segunda-feira, 7 de outubro de 2013

Livro Indicado: We are Anonymous - Inside the Hacker World of LulzSec, Anonymous, and the Global Cyber Insurgency

Continuando os posts sobre "Livros indicados", segue outra obra.

Livro: We are Anonymous - Inside the Hacker World of LulzSec, Anonymous, and the Global Cyber Insurgency
Autor: Parmy Olson
Editora: Little, Brown and Company
Edição: 1º
Data: 05 de junho de 2012
Porque ler: A autora através de entrevistas (pessoalmente, através de e-mails e em canais de IRC com os participantes), conta de maneira bem fácil a origem dos grupos "Anonymous" e "LulzSec", citando curiosidades, incluindo aqui questões sobre o temperamento dos envolvidos e como foram capturados (segundo algumas opiniões de maneira bastante questionável; alguns hackers que usaram as mesmas ferramentas pegaram alguns anos de prisão, gerando um debate de até onde os agentes da lei podem ir já que cometeram as mesmas infrações).
Link: http://www.amazon.com/We-Are-Anonymous-LulzSec-Insurgency/dp/B00EBFJ5SI
Capa do distinto:


Se você por ventura ler o livro, acredito que como eu, ficará tentado em dar um "rosto" aos personagens (aliás, contradizendo em absoluto a ideia do anonimato no qual o grupo se baseou). Portanto se você se sentir tentado a conhecer estes "personagens" na vida real, segue uma foto deles abaixo. Na imagem vemos acima os principais líderes do grupo: tFlow e Topiary (que conforme o livro relata, era a principal voz do grupo, quem fazia as declarações para a imprensa); abaixo: Kayla e Ryan (que segundo o livro, não fazia parte da "cúpula" mas participava de ataques quando solicitado; tinha uma botnet com 1,3 milhões de computadores e foi um dos responsáveis pelo grande "poder de fogo" de alguns ataques, entre eles a CIA e o Pentágono americano). A imagem maior é de Sabu, que após ser capturado, virou informante do FBI para reduzir sua pena. Fonte das imagens: aqui e aqui.




Fique sabendo do livro através do POASEC e decidi lê-lo após recomendações de que seria uma boa obra. Não me arrependi, realmente dá vontade de ler as mais de 450 páginas o mais rápido possível a medida que os fatos vão acontecendo. O trabalho de pesquisa da autora foi fantástico, incluindo como o grupo surgiu, trechos de conversas nos canais de IRC, ferramentas utilizadas para os ataques como o Tor (para navegar anonimamente), o LOIC (para DDoS) e o Havij (para SQL Injection). 

Apesar disso, não é ma obra de objetivo técnico, sendo que indico para qualquer um que queira se aprofundar em como surgiu o movimento, seus objetivos, seus feitos e mesmo seus diversos conflitos internos.

t+

Cristiano
"A grandeza não consiste em receber honras, mas em merecê-las." - Aristóteles 

sexta-feira, 4 de outubro de 2013

O perigo está nos "apenas Metadados"

Ultimamente, muito têm se falado nas espionagens dos órgãos de inteligência americanos e se você em nenhum momento pensou "E o que isso tem a ver comigo??", talvez não tenha percebido ainda a real gravidade da situação. Logo após o vazamento de informações sobre o programa de vigilância americano denominado PRISM, o presidente dos Estados Unidos teve de dar explicações ao mundo todo sobre o programa norte americano de vigilância que "tudo sabe, tudo vê". No Brasil, o problema se intensificou após a descoberta de que até mesmo as comunicações da presidenta Dilma foram espionadas (isso foi uma surpresa? Sério?). 

Programas desse tipo ferem nosso direito a privacidade de forma tão descarada, que fica difícil acreditar numa solução efetiva para a exposição indiscriminada dos nossos dados pessoais. Os documentos que aos poucos são liberados para a imprensa dão conta de programas de orçamentos milionários, utilizados para coletar dados de "terroristas" ao redor do mundo. Independente do fato de os agentes da NSA utilizarem o que há de mais tecnológico na espionagem americana para espionar seus cônjuges e amantes, abusos que, convenhamos, já deveriam ser esperados, tanto o embaixador americano quanto o próprio presidente Barack Obama afirmaram que os EUA coletam "apenas metadados" das comunicações de cidadãos estrangeiros (sei, sei), e mesmo assim, só dos suspeitos de terrorismo. Vamos supor por um instante que acreditamos no Papai Noel, no Coelinho da Páscoa, na Fada do Dente e na captura de "apenas metadados" das comunicações. Poderíamos dormir tranquilamente então, sabendo que não teremos nenhum tipo de violação da nossa privacidade?

