Cibercriminalidade em segundo lugar nos crimes com mais inquéritos em Lisboa

Os números fazem parte do relatório da comarca de Lisboa para o ano de 2015 que foi divulgado online e mostra a prevalência do cibercrime e das atividades relacionadas com crimes informáticos entre a atividade criminal investigada na região.”

cibercriminalidade

In http://tek.sapo.pt/noticias/computadores/artigo/cibercrime_em_segundo_lugar_na_investigacao_do_ministerio_publico_em_lisboa-46235xzo.html

7 Tips for Protecting Your Site From WordPress Plugin Vulnerabilities

  • Regularly install WordPress core updates and plugin updates to ensure you are running code having all the latest security patches.
  • Use a modern and updated WordPress theme. Older themes often have embedded plugins that haven’t been patched and can present vulnerabilities.
  • When researching the use of any plugin, check the date it was last updated and its WordPress version compatibility. Avoid older plugins, as those haven’t been tested with the current WordPress version.
  • When deciding between plugins having similar functionality, choose those having greater numbers of active installs and better ratings. Generally speaking, such popular plugins are regularly updated and have a lower risk factor.
  • Even inactive plugins on your WordPress site pose a security risk. Delete those that are unnecessary plugins and don’t actively use. The fewer the plugins you use, the fewer options a hacker will have.
  • No plugin is 100% safe, but the WordPress Plugin repository (https://wordpress.org/plugins/) vets each one located there before offering them to users. Only download plugins from the repository site and from third-party theme and plugin developers known to be reputable.
  • Use WPScan’s Vulnerability Database (https://wpvulndb.com/) to monitor plugins known to have vulnerabilities, as well as to learn when they are patched.

based on https://www.incapsula.com/blog/wordpress-plugin-vulnerabilities.html

ENISA Threat Landscape 2015

“Adversaries have achieved considerable advances too. No Snowden or Heartbleed-like events have been reported. Instead, cyber-threats have undergone significant evolution and just as in 2014, significant breaches have covered front pages of media. And exactly this is an alerting fact: seemingly, cyber-threat agents have had the tranquillity and resources to implement a series of advancements in malicious practices. In particular:

  • Performing persistent attacks based on hardware, far below the “radar” of available defence tools and methods.
  • Achieving enhancements in the provision of “cyber-crime-as-a-service”, tool developments for non-experts and affiliate programmes.
  • Highly efficient development of malware weaponization and automated tools to detect and exploit vulnerabilities.
  • Campaigning with highly profitable malicious infrastructures and malware to breach data and hold end-user devices to ransom.
  • Broadening of the attack surface to include routers, firmware and internet of things.”

 

https://www.enisa.europa.eu/activities/risk-management/evolving-threat-environment/enisa-threat-landscape/etl2015

PRISM e os Europeus

Prism Screenshot

Que os países dispõem de sistemas de vigilância e de conservação de dados dos seus cidadãos não é algo novo, mas estes sistemas não deveriam ser de utilização massiva e todas as “escutas” deveriam ser previamente avaliadas e aprovadas por juízes rigorosos e independentes.
Que as tradicionais escutas telefónicas ou outro qualquer sistema obtenção de dados eletrónicos sobre um suspeito possa ajudar na investigação e efetuar prova em tribunal que permita condenar o arguido, é algo irrefutável mas países estrangeiros vigiarem e conservarem massivamente informações de cidadãos europeus sem qualquer mandato judicial ou suspeita fundada de crime é algo que não deveria ser permitido. Infelizmente esta parece ser uma realidade, à já alguns anos, nos EUA e que foi agora exposta por Edward Snowden, que denunciou o mega sistema de vigilância americano PRISM.

O que é ainda mais caricato é que os cidadãos europeus têm menos garantias de privacidade e salvaguardas no acesso aos seus dados – que estejam alojados nos EUA – do que os cidadãos americanos, porque a muito falada 4th Amendment da Constituição Americana só se aplica aos seus cidadãos e não a cidadãos estrangeiros.

