Book Review: Ex-Agente abre a caixa preta da ABIN

Sinopse

Os Serviços de Inteligência brasileiros sempre careceram de transparência - não sobre suas informações - muitas vezes distorcidas e mal utilizadas - mas acerca de seu funcionamento, estrutura e, principalmente, do modus operandi adotado pelos governantes que os tutelam. A obra do tenente-coronel André Soares, ex-analista de contrainteligência da ABIN, em depoimento ao jornalista Cláudio Tognolli, vem lançar essa luz tão necessária sobre o tema. O livro traz a público o que a sociedade tem direito de saber há muito - como funciona nossa arapongagem oficial, sobretudo quando o Brasil mais precisa da inteligência para enfrentar as demandas dos dias atuais. Isso se dá, sobretudo no que diz respeito às questões de segurança, tecnologia, disputas mercadológicas, descobertas científicas e também nas ações anticorrupção. Conforme destaca, no prefácio, o advogado Romeu Tuma Junior, ex-secretário nacional de Justiça, 'produzir conhecimento e tratar a informação é um trabalho que requer especialização, técnica e eficiência. Criar sistemas que integram os órgãos de inteligência não pode ser algo apenas formal - há que ser conceitual. Trata-se de uma Política de Estado, o que nosso País definitivamente não tem'. O livro é o relato de um brasileiro que quer ver o país melhor e sem que o nosso Estado de Direito (construído a tão duras penas), continue sendo impedido por uma antologia de desmandos e malversações, contaminados com milhões em verbas secretas destinadas a fins inconfessáveis. André Soares, enfim, só tem um objetivo - um Brasil melhor, com instituições à altura da democracia plena, tão sonhada por nós. Inserido, como um vocacionado profissional, nesse caótico cenário brasileiro, o autor vem denunciando, há anos, a criminalidade organizada que impera nos serviços de inteligência no Brasil. E é por esta razão que, também há muito tempo, é perseguido. Perseguido e severamente ameaçado, inclusive de morte. Tudo pela criminosa 'comunidade de inteligência', no comando da ABIN e na cúpula do Sistema Brasileiro de Inteligência (SISBIN). Eles consideram esta obra como um 'livro proibido'.

Review

Primeiramente tenho que dizer que não é um livro muito divulgado. Não sei se é por ser relativamente novo ou por realmente não ter a devida atenção que merece. Fui ficar sabendo da existência do livro através de uma publicação em um grupo do Facebook sobre o tema, justamente do próprio Tenente-Coronel André Soares (acredito que não se trate de um perfil fake).

De cara o livro já me ganhou, sempre tive o interesse de trabalhar em um órgão de inteligência e segurança nacional, mais voltado para a parte cyber do negócio (diz a lenda que o Brasil tem times de cyber defesa...), depois de ler o livro, talvez não tenha toda essa vontade, pelo menos em agências do Brasil.

O livro expõe o que muitos de nós já tínhamos ideia: A ABIN e o Sistema de Inteligência talvez não sejam tão inteligentes como supostamente deveriam ser.

Para não dar muito spoiler do livro, vou comentar alguns detalhes que acho interessante e que sem dúvida, se ainda não foi o suficiente até aqui, vai convencer para comprar o livro e ler.

O livro conta com diversos relatos sobre operações, detalhes e documentos de processos, as principais falhas nos sistemas de inteligência identificadas pelo próprio André Soares em seu tempo como agente. Outro ponto interessante do livro é a abordagem, que trata desde conceitos básicos e processo de obtenção de informação até casos extremamente delicados como grandes operações, agentes estrangeiros no país e até mesmo terrorismo internacional.

O ponto focal do livro é a grande incompetência dos serviços de inteligência brasileira, como o autor mesmo se refere, a arapongagem nacional, está tão perdida em conflitos e corrupção interna que não tem tempo nem recursos para tratar de assuntos externos, e estes assuntos externos correspondem a inteligência, segurança nacional, contrainteligência, contraterrorismo e demais assuntos do gênero.

Agora, a parte final vale a pena comprar/ler este livro? Mas é claro que sim! De fato é muito importante que conheçamos com um pouco mais de detalhe este órgão que tem como função a segurança nacional e boa parte das decisões estratégicas do país. Mas isso não é tudo, se fosse uma organização extremamente secreta e sigilosa, mas que funcionasse de forma exemplar, nosso problema estaria resolvido aí. Por mais que seja secreta é legal matar a curiosidade e ter a sensação de que estamos seguros. Mas o problema é que a ABIN como é descrita pelo Tenente-Coronel André Soares está profundamente corrompida pela corrupção o que só piora nossa situação. Como já comentado o livro vale muito a compra, leia, descubra em detalhes as deficiências desta organização e tire suas próprias conclusões.

