GREAT
A manhã começou como previsto: um papo animado nos bastidores do que seria a primeira edição de perguntas (AMA) da Kaspersky Lab no Reddit com participação de Costin Raiu, Vicente Diaz, Vitaly Kamluk, Ryan Naraine, Brian Bartholomew e Juan Andres Guerrero-Saade, do Time de Análises e Pesquisas Globais (GReAT).
Ao longo da conversa, lemos mais de 855 comentários (incluindo nossas respostas). Tivemos fãs, trolls, repórteres e aqueles tentando entrar na indústria fazendo perguntas ao GReAT. Abaixo estão minhas favoritas.
Atribuição
Vamos tirar esse tópico do caminho logo. Muito se discute em torno do porquê em muitos relatórios de especialistas no que diz respeito a quem fez o quê.
Vocês poderiam explicar como metadados e outros dados são usados para atribuir ataques? O que pode e o que não pode ser alterado para que empresas como a Kaspersky façam essa atribuição corretamente?
Brian e Juan: essa pergunta é muito boa e raramente respondida de forma detalhada, parcialmente porque a partir do momento que criminosos sabem o que é usado para atribuição, podem manipular esses dados. Há pouco que não pode ser mascarado e manipulado e por isso a indústria tem debates acalorados sobre isso.
Os principais fatores observados na atribuição são a observação da linguagem utilizada no código, o número de vezes que o malware foi compilado, a motivação por trás da campanha, tipos de alvos, endereço de IP usado no ataque, destino dos dados, entre outros. Tudo isso é usado para determinar os potenciais autores.
Sei que vocês têm como política evitar falar sobre atribuição, mas parece evidente que a maioria dos ataques a países são realizados pelas chamadas ciberpotências (EUA, Reino Unido, Rússia, China, Irã etc). Vamos considerar que indicadores de atribuição refletem a realidade. Por que não observamos ataques por parte de países em desenvolvimento? A impressão que se tem é que o jogo da ciberespionagem teria de ser completamente democrático ao levarmos em conta a grande disponibilidade de ferramentas baratas e gratuitas de acesso remoto e exploit.
Vicente Diaz: Seguindo sua suposição, faria sentido que países com mais recursos gastem mais em tais operações, por isso seriam mais ativos, o que refletiria na lista que você mencionou. Isso não significa que países em desenvolvimento não participam de tais operações, mas tendem a usar recursos externos, já que essa opção é mais barata do que o desenvolvimento. Isso entre outros fatores, dificulta a atribuição (não é o mesmo que desenvolver uma arma avançada e única no lugar de usar uma comum).
Também é preciso considerar a exaustão da mídia que infelizmente pode acabar limitando a informação distribuída em algumas campanhas. Se alguém descobre uma campanha em que um país pequeno teve por alvo um vizinho de mesmo porte, muito provavelmente não ouviremos falar disso em qualquer publicação relevante.
Vicente Diz, pesquisador do GreAT
De 0 a 10, quão fiel à realidade de segurança de TI e ataques cibernéticos é a série Mr.Robot?
Costin: Mr. Robot é 9,5 para mim. A maioria das cenas são muito bem feitas e o uso de ferramentas, sistemas operacionais e outros detalhes da engenharia social são muito bons. Gostei bastante de algumas cenas bem realistas, como aquela em que o desenvolvedor não consegue deixar de reparar o banco de Bitcoins danificado e o ataque por pendrives USB no estacionamento.
Juan: assisti apenas a primeira temporada, algumas das retratações de ataques são realmente muito boas. Gostei particularmente da maneira como retrataram como um telefone pode ser invadido com a preparação apropriada (mais rápido que o tempo de uma ducha).
1) Se seu sistema estiver comprometido, utilizar um serviço de e-mail criptografado não adiantará de nada, não é?
2) Como podemos usar dispositivos Android de forma segura, mantendo nossa privacidade mesmo se nos conectarmos com uma conta Gmail? (Já que o Google coleta os dados).
3) Existe algum app de mensagens para Android que vocês usam e sabem que não coleta dados?