Infelizmente o cidadão europeu pouco pode fazer atualmente contra o PRISM (ou outro qualquer sistema vigilância que exista nos EUA e que tenha como alvo as comunicações e dados alojados em solo americano ou fornecidos através de empresas americanas) e a União Europeia pouco ou nada está a fazer para salvaguardar os direitos dos seus cidadãos.

A União Europeia necessita de urgentemente forçar um acordo bilateral com os Estados Unidos da América para a proteção de dados dos seus cidadãos. Este acordo deveria ser de uma maior transparência possível e salvaguardar a privacidade dos cidadãos, balizar a utilização dos métodos de vigilância e conservação dos dados obtidos.

[ Aconselho a leitura do o artigo da Susan Landau intitulado ‘Making Sense from Snowden: What’s Significant in the NSA Surveillance Revelations’ ]

Dados na Cloud podem ser acedidos pelos USA?

all your data are belong to US

Esta informação não é nenhuma novidade mas parece que muitos não têm a noção das implicações que o Patriot Act tem sobre a acessibilidade dos dados guardados na Cloud, pelos Estados Unidos da América, mesmo que esses dados estejam alojados fisicamente em Datacenters Europeus.

A interpretação do Patriot Act pelos entendidos nestas matérias legais é de que as autoridades Americanas podem exigir o acesso aos dados, mesmo que os mesmos estejam fisicamente em solo Europeu, desde que a empresa que fornece o serviço tenha a sua sede nos USA. Outra particularidade desta lei é que a empresa é obrigada a ceder a informação requerida e não poderá informar o seu cliente dessa ação.

A Microsoft, através do seu Managing Director do Reino Unido, já veio a público explicar que uma vez que os seus headquarters são nos Estados Unidos da América terão que obedecer a todas as suas leis locais e que devido a tal não podem garantir que os dados guardados, por exemplo na sua infraestrutura Office 365, não serão fornecidos às autoridades Americanas quando assim requerido.
No entanto um outro Cloud Provider, a Rackspace, garantiu que no seu caso não estão afetos ao Patriot Act uma vez que o controle operacional dos dados é efetuado no Reino Unido.

As dúvidas são muitas e por isso esta questão não deveria passar tão despercebidas das empresas que atualmente ponderam, ou até já migraram, alguns dos seus dados para a Cloud. E “Cloud” aqui pode significar serviços tão críticos e privados como o e-mail (Google Apps), CRM (Sales Force), Office (Microsoft Office 365), Storage (Amazon S3), etc.

A passividade da comunidade europeia sobre este tema tem sido, no mínimo, estranha e lenta mas já existiram alguns movimentos no sentido de uma clarificação sobre a proteção de dados das empresas e cidadãos europeus.

Férias em Segurança – Segurança lógica

Se no primeiro artigo sobre o tema falei sobre segurança física, neste segundo artigo abordarei algumas das minhas sugestões no que diz respeito à segurança lógica dos vossos dados em férias.

Parte 2 – Segurança Lógica:

