Mecanismo simples porém astuto. Os criminosos enviam um fake-mail solicitando ao cliente para que ligue para um número de helpdesk e uma vez lá solicitam o número da conta corrente da vítima. O alerta infelizmente não dá maiores detalhes sobre o número telefônico utilizado, restringindo-se apenas a apontar que o código de área fica na Califórnia. Eu chuto que os criminosos estavam usando uma caixa voicemail invadida.

Muito se fala sobre a segurança das redes de telefonia GSM e sua capacidade de oferecer certa proteção ao conteúdo das conversas telefônicas, recurso também conhecido como voice privacy feature. Porém dizem por aí que o próprio Marconi, um dos inventores do rádio, logo após confirmar sua descoberta percebeu um pequeno detalhe de sua invenção, a falta de privacidade. Como dizia um amigo meu, ex-oficial de inteligência, ondas de rádio não tem dono (ainda que alguns afirmem o contrário).

A funcionalidade da rede GSM possui dois grandes requisitos:

• proteger da interceptação ilegal de sinais e ao mesmo tempo...
• manter a capacidade dos governos de realizar as chamadas interceptações legais;

Diante disso, os desenvolvedores do padrão GSM optaram por restringir a capacidade criptográfica apenas ao tráfego entre o celular GSM e a Estação Rádio Base(algo como a "antena" da operadora). A consequência dessa decisão foi um sistema incapaz de oferecer criptografia de fim a fim, ou seja, entre um usuário e outro.

Verdade seja dita, a limitação do protocolo e algumas outras falhas do GSM não costumam fazer diferença para 99% da população do planeta, porém, uma parte dos seres vivos preocupa-se com a possibilidade de que suas chamadas seejam interceptadas por um governo ou organização hostil.

Paranóia ou não, enquanto uma minoria desses seres vivos está tentando dificultar o trabalho policial outra grande parte está apenas em busca da privacidade prometida na Constituição brasileira. E diga-se de passagem, num país com um exército de arapongas à solta, preocupação nunca é demais. Lá em casa aprendemos desde cedo que o telefone, mesmo no gancho, pode ser usado como escuta. Sim leitores, preocupação com segurança vem de berço. :-)

Independente da motivação, até alguns anos atrás, aqueles que desejavam proteger suas conversas precisavam desembolsar uma quantia significativa de dinheiro por um celular modificado e com pouco recursos avançados. Era o caso do TopSec GSM da Rohde & Schwartz cuja "plataforma" consistia em um miserável Siemens S35. Em troca da segurança as funcionalidades iam pelo ralo. Porém, assim como o security officers irão aprender um dia, os fornecedores de celulares criptográficos descobriram que segurança e funcionalidades deveriam andar de mãos dadas.

No final de 2003, o lançamento do CryptoPhone da GSMK começou a mudar a cara desse mercado. Ao contrário dos modelos anteriormente disponíveis, a linha de aparelhos da GSMK era baseada em equipamentos mais modernos e com quase todos os recursos que um celular rodando Windows Mobile poderia oferecer. Entretanto o preço do CryptoPhone, cerca de € 1900 era um problema um tanto sério.

Hoje recebi um email do CEO da Voylent anunciando a nova versão do Voylent Communicator. Esse software é capaz de oferecer aos proprietários de certos aparelhos de celular a mesma funcionalidade de produtos como o CryptoPhone e o TopSec GSM mas sem restringir o usuários a determinados aparelhos com o software pré instalado. Ao contrário dos produtos até então disponíveis, o Voylent Communicator requer apenas um aparelho de celular S60 rodando Symbian.

Só o tempo irá dizer se o produto é realmente confiável. Ainda que o protocolo de comunicação tenha sido escrito com base em trabalhos de Bruce Schneier, a Voylent ainda não se decidiu quanto a possibilidade de abrir o código fonte de seu programa para avaliação de analistas indepentendes. Nada que uma série de emails não resolva.

O tempo passa. Essa semana completei dez anos de profissão! Quem diria.

Agradecimentos à todos com quem tive a oportunidade de trabalhar e um agradecimento em especial ao grande amigo Vitor Conceição, responsável por minha indicação para a Módulo. Alguns dias após entrevista com o Alberto Bastos eu me tornaria o primeiro analista de segurança da Módulo e parte de um time que entre brigas e ajudou a colocar a segurança da informação no dia a dia da empresas brasileiras.

Deu no antisource.com mas passou desapercebido.