Desta vez não vou deixar o link de nenhuma editora ou Amazon, o link de referência para compra desta vez vai para a Livraria Cultura, que no momento que escrevo este post está com promoção neste livro. O livro custa normalmente R$ 49,90, mas no momento a Cultura está vendendo por R$ 38,90, um preço mais que justo por um livro destes.

E era isso! Eu fico por aqui, conhecendo um pouco mais da agência brasileira de inteligência e um pouco mais paranoico!

#Culturamepatrocine :D

Read More

Entrevista de domingo: Mikko Hyppönen, da F-Secure, explica os riscos de fraudes nas eleições brasileiras

Divulgação

O finlandês Mikko Hyppönen é, provavelmente, um dos nomes mais influentes na indústria de segurança atualmente. Diretor-executivo de pesquisas da F-Secure, ele ocupa o cargo há 20 anos e já esteve envolvido em operações que ajudaram a combater a expansão de malware como o Sobig.F (que teve seu auge em 2003), o Sasser (worm famoso em 2004) e o mais recente Stuxnet(o vírus responsável por atacar sistemas industriais descoberto em 2010).

O executivo, que também já auxiliou equipes de polícia nos EUA, na Europa e na Ásia, esteve no Brasil nesta última semana para palestrar na SecureBrasil. O evento aconteceu em São Paulo nos últimos dias 26 e 27 de agosto, e a apresentação de Hyppönen focou nos riscos de fraudes nas eleições que acontecem em outubro aqui no Brasil. 

Mas antes de dar a palestra, ele conversou sobre o tema com INFO. Na entrevista, o especialista finlandês afirmou que o sistema eleitoral utilizado por aqui não é perfeito, mas é “surpreendentemente bom”. Além disso, ressaltou que o verdadeiro risco de ataque não atingirá diretamente as eleições, mas sim os candidatos envolvidos na votação, cujos sites e páginas oficiais estão suscetíveis a ataques e golpes. Leia mais a seguir.

O sistema que usamos nas eleições aqui no Brasil está suscetível a ataques ou fraudes?
Eu analisei essa parte e, para falar a verdade, ela é até bem desenhada. Nada é 100% seguro, mas observando os sistemas eleitorais usados em outros países, o de vocês está longe de ser ruim – pelo contrário, é surpreendentemente bom. É bem planejado desde o princípio. Só acho que poderia ser melhor se fosse de código aberto – não vejo motivos para ele não ser open source. Se há algo que realmente deveria ser de código aberto, esse algo seria o sistema que usamos para organizar uma eleição em sociedades democráticas. 

Mas enfim, no sistema de vocês, gosto do fato de que todos têm comprovantes físicos para mostrar que votaram – é algo que falta nas máquinas de votação dos EUA. Também gosto do fato de vocês não votarem online, algo que a Estônia tem feito desde 2005, por exemplo. Há diversos problemas nisso, sendo alguns técnicos, mas imagino que o mais óbvio envolva pessoas forçando outras a votar – um marido abusivo pode obrigar a esposa a votar no candidato dele, tendo certeza de que ela realmente o fará e sem haver uma forma de prevenir que isso aconteça. O sistema de votação estoniano foi elogiado como um ótimo exemplo, mas ele foi estudo pela primeira vez só agora por um grupo internacional de pesquisadores, que descobriram diversos problemas técnicos.

Há um caso relativamente famoso no Rio de Janeiro de um jovem cracker que diz ter modificado os resultados das eleições municipais em 2012. Como ele pode ter feito isso, visto que o sistema é relativamente seguro?
Eu tentei descobrir, mas faltam alguns detalhes cruciais na história. Pode ser, no fim, besteira, mas ele afirmou que, para o hack funcionar, precisou ter acesso à rede central de votos. Esta é a rede aonde levam os cartões de memória das urnas eletrônicas, e se alguém ganha acesso à esse sistema, basicamente tudo está perdido. Não importa mais se todas as outras peças do quebra-cabeça estiverem posicionadas – o invasor poderá mudar o resultado da votação. Mas como o jovem teve acesso a essa central, visto que ela não deveria estar conectada a nenhuma rede externa? Isso eu já não sei.

