Tag: guerra cibernética

Publicado em in Hardware, Segurança, tecnologia

As Implicações da Escassez de Chips para a Segurança Digital Global

Uma nova preocupação no campo da segurança está surgindo e talvez você se interesse em ficar de olho no clima. Não é segredo que há uma escassez global de chips de silício, e onde há escassez, há oportunidades para bandidos e afins.

Imagem: Pexels

Como já mencionei no blog [aqui e aqui], uma cascata de eventos fez com que a fabricação de chips diminuísse de ritmo nos últimos anos. Em algumas áreas, como componentes analógicos para digitais, a quebra no fornecimento foi quase total para alguns dispositivos.

Mas para além dos dispositivos de entrada/saída existem outros dispositivos, como “System on a Chip” (SoC) e “Micro Controller Units” (MCU). Estes não usam os métodos mais modernos de impressão em escala nanométrica e tendem a ser feitos em fábricas de segunda ou terceira linha, onde as margens de lucro são muito baixas.

Bem, esta notícia, que foi reportada no ano passado – e amplamente ignorada, parece estar ficando mais insistente na grande mídia [The Register]. A consequência desse estado de coisas, que recebeu apenas uma menção passageira na parte inferior do artigo do The Register, é que há um buraco se abrindo na segurança das linhas de suprimento globais.

No início a escassez impulsionou os prazos de entrega de algumas semanas para alguns meses. Agora chegam a ultrapassar um ano. Alguns fabricantes estão cancelando novos projetos de design e eliminando recursos em projetos existentes, pois precisam refazer os projetos para aproveitar as peças inferiores ainda disponíveis.

Como em toda escassez, a manipulação de preços já começou, com alguns produtos agora custando cinco a dez vezes o preço que tinham há apenas um ano ou mais. O que significa que a oportunidade de lucrar de forma ilícita está de volta (não que algum dia tenha desaparecido). Os mais experientes talvez se lembrem do choque da mudança do padrão RS232 para USB “FTD-Chip”, quando a FTD mudou o driver do chip fornecido pela Microsoft e, da noite para o dia, centenas de milhares, senão milhões de mouses e produtos semelhantes para PC pararam de funcionar.

O motivo foi a “Grey Supply Line”, a infame “linha cinza” de imitações paralelas dos chips FTD, na época usados em milhões de PCs. O que estava acontecendo era que as peças não-FTD, muitas delas não-funcionais, foram feitas para parecer peças FTD reais e vendidas como “estoque recuperado” e similares, entrando, assim, na cadeia de suprimentos.

Se a história é um guia, devido à escassez e ao aumento dos preços as Grey Supply Lines entrarão em operação a qualquer momento novamente. Enquanto imitações são um problema por si só, pois na maioria das vezes são abaixo do padrão, elas também trazem um novo potencial vetor de ameaças.

Armas Cibernéticas do Mercado Cinza

Muitos chips Grey Supply passam pela China de uma maneira ou de outra, e provavelmente não passou despercebido pelas pessoas atentas que o barulho de sabres e tambores nos mares do sul da China fica cada dia pior.

Essa é uma das razões pelas quais o governo dos EUA vem pressionando o governo e os fabricantes de chips de alta qualidade de Taiwan para mudar as fábricas para os EUA (algo que os taiwaneses estão muito relutantes em fazer por várias razões óbvias). Bem, embora os chineses continentais não tenham fábricas de última geração, eles têm muita capacidade de segunda e terceira linhas. Assim, surge a oportunidade de injetar quantidades consideráveis de Grey Supply em produtos fabricados e vendidos em todo o mundo.

Mais cedo ou mais tarde, algumas peças Grey Supply serão consideradas deficientes ou abaixo do padrão, o que é de se esperar, como se viu no incidente do chip FTD. Mas a presente situação também abre a possibilidade de algo mais insidioso: a oportunidade de se incorporar armas cibernéticas nos chips Grey Supply. Esses chips não seriam totalmente abaixo do padrão, como de costume, mas teriam “um certo conteúdo extra embutido” – o qual seria como um mecanismo de disparo à espera do acionamento

Embora contaminação por malware possa ser realmente desagradável de se lidar, ela afeta as coisas principalmente no nível do software, onde fazer uma simples reinstalação completa a partir dos backups permite que você recupere a funcionalidade de seu sistema em um tempo relativamente curto. Agora considere que infestação por malware está acontecendo cada vez mais no nível de firmware, o nível mais básico, onde o usuário médio não pode fazer uma reinstalação do sistema operacional.

