Analytical methods

Quais são os principais itens de causa (fatos geradores, facilitadores ou motivadores) e de efeito (danos e prejuízos) para ocorrência de incidentes de RID, dentre os tipos de RID mapeados?

Foram 23 trabalhos usados para composição da resposta à questão de pesquisa 2, sendo 2 da ACM TISSEC, 14 da IEEE Explore Digital Library, 3 da BDTD, 1 Tese de Harvard e 3 relatórios técnicos de empresas de segurança.

Thanh et al. (2009) diz que o acesso indevido, ocasionado por meios fracos de autenticação, como a utilização exclusiva de senhas, pode gerar, dentre outros males, o roubo de identidade.

Joshi et al. (2009) relata o cenário perigoso em redes públicas de acesso à Internet como

WiFi que fornecem conectividade gratuita, bastando-se conectar e acessar aInternet para estar

vulnerável. As redes públicas de WiFi, como a maior parte das conexões públicas de Internet não utilizam criptografia. É trivial para os atacantes executar, controlar e gerar um servidor DNS próprio e todos os sites que as vítimas acessam serem vistos pelo atacante.

Islam & Islam (2012) afirma que os telefones celulares, computadores e tablets estão tornando-se parte essencial na vida diária de muitos de nós na sociedade. A maioria destes dispositivos, executando sistemas como iOS, Android e outros sistemas operacionais que oferecem flexibilidade para instalar aplicações personalizadas a serem usadas para diversos fins.

Devido à facilidade de uso e características, muitas pessoas usam seus dispositivos móveis como dispositivos primários para manter e acompanhar encontros, reuniões, armazenar fotos e vídeos, acessar e-mails. Portanto, não é de admirar que informações pessoais sensíveis estão armazenadas em dispositivos móveis. Com o número crescente de roubo de dispositivos móveis e programas de Malware, além da perda monetária, o risco de roubo de identidadee de numerosos outros crimes envolvendo dados armazenados também está crescendo a uma taxa alarmante.

Chen et al. (2014) afirma que uma das causas levantadas é que o usuário deposita sua confiança no site malicioso, levando em conta o quanto esse site se parece com o original. Ele também ressalta as práticas de Engenharia Social e levanta 6 comportamentos pessoais explorados nesse tipo de ataque, como: (i) reciprocidade, um sentimento de obrigação para com alguém que nos deu alguma coisa; (ii) consistência, uma sensação de investimento em uma decisão, uma vez que é feita; (iii) prova social, orgulho em demonstrar participação em determinados círculos sociais; (iv) confiar ou acreditar em um determinado indivíduo ou entidade; (v) deferência à autoridade; e (vi) reatância, que corresponde a mitigação de uma potencial escassez que impediria a aquisição de algo de valor ou valorizado. Essas características de comportamento também são verificadas no trabalho de Workman (2008).

E-mail e SMS são métodos populares de espalhamento de aplicativos maliciosos e,

principalmente, porque podem ser enviados para diversos destinatários, inclusive, criando uma lista cumulativa baseada na lista de contatos presente no dispositivo da vítima. Esses e-mails fornecem um link e solicitam aos usuários para baixar e instalar um aplicativo. Se instalado, as informações e detalhes dos contatos armazenados no dispositivo são enviados para o atacante ou as mensagens com o link malicioso são enviados para os contatos do catálogo de endereços e telefone da vítima, diretamente. Ou seja, a mensagem de spam é enviada para outros usuários

no catálogo de endereços da vítima. O mesmo pode serrealizado por meio de mensagens SMS de acordo com Kaspersky & INTERPOL (2014).

Com a Engenharia Social, as consultas realizadas podem ajudar o atacante a realizar ataques que possam comprometer uma organização (Khan & Mashiane, 2014). As consultas podem ser utilizadas para encontrar funcionários vulneráveis, o que poderia, em seguida, orientar o atacante a usar alguém para abrir os caminhos ainda obstruídos para iniciar um ataque. Com isso, poderá ter acesso às informações mais detalhadas do alvo para praticar o crime de RID e assim obter ganhos financeiros e/ou gerar prejuízos.

As lojas de aplicativos não oficiais costumam estar infestadas de artefatos que viabilizem um RID. Há muitas lojas não oficiais, em que é possível se baixar aplicativos, especialmente para dispositivos com o sistema operacional Android (Kaspersky & INTERPOL, 2014). Usar lojas não oficiais é uma prática perigosa, uma vez que essas lojas podem não ter um bom controle dos aplicativos fornecidos ou pode até mesmo distribuir Malwares de forma intencionada, como no caso do aparecimento de clones de aplicações legítimas, que transportam

Malwares disfarçados.

