Cambridge Analytica e como uma pequena empresa conseguiu dominar o mundo

A tempos, passando por uma das ruas de Luanda, decidi como quase sempre, dar mais uma vista de olhos na bancada de chão, dum desses rapazes que vendem livros antigos e que ficam nas diversas esquinas da baixa. Um deles em particular, cativou-me a atenção: O teste Sociométrico SOCIOGRAMAS. de Danny José Alves da Fundação Getúlio Vargas (FGV), Brasil.

Não fosse o facto de nunca ter antes ouvido falar de Sociometria, porventura ligaria nenhures ao livro. Abri, li uns excertos, achei interessante, dei o habitual ‘jajão’ negocial e obtive a preço de banana. O livro era de facto antigo. Estava assinado pelo antigo dono, como parecia ser hábito das gentes da era colonial e datava duns longínquos 10 de Maio de 1977, ora 41 anos portanto. É de notar, entretanto que o livro, está impecavelmente bem conservado.

Segundo o livro, parece que a Sociometria é uma ciência social desenvolvida pelo professor Norte-Americano Jacob L. Moreno nascido em 1892. No entanto, em 1974, data da publicação da segunda edição (a primeira foi publicada em 1964) do livro ela era ainda uma ciência bastante desconhecida.
Segundo Jacob Moreno, a Sociometria é um instrumento que estuda as estruturas sociais em função das escolhas e rejeições manifestadas no seio de um grupo.

O que a Sociometria pode fornecer?

Sendo uma ciência que estuda comportamentos individuais no contexto de grupos, ela pode fornecer:

  1. A posição que cada um dos componentes ocupa no grupo (popular, isolado, excluído, não-excluído), assim como a posição que cada individuo JULGA ocupar no grupo;
  2. As relações de afinidade (antipatia, rivalidade, etc.), assim como a neutralidade ou inexistência de relações (indiferença);
  3. A estrutura sociométrica do grupo: A trama de comunicações (escolhas reciprocas), os focos de tensão (rejeições reciprocas), os subgrupos, as barreiras étnicas religiosas, raciais, etc;
  4.  A dinâmica dos grupos: as modificações dos quadros e a evolução dos processos no seio dos grupos (reteste).
    A seguinte pergunta é que deixou-me realmente intrigado.

Que dados procura obter quem realiza um teste Sociométrico?

  1. Dados relativos a projeção de cada elemento do grupo para o grupo (preferências e rejeições que dirige a cada um dos componentes do grupo). Fornece as projeções de todos os componentes do grupo em relação a cada um dos componentes;
  2. Dados relativos a percepção que cada componente do grupo tem de si mesmo em relação ao grupo (preferências e rejeições que acredita receber dos componentes do grupo). Fornece indirectamente, a maneira pela qual um dos componentes do grupo é percebido pelos demais componentes.

Em suma: o teste de projeção sociométrica é a que fornece a projeção do individuo para o grupo e a projeção do grupo para o individuo. O teste de percepção sociométrica é a que fornece, em relação a cada individuo, a maneira pela qual o próprio individuo se percebe e é percebido pelo grupo.

Ora, depois de perceber minimamente o que isso significava, alvitrei a hipótese de escrever um software que pudesse servir de apoio psicológico a alunos de colégios privados vitimas de bullyng e detectar potenciais alunos vitimas de bullyng. Desisti depois de analisar o mercado, que não está ainda maduro o suficiente e nem tem concorrência que estimule a adoção de ferramentas de diferenciação no mercado.

Bom, sendo verdade que já la vão mais de um ano, foi com enorme interesse que presenciei a semana passada o depoimento de Christopher Wylie ex-consultor de analise de dados duma empresa até então desconhecida pela maior parte de nós, a Cambridge Analytica e também contra o Facebook.

chrys wylie

Wylie acusou a Cambridge Analytica de ter manipulado o sentido de voto de 50 a 60 milhões de norte-americanos e do Facebook ter sido conivente com esta pratica, ter tido conhecimento dela e nada ter feito para alterar a situação.
Rapidamente a revolta disparou. Acusações e apelos contra violação de privacidade pelo Facebook foram lançados por este mundo afora.

 

 

 

 

Mas vamos por partes.

A biografia de Wylie diz que teve uma infância difícil algo desinteressante, vitima de bullyng abandonou os estudos aos 16. Sofria de dislexia. Depois de abandonar os estudos começa a trabalhar no parlamento Canadiano ainda muito jovem. Era o rapaz da Internet e da Informática. Os parlamentares gostavam dele. Resolvia os problemas. Aos 19 aprende a programar algoritmos estudando sozinho e aos 20 inicia estudos de direito na prestigiada London School of Economics em Londres.

Enquanto isso, no centro de psicometria da Universidade de Cambridge, Michal Kosinski e David Stillwell, iniciaram pesquisas para encontrar novas formas de estudar a personalidade humana, mas desta vez, por procurar quantifica-la. Em 2007 Stillwell, enquanto estudante, inicia o desenvolvimento de diversas apps para o Facebook (numa época em que os smartphones ainda não eram o principal meio de acesso), uma das quais em formato de inquérito (quiz), chamada myPersonality que se tornou imediatamente bastante popular.
Os usuários depois de jogarem eram avaliados em cinco (5) grandes traços de personalidade: Abertura, Consciente, Extroversão, Originalidade e Neuroticismo. Em troca disso, 40% deles consentiram dar acesso aos seus perfis do Facebook. É óbvio que esse engodo permitiu que não só os seus traços de personalidade fossem estudados minuciosamente, mas muito mais grave, rapidamente Stillwell encontrou uma forma de correlacionar as avaliações de personalidade e os likes que esses usuários davam em determinado conteúdo.

Claro que essa género de correlação rapidamente despertou o apetite de agências de inteligência e dos militares. Um desses tipos de correlação descoberta era algo engraçada e versava o seguinte:

”Pessoas que deram like num conteúdo que diziam ‘Eu odeio Israel’ tendiam a gostar de sapatos Nike e de chocolates KitKats”.

Bom, mas que coisa engraçada, mas também preocupante, porque era a mais pura verdade.
Mas como chega Wylie, um licenciado em direito e programador freelancer a envolver-se nessa narrativa?

Bom, já mencionamos a pouco tempo que as agências de inteligência e militares começaram a interessar-se por este assunto. Se Stillwell estava envolvido em criar apps, Kosinski por outro lado recebeu patrocínio da Boeing e da sempre insuspeita agência de defesa Norte-Americana, a DARPA para um doutoramento nesse âmbito de pesquisa.

Respondendo a pergunta, é bom saber que Wylie por seu lado, já havia iniciado estudos de doutoramento em ‘Previsão de Moda’, um destes cursos estranhos, inovadores e fortíssimos que só existem nos EUA e que mistura estatística, probabilidades, psicologia e sociometria para determinar tendências de moda nas próximas mudanças de estação. Em suma, você consegue perceber que as grandes cadeias de moda já não lançam roupas só por lançar. Elas, analisando o perfil de consumo da população conseguem determinar o que elas tenderão a consumir mais na próxima ‘safra’, isto é, na mudança de estação.

Bom, Wylie dá de caras com um artigo de doutoramento de Kosinski e tem aquele momento EUREKA que, convém dizer, ele não foi o único a ‘despertar’ pra realidade vindoura, mas foi aquele que percebeu a efectividade do assunto numa área que ele dominava bem e estava por dentro como funcionário do parlamento Canadiano pelos Liberais Democratas. Wylie que andava sem ideias, rapidamente procurou encontrar uma resposta ao insucesso dos liberais nos sufrágios, ao olhar em dados demográficos dos votantes e perceber que não existia qualquer correlação entre a sua posição geográfica e as ideias por eles advogadas. Não havia uma grande concentração demográfica de liberais. Estavam demasiado dispersos geograficamente e não existia uma explicação porque isto assim era.
Segundo Wylie, baseado no artigo de Kosinski, um típico liberal, é uma pessoa com personalidade altamente aberta, com baixo grau de consciencialização. Ninguém espera dum Hippie um alto grau de desconfiança em relação a novas ideias. Wylie propõe uma solução aos liberais para melhores resultados em futuros sufrágios, por captar novos votantes usando analise de dados, mas rapidamente é desacreditado. Ninguém dá valor a sua ideia inovadora.

