Rui Martins

Rui Martins, fundador da rede de Vizinhos em Lisboa, membro do Cidadãos pela Cibersegurança e IT Operations Leader em empresa nacional

Hive

O ataque que parou as redes informáticas do Hospital Garcia de Orta desde finais de abril e que a 8 de maio continuava em "situação de contingência" deve merecer a máxima atenção: Desde logo porque representa que estes grupos de cibercriminosos não têm barreiras morais e que não hesitam em atacar escolas ou hospitais visando, sem ética nem puder, crianças e doentes. E que dado que funcionam por detrás das fronteiras russas e chinesas funcionam com impunidade, apoio ou a cumplicidade impune dos seus governos.

Criptomoedas: Estamos no ponto?

Chegámos ao ponto em que os Estados têm que tomar uma decisão sobre o que fazer quanto às criptomoedas. O aumento explosivo do ransomware em 2021 com uns estimados 102.3 milhões de dólares anuais e mais de 60 variantes diferentes (com as variantes REvil/Sodinokibi, Conti, DarkSide, Avaddon, e Phobos em especial destaque) a dependência estabelecida e necessária entre as criptomoedas, e especialmente a Bitcoin e o cada vez mais amplo leque de alvos desde particulares, hospitais, escolas, esquadras de polícia, autarquias e empresas deveria estar a colocar sobre a mesa dos decisores políticos a necessidade de regular as criptomoedas.

Recentemente, Espanha lançou uma série de regulações sobre o aumento exponencial da publicidade a criptomoedas usando redes sociais, influenciadores e entregando ao regulador do mercado de capitais a competência de autorizar este tipo de campanhas e garantir de que os consumidores têm plena consciência dos riscos.

Por outro lado, e num contexto em que a resposta às alterações climáticas induzidas pela actividade humana se torna cada vez num imperativo urgente e directamente relacionada com a sobrevivência da civilização tal como a conhecemos é preciso que Portugal e a União Europeia se movam rapidamente no sentido de proibir a prática de mineração de criptomoedas e que a entrevista recente do vice-presidente da European Securities and Markets Authority (ESMA) Erik Thedéen onde este pediu um bloqueio a nível europeu desta actividade devido ao seu impacto no consumo energético. Com efeito o cumprimento dos objectivos de Paris, o facto de actualmente 0,6% de toda a energia global ser destinada para esta atividade improdutiva. Pode parecer pouco... mas não é. Só a mineração de Bitcoins (a criptomoeda mais popular) consome tanta energia como a Tailândia, já excede o total de emissões de toda a indústria extractiva de ouro e emite um total estimado de 90 megatoneladas de CO2 anuais (numa subida a partir de 22 em 2019).

Nos começos de Janeiro de 2022, o Kosovo já baniu a mineração de criptomoedas no seu país como forma de reagir à mais grave crise energética da última década. É preciso que a Europa passe das palavras e acção e tome medidas no sentido de proibir a mineração de criptomoedas no espaço europeu.

LAPSUS$: Métodos e Vítimas

Um dos gangues de cibercriminosos mais activos da actualidade e que tem criado sérios danos nos países lusófonos (o SNS do Brasil e a Vodafone, Parlamento, Expresso e a SIC) é conhecido como LAPSUS$ ou DEV-0537. Em 25 de março a polícia de Londres realizou uma série de detenções de indivíduos ligados ao LAPSUS$ e, de facto, há dias, surgiu no canal Telegram do grupo a mensagem: "A few of our members has a vacation until 30/3/2022. We might be quiet for some times. Thanks for understand us - we will try to leak stuff ASAP.". É provável que por uns tempos não ouçamos mais falar deste grupo... mas tudo indica que contêm membros na América do Sul (muito provavelmente no Brasil) que continuam a iludir as autoridades pelo que é certo que tornaremos a ouvir falar do LAPSUS$.

O LAPSUS$ distingue-se de outros grupos semelhantes por se concentrar num modelo diferente da maioria: enquanto grupos como o Conti (agora desorganizado em consequência da guerra na Ucrânia) se dedicam a operações mais convencionais de ransomware este grupo usava um modelo mais convencional de extorsão e, sobretudo, são muito comunicativos no que respeita aos seus alvos: publicam os seus "feitos" num canal no telegram, enviam informação aos Media, coloquem frase de defacement no sites atacados, invadem sessões de zoom de funcionários das empresas atacadas e publicam ofertas na dark web por vendas de credenciais e acessos MFA (!) em troca de alguns milhares de euros (num caso terão oferecido 20 mil dólares por uma password de uma conta numa organização alvo).

Métodos:
O LAPSUS$ ou DEV-0537 usa (ou "usava" se acreditarmos que as detenções de março vão interromper a actividade criminosa o grupo) várias técnicas para conseguir penetrar nas redes das vítimas:
1. Engenharia social através de chamadas telefónicas directas para alvos nas organizações visitadas.
2. SIM-swapping para conseguir controlar contas de funcionários e aceder assim ao seu correio electrónico e códigos MFA.
3. Pagamentos a funcionários, fornecedores e parceiros de negócio das organizações visadas como forma de conseguir o acesso inicial e ultrapassar, assim, as validações MFA.

Métodos de "engenharia social" do LAPSUS$ ou DEV-0537 e como se proteger:
1. Muitas das técnicas do grupo baseiam-se na recolha prévia de informações sobre as contas visadas, organização interna, contactos internos e designação das equipas e nomes de departamentos. Evite divulgar para o exterior e faça-o apenas numa base de "precisa de saber" uma vez que têm usado estes dados como forma de fazerem "impersonating" de técnicos de helpdesk e conseguirem assim credenciais e autorizações MFA das vítimas.
2. Em alguns casos bombardearam a conta de um utilizador da qual tinham antes obtido a password com vários pedidos MFA: quando o alvo cedeu e autorizou um conseguiram o acesso de que precisavam. Instrua os seus utilizadores a autorizarem apenas acessos MFA que são, efectivamente, geridos por si e quando estes surgem em contas partilhadas instrua todos a comunicarem entre si antes de autorizarem qualquer acesso.
3. Pelo menos num caso telefonaram para o Helpdesk da organização usando o nome de um utilizador real pedindo o reset da sua password conseguindo assim o acesso desejado. Instrua o seu helpdesk para nunca enviar passwords por mail ou de viva voz mas apenas por SMS para o telefone associado a esse utilizador.