O Federal Financial Institutions Examination Council norte americano publicou em um relatório:

O relatório em si é não surpreende mas pelo visto o governo norte americano já considera inadequado o phishing e começa a pressionar as instituições financeiras por soluções.

Vale atentar para o fato de que o nível das fraudes lá ainda é considerado significativamente inferior se comparado com o Brasil. Por outro lado, meu Internet Banking e HomeBroker Brasileiros, ambos do Unibanco, são incomparavelmente melhores do que os Internet Bankings do banco de minha namorada em Israel e nos EUA.

Afinal, o que é mais importante? Mais facilidade de uso ou mais segurança? Infelizmente a resposta ainda depende muito da opinião de quem está respondendo. :|

Recentemente, um leitor do blog perguntou-me se trabalho no SERPRO e comentou sobre os recentes esforços daquela estatal acerca dos certificados digitais. Diante disso achei interessante comentar um pouco sobre esse assunto.

Os recentes esforços do SERPRO na certificação digital são, de certa forma, fruto de uma iniciativa do governo federal de criar uma infra-estrutura de chaves públicas ,ou apenas ICP. Essa tal ICP nada mais é do que conjunto de tecnologias e processos envolvidos na emissão, distribuição e revogação de certificados digitais.

Os certificados digitais são resultado da aplicação de complexos algoritimos matemáticos conhecidos como criptografia de chaves assimétricas. Essas chaves assimétricas permitem que duas pessoas conversem entre si com plena privacidade sem que precisem combinar uma senha comum.

Deixando a tecnologia um pouco de lado, a diferença entre o certificado digital e as chaves assimétricas reside no fato do certificado oferecer a garantia de que ambas as pessoas são quem afirmam ser. Essa garantia é oferecida por um terceiro conhecido como Autoridade Certificadora. Em teoria, os certificados digitais são quase o fim do 171 eletrônico com o qual estamos lentamente nos acostumando a viver.

O esforço do governo federal nessa matéria tornou-se público em Agosto de 2001 quando a MP 2200 foi editada. A medida provisória - nunca convertida em lei -

"Institui a Infra-Estrutura de Chaves Públicas Brasileira - ICP-Brasil"

com o intuito de

"garantir a autenticidade, a integridade e a validade jurídica de documentos em forma eletrônica, das aplicações de suporte e das aplicações habilitadas que utilizem certificados digitais, bem como a realização de transações eletrônicas seguras."

Não há dúvidas que a publicação dessa medida provisória significou um interessante avanço tecnológico. Hoje, passados quase 5 anos da publicação da MP, milhares de transações financeiras são feitas através do Sistema de Pagamentos Brasileiro do Banco Central utilizam certificados garantidos pela mesma ICP Brasil.

Paralelamente dois dos mais bem sucedidos pioneiros dos avanços no governo eletrônico, o SERPRO e a Receita Federal, decididem criar uma versão eletrônica do CPF, o chamado e-CPF. Trata-se de um avanço necessário e uma tecnologia de extremo potencial, especialmente se a discussão a seu respeito se aprofundar fora do ambiente técnico.

Hoje o e-CPF ainda é basicamente um trunfo tecnológico, seja para o governo e autoridades certificadoras que o emitem ou seja para os bancos que o vêem como uma forma de prover mecanismos ainda mais confiáveis de realizar transações bancárias via Internet. Talvez porém ao invés de problemas tecnológicos o e-CPF seja vítima de problemas políticos.

O maior problema do e-CPF ainda seja justamente o modelo de negócio escolhido pelo governo. Quando foi lançado o e-CPF aproveitou a alta capacidade de hierarquização da ICP para privatizar a emissão do documento. Um contribuinte que deseje solicitar um e-CPF classe A3 precisa desenbolsar entre 200 e 350 reais.

Alguns alegariam que existem opções mais baratas tais como o uso de certificado da classe A1 ou a emissão do certificado em um smartcard do próprio contribuinte mas alguns motivos me impelem a rejeitar tais alegações. Antes precisamos entender a diferença entre os certificados A1 e A3 especificados pela Receita Federal.

O certificado A1 peca por não utilizar os smartcards presentes nos certificados da classe A3. Esses smartcards são cartões dotados de um chip criptográfico que torna o certificado digital mais confiável. Hoje ainda é extremamente difícil clonar um certificado digital armazenado nesse tipo de cartão. Essa é justamente tecnologia dos “chips” dos celulares GSM e grande responsável pela maior proteção dos aparelhos GSM contra a clonagem. Resta ainda a opção de comprar um smartcard em uma loja de informática e dirigir-se até a autoridade certificadora porém essa opção é um tanto irreal, especialmente para quem vive no Brasil.