Mas vá um pouco mais longe e considere que o firmware está na verdade embutido nos chips, de uma maneira que muito poucas pessoas têm conhecimento para reinstalar o código operacional, e mesmo assim apenas de forma insatisfatória. Imagine o que aconteceria se não apenas computadores, mas dispositivos inteligentes e telefones de todos os tipos parassem de funcionar.

A nação mais atingida seria os EUA, na medida em que apenas um ou dois ataques recentes de ransomware demonstraram. Na sequencia viriam as nações do “primeiro mundo”, como grande parte da Europa Ocidental como também as nações da Ásia e Oriente Médio que “saltaram” uma geração de tecnologia no último quartel do século passado e início deste – tecnologia 1985-2010.

Na série de ficção científica “Fundação”, Isaac Asimov tem como enredo uma coalizão de mundos tecnicamente sofisticada, mas não militarmente poderosa, enfrentando uma guerra iniciada por uma população significativamente maior e fortemente militarizada, mas não tecnologicamente sofisticada. Em condições normais estes iriam perder. No entanto, em um plano pérfido, eles já haviam vendido muita coisa de sua tecnologia atrasada para a coalizão, em produtos domésticos e comerciais para o dia a dia.

Os produtos começaram a falhar e a coalizão descobriu que suas forças armadas eram, na verdade, fortemente dependentes desses produtos defeituosos, de tal forma que não tinham mais meios para contra-atacar à altura.

Neste mundo dos tempos modernos, o Ocidente é efetivamente a coalizão e a China o fornecedor de todos os produtos domésticos e comerciais de que tanto dependemos em um ou mais níveis. Com um pouco de imaginação, não é difícil ver como a China poderia, com base nestes pressupostos, facilmente construir um “Grande Interruptor Vermelho” no coração dos EUA, Europa, etc. com os infames produtos “Grey Supply Cyber Weaponized”.

Isso se já não o fez…

Publicado em in Geral, Segurança, tecnologia, Vox Leone

Cyberfront: Sabotagem Começa a Atingir o Software Open Source

O site Ars Technica reporta que um desenvolvedor foi pego adicionando código malicioso a um popular pacote de código aberto que apagou arquivos em computadores localizados na Rússia e na Bielorrússia como parte de um protesto que enfureceu muitos usuários e levantou preocupações sobre a segurança do software livre e de código aberto.

Imagem: Pexels

O aplicativo, node-ipc, adiciona a um sistema recursos de comunicação e redes neurais a outras bibliotecas de código aberto. Por ser uma dependência de outro programa, o node-ipc é baixado automaticamente e incorporado a outras bibliotecas, incluindo algumas como Vue.js CLI, que possui mais de 1 milhão de downloads semanais.

A atualização espúria do node-ipc é apenas um exemplo do que alguns pesquisadores estão chamando de protestware. Especialistas começaram a rastrear outros projetos de código aberto que também estão lançando atualizações chamando a atenção para a brutalidade da guerra da Rússia. Esta planilha lista 21 pacotes diferentes que são afetados.

Um desses pacotes é o es5-ext, que fornece código para a especificação da linguagem de script ECMAScript 6. Uma nova dependência chamada postinstall.js, que o desenvolvedor adicionou em 7 de março, verifica se o computador do usuário tem um endereço IP russo. Em caso positivo o código transmite uma “mensagem de paz”.