Métodos "técnicos" do LAPSUS$ ou DEV-0537 e como se proteger:
1. Instalar nas máquinas das vítimas o Readline um "password stealer" que recolhe passwords e session tokens
2. Compra de credenciais em fóruns na darkweb
3. Corrupção de colaboradores ou parceiros em troca da cedência de passwords e acessos MFA
4. Pesquisa em repositórios públicos (Github e bases de dados de credenciais comprometidas)

Com as credenciais obtidas pelos métodos sociais e técnicos acima descritos o LAPSUS$/DEV-0537 toma accesso às redes e sistemas das organizações-alvo:
1. Frequentemente tenta aceder às VPNs especialmente se estas forem legacy e não tiverem sistemas de certificados nem MFA.
2. Os servidores RDC internos e, sobretudo, os expostos na Internet são outro alvo preferencial assim como sistemas de"virtual desktop infrastructure" (VDI) como os da Citrix
3. Outros alvos habituais são "Identity providers" como o Azure Active Directory ou a recentemente exposta (via parceiro) Okta. Nestes dois casos usam uma série de pedidos de MFA até que o alvo se canse e acabe por aprovar o acesso.
4. Em alguns casos preferem visar o computador e contas pessoais de um alvo profissional para depois recolher dados que podem usar num segundo ataque contra a organização da vítima quer como "password guessing" quer para conhecer melhor a sua organização interna quer para conseguir acesso aos telefones e telemóveis pessoais para intercepção das credenciais e acessos MFA.
5. Pelo menos num caso o LAPSUS$/DEV-0537 conseguiu convencer o alvo a instalar o AnyDesk e a entrar assim no computador e rede da vítima instalando depois formas persistentes de acesso.
6. Após conseguirem acesso o grupo normalmente entra na rede local através da VPN corporativa tendo, em alguns casos, criado novos computadores adiciona à Active Directory. A partir daqui encetam um processo de captura de outras credenciais de outros utilizadores.
7. O grupo usa frequentemente o adfind.exe: uma ferramenta que lista todas as contas e grupos na ActiveDirectory pelo que poderá ter interesse em barrar o uso dessa ferramenta em todas as máquinas que não sejam das áreas que, efectivamente, precisam dela.
8. Com a conta a que obtiveram acesso procuram no Sharepoint, Confluence, JIRA, GitLan e GitHub, Teams e Slack por mais dados que lhes permitam obter outras credenciais: por essa razão nunca os deve usar para partilhar passwords (nem ao Outlook: aliás)
9. São também conhecidos por usarem extensivamente ferramentas como o Mimikatz para conseguirem credenciais de administração que depois usam para extrair a base de dados da AD.
10. Houve casos em que o LAPSUS$/DEV-0537 ligou para o telefone da organização visada pedindo o reset de contas de administração de domínio AD.
11. Para contornar mecanismos de condicionamento geográfico (como, os por exemplo, disponíveis, no Office365 com o Conditional Access) o grupo usa ligações NordVPN com IPs nos países do alvo.

Esperamos ter deixado alguns conselhos úteis!

CpC - Cidadãos pela Cibersegurança

Passphrase vs passwords

Já todos ouvimos falar muito de passwords e palavras-chave. Mas pouco (nada?) se fala de um conceito que anda por aí, pelo menos, desde 1981 quando foi inventado por Sigmund N. Porter da NCR Corporation: passphrases (ou frases-chave: em português).

Uma passphrase é um conjunto de palavras que se usa no mesmo local onde, geralmente, se introduzem palavras-chave. A maioria das aplicações suportam passphrases mas antes de as começar a usar sugere-se que se realizem alguns testes com alguns utilizadores para avaliar impactos negativos numa utilização generalizada do conceito na organização.

Recomendamos que use passphrases nas perguntas de segurança que surgem na Internet e que recolhem dados que estão ao alcance de quem conhece bem o seu perfil ou encontra informações relevantes na Internet tais como "cidade onde nasceu", "nome de solteira da mãe", "destino de viagem favorito", etc.

O que deve ter uma boa passphrase:
1. Deve ser conhecida apenas por si

O que é uma botnet? Como as podemos evitar?

As botnets são redes de equipamentos ligados à Internet e que foram comprometidos por agentes maliciosos (hackers ou "rogue states"). Quem cria (os "botmasters") e gere (através de sistemas C&C: Command and Control) estas redes usa-as para actividades criminosas que vão desde a disseminação de Spam, ataques de Phishing ou para invadir e derrubar redes informáticas ou alvos críticos em países soberanos.

A palavra "botnet" advém do cruzamento das palavras "robot" e "network" e é através da criação destas redes que os agentes maliciosos conseguem escalar as suas actividades com a multiplicação dos pontos a partir de onde desencadeiam os seus ataques. Um destes "botmasters" pode assim controlar a sua rede através de comandos remotos e, em algumas circunstâncias, pode mesmo arrendar a rede a agentes terceiros, recolhendo com isso benefícios financeiros. Os equipamentos que integram a "botnet" são conhecidos como "zombies" ou "bots".

Como é que se constrói uma botnet?
1. Numa primeira fase, os hackers exploram uma vulnerabilidade para exporem os equipamentos visados a malwares. Os métodos preferidos são a exploração de vulnerabilidades em software ou firmware, ou a entrega de conteúdos maliciosos por mail outras formas de mensagens electrónicas.
2. Depois exploram as vulnerabilidades identificadas para infectar os equipamentos visados com malware.
3. De seguida activam os equipamentos e começam as suas actividades através da tomada de controlo dos equipamentos. Nesta fase muitas botnets arrancam com milhares ou dezenas de milhar de computadores.

