inhale and exhale, do not forget to breathe.
shake it up and look up, smile up the skies.
move towards and across the river, for life is brief.
And a better tomorrow, on the other bank lies.
Celso Bessa
Sobre Celso Bessa
Prefiro construir pontes à muros. Cidadão, desenvolvedor,Media Democracy Fund fellowship alumni e fundador da WoWPerations.
Bolsas INFUSE para Grupo de Estudo em Detecção de Malware em Organizações da Sociedade Civil
por Celso Bessa
Atenção: o prazo para candidatura foi estendido até 05/11/2024 as 23:59:59
Links rápidos:
- Edital: https://celsobessa.com.br/edital-concessao-de-bolsa-de-estudo-para-grupo-de-estudo-infuse-internews-sobre-malware-2024/
- Formulário de candidatura: https://celsobessa.com.br/candidatura-infuse-2024/
Defender direitos humanos, justiça social, meio ambiente e combater desinformação não é tarefa fácil. Ativistas e organizações que defendem estes direitos encaram riscos físicos e digitais enormes. Entre os riscos digitais ou facilitados pela tecnologia incluem assédio, ataques (hacking, malware, ataques DDOS) direcionados, além dos riscos que todos nós corremos como cibercrime e golpes em geral.
A diferença entre os recursos e capacidades entre quem faz esta defesa de direitos e uma sociedade mais justa e democrática, e seus adversários, é enorme. E enquanto empresas privadas têm capacidade de contratar equipes grandes e utilizar ferramentas caras, no terceiro setor esta capacidade é muito mais limitada, além de que especificidades do trabalho e contextos destas pessoas e organizações muitas vezes não são contempladas.
O [programa Infuse],(https://infuse.quest/en/) de Internews em parceria é um projeto voltado para capacitar profissionais de segurança digital trabalhando, ou buscando trabalhar, com organizações sociais trabalhando na defesa da democracia e direitos. Além de terem lançado um site educacional, com trilhas educativas em temas diversos como detecção de malware e segurança de sites e aplicações, estão promovendo a tradução para o português de alguns recursos educacionais ligados à detecção de malware.
Como parte deste esforço educacional, a Internews está oferecendo bolsas para um grupo de estudo experimental, coordenado e facilitado por mim, com sessões da primeira semana de Novembro, até meados de Dezembro de 2024, com sessões síncronas às terças das 19:00 às 21:00 e sextas-feiras das 19:00 às 20:00 (horário de Brasília), totalmente online, e a realização de tarefas de pesquisa e redação com tempo de realização estimado entre 8 e 10 horas, conforme descrito a seguir neste documento.
O conteúdo é baseado no progama INFUSE, e o grupo de estudo voltado para profissionais e estudantes de segurança digital, segurança da informação, defesa cibernética e áreas similares.
Como a maioria dos materiais de estudo, referências e leituras requeridas são em inglês, a/o candidata/o/e deve ter domínio da língua inglesa nas modalidades escritas e faladas em nível mínimo intermediário.
Para se candidatar, por favor, leia o Edital neste link e, caso você cumpra com os requisitos, se candidate através deste formulário até o dia 05/11/2024 às 23:59:59, no horário de Brasília.
Entrevista com Etienne Mainier (Tek) sobre segurança de informação e malware
por Celso Bessa
Como parte da bolsa do Programa Infuse, recentemente facilitei uma série de oficinas sobre triagem e detecção de malware.
Na última sessão, tive o prazer e a honra de ter como palestrante convidado Etienner Mainier, que atualmente trabalha com segurança da informação na Human Rights Watch e já foi pesquisador e investigador da Amnesty Tech, a área de tecnologia da Anistia Internacional. Etienne, que também atende pelo apelido de tek, conversou comigo e com os alunos sobre malware, como conter spyware como o Pegasus, privacidade, o perigo dos corretores de dados e muitos outros tópicos sobre segurança digital e tecnologia de interesse público.
Meu muito obrigado ao Etienne por sua generosidade em comparecer a esta conversa comigo e com meus alunos.
Celso Bessa (Tecnologia Humanista): Seja bem-vindo oficialmente a esta última sessão[…], por favor, apresente-se e conte-nos como se tornou um pesquisador em segurança, sua carreira, e então começaremos a partir daí. Obrigado.
Etienne: Trabalhei no setor privado há cerca de 15 anos. Fiz várias coisas para empresas, como testes de intrusão e detecção de intrusão (pentesting), e acabei me perdendo no caminho. Em certo momento, desenvolvi vários projetos técnicos para empresas. Cheguei a um ponto em que estava trabalhando para uma grande empresa na Europa, onde fazia detecção de intrusão, mas não me sentia muito útil e, por isso, queria fazer algo ético e útil.
