Taverna /dev/All

O Intercept no /dev/All - sobre os vazamentos recentes: como ocorreram? - questões estritamente técnicas

image

As matérias que o Intercept publicou recentemente envolvendo conversas de gente graúda como Sérgio Moro, Dellagnol, Fux, etc gera uma discussão técnica (estritamente técnica neste caso) muito relevante no que diz respeito à segurança da informação.

Há diversos pontos interessantes aqui que valem à pena serem discutidos, todos eles estritamente técnicos, então vamos lá.

  • AVISO: qualquer postagem de cunho político será excluída, nosso foco aqui é técnico -

Primeiro ponto: celular hackeado mesmo?

Alguns mencionam a presença de um hacker, que teria interceptado mensagens dos celulares dos envolvidos. Isto geraria como consequência termos uma violação grave de segurança do Telegram, que é tido como uma solução segura. E por termos enviadas encriptadas ponta a ponta, mesmo que houvesse um “man in the middle”, como seria o processo de decodificação destas mensagens?

Outros já dizem que o celular teria sido invadido. Curioso: como um celular poderia ser invadido remotamente? Se for um celular da Apple, temos inclusive a briga dos últimos anos da empresa com FBI, CIA pedindo para que fosse possível quebrar a segurança destes dispositivos, dado que ELES MESMOS não estavam conseguindo.

Imaginando que estes celulares estivessem em uma rede wifi, talvez houvesse um hacker com acesso a rede e interceptaria as mensagens usando algo como um sniffer (ou um wireshark da vida). Entretanto, você conseguiria obter o que trafega, mas se o que trafega estiver usando HTTPS ou algum protocolo critptográfico ponta a ponta, em quanto tempo você conseguiria descriptografar estas mensagens?

Pragmaticamente acho a história do hacker mera ficção: daria trabalho demais. Não acredito sequer que um celular tenha realmente sido invadido ou algo similar. É muito mais fácil alguém ter simplesmente entregue um dispositivo físico para o Intercept com a senha de acesso. Resolvido o problema e, dado o timing que mencionam na matéria, seria a solução que faria mais sentido do ponto de vista prático.

Segundo ponto: políticas organizacionais de segurança

Aqui na minha opinião está como a coisa foi hackeada: os próprios envolvidos se entregaram sem perceber.

Quais políticas organizacionais de segurança empresas e governo deveriam tomar para evitar vazamentos? Este ano está repleto de histórias de vazamento de conversas por WhatsApp no governo, agora temos o Telegram. Ambos soluções públicas e extremamente populares, o que as tornam imediatamente alvo de usuários mal intencionados (é um grande mercado afinal de contas).

Sendo assim, o simples fato de pessoas que lidam com questões que envolvem segurança nacional (basta ver o estrago que os vazamentos divulgados pelo Intercept causaram) usarem em seu dia a dia estas soluções (e nitidamente sem qualquer precaução, haja visto os vazamentos terem ocorrido), levanta uma série de questões:

  • Quais protocolos serem seguidos pelas organizações para evitar este tipo de vazamento?
  • Pessoas que lidam com questões envolvendo a segurança nacional realmente deveriam usar soluções comerciais de comunicação como estas que estamos vendo?
  • Quais as penalidades que deveriam ser aplicadas a quem descumpre protocolos tão simples como estes de segurança?
  • Quem deveria ser o consultor de segurança deste pessoal?

Mais uma vez, apenas questões técnicas, mas que darão uma bela discussão aqui na Taverna e que podem agregar e muito à segurança de todos nós.

2 Curtidas

TL;DR - considerando que houve invasão e que o 2FA estava habilitado, quem acessou as conversas clonou o chip do sujeito e [tem acesso ao seu e-mail e/ou sabe a senha de acesso ao Telegram].

Tava conversando com um primo (que é da área de TI também) sobre isso outro dia. Estando 2FA habilitada no Telegram, as únicas formas de acesso seriam as seguintes:

  1. O “hacker” sabe a senha secreta do usuário do Telegram e clonou o chip do interceptado. Isso faz com que ele possa fornecer a senha pessoal de acesso e receber o SMS com o código de confirmação da segunda etapa
  2. O “hacker” não sabe a senha do usuário do Telegram mas tem acesso ao e-mail dele e clonou o chip do interceptado. Daí ele acessaria o “esqueci minha senha” e seria enviado e-mail para redefinição da senha.

Ou seja, chance mínima. Pra mim foi descuido do usuário do Telegram e acessaram as conversas (ou há um X9 no meio).

1 Curtida

o que nos leva à segunda questão: quais políticas de segurança organizacional deveriam ser adotadas para evitar que este tipo de coisa ocorra?

Por que neste caso temos claramente usuários mal instruídos, que é a causa raiz do vazamento na minha opinião.

