Grampos Digitais Você confia na Rede?

Ricardo Kléber Martins Galvão

Grampos Digitais

Grampos Digitais

“Grampos” Digitais

Contextualizando...

Tradicional: Interceptação Telefônica ●

Lei 9.296/96 (24 de julho de 1996)

●

Disciplina o uso de interceptações

de

comunicações telefônicas

e

condiciona sua execução a uma

“ordem do juiz competente da ação

principal, sob segredo de justiça”

“Grampos” Digitais

Contextualizando...

“Grampos” Digitais

Contextualizando...

Escuta telemática

autorizada

realizada por agente da lei ou

perícia credenciada

A Lei 9.296/96 também

aplica-se para

“interceptação do fluxo de

comunicações em

sistemas de informática e

telemática”

= “Grampo”

em linhas de transmissão

de dados com acesso a

dados e informações.

“Grampo”

Digital

:: Contexto

Legal

“Grampos” Digitais

Contextualizando...

Interceptação Telefônica Legal

Guardião

●

Sistema de escuta telefônica

(inclusive celular)

●

Fabricante: Digitro (SC)

●

Entre 2002 e 2007 foi adquirido por 12 Estados

(RJ, RS, SC, MT, CE, PE, MG, SP, ES, PR, TO e

PA), o DF, 04 superintendências da PF (SC, PR,

SP e RJ) e pela Procuradoria da República

Fonte:

http://www1.folha.uol.com.br/ folha/brasil/ult96u623537.shtml

“Grampos” Digitais

Contextualizando...

Interceptação Telefônica Legal

Sombra

●

Sistema desenvolvido pela Polícia Federal

(para não ficar “refém” de empresas)

●

Início em 2007

Fonte:

http://www1.folha.uol.com.br/ folha/brasil/ult96u623537.shtml

“Grampos” Digitais

Contextualizando...

Interceptação Telefônica Legal

SIS = Sistema de Interceptação de Sinais

●

Início do planejamento/desenvolvimento: 2010 (implantado em 2012)

“Menos Burocrático”

●

Sistema independente de operadoras de telefonia

(empresas de telefonia não sabem quem está sendo grampeado)

●

Judiciário tem controle informatizado de início e fim de cada escuta

PF e/ou MP solicitam grampo... juiz autoriza (e monitora) eletronicamente

Fonte: http://www.estadao.com.br/

noticias/impresso,novo-esquema-de-escutas -da-pf-deixa-empresas-telefonicas-de-fora ,554597,0.htm

“Grampos” Digitais

Contextualizando...

Interceptação Telefônica Legal

StingRay

●

Também conhecido como:

●

Triggerfish, IMSI Catcher;

Cell-site Simulator e Digital Analyzer

●

Sistema portátil que simula torres falsas de

celular para capturar dados de celulares em

uma região.

●

Fabricação Alemã (Harris Corporation)

mas vendido nos EUA

“Grampos” Digitais

Contextualizando...

•

Interceptação de pacotes em redes

TCP/IP, identificação de origem,

destino, protocolos/serviços,

remontagem de mensagens e

análise de conteúdo.

•

Limitação: ausência de criptografia

(ou criptografia “fraca”)

O que há além dos “grampos legais” ?

Tem (muita) gente de olho

no seu acesso à Internet !!!

Grampos Digitais

Além dos “grampos” legais

Onde (e como) podem ocorrer interceptações de dados

O que você procura

quando sua rede

não está acessível?

O que você procura quando sua rede

não está acessível?

Além dos “grampos” legais

Sonho de Consumo ...

Além dos “grampos” legais

O barato/grátis pode sair caro...

Além dos “grampos” legais

Mulher pega prisão domicilar por interceptar e-mails

Os “grampos” são uma realidade...

Publicada em: 20/10/2003 10h55

http://www.estadao.com.br/arquivo/tecnologia/2003/not20031020p44246.htm

A norte-americana Angel Lee, de 28 anos, cumprirá 60 dias de prisão domiciliar por

interceptar e-mails enviados para a ex-esposa de seu marido.

Para as mais diversas finalidades

Em março último, a norte-americana Angel Lee, de 28 anos, foi presa por ter obtido de modo modo fraudulento, a senha do e-mail de Duongladde Ramsay, ex-esposa de seu marido. Na ocasião, Lee confessou que bisbilhotou pelo menos 256 mensagens enviadas a Ramsey porque queria saber as razões de seu divórcio.

Ramsey comparou o delito de Lee com o de alguém que invadiu sua casa, abriu a gaveta de sua cômoda e leu seu diário pessoal. Muita constrangida, Lee pediu desculpas.

Mônica Iozi ataca de espiã cibernética

Os “grampos” são uma realidade...