Então, entrei para o Citizen Lab em 2016, trabalhando especialmente com as comunidades tibetanas, que têm sido alvo de malware chinês há muito tempo, pelo menos desde 2008, e é um dos casos mais documentados de ataques patrocinados pelo Estado contra ONGs. Foi ótimo porque, se você falar sobre ataques atribuídos às autoridades chinesas, dependendo de quem é o alvo, você entra em ataques mais ou menos complexos, e geralmente os tibetanos sofrem ataques bem simples.Analisei um malware chinês muito mal escrito, o que foi uma ótima maneira de entrar na análise de malware, porque eles se limitam às coisas mais básicas, como não tentar ofuscar, não tentar esconder, etc. Eles se limitam às coisas fáceis: um pouco de persistência aqui, um pouco de envio de dados ali, mas, no geral, são técnicas bastante simples. Fiz muitas análises de malware sobre isso e, depois disso, trabalhei para a Anistia Internacional por alguns anos em ataques mais avançados, um pouco sobre pescagem (phishing) e depois todo o trabalho da Pegasus. Portanto, não posso dizer que sou um bom analista de malware porque nunca fiz isso em tempo integral e não como malware no café da manhã, mas já vi o suficiente para saber como é. Em algum momento, uma coisa que se tornou bastante óbvia para mim é que, mesmo que a análise de malware seja bastante difícil, muitas vezes é possível identificar rapidamente do que se trata e o que está fazendo.
Mas senti que faltava uma etapa muito simples de análise forense e acho que foi nisso que você concentrou seu treinamento.
Acho que, ao analisar os processos em execução, a persistência e coisas do gênero, poucas pessoas olham para isso, porque se você está em uma grande empresa, tem ferramentas que fazem isso por você, mas em [organizações] sociedade civil não fazemos isso. É uma espécie de segurança de informação aplicada a pequenas organizações e indivíduos, e achei que isso estava faltando.
Por isso, passei algum tempo desenvolvendo um currículo e treinamentos sobre como fazer análise forense em algum momento.Achei que olhar para isso dessa forma é ótimo porque você entende o que pode procurar ao verificar um computador.
Uma coisa que nunca aconteceu no setor privado, mas que acontecia o tempo todo na sociedade civil, era alguém vir até mim com um laptop ou um dispositivo dizendo: “Ei, isso está comprometido? Você pode dar uma olhada?” Então, senti que isso não era muito difícil, mas faltavam recursos sobre como fazer isso.
Agora estou trabalhando para a Human Rights Watch, que, voltando à segurança da informação (Infosec), está mais equipada do que muitas organizações pequenas da sociedade civil. Não tão grandes quanto as grandes corporações, então temos de usar com ferramentas corporativas de segurança de informação, mas também fazer com que funcione na base do improviso ou como dá.
Celso Bessa: Você tocou em um ponto interessante, que é a diferença entre os recursos disponíveis no setor privado e na sociedade civil. A sociedade civil e talvez também os governos e as organizações multinacionais de cooperação enfrentam riscos diferentes dos das empresas. Por exemplo, APTs, agentes patrocinados pelo Estado ou até mesmo espionagem do setor privado sobre as organizações — Bem, o setor privado provavelmente também espiona seus concorrentes, mas as intenções e os incentivos aqui são diferentes-, e a sociedade civil não tem os mesmos recursos. Você vê outras diferenças?
Etienne: É evidente que há uma grande diferença entre o risco e os meios que você tem para se proteger. Em uma grande corporação, por exemplo, você tem um grande orçamento para infose e é mais ou menos visado dependendo do que faz. Mas o problema é que, na sociedade civil, você é muito mais visado por agentes persistentes, o que significa que as pessoas querem ir atrás de você e você realmente não tem nenhum meio de se proteger.
Mas trabalhei com muitos jornalistas individuais e independentes que, às vezes, não tinham dinheiro nem para trocar seus laptops, entende? Pessoas que têm um laptop de 10 anos de idade e eu digo“realmente você não pode continuar trabalhando com eles”. Mas eles não têm dinheiro para trocar. Então, de fato, a diferença de orçamento e conhecimento é enorme. Acho fantástico ver que há cada vez mais organizações trabalhando com jornalistas e ativistas para preencher essa lacuna, mas ainda é uma lacuna muito grande e também é muito improvável que você possa centralizar a segurança da mesma forma.