É evidente afalta de controle nas lojas oficiais, mesmo que elas vendam a imagem de que estão preocupadas com a segurança dos aplicativos publicados. Muitas deixam a desejar em algumas políticas de segurança, causando uma facilitação na distribuição de Malwares, como, por exemplo, permitir o uso de certificados auto-assinados para autenticar aplicativos, o que torna impossível rastrear seu desenvolvedor responsável. (KASPERSKY & INTERPOL, 2014).

Todo ambiente operacional de um dispositivo móvel fica vulnerável, até as aplicações legítimas e suas camadas intermediárias podem ser exploradas. Uma falha na verificação do certificado no Android, por exemplo, permitiu aplicações realizarem escalonamento de privilégios (DUA & BANSALl, 2014).

Os programas de afiliados são uma forma muito comum de fornecer Malware. Normalmente, estes programas são criados por cibercriminosos que, em seguida convidam os utilizadores da Internet a serem seus cúmplices. Cada usuário cria uma página de destino para distribuir uma versão ligeiramente diferente do Malware, cujo objetivo é maximizar o número de acessos a essas páginas. Para isso, os criminosos podem recorrer à várias técnicas, comumente atraindo os usuários com jogos e pornografia gratuitos. De acordo com Kaspersky & INTERPOL (2014), cerca de 38% do acesso a essas páginas resultará no download dos aplicativos mal-intencionados, em que 5% dos mesmos acabam sendo instalados e executados.

Kaspersky & INTERPOL (2014) afirmam que outras causas para os incidentes de RID decorre de vulnerabilidade sem protocolos. Alguns protocolos de aplicação têm falhas que contribuem para o surgimento de mais brechas de segurança. As mensagens de SMS não proporcionam níveis adequados de autenticação e segurança, pois os Malwares utilizam uma versão resultante de engenharia reversa para serem imperceptíveis e controlarem os equipamentos sem o consentimento dos usuários.

Os mecanismos de autenticação tradicionais enviam as credenciais do usuário em textoplano, sem nenhum cuidado com a criptografia. Esse descuido submete as credenciais aos mais variados tipos de ataques. Para se protegerem, a maior parte dos sites e serviços de Internet utilizam o SSL ou TLS simples, viabilizando uma conexão HTTP segura (HTTPS). Apesar dessa proteção, o ID, a senha do usuário ou quaisquer outras credenciais trocadas entre o usuário e o servidor seriam vistos claramente num incidente MITM, cuja técnica deataque possibilita que, por exemplo, o cliente tenha dados interceptados, registrados e provavelmente alterados durante o acesso a um serviço de Internet ou site sem que as vítimas jamais percebam o ocorrido. Dessa forma, os sites com HTTPS considerados mais seguros não dispõem de proteção adicional, abrindo brechas para ataques MITM.

Durumeric et al. (2014) afirma que os pesquisadores descobriram uma vulnerabilidade catastrófica no OpenSSL, a biblioteca de criptografia usada para proteger as conexões em aplicações de servidores muito populares, incluindo Apache e Nginx e que implementa os protocolos SSL e TLS. Esta falha foi uma das mais impactantes da história da Internet, ficando conhecida pelo termo Heartbleed. O Heartbleed permite que atacantes leiam a memória sensívela partir de servidores vulneráveis, incluindo potencialmente as chaves criptográficas, as credenciais de login e os outros dados privados sensíveis.

O projeto OpenSSL foi lançado em 1998 e começou a demonstrar vulnerabilidades a partir de abril de 2001. Ao longo dos últimos 13 anos o OpenSSL documentou seis vulnerabilidades de execução de código que permitiam aos atacantes comprometeremos dados privados do servidor, como as chaves e as mensagens privadas criptográficas em memória, possibilitando a adulteração de código. O projeto tem enfrentado oito vulnerabilidades de vazamento de informações, quatro das quais permitiram aos atacantes recuperarem texto puro e duas em que foram expostas as chaves privadas (usadas no processo de descriptografia de uma mensagem). Duas dessas vulnerabilidades surgiram devido às fraquezas do próprio protocolo e as restantes vieram de erros de implementação (DURUMERIC et al., 2014).

