CPI da Espionagem na Internet

Segurança cibernética do Brasil é vulnerável, dizem especialistas

O relatório final da CPI da Espionagem Cibernética aprovado em 09Abr2014 encerra um trabalho que começou em setembro de 2013. Naquela altura já se sabia que o serviço de espionagem dos Estados Unidos e de países aliados tinham feito escutas de vários líderes internacionais, incluindo a presidente Dilma Roussef. Mais tarde ficou evidente que os alvos não eram apenas políticos. Grandes empresas como a Petrobras também tiveram seus dados eletrônicos vasculhados. Segundo o relator da CPI, senador Ricardo Ferraço, do PMDB do Espírito Santo, ainda hoje o Brasil não está preparado para se defender da espionagem eletrônica e nem de possíveis guerras cibernéticas na nuvem. 

É imperiosa a edição e implementação da política nacional de inteligência que, segundo o Senador comentou, ainda se encontra esquecida nos escaninhos do Palácio do Planalto três anos e meio depois de apreciada pelo Congresso Nacional. O relator sugeriu a aprovação de uma emenda constitucional para estruturar de forma adequada o sistema nacional de inteligência e defendeu mais investimentos para o setor. Segundo ele, o Brasil não terá participação mais efetiva no sistema internacional se não estiver melhor capacitado. 

Os investimentos em inteligência são necessários se o nosso país deseja ampliar cada vez mais o seu protagonismo internacional chegando ao ponto de ter um assento no Conselho de Segurança das Nações Unidas e dialogar com outro padrão com os demais países. A presidente da CPI, senadora Vanessa Grazziotin, apoiou a criação de um comando nacional cibernético, como quer o Ministério da Defesa. Também defendeu uma mudança de mentalidade em relação a um setor estratégico em um mundo globalizado. Segundo ela, o poder de uma nação não está somente em sua força econômica, na sua força bélica. Mas também no domínio que tem sobre a tecnologia da informação. E este mundo em que vivemos, além de estar globalizado, ele está conectado. 

O relatório final propôs ainda uma nova lei para garantir a privacidade e limitações ao acesso de dados dos brasileiros por parte de empresas estrangeiras. Especialistas que participaram de audiências públicas da Comissão Parlamentar de Inquérito (CPI) da Espionagem chamaram atenção para a vulnerabilidade do Brasil na defesa cibernética.
Para o especialista em segurança, Paulo Pagliusi, numa escala de zero a dez, o Brasil está com a nota entre 3 e 4 no que diz respeito à defesa cibernética. Ele defendeu investimentos no desenvolvimento de satélites e de cabos submarinos. Pagliusi destacou que 90% das informações brasileiras passam pelo território dos Estados Unidos, o que facilita a espionagem.

–  Essa realidade tem que mudar, tem que haver investimentos fortes em cabo de submarinos brasileiros. Essa questão do satélite é ponto de honra. Temos que recuperar o domínio do nosso satélite brasileiro, que não se aplica apenas ao uso civil, também tem emprego dual, militar. Não faz sentido deixarmos isso na mão de estrangeiros, afirmou.

O professor da Universidade Federal de Pernambuco, Rodrigo Assad, destacou a iniciativa do governo de desenvolver um correio eletrônico próprio.  Já o representante do Comitê Gestor da Internet, ligado ao Ministério da Ciência e Tecnologia, Rafael Moreira, revelou que o governo anunciou investimentos para que empresas brasileiras desenvolvam tecnologia nacional que dificulte a espionagem.

– Que elas estejam disponíveis no mercado por empresas brasileiras que ofereçam essas tecnologias para que os cidadãos possam utilizar essas ferramentas de uma forma segura para que suas comunicações pela Internet possam ser comunicações seguras, acrescentou.

