1. Como detectar fraquezas intencionais e backdoors inclusive criptográficos que
facilitam interceptação “legal” de agências estrangeiras e hackers
Análise de Vulnerabilidades em Ativos de TI
Paulo Pagliusi, Ph.D., CISM
CEO Procela Inteligência em Segurança
Diretor ISACA-RJ | Presidente CSABR
Twitter: @ppagliusi
pagliusi@procela.com.br
www.procela.com.br
Evento
Ciberdefesa
25Mar2014

2. Previsão do Tempo...
Nuvens cinzentas e carregadas de ciberespionagem se aproximam do território
cibernético brasileiro. Está chegando uma procela, ou seja, uma tempestade no
mar da Internet, que pode comprometer a segurança de quem navega no
ciberespaço nacional. ADVERTÊNCIA: seguir nossas recomendações de boas
práticas em Cibersegurança.

3. Bem vindo a bordo.
Sua Cibersegurança no rumo certo.

4. Cenário Atual: Guerra Fria Cibernética
Ameaça Globalizada à Segurança e Privacidade

5. 5 5
5
In God we trust
All others we monitor
GUERRA FRIA CIBERNÉTICA

6. 6
QUEM É A NSA ?
“Crypto City” – Fort Meade, MD NSA - Vista Aérea

7. 7
QUEM É A NSA ?
NSA's Utah Data CenterNSA headquarters
Fort Meade, Maryland

8. 8
Tipos de Interceptação
Satélites, Cabos Submarinos
“Five Eyes” Interceptation Vessels
http://www.theatlantic.com/international/archive/2013/07/the-creepy-long-standing-practice-of-undersea-cable-tapping/277855/

9. 9
Alvos da Espionagem – Quebra de Paradigma
Agências de inteligência conhecidas como “Five
Eyes” (EUA, Reino Unido, Canadá, Austrália, N.
Zelândia) agem fora do padrão esperado.

10. 10
Espionagem Globalizada – Alvo: Brasil
 Snowden: Brasil é alvo prioritário da NSA e agências FYES.
 Acesso via backdoors (porta dos fundos) em equipamentos montados
no exterior (EUA, China, outros).
 Criptografia de operadoras da Internet com vulnerabilidade.

11. 11
QUEBRA DE CRIPTOGRAFIA - HARDWARE MALICIOSO
Caso CRYPTO AG (Suíça) com NSA

12. 12
HARDWARE MALICIOSO - CASO SNOWDEN
Carregador malicioso Mactans, apresentado por
pesquisadores na conferência Black Hat 2013
inocula malware em dispositivos Apple iOS.
Equipamentos de computação
montados nos EUA já saem de
fábrica com dispositivos de
espionagem instalados.
“New York Times”

13. 13
Empresas com dados investigados pelo PRISM:
Microsoft, em 2007. Em 2008, o Yahoo. Em
2009, Google, Facebook e PalTalk. Em
2010, YouTube. Em 2011, o Skype e a AOL. Em
2012, a Apple entrou no programa de vigilância do
governo americano – que continua em expansão.
http://www.theguardian.com/world/2013/aug/21/edward-snowden-nsa-
files-revelations
Grandes empresas da Internet

14. 14
Contrato secreto ligava NSA à empresa RSA
 NSA firmou contrato secreto de 10 milhões de dólares com a RSA.
 Snowden mostrou que agência difundiu fórmula com falhas para geração
aleatória de números que criam backdoors em produtos criptografados.
 RSA virou mais importante distribuidora da fórmula após incorporá-la na
ferramenta Bsafe, usada para aumentar segurança de computadores
pessoais e outros produtos.
http://br.reuters.com/article/worldNews/idBRSPE9BJ08Q20131220

15. 15
Sua organização usa Skype?
 Desde a compra do
Skype pela Microsoft,
NSA obteve nova
capacidade que lhe
permitiu triplicar a
captura de vídeos
através do sistema.
 As estimativas
mostram Skype com
663 milhões de
utilizadores.
http://outraspalavras.net/outrasmidias/destaque-outras-midias/como-a-
microsoft-abriu-o-skype-a-espionagem/

16. 16
TIPOS DE INTERCEPTAÇÃO
GAMES?
http://www.theguardian.com/world/2013/dec/09/ns
a-spies-online-games-world-warcraft-second-life

17. 17
Avião da Malásia– Possível Ciber sequestro?
http://www.itproportal.com/2014/03/12/was-malaysia-airlines-flight-mh370-brought-down-by-a-cyber-attack/