Um computador que faça parte de uma botnet deixa ao "zombie master" a capacidade de ler e escrever no seu sistema, de colher dados do utilizador, de enviar e receber ficheiros enquanto monitoriza toda a sua actividade e serve de motor de busca de vulnerabilidades dos outros computadores que se encontram na rede local ou numa lista designada de alvos na Internet.

As botnets são controladas pelos C&C ou seja pelos computadores de "Comando e Controlo" partindo daqui e pela mão do "zombie master" os comandos que são dados à botnet. Mas nem todas as botnets são iguais: as centralizadas dependem de um servidor, algumas delegam comandos e controlos e sub-servers de C&C mas dependem sempre de uma única máquina razão pela qual este modelo começa a ser cada vez menos utilizado. O modelo de gestão descentralizado começa a ser cada vez mais popular uma vez que não tem um único ponto de falha e se este for identificado, bloqueado ou perdido outro computador pode tomar o seu lugar.

As botnets podem servir vários propósitos: furtos monetários através do acesso a carteiras de criptomoedas ou de dados bancários nos zombies, captura de informação para venda, sabotagem de outros computadores e redes, para mineração de criptomoedas ou para serem alugadas a outros cibercriminosos para execução das suas campanhas de malware.

Como nos podemos proteger por forma a que o nosso computador não integre uma botnet?
1. Melhore as passwords de todos os equipamentos na sua rede. Use passwords longas e complexas e mude todas as passwords por defeito dos seus IoT.
2. Quando comprar equipamentos procure na Internet informações sobre o seu nível de segurança e tome a sua decisão com base nesses dados. Frequentemente os equipamentos mais baratos são também os mais vulneráveis.
3. Verifique as configurações de segurança dos equipamentos e aumente a sua segurança revendo cada configuração.
4. Tenha o máximo cuidado ao abrir anexos ou links em mensagens de correio electrónico: este é o vector de entrada mais comum do software que torna o seu computador num zombie de uma botnet. Se uma mensagem de mail tem um link verifique a sua legitimidade antes de o clicar e se o clicar não o faça na mensagem mas fazendo o copy-paste para o browser por forma reduzir as possibilidades de "DNS poisoning".
5. Use software antivírus profissional uma vez que este tende a ser amplo na sua protecção do que as versões gratuitas.

CpC - Cidadãos pela Cibersegurança

Botnets e Routers: dois desafios de segurança nas redes domésticas

Pode parecer surpreendente (e é) mas podemos ter nas nossas próprias casas componentes que estão a ser usados nas redes "Botnet" que agentes maliciosos: hackers ou Estados, usam para invadir e derrubar redes informáticas, disseminar spam e phishing ou serem usados em guerras cibernéticas como aquelas que a Rússia lançou contra a Estónia em 2007 e contra a Ucrânia em 2022. E que componentes podem ser estes? Os nossos routers.

Os equipamentos tornam-se em "zombies" nestas botnets quando ficam infectados por malware. Isto pode acontecer quando alguém - sem saber - clica num link numa mensagem ou quando visita um site que aloja malware.

Existem vários tipos de botnets: desde botnets que acedem a webcams, outras que correm em máquinas Linux, outras (mais comuns) correm em máquinas Windows. São estas máquinas que são os principais alvos assim como os routers domésticos.

Os routers são, basicamente, computadores correndo uma versão simplificada de Linux. Estes são um dos alvos favoritos destas redes. Quase sempre os utilizadores não se apercebem de que estes equipamentos estão infectados e, frequentemente, os agentes maliciosos não atacam a rede local onde se alojaram para não chamarem a atenção e para conseguirem operar de forma discreta. Mas o processador, o endereço de rede e o seu armazenamento contribuem ativamente para a botnet e estão constantemente a receber comandos do servidor de Comando e Controlo (C&C).

Há tantos tipos de botnets quantas botnets existem. Em alguns casos o zombie limita-se a recolher dados como passwords e a criar backdoors que depois são exfiltradas por um operador humano. Outras botnets servem para minerar criptomoedas, participarem em operações de "distributed denial of service" (DDoS) ou servirem para ataques de força bruta para quebra de passwords. Em algumas circunstâncias com estas redes foram registados tráfegos de dados de centenas de Gbps por segundo contra determinados alvos. Outro uso comum das botnets é o envio de Spam sendo esta, provavelmente, a mais rentável de todas as actividades.

Boa parte destas redes assentam em routers comprometidos e, em 2018, foi descoberta uma botnet com mais de cem mil routers com firmware desatualizado que era usada para envio de spam. Mas é preciso ter em consideração que estas redes além de spam estão a actualmente a evoluir para redes de phishing (94% de todo o malware é distribuído desta forma) que têm como último objectivo a instalação de ranswomware que depois alimenta os operadores das botnets. Apesar desta evolução para o Phishing o volume total de spam enviado por estas redes continua a ser impressionante: estima-se que todos os dias sejam enviados mais de 320 mil milhões de mensagens de spam (28.5% de todo o tráfego de mail). E de todo este imenso volume de spam, acredita-se que 97% seja enviado apenas por duas botnets: a Necurs (que distribui sobretudo o malware Locky) e a Gamut (activa desde 2013 e que usa a porta 25 para comunicar)

A Necurs é particularmente conhecida no meio por colaborar com outros gangs de cibercrime alugando a botnet e usando-a para extorquir utilizadores e organizações a soldo de terceiros. Existem serviços especializados neste tipo de aluguer (BaaS: Botnet as a Service) como a "Lizard Squad" que, recentemente, fez BaaS de uma botnet assente em routers zombie e comercializando um serviço de DDoS por um preço tão baixo como um pouco menos de 5 dólares por mês.

Como podemos proteger os nossos routers domésticos?

Uma IA linguística para a UE: o EuroBabel?

