Alerta de fraude: explorando a sinalização SS7 para cometer desviosA maioria de nós ficaria surpreso ao saber que redes de telefonia, móveis e fixas, nunca foram projetadas para serem seguras Luís Brás (*) Existem vulnerabilidades em redes que permitem que hackers leiam textos, ouçam chamadas e rastreiem a localização dos usuários de telefones móveis. Por estes motivos, as operadoras de telefonia e empresas de gestão de fraude lutam uma batalha sem fim para minimizar o impacto das fraude contra si e seus clientes. Mesmo com essas ameaças, normalmente pensamos que comunicar-se através de serviços codificados como WhatsApp, Viber, Facebook e outros, as conversas permanecerão privadas e protegidas para sempre. Mas esse não é o caso. Na verdade alguém pode roubar sua identidade móvel sem o seu conhecimento e começar a se passar por você, por mensagens ou chamando as pessoas através destes aplicativos supostamente seguros sem o seu conhecimento ou consentimento. Ou então comandando sua página no Facebook para fazer chamadas, comentários e posts. A culpa é da década de 70 Muitas coisas podem ser atribuídas à década de 70: a crise global do petróleo, o escândalo Watergate, e agora, aparentemente, o cibercrime. O problema, chamado de falsificação de SS7, decorre de uma falha de segurança no Sistema de Sinalização 7 (SS7), uma norma internacional que define como elementos de rede trocam informações sobre uma rede de sinalização. Essa norma foi desenvolvida em 1975, apenas dois anos após a realização da primeira chamada móvel. O problema é que nunca foi atualizada para proteger os avanços na tecnologia móvel ou da ascensão do cibercrime. O SS7 é utilizado por mais de 800 operadoras de rede em todo o mundo. Essa tecnologia lhes permite trocar informação necessárias para a transmissão de mensagens entre si, chamadas, textos (SMS) e para garantir correto faturamento. É uma tecnologia fundamental para manter o mundo conectado, mas tem suas falhas. Como a falsificação SS7 acontece? Este tipo de fraude pode ocorrer em qualquer lugar do mundo. Vulnerabilidades reconhecidas de uma rede SS7 permitem que um fraudador sem equipamento sofisticado (um computador baseado em Linux e um SDK disponível publicamente) gere pacotes SS7 para determinar a localização do assinante, toque em chamadas e obter dados pessoais para desviar dinheiro e outras informações valiosas, além de interromper serviços de comunicação. Como os aplicativos geralmente usam a autenticação de SMS para identificar usuários, os fraudadores não se incomodam tentando quebrar a criptografia do aplicativo, mas em vez disso usam brechas no protocolo SS7 que permitem que um invasor intercepte mensagens SMS recebidas, usadas pelos aplicativos para identificar usuários. Para fazer isso, o fraudador simplesmente usa o SMS para solicitar e criar uma segunda conta de usuário sem o conhecimento do proprietário. Quando isso é feito, eles podem representar o titular da conta, enviar e interceptar mensagens sem o conhecimento do proprietário Estes tipos de falhas de segurança dentro do sistema SS7 foram descobertas pela primeira vez por pesquisadores em uma conferência de hackers em Hamburgo, na Alemanha, em 2014. O uso contínuo do sistema SS7 no governo e espionagem criminal, tanto em usuários e operadoras de telefonia móvel, continua até hoje. Enquanto a falsificação SS7 pode ser vista como uma intrusão ou inconveniente para a maioria de nós, é uma ameaça real para os funcionários do governo, figuras públicas e empresários. Como podemos parar isto? Para as operadoras, a melhor maneira de se proteger contra essas ameaças e preteger também os seus clientes, é procurar constantemente cenários de fraude em tempo real. Isso inclui a adoção de sistemas de gerenciamento que permitem monitorar redes SS7 e outros tipos de ataques. Operadoras móveis com mais visão de futuro já estão implementando esses métodos para protegerem seus assinantes deste e outros tipos de fraude SS7. (*) É Consultor de Fraudes na WeDo Technologies. Gama Academy lança programa e irá selecionar os 100 melhores talentosA Gama Academy, escola que seleciona e capacita os melhores talentos para trabalhar em startups, desembarca em São Paulo durante o mês de setembro para formar novos talentos. Com inscrições gratuitas, o Gama Experience irá selecionar 100 potenciais talentos entre universitários e recém-formados que desejam trabalhar em startups. O programa realizado anteriormente em Belo Horizonte, teve mais de 2 mil inscritos, 74 formados e cerca de 40 realocados