Publicada em: 07/10/2013

http://cqc.band.uol.com.br/videos/14704208/ Monica-Iozzi-ataca-de-espia-cibernetica.html

A repórter foi a um restaurante acompanhada de um hacker e mostrou como é fácil saber o que todos que estão conectados estão fazendo.

Para as mais diversas finalidades

Nesta segunda-feira, dia 7, Monica Iozzi conversou com um hacker para saber o quanto estamos vulneráveis ao usar a internet para tudo – principalmente depois dos escândalos de espionagem americana no Brasil.

Problema clássico

Protocolos sem Criptografia

=

Conceitualmente Vulneráveis

Grampos Digitais

“Grampos” Digitais

Protocolos sem Criptografia = Conceitualmente Vulneráveis

“Grampos” Digitais

Protocolos sem Criptografia = Conceitualmente Vulneráveis

A solução é/era conhecida...

…= migração/troca significativa (Telnet caiu em desuso)

“Grampos” Digitais

Protocolos sem Criptografia = Conceitualmente Vulneráveis

“Grampos” Digitais

Protocolos sem Criptografia = Conceitualmente Vulneráveis

A solução é/era conhecida...

…= muitos usuários (até hoje) permanecem vulneráveis

FTP →

SCP ou SFTP

“Grampos” Digitais

Protocolos sem Criptografia = Conceitualmente Vulneráveis

“Grampos” Digitais

Protocolos sem Criptografia = Conceitualmente Vulneráveis

A solução é/era conhecida...

…= mas depende (além de conhecimento e vontade) de

suporte (hardware e/ou software) !!!

VoIP (Voz sobre IP)

“Grampos” Digitais

Protocolos sem Criptografia = Conceitualmente Vulneráveis

“Grampos” Digitais

Protocolos sem Criptografia = Conceitualmente Vulneráveis

“Grampos” Digitais

Protocolos sem Criptografia = Conceitualmente Vulneráveis

“Grampos” Digitais

Protocolos sem Criptografia = Conceitualmente Vulneráveis

A solução é/era conhecida...

…mas não é/foi aplicada por todos :(

SMTP →

SMTPS

POP3 →

POP3S

IMAP →

IMAPS

“Grampos” Digitais

Protocolos sem Criptografia = Conceitualmente Vulneráveis

Uso de...

Correio Eletrônico

… resolveu (parcialmente) o problema !!!

Servidor Web (HTTP) mascara o uso de protocolos de

envio/recebimento convencionais

“Grampos” Digitais

Protocolos sem Criptografia = Conceitualmente Vulneráveis

Operação Binário Perfeito (Polícia Federal)

Uso de um provedor Wi-Fi (Caicó/RN) em fraude contra NNEX

Publicada em: 15/10/2013

http://g1.globo.com/rn/rio-grande-do-norte/noticia/2013/10/ policia-prende-casal-no-rn-suspeito-de-aplicar-golpe-de-r-35-mi-na-nnex.html

A Polícia Civil do Rio Grande do Norte prendeu na noite desta segunda-feira (14), em Currais Novos, na região Seridó do estado, um casal suspeito de aplicar golpes que podem ter causado um prejuízo, em dois meses, de aproximadamente R$ 3,5 milhões na empresa de marketing multinível NNex

Caso (real) de ataque Man-in-the-middle

(…) a NNex constatou fraudes em aproximadamente 700 logins de

Falha no IE permite o roubo de senhas

Publicada em: 26/05/2011

http://blogs.estadao.com.br/link/falha-no-ie-permite-roubo-de-senhas/

Um pesquisador de segurança na computação encontrou um defeito no navegador Internet Explorer, da Microsoft, que segundo ele poderia permitir que hackers roubassem senhas de acesso ao Facebook, Twitter e outros sites. Ele definiu a técnica como “sequestro de cookies”.

Grandes serviços estiveram vulneráveis

Quando o hacker captura um cookie, pode usá-lo para ganhar acesso ao mesmo site, disse Valotta, que definiu a técnica como “sequestro de cookies”.

A vulnerabilidade afeta todas as versões do Internet Explorer, incluindo o IE 9, e todas as versões do sistema operacional Windows.

Twitter, Microsoft, LinkedIn e Yahoo! abertos para sequestro de dados

Publicada em: 22/03/2013

http://www.scmagazine.com.au/News/ 337471,twitter-microsoft-linkedin-yahoo-open-to-hijacking.aspx

Contas de usuários do Twitter, Linkedin, Yahoo! e Hotmail encontram-se atualmente vulneráveis para sequestro de dados graças a uma falha que permite que os cookies sejam roubados e reutilizados, de acordo com o pesquisador Narang Rishi.