Assim, encontramos uma grande parte deles focada na China, na Rússia, na Coreia do Norte e, às vezes, no Vietnã. Assim, você perde completamente alguns países que são muito agressivos com a sociedade civil, mas muito menos com as empresas e, em muitos casos, você perde completamente a parte da sociedade civil.
Há uma série de relatórios como esses em que vemos destes grupos de ameaças persistentes avançadas (APT, Advanced persistet threat), que na verdade têm como alvo a sociedade, mas ninguém está relatando sobre ou prestando atenção à sociedade civil.
O mistério maior para para mim é que, quando trabalhamos na Pegasus, ninguém estava prestando atenção. Os primeiros relatórios sobre a Pegasus foram publicados em 2016 e, até onde sabíamos, não era uma ameaça para as empresas, mas uma ameaça para os jornalistas e políticos da sociedade civil.
Mas quando publicamos um grande relatório em 2021, por exemplo, as autoridades francesas não tinham a menor ideia da dimensão do problema, ninguém o analisou e ninguém procurou saber como combatê-lo ou mesmo como verificar se você está infectado ou algo assim. E esses casos são realmente estranhos para mim, as autoridades não perceberam isso. E uma observação que fiz em um artigo em francês foi que organizações dasociedade civil não são suficientemente protegidas e que elas são o canário na mina.
Acho que agora vemos mais pessoas trabalhando nisso. Portanto, é preciso equilibrar isso. eMas é difícil e, quando leio um relatório técnico, sinto que perdemos parte da história. Quem é o alvo e por quê?
Vi outro bom relatório hoje sobre a Ocean Lotus que tem como alvo as ONGs e isso é ótimo. Mas por que eles estão visando as ONGs? O que está acontecendo? O contexto político está realmente faltando em muitas dessas reportagens.
Celso Bessa: Você acha que há algo específico a ser melhorado no que se refere ao jornalismo ou talvez ao fornecimento de habilidades técnicas para organizações da sociedade civil, habilidades sobre como se comunicar e investigar um pouco mais e relatar os conteúdos? Você vê alguma maneira, alguma estratégia nesse sentido? Como deveríamos estar falando sobre isso? O que poderíamos fazer para preencher essa lacuna que você mencionou?
Etienne: Acho que uma das coisas que aconteceu com o Pegasus é que ele recebeu muita cobertura, o que era necessário. Mas, em algum momento, a cobertura se tornou excessiva e passou a ser “tudo é spyware”. Isso é algo que realmente mudou desde quando ninguém prestava atenção a isso. Mas agora vejo com frequência coisas que tecnicamente não são spyware sendo chamadas apenas de spyware e, não sei, acho que quando se coloca algo na mídia, perde-se a complexidade e poucas pessoas e jornalistas realmente entendem o contexto completo e têm tempo para entender o contexto completo. Em muitos lugares, tenho visto um jornalismo técnico cada vez melhor, mas não em todos os lugares. E grande parte dele é muito simplificado.
Acho que a única coisa que realmente podemos fazer é continuar falando sobre esse problema e trazendo nuances para esse trabalho. Por exemplo, em muitos lugares, há muitos problemas com os recursos forenses disponíveis para polícia e que são usados de forma abusiva. Por exemplo, ativistas são presos e o telefone é clonado para obter dados e assim por diante. Não se trata de uma questão de spyware, mas de privacidade e segurança da informação.
E acho que precisamos continuar mostrando a nuances disso, sobre outros spywares ou outros problemas, e sobre coisas novas que aparecerão. Não sei se existe uma maneira perfeita de fazer isso, mas concordo que precisamos ter certeza de que temos um conjunto mínimo de conhecimento sobre isso, que temos pessoas que podem cobrir esse assunto de uma forma que os direitos humanos e os ativistas estejam no centro da história. Isso não resolverá tudo, mas acho que precisamos nos certificar de que não cairemos na simplificação dos problemas, pois isso não ajudará ninguém.
Acho que um dos problemas é que, para muitos jornalistas e ativistas, é improvável que sejam alvo de algo tão avançado como o Pegasus, mas é muito provável que sejam alvo de algo tão simples como o phishing, e o phishing funciona. Muitos jornalistas ainda caem em phishing por e-mail, sofrem algum dano e tudo mais. Precisamos garantir que as pessoas não prestem atenção apenas a ataques como o Pegasus e que tenham uma visão holística da segurança digital.