Onde, então, estão os maiores riscos que podem ameaçar os rumos das eleições no Brasil?
Em um momento em que a internet está tão integrada a tudo o que fazemos, é claro que ela exercerá um papel importante nas eleições. Por isso, não são só os sistemas que usamos nas votações que podem ser afetados – há muitas outras formas de atingir os rumos de uma eleição. Já vimos em diversos eventos do tipo, em vários lugares pelo mundo, que os apoiadores de um determinado candidato tentarão usar a web para tal. Não é necessariamente “hackear as eleições”: o que vemos normalmente são táticas para manchar a reputação dos oponentes ao invadir os sites e as contas nas redes sociais deles ou espalhando afirmações falsas, por exemplo. É algo que claramente veio para ficar, e não é mais uma ameaça teórica. Para as eleições presidenciais que estão por vir aqui no Brasil, é garantido que alguém vai tentar invadir as contas de Facebook e Twitter de cada candidato. 

E se os invasores conseguirem adivinhar ou vazar as senhas, eles definitivamente vão usar tudo para seus propósitos e interesses. As contas até podem ser recuperadas, mas até aí, muito estrago pode ser feito. Os candidatos precisam estar cientes dos riscos e tomar as medidas para saber exatamente quem, dentro de seus comitês, tem as credenciais para usar as páginas nas mídias sociais. Quando pessoas nessas equipes saírem e forem para outro lugar, as combinações precisarão ser modificadas, sendo sempre longas e fortes e nunca reutilizadas.

Como agem esses invasores de páginas e contas?
Temos diversos casos em eleições em que as páginas de candidatos foram descaracterizadas. Tipos diferentes de danos, sendo os mais graves aqueles provocados por mudanças súbitas ou sutis. Você apaga a página inicial ou coloca algo estranho ali, que provoque um efeito imediato. Mas há um caso que ocorreu nas eleições do Vietnã, dois anos atrás, no qual a página de um dos candidatos foi invadida e as mudanças foram muito pequenas. 

A página errada ficou no ar por dias, até que finalmente perceberam que a mensagem passada estava ligeiramente errada. É o dano mais eficiente que alguém pode causar. Ou seja, nem é preciso estar nas redes sociais – qualquer mecanismo de comunicação pode funcionar. Fora isso, hoje as redes sociais ainda estão tão atreladas aos nossos celulares que algumas dessas brechas podem ser feitas por hacks nos telefones mesmo. Por exemplo, você pode enviar tweets por SMS, o que basicamente significa que, ao descobrir o número de telefone que a equipe de um candidato associou à conta do Twitter, um invasor pode muito bem tentar falsificar mensagens de texto e postar na rede de microblogs. Há muito que se pensar quando o assunto é proteger contas assim.

Há alguma forma específica de evitar que coisas assim aconteçam? Ou estamos falando de medidas típicas mesmo, como o que você já mencionou de usar senhas fortes, não repeti-las, entre outros pontos?
Não, não há nada em especial. A diferença aqui é que não estamos falando de uma ameaça teórica. Em um caso como as eleições, é certeza que tentativas de golpe aparecerão, especialmente nos dois meses que precedem o evento. Durante este período, sites e páginas certamente serão atacados. Veremos diferentes tentativas de obter acesso a um website ou a contas de redes sociais, e é por isso que é crucial proteger tudo, embora essa segurança não envolva nada de diferente. Como expliquei, além do já citado, é bom saber com quem as contas estão, já que todos que têm acesso a elas estão suscetíveis a phishing. É muito provável que membros da equipe de um candidato recebam e-mails falsos do Facebook, dizendo que há um problema com a conta e pedindo para que cliquem em um link. Ele levará a vítima a uma página que apenas parece real, mas que também pede pelos dados. São golpes que já não funcionam tão bem quando aplicados em massa, mas são eficazes quando têm alvos específicos como nestes casos. Para evitar ataques assim, alguns desses sites de mídias sociais fazem como bancos e têm suporte à autenticação em dois passos, que envia mensagens de texto para saber se é mesmo o dono quem está tentando acessar a conta. E isso é algo que todos deveriam habilitar, porque vai protegê-los e muito.

Mas os ataques nem precisam ser assim: se o Twitter, por exemplo, estiver com a autenticação em dois passos ativada, os invasores provavelmente não conseguirão hackear. Mas eles podem tentar logar como se fossem o usuário, clicar no botão de “Esqueci a senha” e fazer com que o site mostre parte do endereço ao qual mandará as instruções para recuperar a combinação. Os invasores, então, descobrem que o e-mail usado é um Gmail ou Hotmail e podem tentar adivinhar o resto do endereço e quebrar a palavra-chave dele. Não é preciso invadir a parte difícil, e por isso os atacantes vão pela mais fácil. 