A presidente da CPI, Vanessa Grazziotin, disse que as propostas das audiências com especialistas vão se transformar em projetos de lei. Um deles tratará sobre a criação de agência reguladora de defesa e segurança cibernética, uma unanimidade entre especialistas, segundo a senadora. Ela citou outra proposta que vai estabelecer a certificação de equipamentos e programas de informática e definir regras para a sua compra pelo governo.

– Somos vulneráveis do ponto de vista que não desenvolvemos sistemas próprios de segurança. Somos vulneráveis porque não desenvolvemos fiscalização de qualquer sistema. Somos vulneráveis porque empresas públicas importantes não utilizam tecnologia nacional de segurança. Estamos vendo uma coincidência na apresentação de propostas, disse.

Clique aqui para acessar o relatório final completo da CPI da espionagem.

Fonte: Portal de Notícias do Senado Federal - 22Out2013 e 09Abr2014.

A Era da Computação Quântica - Impactos na Criptografia

Há pouco tempo vimos a seguinte manchete: “NSA investe no desenvolvimento da computação quântica”. 

Os recentes avanços da computação quântica prenunciam uma reviravolta no campo da criptografia, destruindo técnicas atuais e trazendo novas soluções. Observa-se que a criptografia é um subconjunto da criptologia, área de estudo que envolve também a criptoanálise. Enquanto a criptografia busca esconder informações, a criptoanálise objetiva o inverso. A evolução de ambas ao longo da história corre paralelamente e, com frequência, o desenvolvimento de uma nova técnica criptográfica é motivado pelo descobrimento de formas eficientes de ataque às técnicas atuais. A NSA, que investe valores significativos na construção de um computador quântico, conhece bem a ciência da Criptologia e costuma estar sempre anos à frente da comunidade científica nesta área, sendo inclusive conhecida por não deixar nenhum vestígio de seus avanços. Em relação ao conceito de criptografia assimétrica ou de chave pública, por exemplo, há indícios de que a NSA já o havia descoberto 13 anos antes do anúncio oficial feito pela comunidade científica. Assim, não consideramos adequada a alegação do professor Scott Aaronson, do MIT, ao afirmar que “parece pouco provável que a NSA tenha chegado tão longe sem que ninguém tenha tomado conhecimento antes”.

A Criptologia atual está fortemente ligada à Ciência da Computação, dada a enorme quantidade de cálculos e manipulações realizadas a cada operação de codificação e decodificação. De forma recíproca, a natureza segura de algumas técnicas criptográficas se baseia na computabilidade dos algoritmos aplicados – dado um computador, ou grupo de computadores, com poder suficiente, algumas técnicas passam a ser quebradas com facilidade. Assim, a segurança da criptografia atual, em especial a criptografia assimétrica, utilizada em quase todas as formas de codificação, inclusive as de segurança mais elevadas empregadas para proteger segredos de Estado, transações financeiras, informações médicas e de negócios, baseia-se na dificuldade de se solucionar alguns problemas matemáticos. As soluções conhecidas para estes problemas têm complexidade não-polinomial: apesar de serem, em teoria, solucionáveis, quando se utiliza chaves com tamanho adequado, o tempo previsto de solução ultrapassa as centenas de anos, tornando ataques brutos impraticáveis.

Por sua vez, a computação quântica permite que estes problemas “computacionalmente difíceis” de se solucionar sejam resolvidos em pouco tempo – chegando à ordem dos segundos – pois várias soluções podem testadas ao mesmo tempo, de forma análoga a uma computação paralela, mas com apenas um processador. Esta revolução na criptoanálise inutilizaria as técnicas atualmente conhecidas de criptografia para aqueles que possuirem computadores quânticos, como o que a NSA busca desenvolver, tornando necessário o desenvolvimento de uma nova classe de técnicas criptográficas para se defender. Está em curso, por esta razão, uma corrida científica na pesquisa da criptologia quântica, sendo considerada matéria de segurança nacional em vários países.