  • Verifiquem se o vosso sistema operativo, softwares instalados e antivírus estão atualizados antes de ir para a estrada.
  • Façam backup dos vossos dados antes de ir de férias. E não levem esse backup convosco!
  • Revejam os dados que têm nos seus aparelhos e apaguem informações desnecessárias para as férias. Se utilizam o Dropbox, Evernote ou outro serviço Cloud será que não os poderão desativar ou apagar a aplicação do telemóvel ou tablet durante o período de férias? Documentos corporativos serão mesmo necessário estar no portátil pessoal?
  • Verifiquem se têm proteção por password e bloqueio de écran por tempo de inatividade em todos os dispositivos, incluindo laptops, tablets e smartphones.
  • Os screen locks para os tablets e telemóveis poderão não ser perfeitos, mas é bem melhor tê-los ativados do que permitir o acesso imediato aos vossos gadgets. Se utilizam pattern lock considerem mudar esse método de desbloquear o aparelho para PIN ou password.
  • Considerem a instalação de software antirroubo que permita bloquear e apagar os dispositivos remotamente. Software que permita obter a sua localização poderá também ser útil (ver: Prey, F-Secure Anti-Theft, Snuko).
  • A utilização de internet nos hotéis ou hospots deve ser reduzida a navegações inócuas. Até o acesso wired em hoteis deve ser considerado hostil. Não visitem websites que necessitem de credenciais de acesso, seja a vossa banca online, e-mail, facebook, etc.
  • Cuidados ainda mais redobrados na utilização dos PCs disponibilizados nos hotéis ou nos cyber cafés. Nunca confiem em nada que vos seja apresentado nestes PCs e muito menos utilizem as vossas usb drives para guardar informação. Caso pretendam guardar alguma informação considerem criar uma conta temporária de E-mail ou no Dropbox só para este efeito.
  • Para utilização da Internet com mais segurança considerem a utilização da rede 3G nos vossos aparelhos (mas cuidado com os preços de data roaming).
  • Se têm mesmo que usar a Internet para se ligar a serviços que necessitam credenciais considerem a utilização de VPN.

Ver também:

Férias em Segurança – Segurança física

Agora que o agosto já começou e muitos estão já em férias, lembrei-me de fazer alguns alertas e recomendações que julgo serem úteis para quem leva os seus gadgets ou acede à Internet nas férias.

Parte 1 – Segurança física:

  • Pensem duas vezes sobre a real necessidade de levar todos esses dispositivos para as férias. Se não contam trabalhar porque levar o portátil da empresa? Se a probabilidade de fazer uns vídeos é muito reduzida porque levar a máquina de vídeo?
  • Coloquem uma etiqueta com alguns dados de contacto nos vossos gadgets mais caros. Caso percam a câmara de vídeo ou o portátil poderão aumentar as probabilidades da sua devolução colando uma simples etiqueta com nome e telefone.
  • Guardem e tenham acessível todos os serial numbers dos seus gadgets, uma vez que poderá ser uma forma eficaz de os identificar em caso de roubo ou dúvida sobre o seu dono.
  • Nunca deixem os gadgets à vista no carro. Coloque-os no porta-luvas ou na mala do carro, mas nunca os coloquem na mala após o estacionamento, coloquem-nos antes de chegar ao destino.
  • No hotel guardem os gadgets no cofre do quarto ou pelo menos dentro de uma mala fechada à chave ou com combinação.
  • Permaneçam conscientes e alertas sobre movimentações estranhas, bem como nas ruas, shopping e transportes movimentados. Lembrem-se que estarão em território estranho e que poderá haver ladrões em todos os locais mais turísticos.

Ver também:

Questão de segurança?

A opção de alguns sites permitirem o reset da password somente respondendo a uma pergunta predefinida, poderá facilitar o abuso desta funcionalidade por quem conheça a pessoa em causa ou tenha simplesmente acesso ao seu perfil no facebook.

Senão vejamos alguns exemplos dessas perguntas que permitem o reset imediato da password da conta:

  • Qual a tua data de nascimento?
  • Qual a tua cor favorita?
  • O nome da tua mãe?
  • O nome da tua professora primária?
  • O nome do teu animal de estimação?

Quantas destas questões não estarão respondidas nos vossos perfis do facebook ou linkedin? Certamente muitos terão lá a sua data de nascimento, a sua filiação, o seu percurso educativo e muitas outras informações pessoais que poderão servir para responder às questões standard que permitirão o reset da password.
Um caso mediático deste tipo de situações deu-se com as famosas fotos da Scarlett Johansson que circularam na Net, onde tudo começou com a resposta a uma dessas “security questions”.

Por isso é que aconselho para nunca darem respostas corretas quando se depararem com estas opções, sugerindo que essa resposta sirva como outra password forte. Porque não poderemos responder que a nossa cor favorita é ‘psi~cLoDs*mew37fiD’?

Fica aqui a ideia.

