Craked Crypto

Craked: O enigma do Zero Day (Final)

Cracked

As palavras HACKER e CRACKER, e suas adjetivações ou transformações em ação e similares, sempre foram muito mal tratadas pela mídia. Uma vez que, a mídia dita especializada, recheada de jornalistas neófitos, não consegue formar conceitos básicos sobre assuntos de segurança da informação. Isto significa que, à priori, estariam inserindo os termos hacked e cracked, sem a noção de significado e aplicação. Em certa medida, é mais fácil para gente que não gosta de pensar e nem de pesquisar, adotar estas palavras como estrangeirismos e ponto. E, neste sentido, perde-se a essência, superficializa o significado.

Assim sendo, a palavra título “Cracked” serve para contextualizar que tudo aquilo que escrevi nesta série, foi “quebrado”, “crackeado”, “descoberto”, tornado vulnerável.

Neste texto (que deveria ter sido publicado meses atrás) reproduzo um resumo de um artigo que poderá ser considerado acadêmico, caso exista alguém interessado em publicá-lo. Tentei publicar os textos fracionados e não consegui, aqui vai um resumo final que espero obter a atenção de mais pessoas, que estão dando pouca importância a um perigo real, latente e que ainda não teve o seu Zero Day.

Depois de inúmeros adiamentos, uma vez que os motivos são justificáveis e não tem nada relacionado com procrastinação, agora vai …

Recapitulando

O Enigma do Zero Day (Parte 1)

Na primeira parte, contei muitas histórias, falei de Alan Turing, de criptografia, tentei ser engraçado e misterioso. Surtiu algum efeito entre aqueles que se interessam por assuntos que não dominam. Certamente, personagens de redes sociais acham um saco discutir qualquer coisa a sério.

Cracked - Enigma do Zero Day (Parte 1)

Cracked – Enigma do Zero Day (Parte 1)

Nesta Parte 1 coloquei um link para a minha dissertação de mestrado “Senhas – Identificação e Autenticação para Redução de Vulnerabilidades na Rede” Municipal de Informática – RMI“. À época, percebi indiferença e até mesmo escárnio, inclusive vindos de profissionais de TI, por tratar de um tema como senhas. Passados 20 (VINTE) anos, vejo alguns especialistas e segurança falando sobre senhas “seguras” e outros mecanismos como “dupla autenticação”, biometria etc, como se fossem novidades. Vinte anos é muito tempo no mundo das tecnologias da informação.

No texto abordei questões como a LGPD e alguns cuidados com redes sociais e afins, e sobre os perigos de usuários de TI e serviços de Internet pensarem que estão protegidos somente porque alguém diz que esta ou aquela tecnologia resolve.

Vamos em frente …

O Enigma do Zero Day (Parte 2)

Logo após a publicação da Parte 1, a segunda parte continha alguns elementos mais técnicos, ou a tentativa de mostrar que algumas coisas não são como aparentam ser. Profissionais de tecnologia, e no Brasil é mais dramático e cruel, não entendem muito bem o que vendem. A culpa no caso é que o “mercado” está dominado por marcas que, geralmente, fazem a mesma coisa com rótulos diferentes.

Assim sendo, abordei a hipótese de que um conceito disseminado amplamente, como a questão da colisão e hashes de criptografia, usados em senhas criptografadas podem não ser únicos. Desta forma, caso ocorra uma colisão, não existe a possibilidade de proteção do conteúdo. Mais adiante, descreveremos uma situação em que a hipótese de colisão ou descoberta do hash, coloca tudo que está relacionado àquela senha ou hash desprotegido.

Cracked - O enigma do Zero Day (Parte 2)

Cracked – O enigma do Zero Day (Parte 2)

Fui um pouco mais técnico, usei algumas referências bibliográficas que considerei importantes (no artigo acadêmico tem muito mais), fiz alguns chistes. Entretanto, os resultados foram mais pífios do que os obtidos no texto Inicial, e ainda perdi alguns interessados no assunto. Mas eu avisei, o day after do  Zero Day já aconteceu em algum lugar, não sei quando e nem onde, mas aconteceu.

Vamos em frente …

O Enigma do Zero Day (Parte 3)

Ao mesmo tempo que fazia esta trilogia, pensava em como seria o final. Contudo, sou obrigado a confessar que esmoreci com a pouca repercussão da Parte 2. A parte 3 foi atrasando e a parte final ficou para calendas e, infelizmente. esta parte ficou prejudicada em conteúdo e interesse.

Entretanto, é neste texto que as partes 1 e 2 se juntam e dão sentido a tudo que estou tentando dizer. Por outro lado, a imagem da Parte 3 foi uma tentativa de dizer alguma coisa com uma imagem simples. Cadeados de cor cinza fechados e um cadeado de cor verde “quebrado” (cracked).  Numa referência irônica às pessoas que confiam, cegamente, em cadeados verdinhos como seguros.

Cracked - O enigma do Zero Day (Parte 3)

Cracked – O enigma do Zero Day (Parte 3)

Além disso, escrevi também sobre a confiança depositada em tecnologias como Blockchain (cuja base é a criptografia assimétrica) que serve para disseminar a ideia de cripto moedas e outros mecanismos de autenticação e segurança.

