entanto, a quadrilha CryptoLocker foi honesto com respeito a isso.
No final de sua apresentação, o grupo de trabalho explicou que este golpe ransomware incrivelmente desonesto parecia ser apenas uma empresa de fazer dinheiro para alguma outra conspiração criminosa.
Software de rastreamento que deu errado
O pesquisador da Kaspersky Lab (e amigo do blog) Vitaly Kamluk e co-fundador de Cubica Labs, Anibal Sacco apresentou uma série de atualizações em uma vulnerabilidade de segurança presente em um pedaço quase onipresente de software que falamos aqui antes.
O software, desenvolvido pela Absolute Software e conhecido como Computrace, é um produto anti-roubo legítimo de empresas de hardware do mundo e passa despercebido pela maioria dos fornecedores de antivírus. E por que não? É um software legítimo.
No entanto, Computrace é também um pouco de mistério. Por razões que permanecem em grande parte desconhecida, Computrace é ativado por padrão em milhões de máquinas em todo o mundo. Absolute Software diz que isso não deve ser o caso, explicando que Computrace é projetado para ser ligado pelos departamentos de usuário ou TI. O que ocorre é que cada vez que Computrace está habilitado, é incrivelmente persistente, vivendo através de reboots de fábrica e reiniciando-se a cada inicialização do sistema.
Além disso, o produto contém vulnerabilidades – a empresa ridiculariza essa classificação, ainda que esteja de acordo em corrigir os problemas em questão – que tornam mais suscetíveis a ataques man-in-the-middle que possam expor máquinas afetadas para completar aquisições.
A culpa é dos Satélites
O pesquisador Reuben Santamarta da IOActive descobriu que quase todos os dispositivos envolvidos em comunicações por satélite (SATCOM) contêm vulnerabilidades incluindo backdoors, credenciais codificadas, protocolos inseguros e/ou criptografia fraca.
Essas vulnerabilidades, Santamarta afirma, poderiam dar ao cibercriminosos não autenticados a possibilidade de comprometer os produtos afetados.
SATCOM desempenha um papel crítico na infra-estrutura global de telecomunicações. No entanto, eles afirmam que seus ataques podem também afetar navios, aviões, militares, serviços de emergência, serviços de mídia, e instalações industriais, como plataformas de petróleo, gasodutos, estações de tratamento de água e muito mais.
Resumo
Os ontroles de transporte, que podem ser falsificados, dar aos prestadores de serviços, e, potencialmente agressores, bem como, o controle difuso de dispositivos móveis e outros. Um bug crítico no Android poderia deixar um cibercriminoso passar por quase qualquer aplicativo confiável. Modems de banda larga móvel ou cartões de dados são vistos como alvos fáceis para eles.
Infelizmente, houve tantas ótimas palestras em Black Hat e eu passei a maior parte do tempo na sala de imprensa tentando descobrir exatamente o que todos esses pesquisadores estão falando (foto acima). Se você estiver interessado em saber mais sobre Black Hat, Dennis Fisher e Mike Mimoso do Threatpost e eu voltaremos a cobrir o primeiro e o segundo dia do evento em podcasts separados. Fisher e Mimoso também publicaram um podcast sobre o CON DEF, que começa no dia em que a Black Hat termina.
Do lado de fora do que é publicado aqui e em Threatpost, existem alguns grandes relatos de outros pontos de venda na seção de imprensa do site da Black Hat. A hashtag Black Hat (#blackhat) é provável que tenha uma boa cobertura também. Você também pode querer fazer alguma pesquisa no Google sobre as casas automatizadas.
Fazendo um resumo da conferência de segurança da Black Hat com @thebriandonohue
Tweet
Tradução: Juliana Costa Santos Dias