Como assim?
É algo que vimos várias vezes em outras situações, visto que, no geral, as pessoas não pensam muito na conta do webmail. Muitos têm múltiplas delas, e são coisas que o público não vê como tão importante. É usado apenas para conversar com amigos, registrar em sites, receber spam... Então, se alguém ganha acesso ao Hotmail ou ao Yahoo! Mail, não deve ser nenhum grande problema, certo? Infelizmente, isso não é verdade, porque o que o invasor quer é exatamente um webmail. As informações contidas ali podem ser transformadas em dinheiro facilmente: o que eles fazem é obter acesso ao e-mail (Gmail, por exemplo) e depois mexer no histórico, procurando por e-mails de boas-vindas de lojas online, como os da Amazon, por exemplo. Assim, eles vão saber que você tem uma conta ali. Eles então acessam essa loja, dão o golpe do “Esqueci minha senha” e voltam ao e-mail para reiniciá-la. O Gmail de certa forma se tornou uma central para ganhar acesso a todas as suas contas pela internet. Enfim, dessa forma, os atacantes podem começar a logar na loja online com os dados da vítima e, caso ela tenha deixado salvos os dados de pagamento, fazer compras e pedir para entregá-las nos endereços que eles quiserem.

Essa falta de preocupação com segurança não é algo relacionado apenas aos webmails aqui no Brasil. Há falhas de proteção espalhadas mesmo por sites grandes, que acabam por expor informações de clientes. Existe uma forma de fazer a população ter consciência dos riscos e dar mais prioridade à segurança nas redes?
Na verdade, isso é algo que deveria responsabilidade de todo mundo. Muitos países fazem esse tipo de conscientização em campanhas, como os Data Protection Days, que muitos dos europeus organizam há anos [esses eventos também são organizados nos EUA e no Canadá no mês de janeiro de cada ano, e são chamados por lá de Data Privacy Days]. Há também artigos nos maiores jornais, panfletos distribuídos pelas casas, ensinando a proteger contas e a fazer o backup do computador, por exemplo. E é claro, escolas ensinam estudantes desde cedo. Mas é algo para ser feito ao longo prazo – conscientizar de verdade é algo que exige um alto nível. E problemas como os citados não deveriam existir. Se os administradores não corrigem nem as falhas que sabem que existem, então eles estão apenas sendo preguiçosos e irresponsáveis com os dados de outras pessoas. Não é um pecado ter um erro no sistema. O pecado é ser avisado e não tomar providências.

Fonte: INFO

Read More

Militares elegem ciberataques como maior ameaça à Defesa dos EUA

Os ataques contra as redes de computadores são a principal ameaça que pesa sobre os Estados Unidos, à frente do terrorismo, segundo uma pesquisa feita com autoridades de alta patente e e escalão da Defesa americana, divulgada nesta segunda-feira.

Para 45% dos entrevistados, a maior ameaça é a ciberguerra. Apenas 26% consideraram o terrorismo e a Al-Qaeda em primeiro lugar. A China, que continua avançando posições, ficou em terceiro, com 14%.

Inédita, a pesquisa foi feita pelo semanário especializado Defense News. Foram entrevistados 352 altos funcionários militares e civis do Pentágono, do Congresso e da Casa Branca, assim como executivos das empresas de armamento.

Pelo menos 38,5% dos entrevistados se declararam republicanos e, desses, 36% colocaram no mesmo plano os ataques virtuais e o terrorismo, considerando-os como principal ameaça. Já 13,5% disseram ser democratas, apontando a mudança climática como principal ameaça depois da ciberguerra (21% contra 42%).

Os entrevistados apontaram ainda que a maior ameaça contra os aliados europeus dos Estados Unidos é o terrorismo. Para os aliados asiáticos, a China é vista como o principal risco, com 48%, seguido por Coreia do Norte. No Oriente Médio, o Irã lidera a lista de perigos (54%), seguido da ameaça terrorista.

Quase metade dos entrevistados (48%) vê a Al-Qaeda mais fraca hoje do que em relação há cinco anos. Apenas 21% acreditam em que a rede criada por Osama bin Laden, morto em 2011, tenha se fortalecido.

Em relação aos talibãs, contra os quais os Estados Unidos lutam há 12 anos no Afeganistão, os resultados são vistos como menos bem-sucedidos, apesar das mensagens otimistas emitidas pelo governo americano.

Pelo menos 27% dos entrevistados consideram que os talibãs são mais fortes agora do que há cinco anos, e 40% acreditam que estão no mesmo nível. Apenas 33% responderam que o grupo se enfraqueceu.