Por fim, destaca-se que a criptografia quântica – técnica criptográfica que pode fazer frente à criptoanálise efetuada por computadores quânticos – é um ramo evolutivo da criptografia tradicional, utilizando princípios da física quântica para garantir a segurança da informação. Esta técnica prevê a transmissão quântica de chaves, e não pode sofrer espionagem passiva. Isto porque, neste caso, qualquer espionagem passiva, apesar de não poder ser evitada, pode ser detectada, uma vez que a observação dos bits quânticos transmitidos altera irrecuperavelmente o próprio valor destes bits. Quando isto acontece, a transmissão é abortada e o espião não consegue obter as informações privilegiadas desejadas. É importante notar que não há uma relação entre computação quântica e criptografia quântica, exceto pelo fato de ambas usarem a física quântica como base.

Paulo Pagliusi, Ph.D., CISM

SIEM Brasileiro na Nuvem

Pagliusi se apresenta, ao vivo, à Administração Pública Federal

Você sabe o que é um SIEM (Security Information and Event Management)? A Procela apresentou, em Brasília, suas ferramentas de monitoramento contínuo, governança inteligente de segurança e apoio à auditoria de TI, a convite da CGSI/DSR/SLTI/MPOG*. Segue o link do vídeo da apresentação, realizada no Min. Planejamento em 09Mai2013 pelo seu então Diretor Executivo, Dr. Paulo Pagliusi, com exibição ao vivo para a Administração Pública Federal:

Link: http://assiste.serpro.gov.br/procela/video1.html
usuário: procela senha: assiste
*[Coordenação-Geral de Segurança da Informação, do Departamento de Serviços de Rede (SLTI) - Grupo Consultor de Segurança da Informação do Ministério do Planejamento, Orçamento e Gestão].

Passe o mouse sobre o azul e curta nossa página!
╚══❘► Procela Inteligência em Segurança ☜═㋡ Click

Eleição na Nuvem

Tela do ProcelaSve, Sistema de Votação Eletrônica que funciona em Nuvem

A Procela Inteligência em Segurança lançou seu mais novo produto: o ProcelaSve, um Sistema de Votação Eletrônica, testado e aprovado na mais recente eleição do Clube Naval. Ele destina-se a apoiar a eleição dos membros da Diretoria, Conselho Diretor e Conselho Fiscal de instituições, tais como: clubes, associações e entidades de classe, por meio de uma urna acessível por um navegador WEB, disponibilizado na nuvem. Complementado por vários artefatos de segurança, o ProcelaSve é composto pelo Subsistema de Verificação de Sócios (SVS), usado para controlar a situação dos sócios e de cinco módulos do Subsistema de Votação Eletrônica (SVE):
1) Administrador do ProcelaSve
Cria o esquema do Banco de Dados para a eleição e gera os relatórios do processo eleitoral.
2) Presidente
Abre, encerra e apura a eleição.
3) Mesário Chefe
Cadastra ou retira o cadastramento dos computadores designados como Urnas Eletrônicas.
4) Mesário Local
Verifica, no local de votação, se os Sócios constantes do Banco de Dados (BD) do ProcelaSve estão aptos a votarem. Após a confirmação, registra no SVE o comparecimento do Sócio (Eleitor), e habilita/desabilita os computadores designados como Urnas Eletrônicas.
5) Auditor
Acessa todas as bases de sócios e eleitores do BD do Procela SVE, bem como todas as operações realizadas, fiscalizando e garantindo a lisura do processo eleitoral.

Para mais informações, visite este site. 
Bons Ventos!