Não é possível criar um sentido de comunidade sem que esse sentido de comunidade seja estabelecido em torno de uma língua. Sempre foi assim em torno da História desde o tempo dos caçadores-recolectores do Paleolítico passando pelo Império Romano e o seu latim e pelo Império Árabe e até aos dias de hoje com a associação entre o inglês e o Império Britânico e a predominância global dos EUA na actualidade.

As línguas continuam a ser um factor de unidade e, tantas vezes, de desunião e conflito, não muito menos que as religiões e bastante menos que a diplomacia. Usadas como factor de cisão nacional são um dos elementos que dificulta a integração europeia. Mas o mundo de hoje não é o mundo de antanho. É o mundo onde a tecnologia preencheu espaços que não só se encontravam vazios, como não existiam. No mundo de hoje a Inteligência Artificial (IA) e a tecnologia têm um papel cada vez mais importante e central nas nossas vidas e nas vidas das nossas comunidades. E neste novo mundo todos trazemos connosco um computador pessoal, com microfone, altifalante e, frequentemente, auriculares. E se usámos o poder da IA e toda esta tecnologia portátil para desenvolvermos as aplicações de tradução automática já existentes no mercado (veja-se o produto, cada vez melhor, das traduções actualmente realizadas pelo Google Translator) integrando-as com os nossos equipamentos móveis? Tal integração, com o uso de IA, permitiria compreendermos e "falarmos" todas as línguas que o sistema conhecesse e quebrar assim definitivamente as barreiras linguísticas que durante tanto tempo se interpuseram entre pessoas e gentes.

A União Europeia (com as suas 24 línguas oficiais e 180 idiomas "não oficiais") poderia ser o propulsor global de uma grande iniciativa nesta direcção financiando o desenvolvimento deste integrador linguístico com IA, contribuindo assim activamente para o processo de integração europeu e cofinanciando a fabricação e distribuição de um dispositivo deste género no espaço europeu. Um tal integrador poderia ser assim o cimento cultural e social de que precisa a União para funcionar.

A ameaça das criptomoedas e a imperativa necessidade de as regular

As criptomoedas são mais do que o meio preferido pelos criminosos para esconderem e realizarem as suas transacções financeiras e o meio utilizado pela indústria crescente e cada vez mais perigosa do ransomware. As criptomoedas são também um mau investimento e uma bolha especulativa que ameaça a economia real. E quando digo que as criptomoedas são um mau investimento não me refiro aos esquemas manhosos, de falsas criptomoedas ou de moedas que são criadas para serem, logo depois, "esquecidas" pelos seus criadores, refiro-me ao processo de criação de novas bitcoins, por exemplo, em grandes e especializados centros de dados com centenas ou milhares de computadores a correrem dia e noite e consumindo um valor global de energia que se aproxima rapidamente do 1% da energia gasta anualmente no planeta (ou seja: mais do que é gasto por muitos países) tudo isto em troca de zero valor para a economia real e com o impacto climático que daqui necessariamente tem que advir.

Actualmente é praticamente impossível comprar bens concretos com criptomoedas e os investidores compram e trocam criptomoedas vendendo-as uns aos outros (ganhando assim mais valias) mas apenas alguns realmente realizam dinheiro real em moedas reais e nestes quem mais lucra são os intermediários ou as grandes "farms" de servidores. Em 2017 soube-se que metade do aumento de valor da Bitcoin estava relacionado co uma grande aquisição realizada por uma única entidade, a Bitfinex, sediada em Hong Kong. Com estas criptomoeadas a empresa realizou compras de Bitcoins quando o mercado estava em baixo e manipulou, assim, os preços da moeda virtual. As compras não foram feitas com "dinheiro real" mas com outra criptomoeda, a Tether (uma "stablecoin" com paridade automática ao dólar), que partilha a gestão com Bitfinex.

As criptomoedas não são apenas um mau investimento. São uma bolha especulativa sem sustentação e um gigantesco esquema de Ponzi. São os novos investidores que estão a sustentar o crescimento das criptomoedas e, paralelamente, a especulação está a alimentar o crescimento da bolha através da manipulação desregulada dos mercados através de agentes com interesses directos no seu crescimento. De permeio ganham os criminosos que recorrem cada vez às criptomoedas no muito lucrativo ramo do ramsonware e do tráfico de drogas e armas.

Tudo no mundo das cripto parece desligado da realidade. Tudo? Não: há uma excepção: os custos em energia eléctrica são muito reais e têm um elevado impacto nas alterações climáticas que deveriam ser uma prioridade para todos nós neste momento. E estes custos em energia e em impacto climático não vão parar de crescer porque há medida que as criptomoedas sobem de valor, aumentam o estímulo para fabricar mais e isto tem impacto na economia real há medida que mais e mais capital em moedas "reais" são desviados para a geração de novas cripto e que os impactos em consumos energéticos vão sendo cada vez mais sensíveis e assumindo um papel cada vez mais dominante nos consumos totais de energia. Enquanto a sociedade como um todo começa a reagir contra as alterações climáticas migrando para formas de produção de energia mais amigas do ambiente e reduzindo consumos, o mundo das cripto aumenta o seu desligamento do mundo real e torna-se cada vez mais um sorvedouro imparável de energia e funciona em contracorrente com o resto da economia e da sociedade.

É muito difícil saber quanto capital real já foi "investido" em criptomoedas. Alguns peritos falam de 2 triliões (um milhão de biliões (a unidade seguida de 18 zeros) outros de metade deste valor outros de ainda menos. Esta incerteza é acompanhada de uma certeza: só nos EUA mais de mil milhões de dólares já tinham sido pagos em ramsonware apenas em 2021. E uma quantia ainda superior está a ser usada pelos cartéis de droga para lavar o seu dinheiro sujo. No México, por exemplo, um país onde os cartéis geram mais de 19 a 39 mil milhões de dólares por ano 98% das transacções acima de 56 mil pesos foram associadas ao cartel de Jalisco. Estima-se que, todos os anos, 120 mil milhões de dólares nos EUA e 85 mil milhões de dólares na Europa sejam lavados por mais de mil bancos, boa parte deles na Rússia.