4) Segurança de TI é fascinante para mim, mas eu não sou especialista da área. Como nós, usuários comuns podemos contribuir para uma internet mais segura?
Juan:
- Resposta curta: se seu terminal está comprometido, e-mail criptografado não adianta.
- O Android é uma plataforma difícil de proteger. Se você estiver preocupada com privacidade, grande parte do problema virá de aplicativos de terceiros e jogos com permissões excessivas que levantam qualquer informação que conseguirem. Esses me preocupam bem mais que o próprio Gmail.
- Gostamos de testar diferentes aplicativos de mensagens instantâneas. Não estou na posição de auditar a criptografia ou sua implementação nesses apps, mas alguns de nós está testando o Wire. SilentText ,Signal, Threema e Wickr são outros favoritos. Não sei se posso prometer que eles não coletam dados, você teria de perguntar diretamente para eles.
- Por favor mantenham suas contas seguras! Use gerenciador de senha e autenticação de 2 fatores. Hackers conseguem fazer um estrago pondo a mão nessas contas.
Vocês tem tempo para jogar Pokémon ou outros? Vocês gostam de MMO RPGs?
Juan: posso afirmar de olhos fechados que tem gente no GReAT jogando Pokémon Go, particularmente alguns fãs do Ingress. Não tenho muito tempo para jogar, mas gosto de SC2 e Destiny. Brian e eu jogamos um pouco de Overwatch no Xbox. Tenho me aventurado lentamente pelo Zelda no 3DS em saguões de aeroportos…
Brian: Jogo Pokémon de vez em quando. Minha esposa odeia – mantenho esse gosto só para mim. Ando pelo mercado e escondo meu telefone enquanto faço compras de fato. Sobre outros jogos, estou impressionado com Overwatch. Antes disso, Fallout 4. E sim, prefiro consoles a jogos em PC.
Costin: não jogo Pokémon Go, mas EVE Online. E o indispensável Minmatar.
Vicente: Sou fã de Street Fighter IV. Esperando pelo novo Mass Effect.
Vitaly: Prefiro jogos realísticos, de mundo aberto 3D com reviravoltas e problemas difíceis de resolver.
Vitaly Kamluk, Diretor, GreAT APAC
Devo instalar um antivírus no meu smartphone Android? Vírus e malwares representam ameaças sérias em celulares?
Costin: acredito que mobile malware pode ser comparado com um iceberg – há muito que ainda não vemos. Mesmo que o número de programas maliciosos para Android tenha aumentado absurdamente durante os últimos anos, a maioria são adwares e lockers. Nossa análise de APTs de ponta como o Equation sugere que muitos responsáveis por ameaças desenvolveram implantes mobile, o que significa que cedo ou tarde, serão encontrados. Ter uma solução de segurança no seu dispositivo Android ajudará não só na proteção contra ameaças conhecidas, mas também contra novas.
Mas e no presente momento, quais são as previsões ou os instintos de vocês?
Do que pude descobrir, os malwares para Android são distribuídos principalmente por lojas terceiras, pois o Google faz um bom trabalho em manter a Play Store livre de malware. Contudo, muitos aparelhos Android estão desatualizados (graças às fabricantes e seu ótimo trabalho em manter todo mundo seguro).
Costin Raiu, Diretor do GreAT
Vocês também mencionaram a APT Equation: elas representam uma ameaça para usuários aleatórios do Android ou só os VIPs?
Costin: o que mais me preocupa é o uso incontrolável de propagandas no “freeware” do Android. Pense que um app de lanterna requer conexão com a internet. Hoje, aplicativos estão conectados a bibliotecas padrão de propaganda que permitem aos desenvolvedores ganhar dinheiro fácil. Muitas empresas desenvolvem essas coletâneas e as vendem a torto e a direito, assim elas acabam se tornando portas de entrada para ataques sofisticados contra dezenas de milhares de telefones. No futuro, penso que os autores de ameaças terão de comprar empresas que criam coletâneas de propaganda e inserirem trojans por meio de códigos maliciosos. Trata-se de uma solução mais barata para comprometer alvos e não requer nenhuma vulnerabilidade de 0-day.
Dicas