Foi então que alguém dos liberais apresenta Wylie e sua ideia a alguém da empresa SCL Group que mais tarde viria a dar origem a Cambridge Analytica, esta que tinha clientes que variavam de governos, agências e militares.

Alexander Nix apresentacao

Alexander Nix

É ai onde entra o polémico Alexander Nix CEO da Cambridge Analytica. Talhado para o sucesso, antes da Cambridge Analytica foi analista financeiro e na infância foi educado numa escola aristocrática no Reino Unido.

 

 

Nix, concede totais poderes a Wylie:

‘Experimente todas suas ideias malucas’ vocifera ele a Wylie!!!

Wylie é enquadrado na Cambridge Analytica como director de pesquisa, envolvido em operações psicológicas, algo como mudar a opinião das pessoas não através de coação ou persuasão mas por meio de domínio da informação, uma amalgama de técnicas que vão desde a disseminação de rumores a desinformação e fake news (noticias falsas).

Steve Bannon

É assim que Wylie conhece o controverso milionário da industria cinematográfica de Hollywood e líder da extrema-direita Steve Bannon (na foto acima). Bannon ouviu falar da Cambridge por meio dum militar. Wylie diz que Bannon amou sua ideia e decidiu então ‘estender’ o apoio por angariar financiamento. Foi então que Nix, Wylie e Bannon viajam a New York para um encontro em Manhattan com o sinistro pioneiro da Inteligência Artificial, cientista e multimilionário dos mercados financeiros Norte-Americanos, o Eng. Robert Mercer apoiante da extrema-direita e sua filha Rebeka, licenciada em matemática, executiva gestora de fundações da direita.

 

Mercer e sua filha Rebeka

Para Mercer a apresentação de Wylie foi ouro sobre azul. Ele entendeu rapidamente do que se tratava, era algo muito próximo a sua área, ele é um cientista da computação artificial, Wylie um especialista em interpretação de dados de enorme dimensão. Mas nem por isso foi tão fácil assim convencer Mercer de que aquilo funcionava. A apresentação de Wylie era baseada num artigo de Kosinski denominado “Computer-based personality judgments are more accurate than those made by humans”, algo como ‘As análises de personalidade feitas por computador são muito mais precisas que as determinadas por humanos’.

Mas era tudo muito teórico. Ao contrario do que geralmente acontece em reuniões de negócios do género, Mercer, sendo a pessoa mais rica na sala, não era propriamente a mais ingénua, pelo contrario. Pediu provas práticas. Queria vê-la funcionar. Dinheiro para investir não faltaria.

Portanto, para provar que sua ideia funcionava, Wylie precisava de coloca-la em teste e para isso precisava de perfis psicológicos de muitos, mas muitos usuários.

Como conseguir esses milhões de dados?

É aí onde entra a empresa GSR (Global Science Research) criada por um ambicioso génio Moldavo/Russo/Americano da Psicologia, o professor Alexandr Kogan da universidade de Cambridge (e também de St. Petersburgh).

Kogan em si, não criou nada de novo. Só chegou a um acordo com Wylie depois do segundo falhar negociações com Kosinski. Kogan também teve acesso a pesquisa de Kosinksi e propôs a Wylie ir um bocado mais longe: replicaria o trabalho de kosinski e Stillwell desde que estes fossem colocados a parte de qualquer acordo milionário com Kosinski. Para livrar-se de suspeitas de invasão de privacidade, ele promete a Wylie e ao Facebook que os dados dos usuários serão obtidos para futuros estudos no ramo da psicologia.

Com os milhões de Mercer na mão, Kogan parte para a ação. É inteligente e percebe que para ganhar tempo precisa aliciar pessoas. Recorre a plataforma de contratação da Amazon, a Amazon Turks onde paga a voluntários para realizarem testes de personalidade numa aplicação por ele desenhada chamada de thisismydigitallife. É claro que não era uma aplicação normal. Confiantes com o dinheiro no bolso estes voluntários concedem acesso a aplicação a sua conta do facebook. Nada anormal, aparentemente!!!

Kogan, sabia que o Facebook não era muito rígido na forma como as apps acediam a dados dos usuários e dos seus amigos. Teve a vida facilitada. Basicamente Kogan pagou com dinheiro a 320.000 voluntários que tinham uma média de 160 amigos. Isso dá uns absurdos 51 Milhões de pessoas captadas em apenas algumas semanas. É muito dado, e é muita informação para entregar a Cambridge Analytica. Kogan ri-se, e ri-se assim porque além dos bolsos cheios, o Facebook pouco ou nada fez para trava-lo, mesmo tendo sido alertado pelos seus poderosos algoritmos de segurança baseados em inteligência artificial. Kogan simula e diz que é para pesquisa científica. Matreiro!!!

E o que isso tem exactamente a ver com a Sociometria?

Bom, a Sociometria em si, é uma ciência derivada da sociologia e da psicologia que se concentra no estudo matemático dos caracteres e perfis psicológicos dos conjuntos sociais, não considerando o homem como um elemento individual no seio dum grupo, mas concluindo que enquanto participante dum grupo, o resultado das acções deste grupo não pode ser encarado como a soma das acções individuais de cada membro, mas sim que cada membro participa de quadros e processos, fenómenos psicossociais que analisados permitem percepcionar o comportamento de cada membro do grupo.

Kogan embora psicometrista, conhecia perfeitamente este fenómeno e percebeu claramente que se conseguisse perceber a estrutura psicológica duma determinada amostra social, mais facilmente conseguiria produzir conteúdo que pudesse espalhar o medo, o ceticismo, a dúvida e a solução. O Facebook faria o resto com a sua anterior politica de desleixo em relação as fake news. E foi isso que fez, usando a preço de banana uma plataforma que tem mais de 1 bilião de utilizadores cadastrados. Assim foi feito e a Cambridge Analytica produziu depois conteúdo relevante em formato de publicidade paga por meio dum competente trabalho de Search Engine Optimization (SEO).

Nao tenha medo. Este tipo vai baixar as armas em obediência a segunda emenda‘ – Mensagem subliminar que dá que pensar as ‘vitimas’

Imagens como esta a esquerda, eram difundidas na app de Kogan e serviam tão somente para iniciar o rastreio de perfil psicológico do típico Americano, receoso do efeito da liberalização das armas, mas também do alto índice criminalístico do país, um dos mais armados do mundo. O homem armado, encapuzado com balaklava, a cor preta e acinzentada realçada na colorimetria e a mensagem que sendo meia verdadeira, espalha uma semente de dúvidas e uma perspectiva sombria, foram estrategicamente bem posicionadas. Hillary e Obama defendiam abolição do porte de armas. Trump, não. O que a mensagem transmitia era sub-liminarmente entendida como estando Obama e Hillary ao lado dos criminosos. Pode parecer brincadeira, mas funciona na perfeição. Kogan sabia disso como ninguém.

Um analista experiente de marketing digital ou um bom técnico de tecnologias de informação, dificilmente cairia no goto de conteúdo desse tipo. Rapidamente detectaria fraude e fake, pelo formato do endereço, pelo site mal trabalhado, pela falta de conteúdo relacionado e contraditório, pela falta de ligação de fontes de informação etc. etc.

Mas não é assim que analisaram os milhões de Americanos e Britânicos, eles são apenas simples utilizadores, precisam de ser protegidos, não de serem máquinas de analise de formato de conteúdo pago.