Dirija-se a uma loja de informática e solicite um smartcard. Se você der sorte e encontrar uma loja que os tenha para pronta entrega prepare-se para encarar aquela já conhecida cara de “hein?” assim que perguntar maiores detalhes sobre aquele cartão. Não sendo isso suficiente, ainda precisamos observar um pequeno mas bem visível detalhe, a aparência do próprio cartão.

A Receita Federal publicou em outubro de 2004 a Instrução normativa SRF 462 que especifica entre outras coisas um layout gráfico para os cartões de e-CPF. Esses cartões de e-CPF assemelham-se e servem como comprovante de inscrição no Cadastro de Pessoas Físicas tais como os CPFs em plástico e papel que quase possuímos. Detalhe que a própria emissão de e-CPF feitas em parceiria através dos Correios e da Receita não fornece os cartões. A página não deixa se o layout gráfico do cartão é aplicado sobre o cartão do usuário. Infelizmente eu tenho minha dúvidas.

Como diria uma senhora que conheço, o Governo Federal tem mania de criar serviços suecos para um país como o Brasil. Serviços onde a entrada é condicionado a um certo pre-requisito como por exemplo a posse de computador ou e-CPF. Enquanto seja perfeitamente compreensível que para acessar um sistema online você precise ter acesso a um computador, não me parece razoável que para retirar um passaporte você seja obrigado a preencher online o formulário de GRU. Diante dessa realidade não é difícil compreender porque um e-CPF é caro ao invés de ser oferecido gratuitamente. Por outro lado os bancos, um dos prováveis grande favorecidos, aguardam ansiosamente a adoção em massa dos e-CPF.

Infelizmente nem bancos, nem governo parecem estar muito predispostos a pagar a conta, ainda que essa medida possa reduzir drasticamente o número de fraudes online e ampliar o uso de comércio eletrônico no Brasil, o que seria benéfico para ambos. Verdade seja dita, cabe mais ao governo do que aos bancos pagar essa conta. Digamos que trata-se de investimento em infra-estrutura, ainda que eletrônica. Algo me diz que traria mais benefícios que a nova SUDENE. :-)

Uma coisa é certa, como de costume seremos nós, os cidadãos, seja como clientes ou contribuintes que pagamos a conta. E viva o imposto brasileiro!

O phreaking voltou. Ou melhor nunca morreu. Phreaking é o termo utilizado para descrever aqui que podemos chamar de o primo, ou até mesmo o pai do hacking. Trata-se de uma subcultura que visa ultrapassar os limites dos sistemas telefônicos e fazer coisas que teoricamente um usuário não seria capaz. Coisas tais como ligações internacionais gratuitas, redirecionar tráfego, reconfigurar centrais telefônicos, escutar as chamadas de outrem.

A expansão na década de 80 do Signaling System 7, ou SS7, foi um duro golpe no phreaking mundial. Muitas das técnicas phreakers tornariam-se cada vez menos eficientes e rastreáveis. A simultânea informatização do sistema telefônico aproximou profundamente phreaking e hacking. Porém diante da quase total ausência de exploits - receitas de bolo normalmente utilizadas por crackers - o phreaking ainda permanece como uma espécie de mistério cujo domínio continua restrito a poucos.

Tudo ia muito bem até que surge o famoso VoIP, ou Voz sobre IP. O sonho de todo phreaker tornara-se realidade novamente. Assim como nos anos anteriores ao SS7, a sinalização telefônica e a voz compartilhavam a mesma realidade, ao invés de sons, ambos tornaram-se bits e bytes trafegando pela Internet. Some-se a isso o fato de que a segurança de sistemas telefônicos possuiu uma série de peculiaridades e temos uma receita para lá de explosiva.

Recentemente NY Times e The Register reportaram a prisão de dois fraudadores de sistemas de Voz sobre IP. Tornou-se fato aquilo que especialistas já vinham alertando nos últimos meses. As fraudes nos ambientes de Voz sobre IP são realidade e só tendem a aumentar. Recentemente conversava com um amigo sobre problemas que ele ajudou a resolver em uma operadora caribenha. Algumas semanas de fraude foram capazes de render uns bons milhares de milhares de dólares de prejuízos.

A convergência que estamos assistindo não é apenas uma convergência dos serviços, de certa forma estamos assistindo uma convergência de culturas e de problemas. E problemas bem grandes diga-se de passagem.

Como dizem por aqui em Israel, é preciso: aprender com o passado para evitar que esse se repita no futuro.