Os Metadados podem ser definidos basicamente como "os dados que descrevem outros dados". Por exemplo, se estivermos falando de um livro, podemos considerar o autor, o título, a data da publicação, a editora, o valor e a quantidade de páginas como metadados desse livro. Veja que em nenhum momento, tivemos acesso ao conteúdo da obra. Ainda assim, de posse  dessas informações, certamente teremos uma ideia melhor sobre o tema do livro, bem como temos dados suficientes para tomar a decisão de comprá-lo ou não; o fato de saber que trata-se de um autor que admiramos, por exemplo, certamente influenciará  nossa decisão final. Transferindo-nos para o mundo digital, se pegarmos um arquivo qualquer no disco rígido do computador, podemos verificar seus metadados como autor, data e hora de criação, data e hora da última modificação, tamanho do arquivo, etc. Veja no exemplo abaixo, os metadados de um arquivo do Word (acessível facilmente acessando as propriedades do objeto via Windows Explorer).

Algumas vezes, precisamos de programas específicos para visualizar os metadados de um arquivo. No caso de uma foto, por exemplo, poderíamos utilizar o Exif Pilot para visualizar os metadados nela contidos. Veja na imagem abaixo que as informações do arquivo da foto incluem o fabricante e modelo da máquina fotográfica, orientação da imagem, data da criação, resolução, tempo de exposição do obturador entre diversas outras características.


Nesse programa, tivemos acesso também a informação (que é a foto), mas o que nos interessa para esse post é a quantidade de "apenas metadados" que essa foto mantém, e que acompanharão a foto onde quer que ela vá. A título de teste, baixe uma foto qualquer no Facebook e abra-a com o Exif Pilot para ver a quantidade de informações interessantes que podem ser obtidas da imagem. Em resumo, os metadados sumarizam informações básicas sobre os dados, o que pode facilitar a descoberta e o uso de determinadas instâncias da informação.

A essa altura você já entendeu o que são e para que servem os metadados, então vamos agora focar no seu uso. Os metadados podem ser usados de maneira idônea pois consistem numa série de informações que podem se mostrar importantes para uma tomada de decisão. Tomemos como exemplo, os logs de acesso de um servidor Proxy. Se a sua empresa possui esse tipo de serviço implementado na rede, independente de qual seja, ele revelará uma porção de metadados sobre a atividade na Internet dos seus usuários. Desde que a organização tenha uma PSI - Política de Segurança da Informação e que você tenha conhecimento formal dela, as suas ações na Internet podem (e eu diria "devem") ser monitoradas. Você pode inclusive ser repreendido com as sanções cabíveis na PSI caso não se comporte ;o). Quando seu chefe analisa seu relatório de navegação e os metadados lhe dizem que você ficou 6h da sua jornada de trabalho conectado ao Youtube, ele não precisa ver o conteúdo que foi acessado, pois os metadados já lhe deram muita informação relevante. Veja abaixo um exemplo de relatório gerado pelo SARG (Squid Access Report Generator), com os registros de navegação do usuário de um computador que tem o IP 192.168.2.128. Fonte da imagem.


Veja que os metadados não nos mostram as informações contidas nas páginas visitadas, porém é possível saber quais sites foram acessados, a quantidade de bytes transferida nessa comunicação, quanto tempo o usuário permaneceu nesse site e etc. No exemplo acima, o usuário permaneceu 73,03% do seu tempo de conexão no Netflix na data especificada. Essa informação permite aos gestores tomar uma atitude gerencial (uma advertência, por exemplo ;o)), sem nunca terem invadido a sua privacidade, afinal a informação principal, o conteúdo não foi acessado.