“Mensagem de paz”, que o sabotador codificou no aplicativo comprometido – Imagem da Internet

As pessoas que não trabalham no ramo talvez se surpreendam com a grande quantidade de software crítico que depende dos caprichos de programadores anônimos que mantêm bibliotecas de software de forma inconsistente, como hobby ou projeto secundário. Repetidas ocorrências estão transformando isso em uma vulnerabilidade séria. A Casa Branca anunciou no ano passado uma iniciativa para começar a resolver esse problema, declarando que vai passar a exigir uma “lista de materiais de software” para todo software encomendado pelo governo:

…o termo “Lista de Materiais de Software” ou “LMDS” significa um registro formal contendo os detalhes e relacionamentos da cadeia de suprimentos de vários componentes usados na construção de software. Desenvolvedores e fornecedores de software geralmente criam produtos montando e mesclando componentes de software comercial e de código aberto dos repositórios existentes. A LMDS enumera esses componentes em um determinado produto. É análogo a uma lista de ingredientes em embalagens de alimentos. Uma LMDS é útil para quem desenvolve ou fabrica software, para quem seleciona ou compra software e para quem opera software. Os desenvolvedores geralmente usam componentes de software de código aberto e de terceiros disponíveis para criar um produto; uma LMDS permite que o desenvolvedor certifique-se de que os componentes de terceiros usados em seus projetos estejam atualizados e responda rapidamente a novas vulnerabilidades. Por exemplo, os compradores podem usar uma LMDS para realizar análise de vulnerabilidade ou licença. Aqueles que operam software podem usar LMDSs para determinar facilmente se estão em risco potencial de uma vulnerabilidade recém-descoberta. Um formato LMDS universal, legível por máquina, que seja amplamente utilizado, permite maiores benefícios por meio da automação e integração de ferramentas. Os LMDSs ganham maior valor quando armazenados coletivamente em um repositório que pode ser facilmente consultado por outros aplicativos e sistemas. Compreender a cadeia de suprimentos de software, obter um LMDS e usá-lo para analisar vulnerabilidades conhecidas são cruciais no gerenciamento de riscos.

Fornecedores governamentais

Vários empreiteiros de defesa em todo o mundo usam recursos de código aberto em todos os tipos de aplicativos implantados em sistemas militares, desde comunicações, navegação, controle de voo, controle de fogo e aplicativos de missão crítica.

Grande parte do código que é modificado ou adicionado nos repositórios de código aberto está dentro do contexto de aplicativos seguros. A questão, porém, é qual o nível de exposição dos sistemas de missão crítica e outros sistemas vulneráveis a esse problema? Qual o componente de risco/recompensa mais aparente nessa escalada interminável de guerra de códigos? Talvez estejamos diante da necessidade de um acordo de não proliferação de armas cibernéticas entre estados-nações.

Bom começo

Uma LMDS é apenas uma boa prática. Os projetos de desenvolvimento bem executados sempre devem ter uma lista de requerimentos de sistema para gerenciar dependências e atualizações. Algumas licenças, a GPL e a LGPL em particular, exigem implicitamente uma licença parcial na medida em que exigem a identificação dos componentes GPL para o destinatário. Estabelecer uma lista de requerimentos que possa ser compartilhada não é um um problema complicado e é um bom começo.

...mas não suficiente

A dimensão do problema está muito além de uma Lista de Materiais. Um grande número de desenvolvedores executa muitos pacotes de software que são atualizados em massa, ou muitas vezes atualizados automaticamente a partir de uma ampla variedade de “fornecedores” em vários países.

No mundo do código aberto, instalamos chaves para os gerenciadores de repositórios (como o Ubuntu) que, em teoria, assinam os pacotes destinados ao download pelos usuários após verificá-los, mas na verdade não os verificam. Portanto, quando o desenvolvedor oficial autorizado de um pacote deseja inserir malware em seu pacote, pouco ou nada pode detê-lo. É uma violação de confiança que pode resultar em punição – uma punição que virá após o fato.

O desenvolvedor do qual falamos aqui atacou indiscriminadamente tanto civis como alvos legítimos em sua sanha de justiça – talvez tenha até cometido um crime de guerra. O que aconteceria se ele tivesse codificado seu programa para atingir alvos militares sensíveis no contexto geral das relações Leste-Oeste? E se fosse o próprio computador de Putin?

Nenhuma regra vai parar isso. Se o seu país estiver em uma guerra (uma que ele começou ou para a qual foi arrastado), você deve considerar que qualquer atualização de software em seu sistema vem de um adversário – ou de uma fonte que pode ser comprometida pelo seu adversário. Essa é a realidade da guerra.