O bug Heartbleed reflete uma das vulnerabilidades mais impactantes durante a história do OpenSSL por várias razões, pois: (i) permitiu que os atacantes recuperassem as chaves

privadas criptográficas e os dados sensíveis do usuário, (ii) era fácil de explorar; e (iii) a popularização do HTTPS e de outros serviços TLS, resultando em mais serviços afetados.

O quadro 2 expõe os principais servidores vulneráveis afetados pelo Heartbleed e o Quadro 3 apresenta os 30 sites habilitados com HTTPS vulneráveis, hospedados nos EUA, considerando fatos publicados na imprensa e em portais de Internet (DURUMERIC, 2014).

Quadro 2: Servidores vulneráveis afetados pelo Heartbleed

SERVIDORES WEB SERVIDORES DE

EMAIL SERVIDORES DE BANCOS DE DADOS SERVIDORES XMPP OUTROS SERVIDORES

Apache (mod_ssl) X Sendmail X MySQL X OpenFire OpenVPN X Microsoft IIS Postfix X PostgreSQL X Ejabberd X OpenLDAP X Nginx X Qmail X SQL Server Jabberd14 X Stunnel X Lightpd X Exim X Oracle Jabberd2 X Openswan X

Tomcat X Courier X IBM DB2 Telnetd-ssl X

Google GWS X Exchange Mongo DB X OpenDKIM X

LiteSpeed X Dovecot X CouchDB Proftpd X

IBM Web Server X Zimbra X Cassandra Bitcoin Client X

Tengine X Redis

Jetty

Fonte: Adaptado de Durumeric et al. (2014)

Quadro 3: TOP 30 de Vulnerabilidades em Sites Habilitados com HTTPS nos EUA

SITES

Google X Bing Wordpress X Facebook Pinterest X Huff.Post ? Youtube X Blogspot X ESPN ? Yahoo X Go.com ? Reddit X Amazon Live X Netflix X Wikipedia X CNN ? MSN.com

Linkedin Instagram X Weather.com ?

eBay Paypal IMDB

Twitter Tumblr X Apple Craigslist ? Imgur X Yelp ?

Fonte: Adaptado de Durumeric et al. (2014)

Analisando todas essas informações, o impacto do Heartbleed causado em servidores de serviços de email baseados em HTTPS atingiu implementações muito populares na Internet, tais como: a rede Tor, Bitcoin, Android e redes sem fio que fazem uso de conexões seguras de comunicação. Ocorre que os servidores de email, SMTP, IMAP e POP3 podem usar TLS para o transporte seguro, através de utilização de uma diretiva denominada StartTLS, dentro de uma

sessão de texto puro. Dessa maneira, o Heartbleed ainda permitiria aos atacantes recuperar as chaves de rede e as credencias do usuário de redes sem fio e de pontos de acesso da Internet.

No caso do Projeto Tor, a vulnerabilidade do TLS permitiria ao atacante extrair as chaves de identidade, possibilitando também interceptar a transmissão, e com isso poderia ler as informações confidenciais da memória, descobrir os sites visitados recentemente e obter a localização do usuário.

Os clientes de Bitcoin foram afetados com a falha do Heartbleed e na pior possibilidade permitiu que o atacante comprometesse as contas das operações de câmbio, ou seja, as trocas de moedas virtuais. Além disso, os clientes afetados tiveram as suas carteiras de moedas comprometidas pelo atacante, que pôde recuperar as chaves privadas e roubar dinheiro a partir de uma operação de pagamento realizada por um cliente legítimo.

Ainda, Durumeric et al (2014) relata que algumas empresas, incluindo Bitstamp e

Bitfinex, suspenderam temporariamente as operações até que o bug fosse corrigido em seus

servidores. No caso mais grave, 12 clientes foram roubados em um total de 28BTC (BitCoins), o que equivale a cerca de 6.500 dólares norte-americanos, após as credenciais da conta terem sido comprometidas, embora todos os valores tenham sido ressarcidos posteriormente pelas entidades responsáveis pela transação.

No Android, o Heartbleed afetou apenas a versão Android 4.1.1 e não foram divulgadas informações sobre quantos dispositivos executavam essa versão na época. Durumeric (2014) alerta que, segundo dados do Google, estima-se que aproximadamente 33,5% de todos os dispositivos Android possuíam a versão 4.1.x em uso. Neste caso, o dispositivo vulnerável estaria susceptível a ter a memória lida por um servidor malicioso. Nas redes sem fio, os protocolos de autenticação que utilizam TLS foram impactados, incluindo EAP-PEAP, EAP- TLS e EAPTTLS.