Os resultados foram demasiados evidentes. Não só a Cambridge Analytica foi capaz de influenciar a saída do Reino Unido da União Europeia, como também conseguiu que o polémico empresário da hotelaria Donald Trump acedesse ao poder nos EUA.

200px-Cambridge_Analytica_logo.svg

A Cambridge Analytica tornou-se na mais sofisticada empresa de guerra psicológica

Presentemente, a Cambridge Analytica e seus executivos estão sob fogo, investigados pela justiça tanto Britânica como Americana. Nix foi apanhado praticamente com as calças na mão. Falou demais, já se achava o ‘cara’, revelou até práticas inesperadas para um executivo da industria da comunicação. Wylie abriu a boca, perturbado, pressionado ou preparado para faturar mais, com as consequências imprevisíveis e inenarráveis da máquina de guerra informativa que criou e que foi apelidada como o seu ‘Frankstein’.

Zuckerberg percebeu que tem poucos amigos

Mark Zuckerberg, CEO do Facebook descobriu depois de muitos anos, ironicamente pela sua própria ferramenta, o Facebook, que ele tem poucos amigos ao contrario do que talvez pensava porque tem milhoes de ‘friends’. Moralistas, falsos moralistas, uns mais sinceros do que outros, oportunistas e aproveitadores e uma corte infindável, rapidamente aproveitaram-se da situação para lançar mensagens de bota-abaixo contra o fundador da rede social que ficou por muitos dias sem saber como reagir, talvez percebendo pela primeira vez na vida que tinha uma ferramenta em mãos que é muito mais perigosa do que ele alguma vez imaginou e que se ele retrospectivou o seu inicio certamente que nunca imaginou que chegaria a esse ponto, um ponto que ele não deseja que seja de viragem.

WannaCry: As razões por detrás de um RansomWare

Os motivos não poderiam ser mais graves que os enfrentados hoje. Um poderoso vírus se espalha a uma impressionante velocidade e em força. Sequestra computadores, e sim!! Evitamos mesmo as aspas, porque ele sequestra mesmo. Obrigando as suas vitimas ao pagamento duma especie de coima em Bitcoins a moeda virtual digital criada por uma figura que de tão sinistra até faria o grafiteiro Britânico Banksy morrer de inveja.

Vírus que sequestram os dados dos computadores e pedem resgates, os chamados RansomWares, não são uma novidade, existem aos montões. Em Angola, pelo menos em uma vez pediram-me que auxiliasse uma situação desse tipo. Não são tão vulgares por aqui. Os seus criadores querem dinheiro e por isso escolhem a dedo os seus alvos. Africa, com excepção da Africa do Sul, não é ainda um mercado bastante atrativo. O seu burocrático sistema financeiro não facilita os pagamentos que os seus criadores tanto anseiam.

Este tipo de ameaça parece ter surgido na Russia por volta do meio da década de 2000. A principio as primeiras versões limitavam-se a comprimir arquivos selecionados, subscreviam os originais e pediam um resgate em que a contraparte (vitima) voltaria a ter acesso aos seus documentos por meio dum pagamento de algumas centenas de dólares. Consumado o pagamento, a vitima teria então acesso a password dos ficheiros sequestrados em formato .zip.

Ora, não e que isto começou por se revelar um bom negocio? Foi a isca necessária para que jovens talentosos e desempregados das nações da Europa do Leste, incluindo Romênia e mais um pouco pelo Médio Oriente, abrangendo a Turquia, encontrassem ali o ganha-pão que tanto ansiavam, esgotado que se mostrava o ‘modelo antigo de financiamento’ através de invasão a bancos, sistemas financeiros e afins. Sabe-se que estes últimos estavam cada vez mais a sofisticar-se e a ganhar experiencia de combate contra hackers.

Com as mentes brilhantes a funcionar e a enveredarem pelo ‘negocio’ era só uma questão de tempo para que se notassem esquemas de sofisticação intrigantes.

O surgimento dos Police Ransomware

Os métodos de massificação de infecção das vitimas por RansomWare contam sempre com uma modalidade não técnica, mas sim psicológica do hacking, conhecida como engenharia social. Nela as vitimas são induzidas a realizarem uma acção por meio duma mensagem falsa (fake news) e geralmente com conteúdo sensacionalista, alarmante ou gratificante.

simple-ransomware-infection-chain-1-1

Esquema de infecção por RansomWare

O uso de correio eletrônico falso não é uma novidade, mas estes hackers sabem que os usuários estão cada dia mais sensibilizados com o que recebem na caixa de correio eletrônico. Neste contexto, preferiam agora camuflar-se na capa de quem eles sabem que os usuários confiam. Não era raro por isso, invadirem servidores de correio eletrônico, sistemas de e-mail marketing e até websites de comercio eletrônico, onde disparavam landing pages contendo links para arquivos maliciosos, ou explorando falhas de segurança de browsers. Sao conhecidos casos de lojas de comercio eletrônico de grifes de luxo invadidas para esse fim. O mote não eh nada inocente. Eles sabem aonde encontrar quem tem poder financeiro, bastando para isso usar métodos de Geolocation das API’s (Application Programming Interfaces) de seu interesse e assim produzirem a mensagem correcta na língua nativa da vitima.

O aparecimento dos CryptoLocker’s e dos Crypto-ransomware’s

Rapidamente os sistemas de antivírus e antimalware tornaram-se mais eficazes no combate a este tipo de pragas, e os sistemas eram recuperados com alguma facilidade. Bom, foi exactamente isso que motivou o aparecimento dos CryptoLockers, algo bem diferente dos primeiros RansomWares que comprimiam os ficheiros em formato .zip com password, este facilmente desbloqueável.

Os CryptoLockers por seu lado usam criptografia forte e possuem uma certa parte vingativa. Ora, se o RansomWare é apagado, nada garante que os dados serão recuperados, porque estes estão encriptados com criptografia assimétrica, o que significa que existe uma chave para encriptar os ficheiros sequestrados e outra para desencriptar os mesmos ficheiros. Essa variante é bastante agressiva. Se um antivírus apaga o RansomWare, o que eh expectável, o RansomWare activa um contador regressivo no wallpaper do ambiente de trabalho ou uma janela de Graphical User Interface (GUI) do computador . Se a vitima durante esse período (que podem ser alguns dias) não realizar um determinado pagamento dum determinado montante, simplesmente perde a possibilidade de recuperar os ficheiros a menos que consiga desencriptar os ficheiros encriptados com algoritmos RSA e AES+RSA (criptografia simétrica), dizem que com chaves a 2048 bits. Isso exigiria um poder de computação brutal, só acessível a centros de computação e agencias de segurança, embora alguns fabricantes de antivírus têm liberado algumas ferramentas para tal. Ora, neste caso um antivírus é inútil. O sistema não esta mais infectado, contudo, a vitima tem todos os seus ficheiros (word, excel, txt, ppt, vídeo, musica etc) bloqueados porque estão encriptados.

A sanha chega a tanto que o Wallpaper ou a mensagem do GUI do RansomWare recomenda mesmo a reinstalação do já detectado e apagado RansomWare para conseguir realizar o pagamento, sob pena da perda definitiva da possibilidade de recuperação da chave de desencriptação, findo o prazo de pagamento do resgate.

Bitcoin, a CryptoMoeda

Para evitarem riscos de rastreamento em pagamentos de resgate recebidos e rastreados pelo sistema financeiro mundial, os Hackers começaram a preferir pagamentos em CryptoMoedas (CryptoCurrencies), um tipo de dinheiro digital e encriptado, conhecidas como Bitcoins (BTC). Em Janeiro de 2016 1 BTC equivalia a 431 U$D. Em Março de 2017 já tinha valorizado a 1.082,55 U$D.