Publicado em in Geral, Segurança, tecnologia, Vox Leone

A Guerra Cibernética que não Houve

Mesmo aqueles de que sempre foram céticos quanto à caracterização errônea dos riscos cibernéticos como armas catastróficas de destruição, em vez de ameaças certamente graves – mas bastante diferentes – de interrupção e desestabilização crônicas, ficaram surpresos com o quão pouco as operações cibernéticas apareceram até agora no conflito na Ucrânia.

Guerra Cibernética
Imagem: Pexels

Praticamente todos os pesquisadores de segurança do planeta alertaram sobre o risco de os Russos executarem ataques cibernéticos maciços durante e após a desditosa invasão. Nós também refletimos essas preocupações aqui no blog. Entretanto, as previsões iniciais ainda não se concretizaram, e os observadores agora se desdobram na tentativa de explicação da estratégia russa.

O site lawfare.blog comenta que

O punhado de ataques cibernéticos sérios do Kremlin à Ucrânia antes e por volta do início da invasão parecem representar apenas a continuidade de sua longa campanha de assédio cibernético ao país na última década, ao invés de uma séria escalada das hostilidades. Parece ter havido pouco esforço, por exemplo, para atingir o núcleo da infraestrutura de internet da Ucrânia. Em vez disso, os mísseis chovem e os soldados e tanques chegam. Da mesma forma, as ações de atores pró-ucranianos em desfigurar e derrubar sites russos podem envergonhar o Kremlin, mas dificilmente merecem o termo muito mal utilizado de “ciberguerra”. (Relatórios ainda não verificados de um vazamento maciço de dados pessoais de soldados russos seriam muito mais impactantes se verdadeiros).

Aumentam mas não inventam

O comentarista Steven J. Vaughn Nichols, do The Register [link], argumenta que previu que o grupo russo de hackers GRU Sandworm lançaria um ataque cibernético que arruinaria a rede elétrica da União Européia ou destruiria os principais sites da Internet dos EUA, como Google, Facebook e Microsoft – ou interromperia os serviços de celular.

“Eu estava errado. Pelo menos até agora, de qualquer maneira. Claro que, para surpresa de ninguém, a Rússia e seus fantoches lançaram ataques distribuídos de negação de serviço (DDoS) contra sites ucranianos.

Mas, onde estão os ataques maciços? Por que o sistema elétrico da Ucrânia ainda está funcionando? Por que, em vez de fechar as redes de TV da Ucrânia com ataques cibernéticos, eles tiveram que explodir uma torre de TV de Kiev? Será que acabamos por deixar a paranoia anular nosso bom senso?

Quem dera fosse isso.

Não é paranoia quando se vê que o presidente russo Vladimir Putin realmente está a fim da Ucrânia – e, pela maneira como ele fala, talvez de todos nós. Basta perguntar à Bulgária, República Tcheca, Estônia, Letônia, Lituânia, Polônia, Romênia e Eslováquia. Esses países acreditam que sua ‘integridade territorial, independência política ou segurança’ está ameaçada.

Eles têm boas razões para se sentir assim. E talvez essas razões sejam a chave para o motivo de ainda não termos visto um ataque cibernético russo em massa.

Domínio da Informação

O sofisticado hacker group GRUGQ avalia que “a salva cibernética de abertura da Rússia esteva claramente ligada ao seu planejamento de guerra. Eles parecem ter usado programas ‘limpadores’ [wipers] para derrubar sistemas governamentais, militares e de comunicações, a fim de degradar a capacidade de defesa da Ucrânia. E o ataque ao KA-SAT também está relacionado à capacidade militar ucraniana.

Esses tipos de ataques estão muito alinhados com o modelo tradicional de guerra cibernética. Foram ataques táticos exploratórios e direcionados. A resposta cibernética da Ucrânia tem sido de espectro completo [full spectrum]. A mais hábil foi a convocação de um exército global de hackers civis.

A resposta cibernética mais interessante da Ucrânia tem sido o domínio do espaço da informação. Certas pessoas continuam denegrindo esses esforços como fáceis “porque o Ocidente é simpático”, mas essa é uma análise de desdém muito superficial. A Ucrânia é muito experiente em suas operações de informação.

A Ucrânia cria narrativas complexas que ressoam com seu público-alvo. Internamente, suas mensagens são muito, muito diferentes do que eles compartilham com o público ocidental. Eles conseguiram acertar no apelo: os justos que podem perder se o apoio vacilar.