profissionalmente. O treinamento realizado em maio, em BH, contou com 96 horas de conteúdo e prática divididas em 4 stacks: Hackers (programação), Hipers (marketing), Hipsters (design) e Hustlers (vendas). O treinamento teve duração de 4 semanas, com palestras, aulas específicas e trabalhos práticos, desenvolvendo as habilidades técnicas e as soft skills dos alunos em uma imersão no dia a dia do mercado de startups, sendo eliminados aqueles que não passaram pelas etapas de fit cultural, provas técnicas e atividades individuais e presenciais em grupo. Desde o encerramento do programa, os alunos que mais se destacaram foram convidados para entrevistas nas startups e mais de 40 candidatos já receberam proposta de trabalho. Se por um lado, os alunos saem transformados e prontos para trabalhar no mercado de empresas digitais, as startups têm como benefício a contratação de profissionais qualificados e aptos, o que é uma grande dificuldade nesse mercado. Atualmente, o Brasil possui 149 startups em estágio de crescimento avançado com mais de mil vagas em aberto nos principais pólos, como São Paulo, Belo Horizonte, Curitiba e Florianópolis. Hoje, São Paulo tem mais de 420 vagas abertas em startups. O principal objetivo da Gama é levar em cinco semanas, uma experiência completa de vivência das startups, com conteúdos inspiradores e palestras de CEO’s das principais startups. Diferente do Gama Experience de BH, após o treinamento, ocorrerá uma feira de contratação onde os aprovados terão exclusividade para serem entrevistados pelas empresas contratantes parceiras da Gama Academy. As inscrições para a Gama Experience SP são gratuitas e vão até o dia 01 de setembro (http://gama.academy/programa/2-gama-experience-sao-paulo/). | Uma prévia do futuro: carteira de motorista no smartphone O mundo da identificação segura está em polvorosa agora com o surgimento da identidade móvel. Para os novos no assunto: estamos falando sobre identidades no smartphone. Atualmente, a privacidade e a proteção dos cidadãos são uma preocupação real em países ao redor do mundo. É por isso que identidades móveis – em particular, carteiras de habilitação móveis – poderão proporcionar aos cidadãos um nível totalmente novo de conveniência enquanto protegem a polícia e outros agentes públicos. Um alto nível de interação e verificação segura não seria possível se nós não aderíssemos a seis importantes princípios orientadores. Como uma indústria, nós estamos nos aventurando em um novo território. As oportunidades são grandes, mas nós temos que enfrentar os potenciais desafios de frente. Com o fim de que a transição das carteiras de identidade físicas para as identidades móveis seja bem-sucedida, nós acreditamos que a indústria deve aderir aos seis princípios seguintes: 1. Voluntariedade • A participação é voluntária, os cidadãos controlam seus dispositivos e as informações compartilhadas. 2. Interoperabilidade • A identidade móvel deve funcionar nas principais marcas de smartphones e sistemas operacionais; • Deve estar disponível entre diferentes jurisdições, estados, países e continentes. 3. Segurança • Plataforma forte baseada em padrões de criptografia; • Dados dos cidadãos somente poderão ser vistos pelo smartphone do oficial, agente ou autoridade que os estão validando. 4. Privacidade • Ninguém mais poderá acessar os dados pessoais do proprietário da carteira ou localizar sua identidade; • Um oficial autorizado deve ser capaz de verificar os dados sem que o cidadão precise entregar seu smartphone em suas mãos. 5. Conexão remota • As identidades móveis devem estar seguramente disponíveis mesmo em áreas remotas sem internet ou redes de comunicação. Isso inclui o fornecimento, atualização e revogação de credenciais. 6. Acesso garantido • Mesmo que o smartphone de um cidadão esteja inoperável (sem bateria, por exemplo) ainda deve ser possível acessar sua identidade. Em breve, compartilharemos mais informações sobre vários destes princípios e como carteiras móveis de motoristas poderão prover uma experiência mais segura e ágil para cidadãos e agentes governamentais. Enquanto isso, convidamos você a assistir ao vídeo abaixo com uma demonstração de como agentes governamentais podem validar carteiras de habilitação móveis de uma distância segura (www.hidglobal.com/blog/sneak-peek-mobile-drivers-licenses) (Fonte: Joseph Pearson, vice-presidente para soluções de identificação governamental da HID Global, América do Norte) Internet das Coisas: bilhões de oportunidades para ataques cibernéticosMárcio Kanamaru (*) A Internet das Coisas já é realidade e está caminhando para uma explosão tecnológica nos próximos anos A conectividade disponível em bilhões de dispositivos com certeza irá facilitar a vida das pessoas e aumentar a produtividade nas empresas, mas também irá trazer uma imensidão de problemas relacionados à segurança. De acordo com o McAfee Labs, estima-se que até 2020 poderão existir até 200 bilhões de dispositivos conectados à Internet. E cada uma dessas “coisas” poderá se tornar uma porta de entrada para ataques cibernéticos. Veículos conectados usados para transporte e logística, sensores usados para colher dados na agricultura, dispositivos médicos para monitorar pacientes, drones para a construção civil, aparelhos para a distribuição de energia em uma fábrica, para o controle da temperatura em um frigorífico ou até mesmo para a climatização do escritório; a lista de oportunidades para a Internet das Coisas é gigantesca. Todos esses dispositivos podem ser alvos de ataques e também serem usados como uma porta de entrada para o ambiente corporativo e resultar em um grande ataque, capaz de afetar a distribuição de energia em uma cidade ou até mesmo o controle operacional de uma ferrovia. Esses dispositivos inteligentes podem ser classificados em dois tipos, os que coletam informações por meio de sensores no ambiente em que estão para transmitir dados de forma constante a outro local ou são dispositivos desenvolvidos para receber instruções via Internet e realizarem alguma atividade onde estão localizados. Em ambos os casos existem duas preocupações: privacidade e segurança. Com a plataforma dos produtos alocada na nuvem e tráfego de informações em redes wi-fi, os dados coletados e o comando das máquinas poderão se tornar alvos dos cibercriminosos. Nos últimos meses acompanhamos o crescimento dos casos de ransomware. É bem provável que esta modalidade criminosa também migre para dispositivos da Internet das Coisas e que cibercriminosos peçam resgate às empresas ou consumidores para restituir o controle sobre as configurações de um carro, de um termostato, de um dispositivo cirúrgico, de uma máquina industrial, etc. Além dos ataques ransomware, ataques de negação de serviço (DDoS) e exploits, exploração de falhas no sistema para acesso a dados, também podem ser direcionados aos dispositivos conectados. Algumas verticais poderão ser mais impactadas devido ao grau de maturidade na adoção de IoT, como por exemplo as áreas da saúde, automotiva, agricultura, indústria e transporte. A segurança é certamente um ponto crítico na Internet das Coisas. Fabricantes estão empenhados em lançar seus produtos inteligentes com rapidez, oferecendo conectividade e funcionalidades diversas ao cliente, mas não conseguem prever os todos os riscos e nem sempre estão preparados para considerar a segurança como fator-chave para o lançamento do produto. E os cibercriminosos estarão preparados para explorar essas brechas. Para reduzir essas ameaças, primeiramente os fabricantes precisam priorizar a segurança e desenvolver produtos nos quais a segurança esteja incluída desde o início, incorporando controles e configurações de privacidade desde seu projeto. Os usuários também precisarão se adaptar e criar novos hábitos de segurança. Fazer uso das configurações avançadas de segurança dos dispositivos pode fazer a diferença na hora de evitar uma invasão, assim como manter softwares, sistemas operacionais e aplicativos sempre atualizados, já que é mais fácil para os cibercriminosos explorarem vulnerabilidades de programas desatualizados. Também é válido ficar atento e realizar intensa pesquisa antes de implementar um dispositivo inteligente, investigar a reputação e a política de segurança da empresa fornecedora, assim como a facilidade com que o produto pode ser atualizado. O gestor da segurança da informação também deverá ter um papel fundamental nessa mudança, ele deverá ser o guardião da nova era da transformação digital em sua corporação, sendo um executivo com abordagem estratégica e garantindo a execução das políticas de segurança da informação a partir da tríade – confidencialidade, integridade e disponibilidade. Atualmente o cibercrime já custa aproximadamente US$ 650 bilhões, o equivalente a 26ª economia global. Com o advento da Internet das coisas serão bilhões de pontos de acesso que podem ser explorados pelo cibercrime e que irão aumentar muito este valor. Já começamos a trilhar este caminho, e ele será repleto de desafios. (*) É diretor geral da Intel Security no Brasil. |