Podemos ver num outro exemplo, dessa vez no livro CISSP All-in-one Exam Guide de McGraw Hill,  um uso idôneo para os metadados nas operações de mineração de dados. Os metadados podem mostrar relacionamentos entre fragmentos individuais de informações não vistos anteriormente, mostrando padrões que antes não foram detectados. A mineração de dados ou datamining pode ser útil para detecção de fraudes de seguro, por exemplo.  Suponha que as informações, reivindicações e hábitos específicos de milhões de clientes sejam mantidas num datawarehouse, e uma ferramenta de mineração (mining) seja utilizada para detectar certos padrões nas reivindicações. Ele pode verificar que, toda vez que John Smith se mudou de um local para outro, ele acionou a seguradora 2 ou 3 meses após a mudança. Ele se mudou em 1967 e 2 meses depois sua casa teve um incêndio suspeito; quando ele se mudou novamente em 1973, passaram-se 3 meses e sua moto foi roubada; então ele se mudou novamente em 1984 e 2 meses depois um assaltante entrou na sua casa. Essas situações podem ser difíceis de serem detectadas visualmente pois ele pode ter tido diferentes corretores no decorrer dos anos, seus arquivos podem ter sidos apenas atualizados mas não revisados ou simplesmente suas informações não foram armazenadas num local centralizado para que os agentes pudessem revisá-las. O data-mining pode verificar dados complexos e simplificá-los através de funções matemáticas (lógica fuzzy e sistemas especialistas), procurando padrões nos dados que talvez não estejam tão aparentes. Portanto conforme o autor, "os metadados são mais importantes do que os dados dos quais foram derivados e devem ser muito bem protegidos".

Porém nem sempre a utilização de metadados é idônea e o perigo surge principalmente quando seu uso é aplicado para funções de "monitoramentos não autorizados", seja de crackers, empresas ou governos, (não limitando-se a esses, uma vez que os metadados estão em toda a parte). O mesmo McGraw Hill, numa outra obra entitulada Gray Hat Hacking - The Ethical Hackers Handbook, lembra que nos programas de compartilhamento de arquivos ponto a ponto, como o BitTorrent, que permitem que indivíduos no mundo todo compartilhem arquivos e programas aos quais eles não possuam direitos autorais, os metadados são imprescindíveis. Um site armazenará os metadados dos arquivos que estão sendo oferecidos, mas ao invés de os arquivos estarem disponíveis no próprio site, os arquivos estão armazenados no sistema do usuário que está oferecendo os arquivos. Conforme McGraw, essa abordagem distribuída não só garante que os servidores não serão sobrecarregados com solicitações de arquivos, mas também dificulta o rastreamento de quem oferece material ilegal.

Quando essas informações começam a ser exploradas por governos a situação começa a ficar muito pior. Conforme o professor Daniel Solove no seu livro "Nothing to Hide - The False Trade of Privacy and Security" existe uma complexidade a mais, pois geralmente não é suficiente proteger apenas os dados (conteúdo das mensagens), o perigo também está nos metadados. Se compararmos um e-mail a uma correspondência física, uma carta por exemplo, veremos que existe um esforço em proteger o conteúdo do envelope sem se dar conta de que a informação na superfície do envelope também é muito valiosa. Devíamos nos preocupar mais em manter privado "com quem" estamos falando ao invés de nos preocuparmos apenas com "o que" estamos falando. Em algumas circunstâncias o envelope, o "apenas metadados", pode ser o conteúdo. Nos e-mails, as informações de cabeçalho que mostram remetentes, destinatários, data e hora são as informações escritas no envelope e nesse contexto, são os metadados; já o corpo da mensagem é a carta em si, ou seja, a informação.  No processo de navegação porém, a história é mais complexa.
Imagine por exemplo, um cidadão chamado Antônio Almeida, que vêm tendo suas comunicações monitoradas regularmente por órgãos governamentais ("apenas os seus metadados"). A que conclusão você pode chegar quando analisa os registros de ligações telefônicas do sr. Antônio:

Não sei a qual conclusão você chegou, mas minha primeira impressão (bastante simplista) é que o sr. Antônio gosta de pão, tem problemas com seu veículo e é bastante chegado a família. Vamos agora analisar as informações de navegação do sr. Antônio:

 
 Baseando-se nos "apenas metadados" analisados  da navegação do sr. Antônio, a que conclusões você chega? Talvez, chegue-se a conclusão que ele tenha contraído HIV?

