snowden, nsa e o fim da privacidade

Snowden, NSA e o fim da privacidade

Anchises Moraes Garoa Hacker Clube e Security BSides SP Luca Bastos Principal Consultant na ThoughtWorks

Vamos começar

com 3 notícias

desta semana

Primeira notícia e que afetou todo mundo

Quem aí ouviu falar

Quem aí ouviu falar no

The Heartbleed Bug?

Afetou um monte de sites

Afetou um monte de sites É uma vulnerabilidade séria na biblioteca de criptografia OpenSSL

Afetou um monte de sites É uma vulnerabilidade séria na biblioteca de criptografia OpenSSL Permite a qualquer um ler a memória de sistemas protegidos por versões vulneráveis do OpenSSL

Afetou um monte de sites É uma vulnerabilidade séria na biblioteca de criptografia OpenSSL Permite a qualquer um ler a memória de sistemas protegidos por versões vulneráveis do OpenSSL

Foi descrito em um site bonitinho http://heartbleed.com/

Alguém já viu antes uma falha de segurança ser anunciada assim em um site bonitinho com logomarca e tudo o mais?

Quem aí ouviu falar que

o Heartbleed Bug?

já era explorado em novembro de 2013 ou até antes?

O Neel Mehta, hoje parte da segurança do Google, mostrou ao mundo um problema que já existe há 2 anos em um lindo site da empresa Codenomicon

Porém o chefão da Codenomicon é o Howard A. Schmidt ex chefe de segurança da Microsoft

A Microsoft junto com o Google e outras empresas americanas, colabora (obrigada ou não) com o NSA

Mais uma notícia da 3a feira que mostra que tem mais gente com

a pulga atrás da orelha

O presidente da China Xi Jinping disse na 3a feira que o bug Heartbleed afetou 98% da internet e foi projetado pelo NSA

Outra notícia também da 3a feira

Snowden pede novas regras para

impedir abusos da NSA

Estas noticias tem cheiro de NSA

O que é este tal de NSA e como é que tem recursos para fazer tanta coisa (ruim)?

O NSA é antigo e já vem espionando há tempos

Mas quem escancarou tudo foi Edward Snowden

Thank you, Edward Snowden

As revelações do Snowden foram estarrecedoras

Nossa privacidade online… já era

Nossa privacidade online… já era

USS Jimmy Carter (SSN-23)

Vamos falar agora porque fazem isto e se tem algum amparo legal

Fazem porque guerra cibernética é bem mais fácil e principalmente

mais barata do que a física

E vamos provar com números

Edward Snowden, ex contratado da NSA, vazou com detalhes documentos que mapeiam um orçamento bilionário para o NSA, CIA e outras agências

O Washington Post, reviu os documentos e

publicou uma detalhada lista de objetivos, tecnologias, dados de recrutamento e outras informações

O Orçamento negro americano

US $52.6 bilhões

Washington  Post,  agosto  de  2013  

 O orçamento cobre ações de espionagem e contrainteligência

Chamado de orçamento negro, engloba mais de uma dúzia de agências que compoem o programa nacional de segurança

CIA, NSA e NRO (National Reconnaissance Office) ficaram com mais de 68% deste orçamento

 Detalhe: O orçamento do National Geospatial-Intelligence Program’s (NGP) cresceu mais de 100% desde 2004

 A CIA recebeu US $14,7 bilhões em 2013

US$ 11,5 bilhões gastos em coletar dados, processamento e análise

 O NSA recebeu US $10,8 bilhões em 2013

US$ 5,6 bilhões gastos em coletar dados, processamento e análise

 O NRO recebeu US $10,8 bilhões em 2013

US$ 8,5 bilhões gastos em coletar dados, processamento e análise

A comunidade de inteligência emprega mais de 107 mil pessoas

Mesmo com todo este dinheiro

a guerra cibernética ainda é mais barata do que o uso de armas “convencionais”

Um avião F-22 raptor custa US$ 361 milhões Uma esquadrilha com 60 destes aviões = $ 22 bilhões

http://pt.wikipedia.org/wiki/F-22_Raptor

EUA lançaram o navio de guerra mais caro do mundo US$ 7 bilhões (Estadão 05 de janeiro de 2014)

Zumwalt    

E o Data Center dos EUA que coleta dados de tudo o que você faz na Internet? http://www.businessinsider.com/pictures-of-the-nsas-utah-data-center-2013-6

Utah Data Center Capaz de tratar dados na ordem de exabytes

Utah Data Center

Utah Data Center

Este Data Center custou entre 1,5 E 1,7 bilhões de dólares ...ou 5 aviões F-22 Raptor ...ou ¼ do Zumwalt

Vamos falar de leis

Dois decretos importantes: CALEA Ato patriótico

CALEA

Communications Assistance for Law

Enforcement Act Lei dos grampos nos States aprovada em 1994, na presidência de Bill Clinton

CALEA

Exige que operadoras de telecomunicações e fabricantes de equipamentos de telecomunicações modifiquem e projetem seus equipamentos, instalações e serviços para garantir que eles tenha capacidades de vigilância embutidas

CALEA

Em 2005 a FCC ampliou sua aplicação para incluir todo o tráfego de VoIP e Internet banda larga.