18. 18
“The Mask”– Brasil entre Maiores Alvos
 Kaspersky Lab, Moscou, sobre A Máscara:
“campanha de espionagem
cibernética, iniciada em país de língua
espanhola”.
 Alvos: agências governamentais, empresas
de energia e ativistas em 31 países
(Marrocos, Brasil, UK, FR, ES).
 Opera sem detecção desde 2007, infectou
380 alvos. Descoberta indica mais países
adeptos em espionagem na Internet.
 Motivo da descoberta: infectou o próprio
software da Kaspersky.
 Malware projetado para roubar
documentos, chaves de criptografia e
assumir o controle total de computadores
infectados.
 Explora falha no Adobe Flash corrigida em
Abr2012.
http://www.reuters.com/article/2014/02/10/us-cybersecurity-
espionage-mask-idUSBREA191KU20140210

19. 19
Risco de Espionagem Global ao Navegar nas “Águas” da
Internet Brasileira... Como se Proteger dos backdoors?

20. Como detectar fraquezas e backdoors?
 Mudança de foco: ao invés de apenas olhar para a segurança da
informação tradicional, focar em defesa, ou seja, inteligência e
contrainteligência cibernética estratégica.
 Foco na consciência situacional em apoio à tomada de decisões.

21. Análise de vulnerabilidades (backdoors) em ativos de
tecnologia da informação - detecção de fraquezas intencionais e
backdoors em software, firmware e hardware, inclusive
criptográficos, que facilitem interceptação “legal” de agências estatais
estrangeiras (ex. legislação americana CALEA para a NSA).
Como detectar fraquezas e backdoors?

22. Auditoria (equipe multidisciplinar):
o Mapeamento dos Ativos de TI - do
ambiente escopo da auditoria.
o Análise da configuração dos ativos.
Identificação de meios de acesso ilícitos.
o Análise da consistência de dados -
análise e interpretação do tráfego de rede do
ambiente e dos ativos de TI.
o Análise em software, firmware e
hardware – compatibilidade entre os
instalados nos ativos de TI e os
disponibilizados pelo fabricante, identificação
e descobrimento de elementos espúrios.
Como detectar fraquezas e backdoors?

23. Anomalias facilitam interceptação:
o O ativo de TI armazena informação
não documentada em algum lugar?
o Há algum componente interno não
documentado para esta finalidade?
o Os ativos de TI aceitam conexão
externa para extração de informação
por componente não documentado?
o Há no firmware do ativo de TI senha
master abrindo funcionalidade não
detectada pelo usuário comum?
o Há fraqueza no gerador de aleatórios
ou em outros aspectos dos
algoritmos criptográficos?
Identificando Fraquezas nos Ativos de TI

24. Anomalias facilitam interceptação:
o Há indício de malware (ataque
direcionado, "cavalos de Tróia" ou
ataque embarcado) no firmware?
o Há no tráfego de redes do ambiente
escopo diferença calculada de
timming entre pacotes ou diferença
calculada no tamanho dos pacotes de
rede, capaz de ativar malwares
embarcados no ativo de TI?
o Há indício de haver backdoors nos
algoritmos criptográficos? Má
implementação intencional
ou envio ilegal das chaves.
Identificando Backdoors nos Ativos de TI

25. Em duas etapas:
o Em laboratório - características físicas
e de configuração básicas;
o No ambiente de operação - busca por
ativação remota, verifica consistência
de dados.
Resultados a entregar:
o Relatório executivo da auditoria –
visão gerencial da auditoria nos ativos
de TI.
o Relatório operacional de riscos –
detalhamento dos achados durante
auditoria nos ativos de TI.
Análise dos Ativos de TI

26. Capacitação exigida:
o Análise em software – equipe com
experiência multidisciplinar
(engenheiros de sistema, criptólogos,
desenvolvedores), capaz de realizar
engenharia reversa e análise
aprofundada de algoritmos.
o Análise em firmware e em hardware
- engenheiros e especialistas em
eletrônica e sistemas embarcados,
equipe especializada em soluções de
hardware e firmware, com foco em
arquiteturas de segurança.
Equipe Necessária: Análise de Backdoors

27. Como detectar fraquezas intencionais e backdoors inclusive criptográficos que
facilitam interceptação “legal” de agências estrangeiras e hackers
Análise de Vulnerabilidades em Ativos de TI
Paulo Pagliusi, Ph.D., CISM
CEO Procela Inteligência em Segurança
Diretor ISACA-RJ | Presidente CSABR
Twitter: @ppagliusi
pagliusi@procela.com.br
www.procela.com.br
Muito Obrigado e
Bons ventos!
Evento
Ciberdefesa
25Mar2014