E o outro ponto crítico que eu acho é que, por exemplo, muitas pessoas vêm até mim e dizem: “Ei, você pode verificar se há Pegasus no meu telefone?” E, em geral, o que você precisa é falar sobre segurança digital. Você não deve se preocupar [apenas] com o Pegasus se não souber o que é phishing ou se não tiver autenticação de múltiplos fatores. Você precisa ter as camadas sólidas primeiro e considerar tudo. Portanto, de certa forma, as pessoas se preocupam com a segurança digital de uma forma que não faziam antes, mas se você responder apenas sobre o Pegasus e não sobre as ameaças mais amplas que elas enfrentam, isso provavelmente não ajudará em nada.
Celso Bessa: Isso remete a uma consideração sobre recursos. Quer dizer, usar um spyware tão poderoso quanto o Pegasus é caro. Há muita coisa para fazê-lo funcionar da maneira que funciona e, considerando que se trata de um produto comercial, há muitos custos envolvidos na venda para governos ou para quem quer que o esteja comprando, portanto, é caro. E, em relação ao que você disse sobre o malware chinês, eles fizeram as coisas fáceis e de baixo custo, porque isso é eficiente na maioria das vezes. Portanto, se cobrirmos o básico, estaremos mais bem protegidos e estaremos criando atrito, e uma pequena quantidade de atrito para os adversários é melhor do que nenhum atrito, e nunca se sabe em que tropeçaremos.
Etienne: Sim.
Celso Bessa: Você mencionou bons exemplos de reportagens. Poderia compartilhar um exemplo de veículo ou de um país que tenha melhores reportagens e no qual possamos nos inspirar?
Etienne: Acho que há mais reportagens boas da sociedade civil. Acho ótimo que esse tópico não seja mais apenas do CitizenLab ou da Anistia. Agora vemos relatórios de muitas organizações em diferentes idiomas e organizações fora do Norte Global. Acho que isso é muito bom. Depende muito do país, mas na França, os relatórios sobre tecnologia são muito melhores do que costumavam ser. Internacionalmente, há alguns repórteres que estão realmente atentos a esse tópico.
Fico um pouco frustrado com o fato de haver também um modelo de reportagens do setor privado, porque tudo o que eles focam são os aspectos técnicos. Eles se dedicam à este tipo de alvo (setor privado) porque querem clientes. Você vê reportagens e relatórios em que eles se concentram em todos esses sites que foram hackeados, mas você não sabe quais sites, e então percebe que o contexto era realmente muito mais interessante do que o ato em si, às vezes. Acho que, muitas vezes, não temos o tema dos direitos humanos em muitos desses relatórios. É melhor do que costumava ser, mas acho que precisamos ter certeza de que temos contexto nos relatórios, contexto sobre quem são os alvos, quais são os defensores dos direitos humanos e as vozes dos jornalistas.
Celso Bessa: Você mencionou que muitas coisas estão sendo relatadas como spyware e, na verdade, não são. Você tem exemplos disso?
Etienne: O exemplo do que se perde quando tudo é tratado como spyware é que, muitas vezes, ferramentas forenses como a Celebrite e todas essas empresas são um grande problema e, na verdade, não é um spyware, pois a infecção funciona de maneira diferente. Funciona de forma realmente diferente. Há muitos problemas de direitos humanos nisso. Acho que essa é a principal questão que gera conflitos. Mas houve algumas reportagens muito bons sobre o uso de publicidade digital para o direcionamento de spyware. E e eu acho que não há muitas reportagens sobre isso ainda, mas há alguns problemas importantes de privacidade.
[O convidado A da sessão fez perguntas sobre o uso e a aquisição do Pegasus e de softwares semelhantes no México. Para preservar a privacidade e a segurança do convidado, não publicamos a pergunta para evitar detalhes sobre ele, apenas uma versão editada dos comentários de Etienne]
Etienne: É difícil saber se ele ainda é usado. Acho que o México foi um dos primeiros clientes do grupo NSO. Ele também foi adquirido por vários órgãos estaduais no México e, como resultado, foi também revendido a vários órgãos estaduais, e estava sendo amplamente utilizado. Quer dizer, não sei exatamente quantos casos comprovados temos agora no México, mas acho que já são mais de 50. Há alguns anos atrás muitas pessoas pensaram que, com o novo governo, os contratos haviam sido interrompidos, mas, na verdade, as pessoas descobriram ativistas no México sendo alvos do Pegasus mesmo sob o novo governo. E o presidente realmente disse que o contrato com o grupo NSO foi interrompido. É difícil porque não é como se o Estado fosse uma entidade centralizada, certo? Você tem várias agências diferentes trabalhando em várias coisas. Seja na luta contra a máfia, contra o tráfico de drogas, etc.