USA PATRIOT Act

Decreto assinado pelo presidente Bush logo depois do 11 de Setembro de 2001

USA PATRIOT Act

Uniting and Strengthening America by

Providing Appropriate Tools Required to Intercept and Obstruct Terrorism

USA PATRIOT Act Permite, entre outras medidas, que órgãos de segurança e de inteligência dos EUA interceptem ligações telefônicas e e-mails de organizações e pessoas supostamente envolvidas com o terrorismo

USA PATRIOT Act Permite, entre outras medidas, que órgãos de segurança e de inteligência dos EUA interceptem ligações telefônicas e e-mails de organizações e pessoas supostamente envolvidas com o terrorismo, sem necessidade de qualquer autorização da Justiça, sejam estrangeiras ou americanas.

Em outubro de 2001, o presidente George Bush emitiu uma ordem presidencial secreta que autoriza o NSA a realizar uma série de atividades de vigilância no interior dos Estados Unidos, sem autorização estatutária nem aprovação do tribunal, incluindo a vigilância eletrônica de telefone e de Internet dos americanos.

No início de 2006 o ex-técnico da AT&T, Mark Klein, mostrou que a AT&T estava cooperando com a vigilância ilegal. As comunicações eram direcionadas para salas secretas da NSA dentro das operadoras de telecom.

Existem ainda outras leis tais como: Protect America Act de 2007 Foreign Intelligence Surveillance Act (FISA) Amendments Act de 2008

mas vamos parar por aqui

Vamos falar agora de tipos de espionagem

Espionagem •  Ativa

•  Passiva

Espionagem ativa é aquela tradicional que não escala.

Exige muito esforço para um unico alvo Não tem dados antes de começar a espionar

Espionagem passiva é o caminho mais fácil

Espionagem passiva é o caminho mais fácil

Porém criptografia é um grande problema

Nos anos 90 o NSA perdeu uma batalha pública para inserir backdoors em todas as tecnologias de criptografia desenvolvidas nos States

Mas não acredite que não exista backdoors no seu programa de email e até no chip do seu celular

Então… o que podemos fazer?

Justamente para ensinar isto estamos fazendo a CryptoRave

Vamos as dicas

Ficar anônimo tanto quanto possível

Use Tor para ficar anônimo. Sim, a NSA está de olho em usuários do TOR, mas isto os defende. Quanto menos exposto você estiver, mais seguro estará

Criptografe suas comunicações

Use TLS. Use IPSEC. De novo, apesar da NSA visar conexões criptografadas, você estará muito mais seguro do que se comunicar em aberto.

Mantenha dados críticos fora da rede

Se tem algo realmente importante, use um computador dedicado fora da internet.

Mantenha dados críticos fora da rede

Se tem algo realmente importante, use um computador dedicado fora da internet. Se você precisa mover dados críticos para um computador com internet, criptografe o conteúdo e use um dispositivo USB

Suspeite de softwares comerciais de criptografia

A maioria do produtos de criptografia fornecidos por grandes empresas americanas, tem "NSA-friendly backdoors”.

Suspeite de softwares comerciais de criptografia

A maioria do produtos de criptografia fornecidos por grandes empresas americanas, tem "NSA-friendly backdoors”. Softwares de código fechado são mais fáceis para a NSA incluir backdoors do que software de código aberto

Tente usar criptografia de domínio público compatível com outras implementações

É mais difícil a NSA colocar um backdoor no TLS do que no BitLocker, porque muitos trabalham com TLS enquanto BitLocker só precisa ser compatível com ele mesmo.

Por fim

“Creia na matemática. Criptografia é sua amiga. Use-a bem e faça o melhor para que nada possa comprometê-la. É assim que você permanecerá seguro mesmo face à NSA.”

Bruce Schneier

Anchises Moraes Garoa Hacker Clube e Security BSides SP Luca Bastos Principal Consultant na ThoughtWorks

Perguntas