É sempre assim, ao menos uma vez por semana eu escuto essa palavra. CLEARANCE. Em um país onde boa parte da população é de ex-soldados quase todo mundo tem a sua. Naturalmente a de alguns é maior do que a dos outros e eu posso quase apostar que crianças frequentemente humilham uma às outras afirmando: A clearance dos meus pais é maior do que a dos seus. :-)

Mas o que é uma Security Clearance? Pode-se dizer que é uma investigação da lealdade, caráter, veracidade e confiabilidade de um indivíduo para ter certeza de que ele é elegível a obter acesso à informação que afete a segurança nacional.

Todos os países tem esse tipo de programa e acredito que o Brasil também tenha mas sempre pergunto quem teria essas clearances. Tirando-se as vítimas de Alcântara, os engenheiros fosforescentes da marinha, da Nuclebrás e do IPEN não consigo imaginar muito mais gente que as tenha. Eu mesmo já tomei parte de diferentes projetos do governo e nunca senti nem cheiro desse tipo de processo.

O engraçado é que como de costume a população paga o pato. Exemplo? O caso das fitas da CPI do tráfico de armas na Câmara de São Paulo. Como todos sabemos, por duzentos mangos o técnico de som da câmara vendeu as fitas e forneceu exatamente a informação que o crime organizado precisava.

Por outro lado, o involvimento das forças armadas no combate ao narcotráfico e policiamento urbano mostra claramente que o elevado nível de violência urbana "vem se tornando" um problema à segurança nacional e que, informações relativas ao seu combate deveriam ser protegidas de forma adequada. A Abin exibe em sua página "informações" sobre o PNPC - Programa Nacional de Proteção ao conhecimento. Custa saber o que ele protege. No passado mandei mensagem pedindo informações e nada recebi de volta. Faz parte.

O que assusta é que nem mesmo dentro das entidades governamentais esse tipo de mecanismos está sendo empregado. Exemplo disso foi justamente o depoimento vazado dos delegados do Departamento de Combate ao Crime Organizado de São Paulo. Já de cara me pergunto porque revelar detalhes de uma operação ainda não executada àquela CPI! Isso sem considerar que se realmente o técnico de som vendeu as informações a coisa estava completamente torta.

Parece mais um daqueles exemplos de miopia onde Informação secreta é o agendamento do futebol semanal na granja do torto, enquanto já já vai ter gente fazendo fila para entrar em consórcio de carro blindado. Espero estar errado.

Em tempo, meus filhos vão ter que se contentar em falar da clearance da mãe deles. Se aqui pra mim já é difícil, no Brasil é quase impossível.

Quem sabe um dia descobrem que tudo que acham que sabem de mim não procede. :-)

Recentemente estava a pensar em qual teria sido o divisor de águas na história da Internet Brasileira. A conclusão foi rápida e passional. Receitanet 1997. Esse foi um projeto inédito e bem desafiador. Fazer chegar de forma não presencial o conteúdo das declarações de imposto de rendas eletrônicas. Nada menos do que substituir os disquetes pela Internet.

O ano era 1997 e a Internet além de ser novidade não era lá muito confiável para uma aplicação tão séria. Em termos de segurança a situação não era muito animadora, até então 96 havia sido o ano com o maior número de advisories publicados pelo CERT/CC incluindo um sobre o até hoje perigoso SYN Flood. Se o ano anterior não era nem um pouco animador, 97 não demonstrava sinais de melhoria já em janeiro a bugtraq informava que o envio não esperado de alguns caracteres fazia com que o Windows NT consumisse 100% de CPU. Esse número crescente de novas falhas de segurança deixava claro que o trabalho precisava ser bem feito tanto contra o que conhecíamos quanto contra aquilo que não conhecíamos.

Não bastasse isso uma pequena peculiaridade brasileira causava uma certa preocupação. Com a tendência nacional de deixar tudo para a última hora, como garantir que os mecanismos de segurança não serviriam como impecílio ao funcionamento do sistema? Segurança com velocidade era algo extremamente difícil de ser obtido naqueles tempos.

Ainda assim o SERPRO e a Receita Federal estavam determinados a fazer aquele sistema funcionar sem que houvessem problemas para população, fossem eles derivados da falha capaz de interromper a entrega os dados ou a violação dos mesmos. Outros fatores que muito marcaram aquele projeto foram o foco no cliente e a preocupação de criar uma solução secure by design. Isso ficaria ainda mais claro em 98 quando o software foi levemente modificado para permitir a declaração a partir de IPs atrás de NAT, ponto que dificultara que os cidadãos enviassem suas declarações a partir do trabalho. Aquela predisposição ao aperfeiçoamento marca ainda hoje aquela equipe com um de meus clientes favoritos.