A NSO tem sede em Israel e precisa ter uma licença de exportação concedida pelas autoridades israelenses. Parece que, após a revelação do abuso do Pegasus, eles limitaram a licença de exportação a alguns países. Portanto, não sabemos o quanto as autoridades israelenses aceitam exportar para o México. É possível que elas não aceitem. MAs basicamente não há transparência. Não há transparência na exportação por parte das autoridades israelenses e, definitivamente, não há transparência por parte das autoridades mexicanas.
Como podemos confiar nas autoridades, que dizem não ter tais ferramentas, quando temos visto abusos mesmo depois de terem dito que interromperam o contrato com o grupo NSO? Acho que a situação no México está melhor agora, mas preciso verificar novamente e dar uma olhada nos relatórios.
Celso Bessa: Gostaria de enfatizar a questão de o governo não ser uma entidade única, de haver diferentes agências e órgãos no país e em seus estados. Pelo menos pelos relatórios que vi, não é de forma alguma algo exclusivo de qualquer órgão estatal, porque você vê muito uso indevido dessa tecnologia tanto pelo poder executivo quanto pelo judiciário. E a questão da transparência, que é algo que está faltando nos relatórios, não é considerada com frequência pelo público em geral. Comecei meu trabalho em tecnologia de interesse público trabalhando com transparência e isso é algo muito difícil de fazer: disseminar a ideia de responsabilizar o governo. Isso está mudando, mas ainda temos um longo caminho a percorrer. Portanto, acho interessante que você tenha mencionado isso.
Mas, saindo do Pegasus novamente, vamos falar sobre o desenvolvimento de habilidades, já que esta é uma série sobre desenvolvimento de habilidades. O que seria um dia normal para você? Tanto como analista de malware quanto como pesquisador de segurança digital? E com base nno programa desta série, que compartilhei com você, o que você acha que está faltando ou algo em que alguém que trabalha com triagem de malware deveria se concentrar?
Etienne: [quando eu estava na triagem/análise de malware], foi um desafio. Quero dizer, é um pouco mais próximo do que o Access Now está fazendo agora, garantindo que as pessoas trabalhem para a sociedade civil e assim por diante. Grande parte da triagem é sobre o quê era alvo.
Isso ainda faz parte do meu trabalho. Alguns funcionários de ONGs chegam todos os dias com coisas novas, e às vezes é estranho. Na verdade, muitos deles não são tão especificamente visados, é um golpe [geral]. Por exemplo, neste momento, há pessoas que nos dizem que estão recebendo e-mails dizendo que foram hackeadas e esse tipo de coisa deixa as pessoas estressadas, mas depois que conhecemos a ameaça, a maioria é um golpista tentando assustar as pessoas. [e manipulá-las a fazer algo]
Especificamente sobre a triagem, acho que essa é uma ótima pergunta, pois acho que é isso que está faltando. Acho que o primeiro passo para se tornar um analista de ameaças é realmente ser capaz de fazer a triagem e, em seguida, desenvolver habilidades em alguns tipos específicos de vigilância. Seja spyware ou qualquer outra coisa.
Há algumas coisas que são realmente importantes. A primeira é entender o ataque, e cada ataque é um pouco diferente. Você precisa ser curioso e ter uma boa base sobre como os sistemas funcionam e tentar entender o que o invasor quer alcançar, certo? Quando você recebe um PDF [malicioso], existe a ideia de ataque, mas se você não vê o objetivo final, se você não vê o que eles querem fazer? Se você está vendo um site malicioso, qual é o objetivo final? Se você não entender isso, não vai ver as perguntas reais: O que ele pretende fazer? Costumávamos ter exploits em Javascript para PDF e coisas do gênero, muita coisa com PDFs, mas agora vemos muita utilização de códigos QR, na expectativa pessoas escaneiem e assim contornem muitas proteções.
Portanto, a primeira pergunta é: “Ok, o que está tentando fazer”? Depois de saber que é mal-intencionado e entender isso, acho que a segunda pergunta geralmente é: “É para um alvo específico? ”E é um pouco difícil entender e realmente responder a isso às vezes. Por exemplo, a grande diferença é que os ataques direcionados visam muito poucas pessoas, enquanto o crime cibernético visa muitas pessoas.