WannaCry, um novo paradigma?

Para mim a resposta é um retumbante não. Não existe nada de novo no WannaCry que possa suscitar nos especialistas um grande alarme, a não ser o facto de que temem perder o emprego por terem as redes desprotegidas negligentemente. Sabe-se que esta versão de RansomWare tem estado a infectar milhares de computadores pela Europa, Estados Unidos e America do Sul, contudo, ainda não se sabe a sua origem, nem os motivos por detrás. O que se sabe, isto sim, é que ele tira proveito duma falha do Windows para ganhar privilégios de execução ou de técnicas de infecção por e-mail, e se replicar pela rede interna por meio da exploração duma falha conhecida no protocolo SMB do Windows.

Wana_Decrypt0r_screenshot-1

A tela GUI do Vírus WannaCry

Ora, o que espanta aqui é que estas técnicas eram também utilizadas por algumas ferramentas da Agencia Nacional de Segurança dos EUA (NSA), por isso se supõe que elas poder ao estar em mãos alheias.

A existência de ferramentas automatizadas de ataque não é algo propriamente novo no mundo do hacking. Desde o inicio dos anos 90 que elas começaram a ser criadas, primeiro por Wietse Wenema e Dan Farmer, depois a Federal Bureau of Investigation (FBI) com o tenebroso farejador de pacotes Carnivore que desenvolveu-se para algo mais sofisticado com o conceito PRISM da NSA. O inicio dos anos 2000 foi a galinha dos ovos de ouro desse mercado com o aparecimento duma amalgama deles, dos mais eficientes aos mais óbvios, a maior parte a explorar falhas de segurança no Windows. As ferramentas da NSA apenas vieram a tona por meio das revelações do ex-espião Norte-Americano Eduard Snowden, entretanto foragido em Moscovo.

A culpa não pode morrer solteira

O admirável neste imbróglio é a revelação espantosa, que grandes instituições como Portugal Telecom, EDP, Ministério do Interior Russo, Hospitais Londrinos e tantas outras tenham se deixado infectar porque mantinham em funcionamento computadores sem as actualizaçoes de segurança. Ora, vejam só!! Actualizar computadores em rede é tao só mais difícil quanto são as burocracias do pessoal da administração da rede, descansadinha na tipoia dos antivírus e firewalls de borda, esquecendo por completo o usuário final, este muito mais vulnerável a actividades de crimes informáticos. De nada adianta proteger a fronteira, se o interior não esta preparado e poderia estar com uma simples actualização do sistema já a muito disponibilizado pela Microsoft. No entretanto é de notar o diminuto grau de infecção por parte de usuários singulares do Windows, o que pode ser explicado primeiro, porque os seus sistemas se actualizam automaticamente pelo Windows Update e segundo, por causa da segmentação natural das redes provedoras de serviço.

Propagacao wannacry

Como o WannaCry se espalha na rede

Neste contexto, a culpa não pode morrer solteira. Não se pode agora acusar a Microsoft de ser o menino mal comportado. Não é verdade!! Não seria até anormal encontrar copias de Windows piratas, mesmo havendo licenças disponíveis e compradas, mas que por mero capricho não foram simplesmente actualizadas. Usar copias piratas do Windows é uma faca de dois gumes. Você não tem garantia de nada, nem de reclamar com o fornecedor.

Esquemas de protecção

Proteger-se pode ser tao simples quanto a simples capacidade de nos vermos vitimas dessa situação. Isto é como na vida real: A não ser que exista uma catástrofe e elas acontecem, nunca devemos descurar os cuidados básicos: manter o sistema actualizado, não baixar arquivos potencialmente danosos, usar um browser seguro como o google chrome, não usar sites de compartilhamento duvidosos, manter um bom antivírus sempre actualizado. Para os administradores de rede, devem manter restrições ao protocolo SMB, ou corrigir as falhas dele nos dispositivos finais, devem procurar segmentar a rede por meio de VLAN’s, activar as rules adequadas nos sistemas de deteccao de intrusos (IDS) e configurar correctamente os firewalls de borda.

PRISM: Isso é alguma novidade?

Não tenho duvidas que já não adianta falar mais sobre o PRISM, porque quase tudo já foi revelado a imprensa sobre ele. Sua capacidade de aceder facilmente aos dados pessoais de quem quer que seja com um ou dois cliques no rato, espantariam até pessoal optimista da craveira de George Orwell.

O PRISM é ‘abastecido’ de informações de diversas fontes diferentes

No entanto, muito mais do que ficar espantado com o PRISM, fiquei mesmo, sim admirado, com o espanto das pessoas perante revelação da existência de tal programa. É que ao que consta daquilo que venho acompanhando desde 2000/2001, o PRISM já existia, embora parece que com outros nomes, ou seja os EUA sempre tiveram os seus sistemas de vigilância electrónica.

Vamos então a uma resenha, se você esqueceu, provavelmente lembrará da maior parte deles:

1 – FBI Carnivore

Esse sistema de vigilância electrónica deu que falar no inicio de 2000. Tratava-se entretanto de algo bem ‘simples’. Um computador com Windows NT ou 2000 e um software farejador de pacotes em modo promiscuo (ou seja, ‘recebia’ tudo) que ficava estrategicamente posicionado nos provedores Internet de interesse da vigilância do FBI. Como eram muitos dados a serem recebidos em submúltiplos de segundo, o software actuava como um classificador de dados, armazenando e descartando informação. Essa forma de actuação do software, bem como o facto de ter sido revelado a imprensa fizeram o FBI descontinuar o seu uso.

A repercussão dele foi tanta que tive um colega em 2001 que dizia de pés juntos que conhecia pessoas em Luanda que usavam o Carnivore. Claro que o colega estava a viajar, mas deu para medir o impacto da informação sobre o Carnivore (também, com um nome desses?).

2 – Prosecutor’s Management Information System (PROMIS)

As informações sobre o PROMIS são tão movie style que até hoje me pergunto se realmente chegou a existir. Em 2000/2001 dizia-se que era um software que podia saber o numero da sua conta bancaria, e rastrear suas transacções financeiras em qualquer parte do mundo, aliás este foi o objectivo numero um da sua criação. Diz-se dele que não dependia da Internet para transmissão dos dados colectados, mas sim, ficou teorizado que o PROMIS era vendido e introduzido nas empresas alvo juntamente com hardware. Este ultimo tinha instalado secretamente um sistema de transmissão dos dados recolhidos via espalhamento espectral, o que até faz todo sentido, porque quem leu um bocado de técnicas de modulação CDMA sabe que o sinal aparece como ruído e os códigos de espalhamento pseudo-aleatórios tornam difícil a interpretação da informação.

Entretanto, entre informações ‘enroladas’, como por exemplo, aquele que dava conta que Bin Laden tinha uma copia dele (é, vocês devem lembrar do ‘computadorzeco’ encontrado em Abbottabad, lol), praticamente nunca foram confirmadas, por fonte oficial. Hoje já quase que não existem pessoas interessadas em falar sobre ele.

3 – National Security Agency (NSA) ECHELON/Five Eyes/UKUSA

Esse é o único que eu acredito que podia existir. Trata-se já, dum sistema de maior dimensão e com uma abrangência geográfica bastante interessante, passando pelos USA, UK, New Zealand e Austrália. Diz-se dele como um conjunto de sistemas SIGINT (Signal Intelligence) capazes de interceptar comunicações que envolvam transmissões radio, fax, email e web. Para isso beneficia-se de estar  instalado estrategicamente e com recursos tecnológicos de elevada capacidade de intercepção via rádio e via sistemas de comutação de provedores de telefonia e Internet.

File:120715 Grondstation Nationale SIGINT Organisatie (NSO) Burum Fr NL.jpg

Por outro lado, poderosos filtros que actuam em tempo real conseguem classificar a informação de forma mais apurada e ‘disparar alarmes’ para interceptores, escutas e gravadores de dados e voz. Essas características fazem dele algo diferente do ‘modesto’ Carnivore.