A Rússia falhou no domínio da informação. Eles não estavam preparados para uma guerra de longo prazo. Agora, seus recursos disponíveis para operações de informação estão bastante reduzidos e sob estresse.”

Finalmente

Se me é permitido, eu acrescentaria que o Kremlin criou um estressor além da capacidade de resistência de sua campanha de desinformação e manipulação.

Até agora, as mentiras domésticas e internacionais do Kremlin – na medida em que o conteúdo dizia respeito às relações externas da Rússia, e especialmente da Ucrânia – quase sempre concordavam. Isso era necessário, porque os canais de comunicação ainda estavam abertos, e um número suficiente de russos influentes tinha acesso às Mentiras para o Consumo Estrangeiro; uma grande divergência nas informações teria sido problemática.

A necessidade de “manter as histórias sincronizadas” pode ter sido um fator na tática bizarra (e talvez autodestrutiva) de insistir que a Rússia não tinha planos de invadir enquanto, de forma abrangente (e com grandes despesas), fazia todos os preparativos para invadir: para satisfazer o público doméstico, Putin teve que se passar por um bufão no cenário mundial.

Agora, os russos estão amplamente isolados de fontes de informação estrangeiras; a internet russa está progressivamente fechada, e o que está disponível está quase submerso pelo tsunami de desinformação do Kremlin.

Com a “operação de desinformação estrangeira” [mídias sociais do ocidente] efetivamente cortada, esmagada por crimes tão ofensivos que até os mais repugnantes babacas dificilmente poderiam defendê-los, justificativas grotescamente absurdas, como “desnazificação”, podem seguir seu curso.

Na Rússia, não há guerra; apenas uma missão humanitária em Donbas.

Publicado em in Geral, Segurança, tecnologia, Vox Leone

Cyberfront: Ucrânia Propõe que ICANN Remova Domínios Russos

O site de Tecnologia TheRegister informa que, em resposta à invasão russa da Ucrânia na semana passada, Mykhailo Fedorov, vice-primeiro-ministro da Ucrânia, pediu na segunda-feira (28-3) à ICANN, todo-poderosa responsável pelo DNS [Domain Name System – Sistema de Nomes de Domínio], que desative os domínios de primeiro nível que tenham código de país associados à Rússia.

Imagem: Pexels

Em um e-mail [PDF], Fedorov pediu a Goran Marby, CEO da ICANN, que imponha sanções à Rússia, argumentando que o regime de Putin usou a infraestrutura da Internet para propagar seu esforço de guerra. Especificamente, ele pediu a revogação dos domínios “.ru”, “.”, “.su” e outros usados ​​pela Federação Russa, desligando os servidores raiz DNS que atendem à Federação Russa e contribuindo para a revogação dos certificados de segurança [TLD/SSL] emitidos para esses domínios.

“Todas essas medidas ajudarão os usuários a buscar informações confiáveis ​​em zonas de domínio alternativas, evitando propaganda e desinformação”, diz o e-mail de Fedorov. “Líderes, governos e organizações de todo o mundo são a favor da introdução de sanções contra a Federação Russa, uma vez que visam pôr fim à agressão contra a Ucrânia e outros países. Ajude a salvar a vida das pessoas em nosso país.”

Fazer isso bloquearia cerca de cinco milhões de domínios da internet global e afetaria significativamente a capacidade da Rússia de se comunicar online.

Em resposta a Prykhodko, Erich Schweighofer, professor da Universidade de Viena e participante da comunidade da ICANN, escreveu: “Nós sabemos e estamos atentos à situação muito difícil e perigosa. [A] União Européia irá apoiá-lo. No entanto, remover a Rússia da Internet não ajuda a sociedade civil desse país em sua luta para uma mudança democrática. A ICANN é uma plataforma neutra, não tomando uma posição neste conflito, mas permitindo que os Estados ajam de acordo – por exemplo, bloqueando o tráfego a um determinado estado.”

