O ex-conselheiro de segurança nacional do governo Trump, Mike Waltz, pivô do escândalo que ficou conhecido como “Signalgate” - em que ele convidou o repórter do The Atlantic, Jeffrey Goldberg, para uma conversa delicada no Signal com outras altas autoridades do governo - foi assunto novamente na última semana e, de novo, a história envolve aplicativos de mensagem.

Waltz foi fotografado usando o app TeleMessage, um pastiche do Signal, vendido como um “Secure Messaging App”, desenvolvido por uma empresa israelense e comprado pela americana Smarsh em fevereiro do ano passado.

As coisas não estavam nada boas para Waltz desde a publicação da matéria do The Atlantic, no final de março, e ele foi finalmente demitido por Trump no último dia 1º. No entanto, após as fotos terem sido divulgadas, a infra do TeleMessage foi atacada. Os repórteres Joseph Cox e Micah Lee puderam conversar com o indivíduo por trás do ataque, que disse ter comprometido a infra da empresa na AWS em aproximadamente 15 minutos, roubando mensagens e outros dados dos usuários do aplicativo. Na segunda (5), a Smarsh disse à Reuters ter temporariamente suspendido o funcionamento do app.

Pelo menos desde a Vaza Jato que a comunidade de cibersegurança age com um misto de crítica, resignação e um pouco de schadenfreude quando surgem episódios em que autoridades acabam se prejudicando por usarem tecnologias com segurança fraca. Então, abaixo eu pretendo oferecer uma pequena lista com os três principais motivos pelos quais autoridades, sobretudo pessoas politicamente expostas, devem somente usar as tecnologias homologadas pelo governo.

1 - Não se deve confiar em software algum

Em 1984, ao receber o Prêmio Turing, o equivalente ao Nobel de Tecnologia, Ken Thompson - uma figura lendária que, dentre outras coisas, é responsável ter desenvolvido o UNIX junto com o Dennis Ritchie - provou por A mais B que não podemos confiar em qualquer software. Essas ideias foram perpetuadas numa pérola da computação chamada “Reflections on Trusting Trust”.

Thompson faz isso demonstrando como um backdoor pode ser escondido de modo a se tornar invisível em um software e conclui dizendo que você só pode confiar num software que você mesmo escreveu.

Essas ideias dão um nó na mente de qualquer um que usa software pra tudo, todo dia e que pára pra refletir sobre a vida. Ao fazer isso, a pessoa se sente frágil, como se estivesse habitando uma grande rocha que viaja no espaço a quase 30 km por segundo e que pode ser atingida por uma pedra flamejante a qualquer momento. Pois bem: essa é a nossa realidade.

Por isso, a proteção de um software é uma disciplina que reúne gente capacitada e ferramentas não só para desenvolver um aplicativo, mas também para constantemente avaliar a sua segurança e corrigir seus bugs, os quais podem ser encontrados a qualquer momento no próprio software ou em outros componentes dos quais ele depende. É uma luta contra a entropia que a cada dia deprecia a tecnologia. Nada está completamente terminado. Tudo demanda tempo e dinheiro em sua manutenção.

Um governo tem muito mais a se preocupar com o vazamento de dados sensíveis do que uma empresa que faz um app menor. Por isso é de se compreender que em um app homologado pode haver mais esforço sedimentado em sua proteção.

2 - Software é remix

É muito comum às pessoas que não são da área de tecnologia pensar que quando um programador desenvolve um software ele o faz do começo ao fim, como quem escreve um livro.

Essa é uma ideia equivocada. Na verdade, boa parte do software que qualquer pessoa usa no dia a dia é desenvolvido se escrevendo o mínimo possível e sendo o resultado do reaproveitamento de pedaços que já foram escritos pelos outros no passado.

Seria como se o George Lucas, colocasse o Luke Skywalker para nascer no Condado, não em Tatooine, de modo a ser conduzido em sua aventura por Gandalf, não Yoda, e tivesse que destruir um anel em um planeta sob o controle do Império Romulano e não em Mordor. No reaproveitamento está a chave para a velocidade.

Programadores estão o tempo todo recombinando código feito pelos outros, o qual pode ser encontrado em repositórios públicos como GitHub, PyPi e npm para qualquer um usar ou contribuir.

Aí você pode perguntar: mas alguém pode esconder um software malicioso em um repositório desses disfarçado de um pacote legítimo e essa coisa ser incorporada a todos os outros códigos que dependem do pacote? Pois é… isso acontece todo dia e, embora haja software cujo desenvolvimento seja mais controlado e menos incorporado a estes ecossistemas, nenhum deles foge à regra de Thompson.