É preciso que os administradores de servidores e demais profissionais da área prestem mais atenção e recebam mais treinamento de segurança, bem como, compreendam abrangentemente a utilização de certificados digitais e de chaves públicas, principalmente na atualização de bibliotecas de protocolos de segurança e de demais patches de segurança de servidores.

A crítica principal neste caso grave do Heartbleed é que a falha utilizou HTTPS, um protocolo destinado a garantir a segurança e privacidade das comunicações, estas vulnerabilidades foram em alguns casos mais danosas do que as transmissões não criptografadas de HTTP. Entretanto, é preciso ressaltar que HTTPS é o protocolo mais seguro

para uma vasta quantidade de ameaças, desde que se mantenham as atualizações de suas bibliotecas de implementação e que se adotem mecanismos eficientes para reportar as falhas.

No SSL 3.0 (Secure Sockets Layer), protocolo de criptografia (SSLv3), também foi encontrado um bug. Essa vulnerabilidade pôde ser explorada para interceptar dados que deveriam ser criptografados entre computadores e servidores. De acordo com CHELMO (2014), três pesquisadores de segurança do Google descobriram a falha e detalharam como ela poderia ser explorada, por meio do que eles denominaram de POODLE (Padding Oracle On

Downgraded Legacy Encryption).

Essa vulnerabilidade funciona contra sites que utilizam balanceadores de carga que tenham implementado de maneira incorreta o preenchimento de chaves criptográficas, podendo afetar cerca de 10% dos servidores. É importante salientar que este bug não é uma falha no certificado SSL, nem em suas chaves privadas e muito menos no seu design. Mas, este problema ocorre na versão desatualizada do protocolo SSLv3, que preenchia incorretamente os parâmetros das chaves criptográficas.

O POODLE não é considerado tão grave como o bug Heartbleed do OpenSSL porque, no caso do primeiro, o atacante precisa estar em uma posição privilegiada na rede para explorar essa falha. Mas, o problema pode ser real em ambientes como hotspots e redes sem fio, tornando este ataque viável via MITM.

Khan & Mashiane (2014) argumentam que, anteriormente, os criminosos tinham de executar tecnicamente métodos extensos de Hacking a fim de obterem acesso às informações pessoais dos usuários. Hoje, no entanto, essas informações dos usuários são acessadas livremente através das redes sociais, já que muitas implementações desses sites tem uma segurança muito fraca e apresentam uma lista enorme de vulnerabilidades.

É o caso do Facebook que tem sido criticado por pesquisadores por ter inúmeras vulnerabilidades de segurança, em 2009, os pesquisadores haviam identificado sete ameaças à segurança no Facebook: Privacidade e Confidencialidade, Autenticação e Roubo de Identidade, Roubo de Propriedade Intelectual, Vandalismo, Assédio e Stalking, Difamação,

Disparagement, Spam, Cybersquatting, comprometimento da integridade na transação de

pagamento, Malwares e vírus de computador (KHAN & MASHIANE, 2014).

Entende-se que o Stalking é a vigilância exacerbada que uma pessoa comete a outra, muitas vezes forçando-a a estabelecer contatos indesejados. Já o Cybersquatting incide quando se registam nomes de domínios para depois vendê-los aos titulares de uma marca ou associados a empresas e pessoas famosas, muitas das vezes para prejudicar a imagem dos mesmos. Por fim, o Disparagement é uma declaração falsa que prejudica a reputação de alguém, de uma

empresa ou produto, a divulgação de notícias falsas sobre políticos, artistas e/ou celebridades para causar dano à imagem destes.

Como afirma Mendes (2015):

Assim, aproveitando-se da confusão entre marca e domínio – principalmente quando se trata de marcas famosas – fraudadores conhecidos como Cybersquatters registram endereços com termos e marcas famosas ou com grafia semelhante para desviar o usuário distraído para websites com conteúdo de sexo adulto, pornografia infantil, jogos de azar, ativismo, ódio, paródias, reclamação de produto e/ou serviço, ou para websites de concorrentes. Outra razão para o registro também pode ser a futura compra forçada do domínio por parte da empresa detentora da marca.