Recentemente algumas das maiores empresas que servem de intermediários para criptos acordaram em trocar dados sobre transacções suspeitas mas nada garante que o fazem mesmo ou que o fazem de forma eficiente uma vez que não há um regulador comum ou eficiente a uni-los a todos como sucede com um banco central de um país ou com o BCE na UE.

A prazo os cartéis e os grupos de ramsonware terão um problema com as criptomoedas: estima-se que o capital total aqui acumulado - se fosse convertido hoje - rondasse os 2 triliões de dólares (dois milhões de biliões: duas unidades seguida de 18 zeros): se um valor desta escala fosse levantado no mesmo momento ou se isso acontecesse apenas com uma pequena fracção as empresas que as comercializam não teriam fundos para suportar tal operação. Com efeito, muito do dinheiro real colocado no sistema já desapareceu sob a forma de lucros dessas empresas, custos operacionais e de marketing (só o recente anúncio da Coinbase na Superbowl custou 14 milhões de dólares) e, sobretudo, em electricidade gasta em mineração de criptomoedas. Ou seja, num todo, as cripto são como um gigantesco esquema de Ponzi mas com o defeito de serem uma ameaça climática.

Os reguladores - em Portugal e na Europa - têm que, rapidamente, acordar do seu torpor e começarem a agir:

Portugal em Guerra (Digital)

Ao momento em que escrevo estas linhas ainda não se sabe que esteve por detrás do maior ciberataque jamais feito contra Portugal: o ataque à infraestrutura de comunicações de uma das maiores operadoras nacionais: a Vodafone. O ataque começou a 7 de fevereiro por volta das 2100 e, segundo a operadora, interrompeu de forma "abrupta" a "quase totalidade" dos seus serviços de telecomunicações através de um ataque muito direccionado aos nós das redes da operadora por aquilo que terá sido uma grande botnet e com a maioria de equipamentos (segundo a cloudfare) nos EUA e Singapura mas, como sucede neste tipo de ataques, a operação não foi comandada a partir daqui mas de um país terceiro.

A Vodafone activou o seu plano de contingência e começou a recuperar os serviços um a um. O ataque foi apenas o mais recente de uma série que ainda não terminou e que deve colocar de sobreaviso todas as empresas, organizações e cidadãos nacionais. A Vodafone foi, com efeito, apenas o último de uma série de ataques que começou a 2 de janeiro com um ataque à Impresa e que destruiu - encriptando - os sites do Expresso e da SIC e apagou os backups que esta empresa tinha na Amazon Cloud e ao qual se seguiram ataques - de sucesso e duração variável, à Assembleia da República, Correio da Manhã, Sábado, Visão, Caras, TAP e, mais recentemente, aos laboratórios Germano de Souza. Ao que tudo indica, não foi a mesma organização que esteve desta vaga de ataques e estes divergiram no método, nem nos objectivos: alguns foram ataques clássicos de ramsonware com propósitos financeiros e outros visam afectar redes de comunicações essenciais ao normal funcionamento do país. As consequências destes ataques foram equivalentes ao que, nas décadas de 1930 e 1940, seria a destruição de pontes, estradas ou redes telefónicas por bombardeamento aéreo ou sabotagem por quintas colunas mas agora - dado o grau de digitalização da economia e a banalização destas notícias e a sobrecarga de informação actual - não estamos a dar a devida atenção ao problema. Basicamente Portugal está em guerra contra um agente ou agentes desconhecidos e não estamos a fazer o suficiente para nos defendermos... E precisamos de fazer!

Dois dias depois da Vodafone era a vez da rede móvel da operadora espanhola Movistar. Estes ataques, e em particular o ataque à Vodafone Portugal e à Movistar pode inserir-se num contexto geopolítico mais amplo estando Portugal a ser usado como um "teste" de uma operação de grande escala contra serviços ainda mais essenciais, tais como a gestão de barragens, rede eléctrica, um ataque paralelo a todas as operadoras de comunicações e internet e aos sistemas de segurança interna e defesa. O ataque à Vodafone e à Movistar (que ainda não o assumiu) pode ser assim ou um teste à capacidade de defesa, reacção e mitigação ou uma demonstração de capacidade que visa intimidar quem, nos países da NATO, acreditar que deve comprometer forças ou lançar novas sanções contra qualquer agressão no Leste europeu.

O que aconteceu à Impresa (com a perda de dados online e do histórico da SIC e do Expresso), à Cofina (Correio da Manhã, Sábado) e, mais recentemente à Vodafone (com impactos em bombeiros, INEM, rede multibanco, hospitais e mais de 4 milhões de clientes individuais e empresariais) deve levar o governo da República a agir e estabelecer uma grande iniciativa de cibersegurança em que:

Precisamos de trazer os Cidadãos seniores aos Orçamentos Participativos

Ainda não é suficientemente claro para muitos cidadãos e, principalmente para os mais idosos, a necessidade de realizar uma grande revolução verde na governação das cidades. Os níveis de compreensão da necessidade de se fazer essa mudança disruptiva não são ainda evidentes para todos e não podemos esquecer que Lisboa é uma cidade onde se encontram elevadas percentagens de idosos (cerca de 18% -30% dependendo das freguesias). O impacto financeiro da COVID no orçamento municipal certamente terá algum efeito no desvio dos investimentos verdes para áreas prioritárias e, vai criar condições para a redução da receita do orçamento municipal e a quantidade de empregos e empresas funcionando na cidade.

Este contexto e o historial de baixa proporção do peso do Orçamento Participativo (OP) de Lisboa e do peso, por habitante, do OP de Lisboa vai prejudicar o necessário "desvio para o verde" que se exige e espera de qualquer orçamento participativo que propicie a uma "mudança verde" na gestão da cidade. Urge, assim, portanto encontrar formas de trazer para a participação, em propostas e votação estes cidadãos seniores.