4 – National Security Agency (NSA) PRISM

Os anos foram passando, veio o 11 de Setembro, o nível de vigilância electrónica aumentou, mas sobretudo também, apareceu um novo conceito da utilização da Web: As redes sociais. A quantidade de informação que essas redes começaram a gerir era dum espanto brutal. Sempre se disse, e sempre se desconfiou que Microsoft, Google, Facebook, etc, entregavam dados de quem quisessem a quem ‘de direito’ pedisse. Essas informações nunca foram confirmadas por essas empresas e até hoje mesmo com o escândalo do PRISM e que envolve também um outro escândalo recente envolvendo escutas na telefónica Verizon, continuam veementemente a negar qualquer envolvimento. E nós estamos a falar de volumes de dados completamente ‘galácticos’. Só o Facebook possui mais de 50 biliões de fotos e 1 bilião de utilizadores. O Google transacciona milhões de comunicações e pedidos por segundo, portanto gerir e interpretar isto não é brincadeira de crianças. Ou pelo menos não era até a bem poucos anos, porque de um tempo a esta parte foram sendo feitos avanços importantes na interpretação de dados, reconhecimento facial e reconhecimento de voz, ao ponto de termos disponíveis em dispositivos domésticos como Smartphones e televisores inteligentes. São esses avanços que permitiram a  Edward Snowden sentar na sua cadeira na sede da NSA e saber da vida de quem ele quisesse saber, sem supervisão de ninguém.

No meu entender só pode se espantar com essas informações quem tem algo a esconder. Quem não tem nada a esconder não tem motivos para estar preocupado com o facto de existir uma rapaziada que gosta de andar ao ‘farejote’ de informações sobre a vida dos outros. Pensar que um país como são os USA se mantém de pé, sem andar ao ‘bisbilhote’ da vida alheia é pura ilusão. E vão continuar independentemente de quem reclamar disso. É a conjuntura dum sistema mundial que está no seu fim e não tarda irá colapsar.

Protecção e redundância de Links em cortes de meios de transmissão ópticos I

Quando o fluxo de dados num meio de transmissão guiado como um cabo de fibra óptica é interrompido, recorrem-se a técnicas de  protecção de tal modo que os usuários finais não sintam os efeitos da interrupção  até que a junção do cabo seja novamente realizada.

Continuidade de serviços em caso de falhas é um factor importante nas redes Multi-Serviços. Serviços críticos não podem ser interrompidos por causa da falha duma interface numa carta (IOC, SPC). Neste contexto é extremamente recomendável prover protecção de interfaces tributárias.

Cisco ONS 15454 SDH Multiservice Provisioning Platform (MSPP) com diversas cartas e interfaces

Cisco ONS 15454 SDH Multiservice Provisioning Platform (MSPP) com diversas cartas e interfaces

 

Quando se fala em protecção, interessa-nos falar em protecção de equipamentos e protecção do anel.

 

A protecção de equipamentos

É importante, já que uma MSPP é um equipamento crítico na rede que fornece conectividade a vários outros como comutadores e encaminhadores. Ela é realizada duplicando as cartas e a ligação entre elas. Alguns destes esquemas de protecção são os seguintes:

  • 1:1 – Uma única carta de protecção não activa, protege uma carta activa. Se a carta activa falha ou é removida, o tráfego comuta para a carta de protecção.
  • 1:N – Uma única carta de protecção não activa, protege múltiplas cartas activas. Como no caso do esquema 1:1, este esquema é muito usado para protecção de interfaces TDM de domínio eléctrico.
  • 1+1 – Este é um esquema de protecção óptica, onde uma carta ou porta não activa protege uma única carta activa ou porta numa carta multi-porta.

Protecção de interfaces de camada superior

Tal como cartas Ethernet nativas, estas estão geralmente desprotegidas. Elas podem ser protegidas instalando cartas separadas a 100Mbps ou até mesmo no padrão Gigabit Ethernet[1] com ligações a um comutador ou encaminhador. É realizado então balanceamento de tráfego entre o MSPP e o comutador ou encaminhador.

Proteccao por Topologias

As topologias são muito importantes no desenvolvimento duma rede Multi-Serviços, já que elas determinam como o esquema de protecção do anel será realizado e a capacidade total de transporte de payload (i.e. Carga ou informação útil). Diversas topologias podem ser adoptadas, com diferentes níveis de resiliência e capacidade transporte de tráfego.

Topologia Linear

Topologias lineares são geralmente usadas quando o tráfego é encaminhado entre dois nós, num modo ponto-a-ponto ou ponto-a-ponto mas com inserções e extracções de tráfego ao longo do caminho. A figura abaixo ilustra essa topologia:

 

Topologia Linear 01

Topologia Linear

 

No cenário acima, cada nó necessita de duas interfaces ópticas que podem estar em cartas separadas ou em diferentes portas ou interfaces ópticas na mesma carta multi-porta. Este tipo de protecção 1+1 faz com que se uma das interfaces e sua fibra de serviço em qualquer nó é activada a outra interface é considerada inactiva e serve como interface de protecção. Se ocorre uma falha na interface activa, a interface inactiva de protecção, assume o tráfego.

Aconselha-se, por motivos de diminuição de riscos a manter-se sempre as interfaces activa e inactiva de protecção, em cartas diferentes.

Tratando-se de uma cadeia de inserção/extracção de tráfego para outro nó, um nó necessitará sempre de quatro interfaces. Duas delas para a zona Este e as outras duas para a zona Oeste. Nas duas zonas uma delas será Interface activa e outra, interface de protecção como ilustra a figura abaixo:

Topologia Linear com cadeia de inserção extracção 02

Topologia Linear com cadeia de inserção extracção



Topologia UPSR (Unidirectional Path-Switched Rings)

Este tipo de topologia, usa um esquema de protecção 1+1, de tal forma que o tráfego originado num determinado nó é enviado simultaneamente pela interface e fibra activa no sentido horário e pela interface e fibra de protecção no sentido anti-horário, conforme ilustra a figura abaixo:

Topologia UPSR 03

Topologia UPSR

Este tipo de topologia unidireccional, é recomendado nos casos em que é necessário que um conjunto de circuitos necessita de ter um ponto comum de escoamento de tráfego.          Um exemplo disso seria uma rede corporativa[2] com uma rede privada[3] em que um conjunto de filiais tem acesso a Internet[4] a partir da sede.

Topologia MS-SPRING (Multiplex Section Shared Protection Ring)

Na terminologia SONET, esta topologia é conhecida como BLSR (i.e. Bidirectional Line Switched Ring). Ela divide-se em duas categorias: anéis de duas fibras, e anéis de quarto fibras. Estes anéis são bidireccionais. Outra diferença fundamental, entre esta topologia e a topologia UPSR é que a MS-SPRING não é limitada pela capacidade de débito binário do anel.

No caso do MS-SPRING de duas fibras, um par de fibras ópticas é usado para ligar os nós MSPP tal como na topologia UPSR. No entanto, aqui o tráfego da origem ao destino é encaminhado em apenas uma direcção ou pela rota Este ou pela Oeste. Na direcção oposta é mantida capacidade sobressalente de débito binário para reserva em caso de falha, ou seja, metade do débito binário é atribuído ao tráfego activo ou de serviço e a outra metade é mantida em reserva para fins de protecção, como ilustra a figura abaixo:

Topologia MS-SPRING de 2 fibras 04

Na figura 2.10 é atribuída cerca de 5Gbps para cada direcção. Um SONET OC-192 equivale a um SDH STM-64 ou mais precisamente 10Gbps.