Antony Van Couvering, CEO da Top Level Domain Holdings, expressou apoio à ideia: “A neutralidade como resposta ao assassinato não é neutra. De que adianta uma ‘organização da sociedade civil’, se ela se recusa a proteger a mesma sociedade civil, muito menos fazer algo a respeito? Até os políticos acordaram. Até o governo alemão acordou. Até o governo suíço acordou! Enquanto isso, algumas pessoas na ICANN se contentam em repetir frases vazias sobre não se envolver porque isso não ajuda a sociedade civil em seu país. Isso é que é o tal de ‘um mundo, uma internet'”.

A reportagem do Register acrescenta que o registrador de domínio Namecheap* “aconselhou os clientes na Rússia a levar seus negócios para outro lugar, citando crimes de guerra”. No entanto, o CEO da Namecheap, Richard Kirkendall, esclareceu mais tarde que os domínios não foram bloqueados. Em vez disso, eles estão apenas “pedindo às pessoas que voluntariamente se mudem”.

Com tantos se unindo ao lado da Ucrânia (mesmo aqueles que tradicionalmente permanecem neutros em assuntos internacionais), pedir à ICANN que tome medidas contra a Rússia parece ser uma proposta razoável dadas as circunstâncias. Como um bônus, a provável diminuição no spam seria um alívio bem-vindo.

(*) Vox Leone também é cliente do Namecheap, e ficamos contentes com a decisão de R. Kirkendall

Publicado em in Geral, Segurança, tecnologia, Vox Leone

Cyberfront: Gigante Russo Kaspersky Tenta Manter a Neutralidade

A revista Motherboard deu conta, ontem (1/3), que no mesmo momento em que forças russas lançavam um ataque de foguetes em uma praça em Kharkiv, a segunda maior cidade da Ucrânia, matando e ferindo um número ainda desconhecido de pessoas, Eugene Kaspersky, CEO da empresa russa de segurança cibernética homônima, twittou singelamente que esperava que as negociações entre a Ucrânia e a Rússia levem a “um compromisso”.

Imagem: Pexels

A declaração resume a posição da empresa desde que a Rússia invadiu a Ucrânia há seis dias: a de uma tentativa de neutralidade em uma guerra onde ficar em silêncio ou em cima do muro significa estar implicitamente do lado das forças russas. Em outra declaração à Motherboard, na segunda-feira (28/3), a empresa disse que “como provedora de serviços de tecnologia e segurança cibernética, a empresa não está em posição de comentar ou especular sobre desenvolvimentos geopolíticos fora de sua área de especialização”.

A Kaspersky é uma das empresas russas mais conhecidas e há anos seu produto antivírus está entre os mais usados ​​no mundo. O software antivírus também coleta dados de telemetria para os pesquisadores da Kaspersky, que podem usá-los – alegadamente – para identificar e combater novas ameaças. Seus pesquisadores são alguns dos melhores do mundo, com sua Equipe de Pesquisa e Análise Global (Global Research & Analysis Team – GReAT) publicando regularmente pesquisas importantes sobre várias operações de malware de vários governos.

Notoriamente, a empresa foi a primeira a revelar a existência e detalhes de um grupo de hackers do governo dos EUA, que apelidou de Equation Group. A Kaspersky também pesquisou supostos hackers ligados ao governo russo.

O tweet de Eugene também traz outro assunto à tona novamente: quanto a Kaspersky, a empresa, é influenciada pelo governo russo, mesmo que indiretamente? É lícito supor que, como uma empresa russa que opera em Moscou sob as leis russas, ela pode sentir pressão para estar em linha com as questões russas.

A declaração na segunda-feira acrescentou que “a Kaspersky está focada em sua missão de construir um mundo mais seguro para governos e consumidores em todo o mundo. As operações comerciais da Kaspersky permanecem estáveis. A empresa garante o cumprimento de suas obrigações com parceiros e clientes – incluindo entrega e suporte de produtos e continuidade de transações financeiras. A equipe de gerenciamento global está monitorando a situação cuidadosamente e está pronta para agir muito rapidamente, se necessário.”

A Kaspersky pode não se sentir em posição de especular ou tomar uma posição sobre a invasão da Ucrânia. Mas com um comboio militar russo de 70 km de comprimento a caminho de Kyiv e com a perspectiva de mais ataques cibernéticos desempenhando um importante papel na invasão, a Kaspersky pode ser obrigada a escolher um lado.