As alternativas que se oferecem para aumentar a participação destes cidadãos não passam por tecnologia mas por uma abordagem mais física e presencial mas adaptada aos tempos COVID-19 ou, prevendo a eventual atenuação ou término desta pandemia, serem preparados para posterior aplicação e poderão passar por:

1. Realização de Assembleias Participativas presenciais em todas as freguesias de Lisboa para elaboração e apresentação de propostas e, numa segunda fase, para apresentação e votação das propostas no fim da sessão.

Por uma rede de mobilidade automóvel partilhada, integrada e inteligente

No total, estima-se que existam hoje mais de 1.4 mil milhões de veículos particulares, a esmagadora maioria dos quais (e apesar dos progressos dos últimos anos) poluentes, emissores de CO2, micropartículas e grandes consumidores de combustíveis fósseis. Para sustentar toda esta imensa massa circulante é preciso sustentar uma gigantesca estrutura rodoviária, estacionamento, manutenção e logística que transforma este sector da economia num dos que maior peso tem nas alterações climáticas e num dos maiores obstáculos para a transição para uma economia verde e mais amiga do ambiente.

As pessoas habituaram-se de tal forma ao uso destes veículos que, para muitas, os confundem com a sua própria independência e autonomia pessoal razão pela qual mesmo se a oferta de transportes públicos for aumentada de forma exponencial e o preço descer ou se o seu uso for gratuito muitos continuarão a recorrer apenas ao transporte individual. O factor psicológico joga assim, aqui, um papel importante mas se for possível resolver este factor e se nos focarmos no serviço que se pretende obter: a mobilidade individual ou familiar podemos obter o mesmo serviço sem ter que a propriedade desses meios de mobilidade e de forma mais barata, eficiente e com menor impacto nas alterações climáticas.

Para cumprir essa promessa temos que ter uma rede ampla e diversa de veículos partilhados que esteja integrada (podendo existir vários fornecedores desse serviço: públicos e privados) e que assente num bom sistema de processamento de dados de geolocalização e utilização.

Uma rede integrada de mobilidade partilhada permitiria tirar das ruas, parques de estacionamento e bolsos das famílias os carros próprios que, na maior parte do tempo, estão parados na via ou em parques de estacionamento: por vezes dias ou semanas seguintes e, mais frequentemente, funcionando durante apenas algumas dezenas num dia de 1440 minutos.

Um sistema inteligente, que integrasse todas as redes partilhadas, desde bicicletas (vários operadores: como a GIRA e a Bolt), trotinetes (Bolt, Link e Bird), automóveis (actualmente apenas a NDrive) e os operadores de transportes públicos, assim como veículos Uber/Cabify/etc e transportes públicos, integrados num algoritmo inteligente que - com as devidas protecções impostas pelo RGPD - conhecesse os nossos hábitos de utilização e pudesse prever e antecipar os melhores percursos e meios, poderia ter um impacto significativo na quantidade de carros e no impacto climáticos dos mesmos.

Os carros emitem 72,6% de todos os gases de efeito de estufa mas transportam apenas 30% da população. Este hiato é uma oportunidade para aumentar a eficiência do transporte rodoviário e a mobilidade partilhada integrada em rede é a via para fechar esta diferença entre o "há" e o "deve haver". Recorde-se que para além dos efeitos catastróficos do aumento dos gases de efeito de estufa, os poluentes emitidos pela combustão dos motores automóveis afectam as vias respiratórias com efeitos de curto e longo prazo na saúde humana.

Computação Quântica: Estado da arte e breve futuro

Existe uma certa histeria em torno da "Computação Quântica" e do que ela poderá significar a curto prazo para as nossas vidas. Com efeito, tendo em conta que tanto daquilo que hoje fazemos é feito de forma digital, com computadores e que praticamente todas as comunicações entre computadores ocorrem de forma cifrada a emergência de uma nova geração de computadores, muito mais poderosa que a atual, capaz de quebrar mesmo as mais poderosas cifras arrisca-se a ter um efeito de um autêntico terramoto digital global. Imaginemos ainda que uma dada potência autoritária como a Rússia ou a China deitam mão, primeiro antes de todos, de uma tal tecnologia e que passam a conseguirem ler e entrar em todos os sistemas dos outros países e dos seus opositores internos para estarmos perante uma distopia gerida por computação quântica. Imaginemos ainda o que seria uma Inteligência Artificial erguida em torno de uma rede de computadores quânticos para entrarmos num domínio que ultrapassa mesmo os sonhos mais altos da ficção científica.

Felizmente: os computadores quânticos ainda não são práticos nem conseguem materializar, sequer, uma parte desta ameaça ou promessa (a opção correcta depende da tendência de cada um de nós para ser mais pessimista ou optimista). Dada a escala do investimento e a novidade do campo será de esperar que sejam os Estados e, dentro destes, provavelmente as agências de informação (como a NSA norte-americana ou o "3º Departamento" ou 3PLA do Exército Popular de Libertação chinês) a conduzirem as primeiras iniciativas realmente práticas de computação quântica. Pequim tem neste momento uma aparente vantagem no campo da Computação Quântica. Em meados de 2021 físicos da "University of Science and Technology of China" (USTC) com sede em Hefei (província de Anhui) publicaram um conjunto de artigos em que admitem terem realizado grandes avanços nesta área: a transmissão de um único fotão a mais de 300 km de fira (cem vezes mais do que qualquer tentativa anterior); o aumento de capacidade num computador quântico de 76 para 113 fotões detectados (o que permitiria uma velocidade de cálculo teoricamente superior a qualquer computador clássico). Num outro artigo, os cientistas chineses apresentam o Zuchongzhi, um computador quântico com 66 qubits supercondutores que resolveu um problema com 56 qubits (ou seja: igualando o feito do Sycamore da Google em 2019). O feito do Zuchongzhi é tanto mais notável porque confirma a viabilidade da computação quântica.