Grandes serviços estiveram vulneráveis

A revista eletrônica SC Magazine repetiu a prova de conceito de Narang e foi capaz de acessar várias contas do Twitter inserindo o respectivo auth_token alfanumérico em cookies armazenados localmente no Twitter com a ajuda da

“Grampos” Digitais

Protocolos sem Criptografia = Conceitualmente Vulneráveis

A solução é/era conhecida...

…mas deve ser utilizada na autenticação

e na transferência de arquivos

Twitter passa a utilizar criptografia obrigatória na autenticação

Protocolos com Criptografia como Obrigação

Assunto da palestra na Campus Party 2013

Empresas fazem o “dever de casa”

+

●

OAuth

→

Obrigatório

desde 08/2010

Acesso ao Facebook na web passa a ser feito via HTTPS

http://exame.abril.com.br/tecnologia/noticias/fotos-do-dia/ acesso-ao-facebook-na-web-passa-a-ser-feito-via-https

Antes, a conexão no Facebook era feita automaticamente no HTTP e o usuário tinha a opção de selecionar o modo HTTPS

Empresas fazem o “dever de casa”

O Facebook anunciou, na oite de ontem (31), que o acesso à rede social pela web será feito agora, automaticamente, via HTTPS.

De acordo com Scott Renfro, engenherio de software da rede social, o acesso no tráfego móvel, isto é, no site mobile (m.facebook.com), também passará a ter 80% de conexão segura. Para quem já usa os aplicativos para Android e iOS, o HTTPS já está implantado.

Default https access for Gmail

http://gmailblog.blogspot.com.br/2010/01/default-https-access-for-gmail.html

A partir de hoje a conexão criptografada (https) passa a ser default para todas as conexões do Gmail – para proteger seus dados de bisbilhoteiros.

Empresas fazem o “dever de casa”

A opção estava disponível desde 2008, mas até ontem o default era estar desativada.

Yahoo! ativa criptografia HTTPS por padrão no Yahoo! Mail

http://info.abril.com.br/noticias/seguranca/2014/01/ yahoo-ativa-criptografia-https-por-padrao-no-yahoo-mail.shtml

Alguns meses depois de prometer, o Yahoo! finalmente padronizou o HTTPS em seu serviço de e-mail. A medida deverá garantir uma camada extra de segurança aos usuários, contando para isso com um sistema de criptografia de 2.048 bits, de acordo com a companhia.

Empresas fazem o “dever de casa”

A mudança afetará a todos os que usam o Yahoo! Mail, seja por meio da web, apps mobile ou via protocolos IMAP, SMTP e POP (...)

Usando HTTPS então eu estou seguro?

Questão a ser analisada...

Grampos Digitais

Grampos Digitais

Usando HTTPS então eu estou seguro?

Usando HTTPS então eu estou seguro?

Eis a questão...

Man-in-the-Middle (“homem no meio”)

Usando HTTPS então eu estou seguro?

Eis a questão...

Man-in-the-Middle (“homem no meio”)

Ataques MITM Ativos

Se não é possível (ainda) quebrar a criptografia...

Grampos Digitais

Grampos Digitais

Man-in-the-middle Ativo

“Abrindo sem quebrar”

Perigos mesmo usando o HTTPS

Tenho a certeza da criptografia do meu host ao servidor?

●

Moxie Marlinspike

BlackHat 2009

● “Roteador” intermediário

● Ataque entre o cliente e o “novo roteador” ● Substituição de todas as requisições

HTTPS do cliente por HTTP

● MITM (Man-In-The-Middle) entre o

servidor e o cliente.

● Vítima e atacante se comunicam através

Man-in-the-middle Ativo

“Qual era o seu servidor destino mesmo?”

Man-in-the-middle Ativo

O que há de novo?

Grampos em

Redes de Celulares

●

Usar criptografia é parte do processo de segurança

- Mas não resolve em definitivo

●

Novas tecnologias... velhos problemas (remodelados)

- Sempre haverá um “elo mais fraco”

●

Oferta de redes (WiFi) públicas podem ser armadilhas

- Na dúvida... use o 3G, ou aguarde a chegada até uma rede confiável

●

Verifique sempre seu arquivo “hosts” e o seu DNS

- O pharming scam é um golpe difícil de ser descoberto

●

Nem sempre o usuário tem como identificar um “grampo”

- Diversidade de locais possíveis e tecnologias / ferramentas dificulta

Considerações Finais...

www.ricardokleber.com

Palestras:

www.ricardokleber.com/palestras

Vídeos:

www.ricardokleber.com/videos

Twitter:

Slides Disponíveis

Quer saber mais sobre grampos?

Grampos Digitais: Você confia na rede?

Livro:

Introdução à Análise Forense

em Redes de Computadores

●

Editora Novatec

Grampos Digitais

Grampos Digitais