Portanto, se você encontrar um domínio usado para phising, poderá consultar os bancos de dados de ameaças, verificar o URLscan, o VirusTotal ou outros. E se esses domínios aparecerem em qualquer relatório de phishing, provavelmente é crime cibernético. Porque, por definição, os ataques direcionados realmente atacam muito poucas pessoas. Vinte, cinquenta no máximo. Isso significa que, muito provavelmente, eles não são mencionados em nenhum banco de dados de ameaças existente.
Às vezes, você descobre que isto foi relatado no último mês, como uma organização de crime cibernético, ou talvez encontre algo que foi relatado há alguns meses como uma APT. Esse tipo de coisa é realmente útil e, quando você tem isso, precisa analisar o contexto. Às vezes, o e-mail é muito personalizado, por exemplo, se o e-mail está fingindo ser de alguém que trabalha com você e é realmente personalizado para o contexto e para a pessoa visada, então é muito provável que seja direcionado. Caso contrário, é possível que seja um crime cibernético. E quando você tem isso, é muito útil, pois o crime cibernético visa a todos.
Portanto, se você é um jornalista sendo atingindo por crime cibernético, isso é normal, certo? Todo mundo é alvo de crime cibernético. Mas se alguém é alvo de outra coisa, como algo que parece ser patrocinado pelo Estado, então é preciso ter mais cuidado porque, em muitos casos, isso significa que você está na lista de alguém, que alguém está tentando entrar em sua conta. Alguns jornalistas sabem que isso acontece com eles regularmente e são muito cuidadosos com isso. Mas, para algumas pessoas, isso pode ser um sinal de que estão correndo um risco maior, e esse risco maior pode vir de várias maneiras. Ataques direcionados, e ataques em geral, não acontecem fora do mundo físico. Portanto, para os jornalistas, isso pode ser um sinal de que há uma ameaça e que talvez eles devam tomar cuidado com as medidas de segurança física.
Muito raramente você precisa fazer uma análise profunda do malware, acho que até mesmo para ataques avançados. Geralmente, isso consome muito tempo. O que você precisa saber são algumas coisas. É malicioso, é direcionado? Encontre algumas informações sobre o que está acontecendo. Por exemplo, encontre um domínio que se comunica ou onde ele está instalado nos discos rígidos, você pode verificar se os computadores estão comprometidos por ele. Mas você não precisa realmente entender todos os detalhes do malware. E isso é ótimo, pois consome muito tempo e, às vezes, você pode obter apenas as informações necessárias por meio de uma análise rápida. Quanto mais eu faço isso, mais eu gosto da ideia de fazer uma análise rápida. Eu passo, sei lá, duas ou três horas pesquisando algo e tenho informações suficientes e posso decidir se quero passar uma semana analisando ou encontrar alguém que possa fazer isso, certo? Agora na sociedade civil temos algumas pessoas, como a Anistia, que têm tempo para fazer isso e realmente focar seu trabalho nisso. Isso é ótimo.
Celso Bessa: Há tendências que você está vendo, mudanças na maneira como os grupos de ameaças persistentes avançadas e o crime cibernético trabalham, suas técnicas.?Quais são as tendências em malware e segurança cibernética às quais você acha que devemos prestar atenção?
Etienne: É uma boa pergunta. Uma pergunta muito ampla e boa. Estamos analisando o spyware agora e parece que ele não está crescendo muito. Está relativamente estabilizado, mas eles eram mais comuns há alguns anos. Uma tendência que está me assustando é que há um setor de vigilância cada vez mais amplo.
Descobrimos que há muitas novas maneiras de monitorar as pessoas que são adquiridas pelos governos. OSINT (Open Source Intelligence, inteligência em fontes aberta), por exemplo, foi usado desde o início por [defensores e jornalistas de] direitos humanos, certo? Imagens de satélite e tudo mais.
E agora há centenas de empresas que desenvolveram essas ferramentas e as vendem para os governos, para a polícia, para rastrear as pessoas. Também há muito de anúncio usado como vigilância. Há um bom livro que foi publicado há alguns meses sobre como os dados adquiridos por empresas comerciais foram coletados como parte da vigilância. E agora, esses dados foram vendidos ao governo. E temos essas empresas que coletam dados de centenas de outros corretores de dados e os vendem para o governo.
Eu estava falando sobre inteligência de publicidade, o que significa usar dados de publicidade para monitorar as pessoas. Essa é uma técnica assustadora. Agora temos uma compreensão de alguns desses mercados, um bom conhecimento sobre esse ecossistema de spyware, mas e o ecossistema de anúncios? Não sabemos o que está acontecendo lá. O mesmo acontece com tudo o que se refere a essas empresas que monitoram o tráfego da Internet. Atualmente, há empresas que simplesmente registram grande parte do tráfego da Internet, e a possibilidade de abuso é enorme.