Apesar destes avanços, não é crível que uma tal máquina esteja comercialmente disponível na próxima década. Contudo, no fim da mesma, ou seja, por volta de finais de 2030 é possível que algumas das cifras de encriptação hoje em uso estejam ameaçadas por este tipo de computadores tal é a sua capacidade teórica. A resposta dos EUA a estes progressos chineses foi o investimento de $1.2 mil milhões de dólares (200 milhões por ano) na "National Quantum Initiative"
(https://www.quantum.gov) lançada em 2018.

BYOD. "Bring Your Own Device": 13 razões (e uma excepção) para não a implementar

Começa a impôr-se em muitas organizações a ideia de que o conceito de BYOD: "Bring Your Own Device" para as redes locais das organizações é uma "boa ideia". Para as áreas de IT e, em particular, para as áreas de suporte e segurança informática é cada vez mais difícil resistir a este impulso e a generalização do teletrabalho provocada pela COVID-19 parece ter acentuado ainda mais este movimento.

Embora seja relativamente comum e, uma forma de BYOD, encontrar colaboradores com instalações de Office 365 ou, até, de sistemas VoIP nos seus equipamentos pessoais (telemóveis) a maioria das organizações ainda resiste a estender este tipo de tolerância até aos computadores pessoais e a utilizações mais generalistas e a outro tipo de software.

Mas porque é uma má ideia implementar ou, generalizar, uma política de BYOD: "Bring Your Own Device" (com a excepção que listarei mais adiante)?

1. Uma das opções que está sempre ao dispor de qualquer área de IT é, perante uma ameaça de segurança ou uma anomalia grave do equipamento, formatar o dito e recomeçar do zero. Essa opção pode não existir no caso de um equipamento pessoal ou não poder ser executada porque depende do aval/concordância do proprietário do mesmo (o utilizador final) o que, em último caso, colocará em risco a organização como um todo ou a capacidade que este tem para cumprir as suas funções profissionais.

2. Em caso de conflitos legais o equipamento pode ter que ser entregue para arquivo até ao momento em que ocorre o processamento judicial por parte das autoridades e o utilizador do mesmo fica sem acesso ao mesmo.

3. Em caso de conflito judicial entre o colaborador e o seu empregador, o equipamento pessoal não pode ser usado como prova de um eventual comportamento culposo ou que justifique o acto legal em curso. Por outro lado, se o equipamento pessoal for usado no âmbito de um processo judicial o utilizador do mesmo poderá expor a terceiros a sua vida e dados pessoais.

5. Se uma organização adoptar uma política BYOD deve encontrar igualmente uma forma justa de compensação pelo uso por parte dos seus colaboradores dos seus equipamentos pessoais como ferramentas de trabalho.

6. Um colaborador que usa um telemóvel pessoal para as suas actividades laborais está a entregar à rede de colaboradores mas também à rede de fornecedores e clientes o seu número de telemóvel pessoal o que reduz o seu nível de privacidade e a capacidade da organização para repor o seu fluxo de trabalho em caso de uma saída intempestiva ou programada. Isto é especialmente importante em colaboradores de áreas comerciais ou de vendas porque reduz as possibilidades de as organizações serem capazes de reterem os clientes que integravam a sua carteira.

7. Se uma organização adoptar uma política BYOD alguns colaboradores poderão encarar a dita como uma tentativa de intrusão na sua vida pessoal e se já tiverem aplicações como o Outlook ou o Teams instalados nos seus equipamentos pessoais poderão reagir de forma adversa desinstalando-as o que acabará produzindo o efeito inverso ao que se pretendia obter. É preciso contudo abrir uma excepção para aplicações de autenticação que enviam SMS ou usam Apps de autenticação como o Google ou o Microsoft Authenticator e que, na falta de um telemóvel empresarial, devem ser instaladas no telemóvel pessoal. Neste caso a excepção visa proteger o computador ou o telemóvel de serviço e deve ser aberta por essa razão é porque, em última instância, defender a organização é importante para o próprio colaborador da mesma.

8. O argumento de que o BYOD é um risco de segurança porque expõe os segredos da organização à concorrência não deve ser usado para negar estas políticas porque esse risco existe sempre, mesmo usando os computadores e equipamentos da organização. Na falta de outros mecanismos de segurança quem o quiser fazer, fá-lo-á sempre e a única forma eficiente de o impedir é usar a litigação legal em todos os casos em que isso acontecer por forma a dissuadir recorrências.

9. Existem duas grandes abordagens BYOD possíveis: uma "ligeira" em que o utilizador instala aplicações no seu equipamento e outra mais "pesada" em que a organização ganha capacidade de controlo do equipamento tal como um "remote wipe" uma abordagem de segundo tipo dá à organização a capacidade de controlar a presença dos dados nesses equipamentos quando os utilizadores deixam a organização sem os devolver ou quando estes são furtados ou perdidos.

10. Em qualquer implementação BYOD é preciso de ter em conta se a organização tem algum tipo de seguro de cibersegurança (p.ex. contra danos de um ataque de ramsonware) já que tal tipo de política pode colidir directamente com algum do seu clausulado (e, certamente, aumentar o risco de segurança coberto por essa apólice).

11. Como não existe um controlo sobre equipamentos pessoais tão intenso como existe (ou deve existir) sobre equipamentos organizacionais, não é possível garantir que todos os equipamentos estão atualizados a um dado nível e, logo, será particularmente certo afirmar que a maioria não terão todas as actualizações de segurança disponíveis no mercado. Ademais serão também equipamentos muito mais expostos a riscos de segurança do que os equipamentos corporativos porque os utilizadores instalam nos seus equipamentos Apps para uso pessoal, hábitos de navegação pessoais (tais como pornografia: um meio onde os exploits e malwares são comuns). Toda esta combinação pode levar a perdas de desempenho do equipamento que afectarão o desempenho da actividade profissional desenvolvida nesses equipamentos.