Bom, mas e se ele estiver escrevendo um livro, cujo personagem principal é soro positivo e está procurando grupos de ajuda? E se esse histórico foi na verdade, feito pela empregada doméstica, que aproveitou-se do fato de ficar sozinha na casa o dia todo e navegou nesses sites sem autorização/conhecimento do dono do computador?  E se... Bom, na verdade, o "E se" não interessa. O que interessa é que, independente de quem tenha feito o acesso, trata-se de informação privada, mesmo que sejam "apenas metadados".

Quando analisados os números de telefone que discamos, podemos ter informações reveladoras baseando-se em nossas ligações, mas a abrangência da nossa navegação, é muito maior pois em geral, nessa era da Internet, navegamos muito mais do que falamos ao telefone. Se alguém possuir uma lista de IPs aos quais você acessou regularmente no último mês, obterá bastante informações relevantes sobre você, muito mais do que os números que você disca. Os metadados terão fornecido informações suficientes para traçar um perfil sobre a sua pessoa (mesmo que incorreto), sem nunca ter interceptado suas comunicações.

Conforme Solove, quando um governo começa a coletar uma série de informações sobre seus contribuintes (atividades, interesses, hábitos de leitura, finanças e saúde), algumas das perguntas que ficam são:

- e se o governo achar, baseando-se no seu padrão de comportamento, que você tem maior probabilidade de cometer um delito ou tornar-se um criminoso?
- e se lhe negarem o direito de voar, como os americanos fizeram com sua no-fly-list?
- e se o governo achar que suas transações bancárias são inconsistentes e congelar sua conta bancária, mesmo que você seja inocente?
- e se o governo não proteger suas informações apropriadamente e seus dados forem roubados? (um estelionatário de posse de seu CPF, sua data de nascimento e o nome da sua mãe já pode fazer um grande estrago)

Quando se trata de Cloud Computing, por exemplo, Tim Mather afirma no seu livro,  Cloud Security and Privacy, que quando informações de uma empresa estão hospedadas na nuvem, além da segurança dos dados dos seus próprios clientes, sua empresa também deve se preocupar sobre quais dados o CSP (Cloud Service Provider ou Provedor de Serviços na Nuvem), coleta e como  eles são protegidos. No que se refere especificamente aos dados dos seus clientes, quais metadados o CSP possui sobre suas informações, como elas são protegidas e como a sua empresa tem acesso a elas? Ao passo que o volume dos seus dados em um provedor específico vai aumentando, também aumenta o "valor desses metadados". Além disso, seu CSP coleta e deve proteger uma grande quantidade de informações relacionadas a segurança, incluindo informações de autenticação e autorização. Quais dados seu provedor de nuvem coleta e como esses dados são monitorados e protegidos é muito importante para o próprio provedor, para fins de auditoria, além de serem muito importantes pra você, caso haja a necessidade de uma resposta a incidentes ou uma análise forense num crime digital. 

O importante é que você, enquanto usuário dessas tecnologias, entenda que não existe "apenas metadados". Em muitas situações, os metadados são tão ou até mais importantes que os próprios dados em questão e precisam também de proteção contra olhos bisbilhoteiros. A simples coleta deles não é algo que se possa considerar menos invasivo do que a captura do conteúdo da transmissão como quer nos fazer acreditar o presidente americano.

O jornal The Guardian criou um guia para que você possa saber o que são os metadados nos programas e dispositivos mais comuns, que usamos no dia a dia e que o governo americano pode estar coletando (o documento original pode ser visto aqui):