3 - Quem escolhe esse caminho tem o dever da transparência

Eu já falei aqui sobre a importância da criptografia para proteger o pouco que nos resta de privacidade. No entanto, uma pessoa que assume um cargo público não deveria se dar esse, hoje pequeno, porém significante privilégio. Ela precisa gerar e manter registros para o escrutínio do povo, pois são os recursos públicos que estão no centro das atividades desse indivíduo.

Não se trata de criar backdoors para espionar essas pessoas, mas, sim, garantir que sua comunicação seja armazenada em uma tecnologia homologada e administrada pelo Estado, que este tenha meios para investigar o que for necessário, caso se tenha uma causa provável, e seguindo o rito da legislação.

Sei, parece ingênuo, ou até utópico, dado o estado atual das coisas. Mas “A utopia está lá no horizonte. Me aproximo dois passos, ela se afasta dois passos. Caminho dez passos e o horizonte corre dez passos. Por mais que eu caminhe, jamais alcançarei. Para que serve a utopia? Serve para isso: para que eu não deixe de caminhar.” (Eduardo Galeano)

No Horizonte

1. Pesquisadores da Aon identificaram uma nova técnica de ataque chamada "Bring Your Own Installer", usada por criminosos para desativar soluções de segurança e implantar o ransomware Babuk. O ataque ocorre após o invasor obter acesso administrativo ao sistema e usar o instalador legítimo do EDR da SentinelOne para iniciar uma atualização. Durante essa atualização, ele interrompe o processo no momento em que a proteção está temporariamente desativada, o que permite executar o ransomware sem ser detectado. A falha está no fato de que o instalador pode ser executado localmente sem autenticação adicional.

2. A Cisco Talos identificou uma campanha ativa desde janeiro focada em usuários brasileiros, que usa e-mails falsos sobre a nota fiscal eletrônica para induzir vítimas a instalar ferramentas de acesso remoto. Os links maliciosos levam a arquivos hospedados no Dropbox e, ao serem executados, instalam agentes de monitoramento como PDQ Connect, N-Able e, posteriormente, o ScreenConnect, permitindo o controle total do dispositivo.

3. O Google identificou um novo malware chamado LOSTKEYS, operado pelo grupo russo COLDRIVER, que visa o roubo de arquivos e informações de sistema de alvos estratégicos. A ameaça, ativa em ataques recentes entre janeiro e abril, é distribuída por meio da técnica ClickFix, em que vítimas são levadas a sites falsos e executam comandos maliciosos. O COLDRIVER, vinculado ao governo russo, tem histórico de atacar membros da OTAN, governos e ONGs.

Link Aleatório

“Ouça-me bem, amor. Preste atenção, o mundo é um moinho” - Após 23 anos, o Skype foi oficialmente desativado pela Microsoft na segunda-feira passada. Ícone das chamadas de voz e vídeo pela internet, o app perdeu espaço para concorrentes como Zoom e WhatsApp, além do próprio Microsoft Teams, que muita gente odeia e agora será o foco da empresa.

“Baby come back, oh baby, any kind of fool could see” - Após 53 anos em órbita, a sonda soviética Kosmos 482, originalmente projetada para pousar em Vênus, reentrou na atmosfera terrestre no sábado. Pousar em Vênus é algo para quem é parrudo e a Kosmos 482 tinha porte pra isso, mas uma falha no estágio final do foguete Molniya-M durante seu lançamento em 31 de março de 1972 causou o desligamento prematuro do motor Blok L, impedindo que a sonda alcançasse a velocidade necessária para escapar da órbita terrestre. Ela ficou todo esse tempo em uma órbita elíptica em torno de nós. Imagina se fosse uma pessoa, voltando à Terra depois de 53 anos….

Love. Recentemente a banda OK Go lançou um novo clipe em que coreografou 29 robôs dançando com 63 espelhos em um take só. Deixo aqui o “making of” de como eles fizeram essa proeza.

Duas notinhas pra fechar:

1 - Semana passada participei pela primeira vez da LACNIC e o evento foi incrível. Conheci gente legal de todo o continente e tivemos conversas de alto nível. Agora quero ir em todas.

2 - Semana que vem não teremos TLP Black, pois será um final de semana intenso com Criptorave, Bsides SP + o YSTS na segunda-feira.