O que me incomodoa é como estabelecer a ligação entre o abuso e o uso dessas tecnologias. Porque muitas vezes isso é muito difícil. Um jornalista está sendo preso, mas não entendemos o motivo. O que me assusta para o futuro é que temos vários tópicos novos que precisam ser abordados e que exigirão muito trabalho da sociedade civil para tentar manter o controle.
[O convidado B pergunta: Você tem mais alguma opinião sobre os corretores de dados? Quero dizer, são empresas privadas. E, às vezes, percebo que elas têm mais informações sobre as pessoas em geral do que o próprio governo e não há nenhuma regulamentação [nacional e forte] sobre privacidade nos EUA. Então, sim, você tem alguma opinião?]
Etienne: Acho que os corretores de dados nos Estados Unidos são um problema tão grande que não chega nem perto do que vemos na Europa, por exemplo. Na Europa, há muito menos problemas com esses corretores. Mas nos EUA, onde as empresas coletam dados para usar em contratos de aluguel e para o antigo ecossistema de crédito, é um ecossistema muito difícil de entender. Várias empresas estão obtendo dados de diferentes lugares e utilizando-os para usos muito diferentes, e é muito difícil entender exatamente a quantidade de dados que possuem. Existem alguns problemas reais com relação à forma como eles são usados
Comecei a ler um ótimo livro – não consigo encontrar o nome agora, mas vou dar uma olhada e compartilhar depois – sobre isso, por exemplo, quando aconteceu o 11 de setembro, o governo dos EUA percebeu que muitos dados sobre as pessoas que fizeram os ataques estavam disponíveis em empresas comerciais que os coletavam para vender a outras empresas. E houve uma mudança: essas empresas são definitivamente privadas, mas agora o Estado é um dos clientes.
Houve um escândalo enorme nos EUA com a X Mode e essa empresa que vendia dados de geolocalização para o Estado, e uma coisa que o FBI revelou foi que eles estavam realmente comprando esses dados porque não precisavam obter um mandado em sua investigação. Portanto, o fato de essas empresas serem privadas também evita toda a proteção que você tem dos Estados. Eles não precisam obter o mandado que precisariam pedir ao Google ou às empresas de telecomunicações e assim por diante para obter esses dados. E isso é um grande problema, pois assim você entra em um ecossistema completamente desprotegido de empresas completamente desreguladas
E se você acompanhou o caso do aplicativo Muslim Pro – sinceramente, é o exemplo mais assustador -, um aplicativo para que os muçulmanos encontrem a direção certa para Meca para suas orações. Para isso, ele precisa do GPS. Assim, ele encontra sua localização e lhe diz a direção de Meca. Naquela época, o aplicativo tinha, creio eu, 100 milhões de usuários. E a empresa coletou esses dados, o que as pessoas não sabiam, enquanto na verdade o aplicativo estava coletando a localização e vendendo-a para o Exército dos EUA. E no contexto atual, até que ponto isso pode ser usado de forma abusiva? Se o Exército dos EUA tem conhecimento da geolocalização de 100 milhões de muçulmanos no mundo, certo?
Portanto, é muito difícil estabelecer uma ligação entre o abuso e a vigilância. As pessoas podem ser presas ou mortas por causa de algumas coisas que fizeram e foram monitoradas pelo smartphone e não sabiam. Estamos falando de 100 milhões de pessoas que têm aplicativos como esse. Um aplicativo de previsão do tempo, por exemplo, requer sua localização na maior parte do tempo para que ele possa dizer onde você está. O aplicativo de clima que experimentei estava compartilhando minha geolocalização com 271 empresas.
É uma loucura termos esse ecossistema de publicidade, e quem sabe para quais empresas eles estão revendendo dados. Em última análise, será necessário passar por uma regulamentação melhor. A Europa tem o GDPR e melhorou algumas leis, mas vai levar muito tempo até que as coisas realmente mudem. E, geralmente, a regulamentação vem atrasada vários anos em relação aos problemas. Então, sim, não sei se você está lutando por isso nos EUA há muito tempo, mas é uma luta difícil.
Celso Bessa: Você mencionou que tem medo do mercado de vigilância. E o crime cibernético está aumentando. E agora temos as Convenções sobre Crimes Cibernéticos da ONU com algumas disposições que, de acordo com alguns meios de comunicação e organizações de direitos digitais, podem dificultar a pesquisa independente sobre segurança cibernética.