Topologias MS-SPRING de 4 fibras duplicam o débito binário de topologias MS-SPRING de 2 fibras, com a desvantagem de requererem custos adicionais e recursos de instalação mais complexos. Entre nós adjacentes, são necessárias quatros fibras ou dois pares de fibras.
Duas dessas fibras são utilizadas como fibras activas ou de serviço e as outras duas são utilizadas como fibras de protecção. Neste caso o débito binário completo, por exemplo um OC-192 ou SDH STM-64 é atribuído as duas fibras activas ou de serviço, como ilustra a figura abaixo:

Topologia MS-SPRING de 4 fibras 05

Se entre dois pares de fibras num segmento acontecer algum problema tal como um corte, uma comutação rápida é realizada para outro par de fibras no mesmo segmento, como ilustra a figura abaixo, onde dois pares de fibras de serviço entre os nós 1 e 2 foram afectados por alguma falha grave:

Comutação de Fibra em topologia MS-SPRING de 4 fibras 06

Por outro lado se acontece algum problema nos dois pares de fibras num segmento uma comutação de anel é realizada como ilustra a figura abaixo:

Comutação de anel em topologia MS-SPRING de 4 fibras 07
Fontes:[1] DURKIN, Jim; GOODMAN, John; HARRIS, Ron; FERNANDEZ-POSSE, Frank; REZEK, Michael; WALLACE, Mike.

Building Multiservice Transport Networks

Cisco Press, USA, 13 Julho, 2006.

[2] BAIÃO, Nataniel [Implementação duma rede Voz sobre IP num ambiente Multi-Serviços: Usando ambiente de simulação por computador para projectar Qualidade de Serviço, UCAN]


[1] Entrega débitos binários na ordem dos 1 Gigabits por segundo

[2] Rede pertencente a uma corporação. Mesmo separada geograficamente é vista como uma só.

[3] Rede cujos dados não são interpretáveis do fora da rede corporativa.

[4] Rede mundial de computadores

Facebook Viruses: Uma análise e aprenda a proteger-se

O SNNAngola bem tentou. Toleramos durante algum tempo que passasse qual ventania de furação, ao nosso lado. Mas não podíamos ficar impávidos e serenos a toda ‘violência’ que assistimos com a infecção de milhares de usuários do facebook por parte de vírus.

Cabe-nos pois desmistificar, desmontar, mesmo se possível, esta teia, este emaranhado sofisticado. Já não constitui novidade nem para o mosquito que ronda o nosso PC que existe um elevado numero de infecções por vírus no facebook.

Estas infecções daquilo que pudemos pesquisar, são divididas em 3 esquemas: Atracção, infecção e disseminação.

Os esquemas de atracção.

a)

Temos assistido nos últimos tempos a um crescente aumento de comentários e posts em mural do tipo:

1 – ‘Mudei cor do meu perfil no facebook: Descubra como’.
2 – ‘Veja quem visitou seu perfil’.

b)

Não são raros os casos em que são promovidos links com conteúdo inapropriado, pornográfico e noticias sensacionalistas. Esses links ou vem acompanhados de supostos vídeos (que não são) ou de links para conteúdos.

Os esquemas de infecção.

Um dos esquemas de infecção usados por estes vírus são por meio da instalação das facebook app’s. O usuário sem saber, ao permitir a instalação dum aplicativo na realidade esta concedendo permissões a uma app maliciosa que vez por outra posta no seu mural mensagens apelativas que supostamente permitiriam realizar mil e uma maravilhas como ver quem visitou seu perfil.

A dado momento o SNNAngola pensou que esse esquema fosse o mais utilizado. No entanto ao analisarmos a lista de app’s instaladas de alguns usuários do face infectados ficamos chocados ao perceber que não havia uma app que realizava tais acções. Das duas uma: Ou a app escondia-se da lista ou o esquema de infecção não usava qualquer app.

Preferimos acreditar na segunda opção e imediatamente nos perguntamos: Como um usuário era infectado só por clicar num segundo link? Foi aí que me lembrei que o ingénuo era eu, sim, até parece que nunca tinha visto isto antes. Percebi a gravidade do assunto, a conclusão será chocante.

O esquema em cascata funciona da seguinte forma:

1 – O usuário vê um link nas actualizações ou comentários do face que o atrai.

2 – O usuário clica nesse link.

3 – Esse link o redirecciona para uma pagina especialmente preparada para infectar o computador do usuário, geralmente instalando um vírus no seu computador ou uma extensão no navegador.

4 – Esse vírus consegue capturar os dados de login do usuário como seu e-mail ou senha de acesso. Com isso ele pode permitir que um hacker instale remotamente outros vírus, desactive o teu antivírus, instale app’s no face. No entanto o mais usual é  vírus provocar uma infecção em cascata, isto é postando um link no teu mural como seu fosse você que tivesse feito isso com um convite usual do tipo: ‘Mudei cor do meu perfil no facebook: Descubra como’.

5 –  Esse esquema se espalha de usuário a usuário.

O esquema de disseminação.

O esquema de disseminação é absolutamente risível: Engenharia social. Só cai quem acredita no fiasco do link. Incrível e básico, mas funciona. E este esquema pode funcionar por meio do mural ou por meio do envio de e-mail.

Como proteger-se?

Não existe, pelo menos até agora, um esquema 100% fiável por parte do facebook para evitar situações como esta. E a razão disto é simples. Qualquer link pode ser postado num mural. Complicado seria o esquema de verificar que é malicioso. Isso seria mais fácil com a denuncia dos usuários, mas a maior parte deles nem imagina que está infectado.

No entanto, existem sim precauções que tomadas podem ser eficazes para proteger-nos contra vírus no facebook. O SNNAngola recomenda algumas delas:

1 – Mantenha seu navegador actualizado. Isto diminuirá a probabilidade dum vírus se aproveitar duma falha de segurança para instalar-se no teu computador.

2 – Tenha consciência das extensões que você tem instalada no seu navegador. Alguns vírus disfarçam-se de aplicações conhecidas para dificultar sua detecção. Nunca instale muitas extensões para não dificultar sua gerência.

3 – Sempre que for instalar uma facebook app verifique quais permissões ele está pedindo.


4 – NUNCA acredite em apps e links que te prometem ver quem visitou seu perfil, ou que te prometam mudar a cor do seu facebook. Sao duas das coisas que o face não permite fazer e não tão cedo permitirá.


5 – Use um antivírus que seja eficiente. Recomendamos o Avira.


6 – Nunca clique em links estranhos. Principalmente de vídeos embutidos no face via actualizações de mural. Desconfie sempre de links estranhos e com propostas estranhas do tipo ‘mudei a cor do meu facebook’.

7 –  Nunca use o facebook sem utilizar Secure HTTP, ou seja em vez de http://www.facebook.com você deve ver https://www.facebook.com

OBS: Mesmo no meio da escrita desse post saiu uma noticia no Brasil a indicar que um grupo de pesquisadores descobriu que esse esquema de disseminação de vírus alimenta uma poderosa industria criminosa com origens no Brasil e que parece movimentar milhões de dólares com promessa de visita e venda de links.

Links

https://www.facebook.com/security

https://www.facebook.com/notes/facebook-security/link-shim-protecting-the-people-who-use-facebook-from-malicious-urls/10150492832835766

Dos exageros do dr Richard Stallman a liberdade de Kim ‘KIMBLE’ schmitz

1 –

Richard Stallman, não tenho duvidas, é hoje uma figura menos influente do que era 5 anos antes ou então eu ando mesmo desligado de tudo. Formado em física pela universidade de Harvard e depois pelo MIT onde foi colaborador no departamento de Inteligência Artificial, RMS como é vulgarmente conhecido sempre foi polémico em quase tudo até ao ponto de rejeitar emprego nas maiores empresas de computação do mundo para se dedicar exclusivamente ao sonho ‘contra natura’ do software livre, com seu modelo de licenciamento GPL que permite a partilha de código fonte por quem quiser.