Primeiro: precisaram ter uma aula ou explicação sobre engenharia social.
Segundo: instruções mínimas de segurança, como sempre usar senha no smartphone, não usar aquela senha de desenho quando o desenho é visível (pode ser vista facilmente por outros). Preferir usar digital

E por aí vai…

1 Curtida

Levando-se em conta uma notificação que a polícia federal deu aproximadamente a um mês atrás, e a mídia não levou muito a sério, o ministério público já deveria estar sendo monitorado a bastante tempo. Os dispositivos do mpf foram clonados, e o agressor entrou no grupo se passando por um integrante. Eu tenho pensado como isso pôde se concretizar, e o que vem em mente é o seguinte. O contato(números) dos telefones foram adquiridos mediante a engenharia social(isso deve ter custado caro). A parte técnica da clonagem não é complicada. Existem vários dispositivos que fazem isso e não são tão complicados de se adquirir. Uma vez com os contatos dos integrantes do mpf, conseguir um clique em uma url maliciosa, ou mesmo uma ligação iterativa, pedindo para se digitar dados não é difícil de se conseguir(a maioria dos integrantes é ignorante no conceito de segurança. Provavelmente existe uma quantia boa investida nisso. Não é um trabalho simples conseguir info de integrantes do governo.

Curiosamente a última temporada de Billions do Netflix mostra uma caso que lembra o Vaza Jato https://www.netflix.com/title/80067290. O seriado por si é sensacional e essa coincidência ficou melhor ainda.

Quem curte segurança não pode deixar de escutar o Segurança Legal: https://www.segurancalegal.com/

No último episódio eles tem essa conversa sobre o lado técnico do vazamento: https://www.segurancalegal.com/2019/06/episodio-203-invasao-do-celular-do-ministro-moro/

E quem tiver curiosidade sobre os aspectos da lei quanto ao caso, teve o mamilos podcast: https://www.b9.com.br/109784/mamilos-201-vaza-jato/

Eu ainda posso jogar alguns possibilidades mas não prováveis: alguém que é conhecido deles e tenha proximidade que está p*** com tudo que acontece e resolve “futucar” o celular dele igual acontece em casais quando rola desconfiança de traição. Não é muito complicado essa pessoa com acesso conseguir passar da senha ou até mesmo pegar o celular sem bloqueio e fazer o que for preciso em ato de nervosismo.

No fim acho que vai ser algum caso de engenharia social ou alguém do meio que se arrependeu e no sentimento de culpa revelando tudo.

@kicolobo, o que você quer dizer com “quais políticas de segurança organizacional deveriam ser adotadas para evitar que este tipo de coisa ocorra?”

é no aspecto de membros do governo ou está de falando de maneira geral, até p/ o caso de empresas que tratam informação confidencial?

1 Curtida

Opa, pra variar você chega com excelente links.

O que quero dizer é política interna com usuários mesmo. Porque se com usuários tão visados ocorre este tipo de situação, imagine com o resto.

Basicamente: quais as melhores práticas? Como treinar seu pessoal para não cair em engenharia social? Quem deve ser punido, o usuário ou a equipe de ti? Coisas assim.

qualquer consultor de segurança vai dizer que faltam processos, pq os processos existem p/ evitar a probabilidade da falha humana.

não sei se ai em MG é moda mas aqui no ES muitos prédios trocaram a porteiro por porteiro virtual. segundo eles é mais seguro pq o cara q tá remoto vai seguir um processo a risca.

é um dos motivos q me irrita nas empresas q vou a falta de um meio de comunicação oficial respeitado por todos, tem gente que manda email, outros no slack, whatsapp e por ai vai.

ou seja, tá criando mais pontos de falha de segurança, sem contar o fato que mistura o pessoal com o profissional, principalmente no caso de whatsapp/telegram.

telegram não é o mais seguro como todos pensam, tem outras alternativas https://www.privacytools.io/software/im/ e o telegram só fica no seu mogo mais seguro se ativar o secret chat que as mensagens podem ir até com tempo de vida.

em termos de prática e afins p/ o TI, vai do contexto da empresa, tem ISO, LGDP (ano que vem) e por ai vai dependendo do seu negócio.

não é fácil, se abrir o linkedin do c6 bank vai ver q eles estão trazendo consultores de nome das universidades dos EUA p/ orientar a empresa, o nubank tercerizou boa parte https://www.baguete.com.br/noticias/18/03/2019/nubank-seguranca-com-fortinet, quando a palestra deles da QConSP desse for divulgada vai ver o trabalho feito pelo time de segurança, bem legal.

é um problema bem complexo, mesmo os mais prevenidos podem ser vitimas com mta facilidade, td mundo vacila uma hora. o vigarista só espera esse momento

1 Curtida
1 Curtida

itexto