O GraphSearch do Facebook pode ser utilizado para cometer o crime de RID, em que os atacantes podem recuperar informações pessoais, fotos e demais dados usando esse recurso. Essas informações pessoais reveladas por estas consultas podem ser usadas para construir um perfil falso sobre a vítima, com intenção de vandalizar ou de perseguir a mesma (KHAN & MASHIANE, 2014). Esse ataque pode ser muito preciso porque o cibercriminoso tem a imagem do usuário alvo no perfil no Facebook, sabe a região onde ele vive e alguns dos seus interesses. Esta informação pode ser facilmente usada para criar um clone do perfil no Facebook ou em outras redes sociais.

O Stalking está intimamente relacionado com RID, em que um cibercriminoso captura o máximo de informações sobre o perfil alvo a fim de agir de maneira maliciosa ou ilegal. Por exemplo, se um pedófilo quer atingir crianças numa localização próxima, ele pode simplesmente usar uma consulta do tipo: mulheres que nasceram depois de um determinado ano (por exemplo, ano 2000) e que vivem em determinada localidade, indicando-se os parâmetros de nascimento, para especificamente atingir crianças. Dessa forma, a consulta retornará uma lista de crianças com um conjunto de imagens que podem ser usadas como identificação de possíveis vítimas. As localizações divulgadas nos perfis dos usuários fornecem os subsídios necessários para se chegar com precisão na vítima.

Como afirma White & Panda (2009), uma das motivações para se executar um RID seria o valor de informações contidas em bancos de dados. Bancos que contenham tipicamente dados pessoais podem reunir informações como nomes, endereços, datas de nascimento, números de telefone, números de cartões de crédito, números de passaporte e endereços de e-mail.

As informações pessoais também são algo que cada organização possui, não importa quão grande ou pequeno se é. A localização da empresa, as atividades e as operações que a organização executa podem ser cruzadas com informações pessoais para se praticarem crimes envolvendo as mesmas.

De acordo com Khan & Mashiane (2014), estudos sobre a guerra cibernética demonstram que os terroristas e hacktivistas estão ativamente usando o Facebook e outras mídias sociais para planejar ataques, recrutar potenciais membros e contribuir para guerras cibernéticas. Os autores também expuseram um estudo sobre a privacidade no Facebook, que revelou que, independentemente da faixa etária, os usuários que criavam e compartilhavam suas informações em seus perfis do Facebook sequer tinham se dado conta das potenciais consequências dessa exposição. Foi demonstrado que os usuários eram incapazes de diferenciar entre o compartilhamento de conteúdo com os seus amigos e entre pessoas próximas à eles. Dados provenientes desse contexto podem ser aproveitados para se convidar os amigos de perfil da vítima para um perfil sintetizado pelo atacante e assim tirar proveito de seus relacionamentos na rede social.

Ainda, Khan & Mashiane (2014) salientam que todas as consultas ao GraphSearch podem viabilizar o envio de mensagens de Spam. O cibercriminoso que está interessado em espalhar um vírus na rede de uma empresa pode utilizar os resultados da consulta para obter uma lista de funcionários alvo, enviando mensagens de Spam com um link malicioso. As empresas e os Spammers que estão à procura de um grupo alvo em uma área específica podem facilmente encontrar possíveis alvos com estas consultas e conectar a localização de um usuário, bem como, filtrar interesses e outros detalhes. Com isso, as empresas poderiam usar essas consultas para uma poderosa campanha de marketing e publicidade com um alvo específico.

Bhargav-Spantzel et al. (2010) afirmam que normalmente, o RID no mundo digital ocorre pela simples vantagem de obtenção de crédito (lê-se dinheiro) ou para se praticar outros crimes, acessar registros, classificados e informações confidencias sem a autorização apropriada.

Entre as principais motivações, Aımeur & Schonfeld (2011) descreve oito tipos diferentes de RID (Quadro 4):

Quadro 4: Tipos de Roubo de Identidade TIPO DE

ROUBO INTERESSES DO ATACANTE PERFIL DA VÍTIMA

Identidade Financeira

Roubar identidades financeiras e obter lucros financeiros. Clientes de Bancos e empresas de financeiras no geral. Identidade

Médica

Receber tratamento de saúde com as informações de outras pessoas.

Usuários de Plano de Saúde e Empresas do ramo da Saúde.

Identidade Criminal

Cometer um crime com a identidade da vítima Qualquer indivíduo com documentos válidos.