Isso parece tão contrastante numa sociedade ‘cruel’ e capitalista como a sociedade Americana onde vingam apenas as mentes mais brilhantes ou oportunistas. RMS está no primeiro grupo.
Ele queria criar um sistema operativo livre conhecido como GNU (GNU is Not Unix) cujo seu kernel conhecido como ‘Hurd‘, quase 30 anos depois não saiu praticamente da prateleira (anda em desenvolvimento até hoje).
Na verdade RMS não seria tão influente se o génio Finlandês da computação Linus Torvalds não tivesse criado no inicio dos anos 90 o Linux um sistema baseado no Unix mas que se diferencia por poder rodar em maquina não mainframe.

RMS não entendeu isso. Resultado: Linus Torvalds hoje trabalha na Linux Foundation, tornou-se milionário e é reconhecido como moderado. RMS é encarado como um chato politiqueiro de plantão sem ideias técnicas inovadoras.
Não que ser rico transforme Linus em feliz e RMS em infeliz. A verdade é que a fronteira já foi traçada, chega de tentar impor por meio de projectos-de-lei e associações. Deixem o mercado assumir o que é melhor, software livre ou proprietário.

RMS esteve esta semana em Portugal e destilou para fora tudo o que ele pensa. Para vocês não acharem que eu exagero basta lerem a ultima entrevista dele, onde já não aceita o contraditório e nem admite algo contrario.

Eu sou a favor do software livre e open source (sem ele eu não saberia o pouco que sei) e não é de hoje, posso dizer que fui até dos primeiros em Luanda a criar tutoriais sobre softwares livres. Comecei a estudar ‘agressivamente’ comandos do Unix em 2001 e fiz a primeira certificação em Linux em 2003. Sou da época do Debian woody, Slackware e Conectiva Linux.

Mas não podia cair no ‘truque’ de Stallman em achar que todo código tem de ser aberto e sob o licenciamento GPL, não teria sentido, a propriedade intelectual e a concorrência cairiam em descrédito.
Não defendo aqui praticas agressivas das grandes companhias como Oracle e Microsoft. Mas ele melhor do que eu sabe que a Índia exporta mais de 1.000.000.000 USD em software por ano e isso já mete pão na casa de muita gente.

2 –

Por falar em pão, alguém andava a contribuir para tira-lo da casa de muito boa gente a favor de sua boa vida num bairro luxuoso qualquer de Auckland na Nova Zelândia. Refiro-me a nada mais nada menos que Kim ‘KIMBLE’ schmitz.

kim 'kimble' schmitz

Sinceramente, quem conhece o senhor Kim é que não se surpreendeu nada ao saber que afinal ele era a ‘mente brilhante’ por detrás do Megaupload, aquele site fantástico onde você podia baixar os filmes do James Bond como se eles tivessem sido produzidos a custo zero.

A primeira vez que ouvi falar do Kim foi em 2001 após os ataques de 11 de Setembro as torres WTC. O mundo esperançoso de heróis ouviu falar dum tal Alemão Kim ‘KIMBLE’ schmitz que havia acabado de criar um grupo de hackers designado por YIHAT (Young Intelligent Hackers Against Terrorism). Este grupo, dizia Kim, conseguiu aceder a um conjunto de contas supostamente ligadas a Bin Laden num banco do Sudão e as enviou para um departamento qualquer da luta anti-terrorismo nos EUA. Que isso fosse verdade só o senhor Kim pode explicar.

Mas mesmo já naquele tempo o senhor Kim não enganou os mais atentos e aqueles que já o conheciam, aliás estas pessoas sempre duvidaram da sua capacidade técnica como suposto hacker renomado (nunca ninguém viu grande novidade no que ele fazia e dizia) e viram no tal YIHAT mais uma oportunidade dele para ‘aparecer’ na midia como bem gostava.

O que se sabe é que antes de 2001 Kim estava preso na Alemanha por uma qualquer fraude financeira ou informática. Saiu da prisão, criou uma empresa de segurança foi bem sucedido em vende-la, tornou-se milionário e começou a pensar em multiplicar o seu dinheiro, nunca abdicando dos seus direitos de ‘aparecedor’ fosse nos jornais do ocidente, fosse na Tailândia onde tirava fotos pomposas em Kuala Lumpur a frente dos Petronas Towers em Mercedes topos de gamas e exibindo sempre o seu fato e o seu charuto ao lado de bonitas jovens.

Depois disso desapareceu. Sempre procurei por ele, mais de 5 anos a tentar saber onde ele andava. Nem precisei procurar mais. Foi apanhado na Nova Zelândia a dirigir um monstruoso serviço de partilha de ficheiros o famoso MegaUpload. Os prejuízos para as produtoras são enormíssimos: Milhões de dólares perdidos a troco da boa vida do senhor KIMBLE e sua trupe, que afinal, dizem, la na Nova Zelândia, não perdeu o jeito, também gostava de se exibir e dizer de boca cheia que era um dos 5 mais ricos do país. Foi apanhado com as calças na mão numa luxuosa mansão rodeado de dinheiro, espingardas e carros luxuosos de milionários custos. La dentro da mansão: Uma infra-estrutura de rede e hardware de fazer inveja a muitas empresas, tudo a dar suporte ao Megaupload.

Admirou-me sim, foi ver boa gente a defende-lo em nome da liberdade. Até o meu amigo COG caiu nessa (ele foi enganado, confesso hehe). Qual liberdade, qual que? A liberdade do Kim e do Megaupload deve acabar onde inicia a dos dinheiros perdidos do pessoal de Hollywood e etc. O senhor Kim sabia bem o que estava sendo partilhado lá, negar isso é brincar com coisa seria. O pessoal quando quer um filme ou o ultimo álbum da Madonna vai ao Megaupload. Quando quer partilhar o trabalho da escola envia um email aos colegas, so isso.

Implementando Firewalls baseadas em zona (ZFW) com zona desmilitarizada (DMZ)

Desde que a Cisco os introduziu em 2006, firewalls baseadas em zona (ZFW) são a ‘bola de vez’. São stateful firewalls poderosas que também permitem application inspection. Ja vimos no post anterior que antigas implementações representavam um esforço grande em termos de escalabilidade e gestão. Com a introdução do conceito de zonas as interfaces dum encaminhador ou dum comutador de camada 3 pertencem a uma determinada zona ou a nenhuma zona.

Depois disso, são estabelecidas relações (policy) entre esta e outras zonas. Se nenhuma policy for atribuída a interfaces pertencentes a zonas o tráfego estará sujeito a condição de deny all ou seja será negado tráfego da interface e para a interface. Para determinar a que tráfego será aplicada uma determinada policy são criadas class-maps. Class-maps permitem identificar tráfego vindo a determinada interface.

Entre uma zona e outra podem existir um determinado numero de relações, a saber:

  • A zone must be configured before interfaces can be assigned to the zone.
  • An interface can be assigned to only one security zone.
  • All traffic to and from a given interface is implicitly blocked when the interface is assigned to a zone, except traffic to and from other interfaces in the same zone, and traffic to any interface on the router.
  • Traffic is implicitly allowed to flow by default among interfaces that are members of the same zone.
  • In order to permit traffic to and from a zone member interface, a policy allowing or inspecting traffic must be configured between that zone and any other zone.
  • The self zone is the only exception to the default deny all policy. All traffic to any router interface is allowed until traffic is explicitly denied.
  • Traffic cannot flow between a zone member interface and any interface that is not a zone member. Pass, inspect, and drop actions can only be applied between two zones.
  • Interfaces that have not been assigned to a zone function as classical router ports and might still use classical stateful inspection/CBAC configuration.
  • If it is required that an interface on the box not be part of the zoning/firewall policy. It might still be necessary to put that interface in a zone and configure a pass all policy (sort of a dummy policy) between that zone and any other zone to which traffic flow is desired.
  • From the preceding it follows that, if traffic is to flow among all the interfaces in a router, all the interfaces must be part of the zoning model (each interface must be a member of one zone or another).
  • The only exception to the preceding deny by default approach is the traffic to and from the router, which will be permitted by default. An explicit policy can be configured to restrict such traffic.