Autenticação para Acesso à Nuvem

Autenticação para acesso remoto à Internet - Soluções de autenticação para Redes de Acesso Remoto à Nuvem Visando Mobilidade Onipresente

Foi publicado novo Livro: Pagliusi, P.S. Internet Authentication for Remote Access - Authentication Solutions for Internet Remote Access Networks Aiming Ubiquitous Mobility (Tradução: Autenticação para acesso remoto à Internet - Soluções de autenticação para Redes de Acesso Remoto à Internet Visando Mobilidade Onipresente). Scholar's Press, julho de 2013. Segue breve resumo:
Hoje em dia, os dispositivos IP móveis precisam empregar uma variedade de diferentes tecnologias de acesso à Nuvem para obter conectividade onipresente. Este livro analisa os desafios da infraestrutura de autenticação para o acesso remoto à Internet, de modo a apoiar a mobilidade onipresente dos clientes, e propõe uma série de soluções obtidas pela adaptação e reforço a técnicas de segurança provenientes de diferentes fontes. Este livro é destinado a pesquisadores ou qualquer outra pessoa que esteja interessada em mecanismos de autenticação para acesso remoto à Internet, visando obter mobilidade universal na Nuvem.
Seguem alguns links para adquirir o livro (Por favor, caso goste, divulgue em suas redes, por meio dos botões abaixo):

• Morebooks (em euros).
• Amazon.com (em dólares).
• Amazon.co.uk (em libras).

Muito Obrigado e Bons Ventos!

Espionagem na Nuvem (por E. Snowden)

A entrevista de Edward Snowden, que denunciou o esquema de espionagem em nuvem dos EUA (em Português).

Edward Joseph Snowden é um administrador de sistemas estadunidense que revelou material sigiloso do programa de vigilância PRISM da Agência de Segurança Nacional (NSA, em inglês) dos Estados Unidos, denunciando o esquema de espionagem em nuvem dos EUA, aos jornais The Guardian e The Washington Post. (Original Source: The Guardian - video in English. Fonte: Guilherme Gonçalves, vídeo em Português. Créditos da legenda e dublagem: Verdade Oculta).

Conversa na Nuvem sobre SIEM e BYOD

Neste podcast, o entrevistador Paulo Sant´anna recebe os profissionais Luiz Felipe Ferreira e Paulo Pagliusi.

Os participantes conversaram sobre SIEM (Security Information and Event management), conceito ainda pouco conhecido e difundido aqui no país, desenvolvido de forma a fornecer uma inteligência maior na tarefa de coleta, correlação e análise de logs e alertas, fazendo com que a área de SI das empresas gerenciem mais efetivamente seus ativos e de uma maneira automatizada, se antecipando às ameaças e, deste modo, concentrando-se no que é mais estratégico ao negócio. Contudo, as principais soluções SIEM do mercado foram descritas como caras, lentas e complexas.

Além disso, foi abordado outro tema bem pertinente, a Consumerização de TI, mais conhecida como BYOD (Bring Your Own Device), já uma realidade visto que os funcionários usam tablets e smartphones diariamente e querem trazê-los para seus ambientes de trabalho. A TI tem que se adequar e quebrar certos paradigmas para lidar com esse movimento. Os consumidores hoje estão atualizados, utilizam tecnologia de ponta e otimizam o trabalho com seus dispositivos.

Embora a tendência BYOD provoque avanços significativos nos negócios, devido ao aumento de produtividade dos funcionários pelo uso da própria tecnologia no trabalho, esta prática pode resultar em sérias violações da política de segurança. Foi citado que o BYOD obriga a solução SIEM a dispor de um complemento capaz de transformá-la em uma solução integrada, que monitore continuamente os dispositivos móveis com uso de inteligência e armazenamento de logs, permitindo inclusive auditorias e perícias forenses, em conformidade com normas, regulamentações e regras corporativas.

Luiz Felipe Ferreira é profissional do setor de Segurança de TI da TV Globo e Editor-Chefe da Revista Segurança Digital.

Paulo Pagliusi é Ph.D. in Information Security (Royal Holloway, University of London). Certificado CISM pela ISACA. Capitão-de-Mar-e-Guerra da Reserva (Marinha). Diretor do ISACA-RJ e da Cloud Security Alliance (CSA-BR), é Diretor Executivo da Procela (www.procela.com.br).

Fonte: blog SegInfo | SegInfocast: Faça o download aqui.