Cracked – Fronteira Final

Em suma, chegaremos à fronteira final quando alguém famoso disser: a criptografia assimétrica foi crackeada (Cracked), haqueada, quebrada ou a palavra que signifique alguma coisa para todos. Como se não bastante, mesmo com a realidade, muitos ainda estarão como “São Tomé”.

Afirmo que existem várias formas de provar. Tentarei nesta parte final reproduzir um resumo de como o artigo acadêmico, uma PoC (Prova de Conceito) que quebra segurança de senhas com poucos recursos informáticos. Muitos, surpreendentemente, estão pensando que somente a computação dita “quântica” pode quebrar chaves criptográficas enormes com números primos enormes. É a falsa impressão de que somente alto poder de processamento quebra dados criptografados. Lamento informar-lhes: vocês estão pensando muito dentro da caixinha e se baseiam a segurança de seus ativos informacionais em tamanho de chaves criptográficas e tamanho de hashes, estão vulneráveis.

O Processo

Faremos aqui uma descrição, teórica, de como seria um processo de cracked de uma senha.

Em primeiro lugar, devemos ter um acordo básico sobre como o mundo vem utilizando senhas. Tudo começou com senhas em textos abertos, passou para criptografia fraca e chegou à criptografia forte e em alguns casos com dupla autenticação (2FA). Da mesma forma que existem muitos trabalhos de P&D para desenvolver proteção, existem muitas atividades para quebrar a segurança. As atividades de quebra impulsionaram muito mais a evolução da segurança do que inovação e o “pensar fora da caixinha”.

As pessoas, inegavelmente, são dependentes de senhas e por sua vez, a identificação e autenticação (tema da dissertação de mestrado supra-mencionada) são vitais para todos incluídos digitalmente, desde um simples login numa rede social até o controle total de uma conta corrente de um banco digital.

Neste contexto, os hashes de senhas (armazenadas ou em trânsito) tornaram-se o “Santo Graal” das lendas arturianas. Algo que pudesse gerar a paz entre usuários de Internet e inimigos de cada um destes usuários. Mas os hashes estão vulneráveis, por vários motivos apresentados na trilogia desta série e provar que são vulneráveis, pode ser mais fácil do que muitos profissionais de segurança imaginam.

O Ataque

Via de regra, quase todos os profissionais com quem tenho falado sobre ataques a tecnologias baseadas em criptografia (assimétrica ou simétrica) defendem-se atrás de premissas válidas 20 ou 30 anos atrás. Não houve, nestas últimas décadas, nenhuma disruptura real no assunto. Desde a quebra da máquina ENIGMA, feita pela equipe de Alan Turing, alguns preceitos como quebra por força bruta, proteção no armazenamento e na transmissão, dogma de tamanho de chaves e hashes tem sido o foco de empresas e profissionais de segurança de TI.

Imaginemos, por exemplo, um banco digital com 3 milhões de clientes e suas senhas. Existem técnicas de phishing e até de engenharia social em que fica muito fácil descobrir a senha de cada um. Estes processos exigem certa dose de paciência. Força bruta exige pode de processamento e sorte. Destarte, pensando diferente (#SQN), pegar um dicionário em português, testar palavras do dicionário com a alteração de letras por números (troca-se A por 4, letra “O” por zero) pode ser uma boa alternativa para ganhar acesso.

Contudo, ao invés de ser realizado em 3 milhões de contas, seja feito no site com certificado SSL (aquele que apresenta “cadeado verde” ou numa VPN. Pode ficar bem mais fácil e rápido. O cliente do banco, quando vê que acessou o site e que tem “segurança” pelo cadeado “fechado”, faz tudo o que for dito… até entregar o 2FA que ele realiza.

Neste ponto, quem chegou e leu tudo com atenção, deveria estar assustado, se bem que muitos vão tentar desqualificar tudo que escrevi nestes textos. E pronto para mudar a senha utilizando mecanismos mais interessantes do que os propostos pelos responsáveis de cada plataforma, sem é claro ficar com aquelas senhas malucas que nos oferecem e a gente acaba por deixar “gravado” no navegador (quem nunca?).

A Solução

Afirmo que um ataque como o, superficialmente descrito acima é possível. Utilizar serviços de armazenamento de senha como o LASTPASS ou 1Password, com certeza, é mais perigoso do que você ter uma senha forte. Uma solução para o problema somente com algo novo, como os russos estão propondo com a sua “Internet privada”. Utilizam a infraestrutura da Internet global, mas tem seus usuários identificados e autenticados de forma unívoca.

Finalmente, acompanho alguns avanços e disrupturas destes paradigmas seculares e posso garantir de o ZERO DAY já aconteceu e que as várias exposições de dados e informação que infringem a GDPR e LGPD tem solução que vai muito além da designação normativa de compliance.

Se os gestores (DPO´s, CSO´s, CISO´s ou qualquer outra nomenclatura que atribuírem) não pensarem fora da caixinha, pra ontem, especialmente no Brasil, podem colocar sob risco de colapso as organizações para as quais trabalham.

Maktub !

 

Imagem: Reprodução Internet

P. S. –  Reitero também o pedido feito em muitos momentos da vida deste blog e presente na página de “Advertências“. Observações, sugestões, indicações de erro e outros, uma vez que tenham o propósito de melhorar o conteúdo, são bem vindas. Coloquem aqui nos comentários ou na página do Facebook.

 

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.