A seguinte figura ilustra uma rede com 3 zonas definidas: private, DMZ e Internet.

Implementar firewalls baseadas em zona é algo executado nos seguintes passos:

1 – Definir e configurar zonas.
2 – Definir e configurar zone-pairs (por exemplo, Internet-DMZ ou Private-Internet).
3 – Configurar class-maps para definir que tráfego irá ser permitido entre as zone-pairs.
4 – Configurar policy-maps e aplicar acções sobre uma class-map (por exemplo para a class-map class-negar-ftp, aplicar a action drop)
5 – Associar uma interface a uma zona.

O diagrama abaixo é bastante elucidativo. Trata-se duma rede com 3 zonas, a saber: FINANCE, DMZ e INTERNET.

Diagrama de Firewall com 3 zonas: FINANCE, DMZ e INTERNET

Ficaram definidas as seguintes restrições (policy) para o tráfego:
1 – TRAFFIC FROM INTERNET  TO DMZ           -> ALLOW
2 – TRAFFIC FROM INTERNET TO FINANCE -> DENY
3 – TRAFFIC FROM FINANCE TO DMZ              -> ALLOW
4 – TRAFFIC FROM FINANCE TO INTERNET -> ALLOW
5 – TRAFFIC FROM DMZ TO INTERNET           -> DENY
6 – TRAFFIC FROM DMZ TO FINANCE             -> DENY

Estas restrições tipificam o comportamento normal duma Firewall: Permitir tráfego (http e dns) da rede privada (FINANCE) para a INTERNET, mas barrar todo tráfego vindo da INTERNET. No entanto liberar tráfego (icmp, dns, ftp, tftp, http) da rede privada (FINANCE) para a DMZ (que é rede publica). Da INTERNET para a DMZ permitir também algum tráfego.

No caso da INTERNET para a DMZ foi necessário combinar a aplicação de ACL’s com class-maps ja que a DMZ comporta 3 servidores (FTP, DNS e HTTP) com endereços IP públicos. Esta ACL permitirá acesso a hosts na INTERNET a estes 3 servidores.

Vamos então a configuração:

Encaminhador SNNANGOLA FIREWALL

Hostname

hostname SNNANGOLA

Lista de acesso para tráfego que venha da INTERNET aos 3 servidores da DMZ

access-list 100 permit ip any host 195.30.30.35
access-list 100 permit ip any host 195.30.30.34
access-list 100 permit ip any host 195.30.30.35

Class-maps para definir tráfego que as interfaces das 3 zonas receberão

class-map type inspect match-any FINANCE-TO-INTERNET
match protocol tcp
match protocol udp
match protocol icmp
match protocol http
match protocol dns

class-map type inspect match-any FINANCE-TO-DMZ
match protocol tcp
match protocol udp
match protocol icmp
match protocol dns
match protocol ftp
match protocol tftp
match protocol http

class-map type inspect match-any INTERNET-TO-DMZ
match access-group 100
match protocol http
match protocol dns
match protocol ftp
match protocol icmp

Na class-map INTERNET-TO-DMZ note a existência duma correspondência com a ACL 100.

3 Policy-Maps para aplicar acção de inspect a tráfego definido pelas class-maps

policy-map type inspect FINANCE-TO-INTERNET-POLICY
class type inspect FINANCE-TO-INTERNET
inspect

policy-map type inspect FINANCE-TO-DMZ-POLICY
class type inspect FINANCE-TO-DMZ
inspect

policy-map type inspect INTERNET-TO-DMZ-POLICY
class type inspect INTERNET-TO-DMZ
inspect

Existem 3 tipos de acções que podem ser aplicadas a uma policy-map. inspect, drop e pass:

  • Drop—This is the default action for all traffic, as applied by the “class class-default” that terminates every inspect-type policy-map. Other class-maps within a policy-map can also be configured to drop unwanted traffic. Traffic that is handled by the drop action is “silently” dropped (i.e., no notification of the drop is sent to the relevant end-host) by the ZFW, as opposed to an ACL’s behavior of sending an ICMP “host unreachable” message to the host that sent the denied traffic. Currently, there is not an option to change the “silent drop” behavior. The log option can be added with drop for syslog notification that traffic was dropped by the firewall.
  • Pass—This action allows the router to forward traffic from one zone to another. The pass action does not track the state of connections or sessions within the traffic. Pass only allows the traffic in one direction. A corresponding policy must be applied to allow return traffic to pass in the opposite direction. The pass action is useful for protocols such as IPSec ESP, IPSec AH, ISAKMP, and other inherently secure protocols with predictable behavior. However, most application traffic is better handled in the ZFW with the inspect action.
  • Inspect—The inspect action offers state-based traffic control. For example, if traffic from the private zone to the Internet zone in the earlier example network is inspected, the router maintains connection or session information for TCP and User Datagram Protocol (UDP) traffic. Therefore, the router permits return traffic sent from Internet-zone hosts in reply to private zone connection requests. Also, inspect can provide application inspection and control for certain service protocols that might carry vulnerable or sensitive application traffic. Audit-trail can be applied with a parameter-map to record connection/session start, stop, duration, the data volume transferred, and source and destination addresses.

Definir e configurar zonas

zone security FINANCE
zone security INTERNET
zone security DMZ

Configurar ‘zone-pairs’

zone-pair security FINANCE-DMZ source FINANCE destination DMZ
service-policy type inspect FINANCE-TO-DMZ-POLICY

zone-pair security FINANCE-INTERNET source FINANCE destination INTERNET
service-policy type inspect FINANCE-TO-INTERNET-POLICY

zone-pair security INTERNET-DMZ source INTERNET destination DMZ
service-policy type inspect INTERNET-TO-DMZ-POLICY

As zone-pair’s sao configuradas definindo-se uma origem e um destino de trafego. Em seguida associar o mesmo a uma policy.

Atribuir uma zona a uma interface:

interface FastEthernet0/0
ip address 192.168.20.1 255.255.255.0
zone-member security FINANCE
duplex auto
speed auto

interface FastEthernet0/1
ip address 195.30.30.62 255.255.255.224
zone-member security DMZ
duplex auto
speed auto

interface Serial0/0/0
ip address 195.30.30.30 255.255.255.224
zone-member security INTERNET
clock rate 64000

Só para que conste e fique anotado se você ainda não se apercebeu:

Fa0/0 – Interface facing FINANCE subnetwork.
Fa0/1 – Interface facing DMZ subnetwork.
Serial0/0/0 – Interface facing INTERNET subnetwork.

Em seguida configurações de encaminhamento RIP version 2 e estático:

router rip
version 2
network 192.168.10.0
network 192.168.20.0
network 195.30.30.0
default-information originate
no auto-summary

ip route 0.0.0.0 0.0.0.0 195.30.30.1

Encaminhador INTERNET

hostname INTERNET

interface FastEthernet0/0
ip address 195.30.30.65 255.255.255.224
duplex auto
speed auto

interface Serial0/0/0
ip address 195.30.30.1 255.255.255.224

router rip
version 2
network 195.30.30.0
no auto-summary

Os resultados são animadores e como você pode ver não é difícil configurar firewalls baseadas em zona, alem destas possuírem uma soberba flexibilidade. E isto é apenas o começo. O poder deste tipo de firewalls é absolutamente impressionante senão único em se tratando de aplication inspection.

Fontes:

http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00808bc994.shtml
http://blog.ipexpert.com/2010/01/18/cisco-ios-zone-based-firewalls/