Fonte: Revista Info

Read More

Podcast: Entenda a Cyber espionagem, NSA, PRISM e muito mais

E ai galera!

Hoje venho trazer um conteúdo diferente do comum, diferente do nosso padrão de comandos, textos e imagens, hoje vamos falar de podcast. Se você não sabe nada da mídia podcast veja este post, onde explicamos e damos alguns exemplos de ótimos podcasts de infosec.

O site e podcast Cocatech publicou um ótimo bate papo com Delegado de Polícia Federal Jose Navas Jr. explicando alguns termos polêmicos que vem rodeando desde as notícias dos vazamentos do Edward Snowden, Wikileaks e muito antes.

O podcast tem quase duas horas mas vale cada segundo. Nós da Brutal Security recomendamos fortemente este cast.

Para ouvir clique aqui!

Read More

Escassez de habilidades em Segurança da Informação gera impacto de 32% em grandes empresas

De acordo com pesquisa feita pela CompTIA, oito em cada dez líderes de TI relatam que em pelo menos uma área de negócio há falta de competências. O estudo foi feito com 502 gerentes de TI e de negócios nos EUA, para avaliar a escassez de competências em seus departamentos, o impacto de tais deficiências, e como esses líderes tentam administrar a situação.

A grande maioria (93%) relataram uma diferença entre as habilidades que as equipes possuem em comparação com as que as empresas necessitam. Desses, 83% afirmaram que tal diferença varia de pequena a moderada, mas 9% afirmam que as habilidades das equipes não chegam nem perto do esperado. Apenas 7% disseram que suas equipes possuem as habilidades necessárias.

Dentre as habilidades em que os entrevistados classificaram como mais importantes, estão: rede/infraestrutura, servidores/gestão de data center, armazenamento/back-up, cibersegurança, banco de dados/gestão de informação, help desk/suporte de TI, telecomunicações/comunicações unificadas, impressoras/copiadoras/fax, analytics/negócios, web design e desenvolvimento.

O impacto da escassez de habilidades na área de Segurança da Informação é de 32% nas grandes empresas, 39% nas de médio porte e 29% nas pequenas empresas. Para enfrentar o déficit de competências as empresas precisam investir mais em treinamentos para seus colaboradores. O método mais popular adotado é o online, empregado por 50% dos entrevistados.

Fonte: Blog SegInfo

Read More

Ministro das Comunicações levanta a possibilidade em obrigar as empresas a armazenar os dados em território nacional

Em entrevista ao jornal O Estado de São Paulo, o ministro das Comunicações, Paulo Bernardo, conversou sobre a posição do governo brasileiro após a denúncia de espionagem pelos EUA. O governo defende uma governança multilateral e multissetorial da internet, já que atualmente a internet possui regras de governança exclusivamente impostas pelos EUA.

A maioria dos datacenters estão situados em território americano, ou seja, estamos nos comunicando na maioria das vezes com servidores dos EUA. “Criamos incentivos a datacenters no Brasil e tiramos todos os impostos para a compra de equipamentos. Mas eu acho que vamos ter de obrigá-los a armazenar os dados aqui.”, afirma o ministro.

Bernardo lembra ainda o caso de investigação anterior, em que o governo brasileiro solicitou à Google cópias de um e-mail, e o pedido foi negado pois os dados estavam armazenados nos EUA. “Com essas denúncias, vimos que lá eles entregam tudo. Aqui, alegam que não podem entregar. O ideal seria a empresa manter o registro aqui, para que os dados estejam disponíveis se a Justiça brasileira pedir. Isso não estava originalmente no marco civil da internet, mas agora estamos discutindo essa inclusão.”, conclui o ministro.

Um anteprojeto de lei sobre segurança de dados está sendo discutido, tratando armazenamento e proteção de dados pessoais. Deve ser enviado ao Congresso no segundo semestre deste ano.

Em relação a políticas de privacidade de serviços na internet, foi conversado sobre a autorização de compartilhamento de dados: “Também duvido que a legislação brasileira considere que a autorização de pegar dados também sirva para fornecê-los a terceiros. É uma coisa a se pensar, em se fazer uma legislação que fale: “Olha, não é válida uma autorização que seja tão ampla que possa se voltar contra os direitos dos usuários”. Estamos avaliando se as cláusulas estão de acordo com a norma brasileira.”, afirma Paulo Bernardo.

Veja mais detalhes e a entrevista completa no site.

Fonte: Blog SegInfo

Read More