Funcionamento das fechaduras cilíndricas

Um tema que me suscitou interesse há uns meses foi o funcionamento das fechaduras e também a “arte” de abrir portas sem utilização das chaves e sem deixar vestígios de arrombamento – que em inglês se costuma designar por lockpicking.

O funcionamento da maioria das fechaduras cilíndricas mais comuns (Yale locks) são baseadas num mecanismo muito simples! Normalmente são compostas por um conjunto de 3 a 6 pares de pinos de comprimentos variáveis, assentes em canais que atravessam o cilindro central, empurrados na parte superior desses canais por pequenas molas e somente com a correta posição das ranhuras da chave nesses pinos é que o cilindro central consegue rodar e abrir/fechar a fechadura.

Mais do que tentar explicar por palavras julgo que as seguintes desenhos permitem ter uma perceção mais eficiente do funcionamento dessas fechaduras:


Exemplo de fechadura com 5 canais.


A impossibilidade de abrir a fechadura com a chave incorreta deriva de todos os pares de pinos não estarem na posição correta.


Ao inserir a chave certa, os pares de pinos alinham com o cilindro central.


Esse alinhamento permite rodar o cilindro, abrindo a fechadura.

Existem diversas técnicas para abrir este tipo de fechaduras, como a bump key, a lock pick gun ou a utilização de ferramentas (vulgarmente chamadas em Portugal como gazuas) que permitem com alguma perícia alinhar todos pinos e rodar o cilindro.

Em artigos futuros explicarei algumas destas técnicas e tentarei também informar alguns dos métodos que permitem dificultar ou resolver estas falhas.

Entretanto podem sempre pesquisar no Youtube por lockpicking e confirmar com que rapidez algumas das fechaduras conseguem ser abertas!

Hashes


A notícia já não é nova, mas a divulgação de quase 6,5 milhões de hashes das passwords de contas do Linkedin veio trazer novamente para as conversas técnicas a necessidade de implementação das melhores soluções no que diz respeito à salvaguardar das passwords dos utilizadores.

Mas o que é uma hash?
Uma hash pode ser caracterizada como uma impressão digital de um pedaço de dados. É uma função matemática unidirecional, não revertível, que pega num conjunto de dados e converte-o numa string de tamanho fixo. É impossível recuperar o texto/dados originais depois de convertidos, mas existem inúmeros sites com extensas base de dados de hashes e o texto que o deu origem:

Salted hashes?
Se a hash de um texto dará sempre o mesmo resultado, a solução para tornar essa hash sempre única poderá passar por adicionar-lhes um texto aleatório – o chamado salt. Este deverá ser guardado conjuntamente com a hash para se conseguir futuramente comparar o resultado da hash da password com o salt.

Um exemplo rápido:
A hash SHA-1 da string ‘changeme’ é fa9beb99e4029ad5a6615399e7bbae21356086b3 e será sempre esta.
Se adicionarmos o texto/salt ‘random’ à string ‘changeme’ (ficando ‘randomchangeme’) a hash será 7df51186f50d1bcd11df64a7db86cafc19ddddff.
Se em vez de ‘random’, o texto adicionado for ‘qqcoisa’ (ficando ‘qqcoisachangeme’) a hash já será 0e84f7268b565d884d48af9f3b38b53415c3330e.

E o que podemos aprender com a divulgação das hashes do Linkedin?
A utilização de sha1 já à muito que não é suficiente para garantir a segurança das passwords armazenadas. E mesmo que um site ainda utilize sha1 ou md5, não há razões para que essa alteração não se consiga efetuar sem interrupção no serviço e sem constrangimentos para os utilizadores. Aqui fica o meu fast and darty hack para essa migração: quando o user se validar, guardar a sua password temporariamente, passá-la pela nova solução (sha2 + salt, bcrypt, scrypt, PBKDF2, …), apagar a velha hash e somente utilizar a nova solução para autenticações futuras.
Esperemos que o Linkedin tenha aprendido a lição e que isto tenha também servido de alerta para outras empresas que ainda utilizam unsalted sha1.