e-mail:
  • nome, e-mail e IP do remetente;
  • nome e e-mail do destinatário;
  • informações de transferência do servidor;
  • data, hora e fuso horário;
  • identificador do e-mail e e-mails relacionados;
  • tipo de conteúdo e codificação do e-mail;
  • registros de login do cliente de e-mail (com endereço IP);
  • cabeçalhos do cliente de e-mail;
  • categorias e prioridades;
  • assunto do e-mail;
  • status do e-mail;
  • solicitação de confirmação de leitura;
Telefone:
  • número de telefone de todas as chamadas recebidas
  • números seriais dos telefones envolvidos;
  • hora da chamada;
  • duração da chamada;
  • localização de cada participante;
  • IMEI dos dispositivos envolvidos;
Câmeras:
  • identificação do fotógrafo;
  • data e hora da criação e modificação;
  • local onde a foto foi batida;
  • detalhes sobre o conteúdo da foto;
  • informações de copyright;
  • fabricante e modelo da câmera;
  • configurações da câmera: velocidade do obturador, tamanho do foco, tipo de flash;
  • dimensões, resolução e orientação da foto;
  Facebook:
  • Seu nome e informações do perfil, incluindo data de aniversário, cidade natal, histórico de trabalho e interesses;
  • nome de usuário e identificador único;
  • suas assinaturas;
  • sua localização;
  • seu dispositivo;
  • data da atividade, hora e fuso horário;
  • suas atividades, suas curtidas, checkins e eventos;
Twitter:
  • seu nome, localização, idioma, informações do perfil e url;
  • quando você criou sua conta;
  • seu nome de usuário e identificador único;
  • localização, data, hora e fuso horário de onde você tweetou;
  • ID único do tweet e ID do tweet respondido;
  • ID dos contribuintes;
  • seus seguidores, quem você segue e seus favoritos;
  • seu status de verificação;
  • aplicação que enviou o tweet;
 Google:
  • suas buscas;
  • resultados que apareceram nas buscas;
  • páginas as quais você visitou a partir dessas buscas;
Navegadores em geral:
  • sua atividade, incluindo páginas visitadas e quando você as visitou;
  • dados do usuário e detalhes de login com possíveis recursos de auto completar;
  • seu endereço IP, provedor de serviços de Internet, detalhes do equipamento, versão do browser e do sistema operacional;
  • cookies e dados de cache dos sites visitados;
A esses exemplos citados pelo The Guardian, podemos citar ainda:
Arquivos de música:
  • artista;
  • título da faixa;
  • número da faixa
  • gênero musical;
  • álbum ao qual pertence;
  • capa do disco;
  • data da gravação;
  • gênero musical;
  • capa do disco;
  • letra da música;
Documentos:
  • título;
  • assunto;
  • categorias;
  • comentários,
  • tipo de conteúdo; 
  • contagem de caracteres, de linhas, de parágrafos e de páginas; 
  • idioma; 
  • caminho da pasta de armazenamento;
  • data de criação e modificação;
  • atributos;
  • proprietário;
  • computador;
Pensando nisso, pesquisadores do MIT Media Lab desenvolveram o Immersion, um site onde você pode correlacionar os metadados da sua conta de e-mail do Gmail, Yahoo ou Exchange, para visualizar que tipo de informação seus metadados podem fornecer. Trocando em miúdos, brincar um pouco de PRISM ;o) É surpreendente vermos que, sem acessar o conteúdo dos e-mails, essa correlação é capaz de traçar círculos de convívio distintos (familiares, amigos, etc), pessoas com as quais nos relacionamos com maior frequência (grau de proximidade), quantidade de amigos e outras informações. Na imagem gerada abaixo o período por mim definido foi de agosto de 2004 a maio de 2011, ou seja, um estudo mais meticuloso desses metadados podem definir inclusive quando comecei a estreitar relações (ou me afastar) de "Fulano, Beltrano e Ciclano".


E ainda mais informações sobre sua comunicação relacionada com uma pessoa específica, como o exemplo abaixo, onde é possível ver inclusive quando foi o primeiro e-mail trocado entre vocês. Como a própria página do Immersion comenta: "A Internet não é mais apenas uma tecnologia do presente, mas também um registro do passado".


Segue aqui portanto, um link onde você pode optar por diversas ferramentas que ajudam a melhorar a segurança das suas comunicações https://prism-break.org/ geralmente migrando suas comunicações para protocolos que fornecem criptografia (o que registre-se, não é solução definitiva).

Na pior das hipóteses, você pode fazer como os russos e comprar máquinas de escrever para evitar espionagem. É "roots", mas deve funcionar ;o)

t+

Cristiano
"A grandeza não consiste em receber honras, mas em merecê-las." - Aristóteles 
Related Posts Plugin for WordPress, Blogger...