12. Em termos de custos a implementação de uma política BYOD também terá impacto em duas áreas: Desde logo em termos de licenciamento necessário para a gerir e depois, nos custos na conta telefónica do próprio utilizador ou na comparticipação por parte do empregador (se esta existir). Existirão também mais custos com o aumento da actividade de suporte decorrente desta mudança organizacional especialmente se este serviço for prestado em regime de outsourcing e se esse suporte não for capaz de acompanhar o aumento de serviço ou se não for capaz de o prestar decentemente (devido, por exemplo, às circunstâncias ou condições desses equipamentos pessoais) aumentará o descontentamento dos utilizadores e cairá, consequentemente, a satisfação global dos utilizadores com a organização.

13. Qualquer política BYOD faz aumentar a quantidade de risco que a organização vai passar a suportar. Muito concretamente: aumenta o risco de perda de dados, de intrusões, de comunicações sem controlo. Mas não é só o risco que aumenta. Aumentam também os custos. Os já referidos custos de licenciamento, os custos de perda de reputação caso ocorra um incidente de segurança, a perda financeira direta (p.ex. num incidente de ransomware). Custos de multas por violação do RGPD (que podem ascender a muitos milhões de euros...).

A Autenticação por Duplo Factor (MFA) já não é o que era

Hoje é dia já todos sabemos (ou devíamos saber) algo de muito simples:
Não é possível proteger a nossa propriedade na Internet (contas, mails, serviços cloud, aplicações, etc) com o tradicional par de credenciais username/password. Um estudo realizado pela Verizon em 2021 o "Verizon 2021 Data Breach Investigations Report" indicou que credenciais comprometidas tinham sido a principal forma pela qual os hackers tinham penetrado nas organizações. Os casos mais graves ocorreram quando as passwords comprometidas concediam acesso a sistemas e às redes das organizações servindo, assim, para a abertura posterior de outras portas. Em alguns casos tratavam-se de passwords de acesso a sistemas críticos para a operação que eram partilhadas entre vários utilizadores. Em Julho de 2020 soube-se que existiam 15000 milhões de contas furtadas disponíveis na "Dark web".

Como resposta a esta ameaça cada vez sensível, cada vez mais frequente e financeiramente apelativa aos hackers devido à multiplicação dos ataques de ransomware e do uso de criptomoedas a maioria das organizações começou a implementar sistemas de autenticação de duplo factor (MFA ou 2FA). Esta forma de reforçar a autenticação convencional pelo par de username e password introduziu uma nova camada de segurança que trouxe um nova segurança às organizações e o seu uso começa, agora, a ser generalizado e há, de facto, estudos que provam que a autenticação MFA permite bloquear até 99.9% dos ataques automatizados. Mas como é evidente perante tal escala de ameaça à sua actividade, os hackers desenvolveram formas de contornar esta barreira.

Uma das formas de contornarem o MFA passa pela ultrapassagem do MFA através dos "one-time codes" enviados por SMS para os telemóveis dos utilizadores. Com efeito, muitos especialistas em cibersegurança têm apelado ao abandono de organizações como a Microsoft e a Google de soluções MFA que dependam de SMS e de chamadas de voz. Este conselho advém da conhecida fragilidade do SMS em termos de segurança e da sua exposição a uma série de vectores de ataque.

Desde logo através do "SIM swapping" e que passa pelo processo de um hacker convencer o fornecedor de serviço telefónico do utilizador de que, ele próprio, é a vítima e consegue que o operador mude o número de telemóvel para outro equipamento. Existem também ferramentas, como a Modlishka, que através de um "reverse proxy" entre o alvo e o serviço a ser interceptado captura o pin enviado por SMS. Outra forma de comprometer a segurança do MFA passa por usar o Google Play Store para instalar automaticamente uma aplicação que realiza essa captura de tráfego e que sincronize notificações entre vários equipamentos.

Este tipo de ataques não podem ser automatizados em grande escala e dependem do cumprimento de um conjunto invulgar de condições para serem bem sucedido mas não exigem grandes capacidade técnicas e exigem apenas alguma subtileza, persistência e inteligência por parte do hacker e são grandemente simplificadas quando o potencial intruso tem acesso físico ao telemóvel da vítima (p.ex. um colega de trabalho ou um familiar).

A Segurança Informática não é apenas com o IT

Os responsáveis pelas áreas de segurança informática sabem que quanto mais depressa detectarem um ataque menor será o impacto do mesmo na sua organização. Mas agora é ainda mais difícil detectar um ataque em tempo real: a circunstância de pré-pandemia em que todos trabalhavam lado a lado, no mesmo escritório ou "open space" já não existe e, hoje, com a adopção massiva do teletrabalho, também não basta ir ao gabinete do lado perguntar ao colega "que email é este?" ou levantar o braço e pedir apoio ao informático de serviço, porque as pessoas que recebem mails de phishing cada vez mais sofisticados, cada vez menos grosseiros e mais credíveis já não estão fisicamente ao alcance mas distantes, em casa, ou noutra cidade e, por vezes, até noutro país, mas ligados à rede corporativa por VPN.

Agora, nestes novos tempos de teletrabalho sistémico e não mais excepcional ou concedido a favor ou como "prémio de desempenho", o IT já não está ao alcance de um braço ou de uma dezena de passos. Os hackers e phishers sabem isso e, com essa informação na mão, multiplicaram a quantidade e qualidade dos seus ataques às redes corporativas. De igual modo, elegeram os trabalhadores como o seu alvo principal, mudando-o dos servidores ou serviços da organização na rede pública (Internet). Em suma: fulanizaram os alvos.

Os ataques mudaram: os métodos "rápidos" de detecção de uma campanha de phishing (que são cada vez mais longas) como o uso de português do Brasil, a presença de erros ortográficos, logotipos antigos ou de má resolução, não são agora tão eficientes como antes da pandemia. Cada vez os ataques são mais credíveis e com maior qualidade gráfica e de texto o que dificulta a sua detecção por parte de utilizadores menos treinados.