Terminado o ano de 97 a ReceitaFederal comemorava a incrível marca de mais de 700 mil declarações entregues via Internet. Já no ano seguinte mais de 4 milhões de declarações seriam novamente enviadas via Internet. O pioneirismo de 97 havia dado certo e a Internet passava a ser considerada como meio confiável de troca de informações. De lá para cá o número de serviços eletrônicos só vem aumentando. Talvez algo que marque o Receitanet seja o fato de que tudo foi feito sem que fossem causados maiores transtornos aos cidadãos ou ao Estado.

Hoje, passadas 10 edições podemos dizer que muito daquela experiência serve como exemplo para os profissionais de tecnologia da informação de que pioneirismo, segurança e foco no cliente não são qualidades antagônicas.

Todos sabemos, deus é brasileiro, outro dia inclusive foi visto em tel aviv usando a camisa 10 da seleção. Camisa azul em total sintonia com a caricaturização do verde e amarelo nos dias de hoje.

Já John Locke foi filósofo, nasceu e morreu na Inglaterra. Deu sorte, tivesse nascido no Brasil jamais teria tido descanso e hoje seus ossos já teriam se esfarelado de tanto se remoer na tumba.

Enquanto vivo Locke defendeu o direito de rebelião dos cidadãos diante de um Estado incapaz de garantir os direitos de liberdade, vida e propriedade. Pergunto-me se Locke continuaria acreditando nessa tese diante da passividade de deus e seus compatriotas brasileiros diante da incompetência e quase ilegitimidade dos governantes desse país.

A novidade governamental vem novamente de São Paulo. Além de administrar o estado mais rico da federação o governo de São Paulo vem demonstrando nos últimos meses uma posição de vanguarda na administração da segurança pública. Não bastasse a suspeita de negociação com os líderes do PCC, a Secretaria de Segurança Publica daquele estado confirmou em nota oficial à imprensa que realmente está estudando a possibilidade de terceirizar a administração da base de dados de identidades e registros criminais do estado conforme informado pela Folha de São Paulo no último domingo.

Segundo a matéria da folha:

Durante toda a semana passada, uma equipe da Polícia Civil --que tinha inclusive o diretor do instituto onde ficam as fichas de quem tirou documentos em São Paulo-- percorreu algumas cidades dos EUA para descobrir como o sistema funciona lá e tentar definir como adaptá-lo à realidade paulista.

E o ministro falou novamente em tão delicado assunto e dessa vez foi mais longe e disse:

"Eu, Gilberto Gil, como ministro de Cultura do Brasil e como músico, trabalho a cada dia com o impulso da ética hacker"

As declarações do ministro são de certa forma positivas, trata-se do reconhecimento de um movimento cultural que traz a tona representantes de uma contra cultura eletrônica real e muitas vezes politizada. Exemplos não faltam mas talvez o meu favorito seja o CCC que ultrapassou os 20 anos de questionamento e polêmica na Alemanha.

Deve ter sido lá pelo final dos anos 80 quando eu, ainda por volta de 11 ou 12 anos, li uma SuperInteressante, na época minha revista favorita, em que constava uma matéria sobre a invasão de sistemas da NASA por hackers alemães ligados à KGB que correram para a imprensa e polícia quando perceberam estar no meio de uma briga de cachorros grandes. O incidente polêmico colocou em risco a reputação do grupo alemão e serviu como sinal da reação do establishment da segurança da informação ao crescimento dos incidentes de segurança. Discussões sobre crackers e hackers, a aversão à invasão e a venda da imagem do terror, da espionagem e de anarquia eletrônica.

Será que o ministro é sensato ao dizer que hacking serve como contra-ponto à uma "ortodoxia analógica reacionária"? Acho que sim. Dia a dia percebo que o crescimento do mercado de segurança da informação vem criando uma classe de profissionais robôs que entendem tudo sobre segurança da informação, tudo exceto uma coisa, a segurança maior do indivíduo está na liberdade.

Anos iriam se passar até eu começar a entender sobre o que diabos aquela matéria estava falando mas hoje percebo que a mensagem foi clara. Os computadores podem fazer muito mais do que os joguinhos, antivirus e personal firewalls que instalamos

Para saber mais:

http://catless.ncl.ac.uk/Risks/8.36.html
http://www.phrack.org/phrack/25/P25-10