Etienne: Não analisei a fundo essa convenção. E ainda não tenho nenhuma boa resposta sobre as convenções, desculpe-me por isso.
Agora, se você observar até mesmo no setor privado, pessoas muito diferentes trabalham com crimes cibernéticos em comparação com ameaças direcionadas, porque o crime cibernético exige cooperação entre os estados. E exige colaboração entre os Estados e o setor. Portanto, é muito comum, por exemplo, a colaboração entre empresas e a polícia de diferentes países. Quando você analisa os ataques patrocinados pelo Estado, a questão se torna muito mais política. Por exemplo, não sabemos ao certo, mas há uma forte suspeita de que os governos da Espanha e da França tiveram pelo menos alguns dos ministérios como alvos do Pegasus. E muitas pessoas acham que as autoridades marroquinas estão por trás disso. E estamos em um caso em que os Estados são os autores dos problemas. Muitos jornalistas na França foram alvo do Pegasus. Eles acham que as autoridades marroquinas estão por trás disso. E há muitas evidências que comprovam isso, mas como eles vão à polícia e de fato entram na justiça com isso? Como processar um Estado?
Celso Bessa: Voltando ao spyware, qual deve ser a mentalidade de alguém que está fazendo esse tipo de trabalho e prestando atenção às mudanças de técnicas e ferramentas?
Etienne: As técnicas não mudaram muito, a grande diferença é que agora temos maneiras de nos proteger parcialmente contra o Pegasus. Se alguém estiver correndo o risco de ser alvo do Pegasus, o uso do modo de bloqueio no iPhone oferece grande proteção contra esse tipo de ataque.
Uma lição é que, politicamente, tem sido muito difícil conseguir qualquer mudança política significativa. Surpreendentemente, os EUA foram praticamente um dos poucos Estados que realmente fizeram alguma diferença para limitar os problemas de spyware, provavelmente com algum interesse político nisso. Mas, por exemplo, na Europa, tivemos problemas enormes em muitos países com o abuso de spyware e não houve nenhuma mudança clara na regulamentação ou nas técnicas.
Passamos a ter um bom conhecimento de ataques contra o iPhone. Temos muito pouco conhecimento sobre ataques contra o Android, que é realmente o problema. Mas sobre o iPhone, parece que os ataques sem click (zero-click attacks) que vemos nos aplicativos estão ficando cada vez mais difíceis, e vemos empresas que só têm ataques de um clique, o que significa que, se você não clicar no link enviado por e-mail ou algo assim, não será comprometido. Portanto, será menos eficiente e ainda podemos continuar a dizer às pessoas para terem cuidado com o que clicam e assim por diante. Mas é realmente difícil ver como isso vai evoluir.
Li vários depoimentos de pessoas que estão fazendo pesquisas dizendo que está cada vez mais difícil comprometer os smartphones. Portanto, parece que, nesse espaço, será mais caro encontrar kits de abuso (exploits). Mas se alguns Estados estão dispostos a pagar 50 milhões para ter isso, eles provavelmente terão, e continuará a ser um jogo de gato e rato.
Dito isso, uma coisa que mudou nos últimos dois anos é que as grandes empresas agora estão prestando atenção. O Google está rastreando essas pessoas, a Apple está rastreando essas empresas, o que antes não era um problema para elas, não estava realmente no radar. Mas agora elas têm equipes dedicadas a isso. O Google publicou ontem outro relatório excelente sobre exploits de NSO, que é bastante novo. Isso não é algo que não teríamos visto em 2020/21. Portanto, acho que essa é uma mudança muito positiva. Portanto é ótimo, mas você não conseguirá fazer uma mudança realmente significativa sem essa mudança política. Não acredito muito que a mudança técnica realmente resolva esse problema.
Celso Bessa: Essa é uma ótima observação. Obrigado. Você tem alguma consideração final?
Etienne: Agradeço pelo convite e fico muito feliz em ver eventos e treinamentos como esse acontecendo na sociedade civil, porque acho que é uma necessidade enorme. E gosto muito da maneira como você estruturou o assunto, analisando não apenas a reversão “hardcore”, mas também a análise forense, analisando diferentes aspectos. Acho que é uma maneira eficiente de analisar as questões relacionadas a spyware.
Celso Bessa: Obrigado. Crédito onde o crédito é devido: o esboço da série foi adaptado de (a) minha experiência a fellowship do programa INFUSE, do qual esta série de oficinas e a entrevista fazem parte, (b) de conversas com meu mentor durante meu estudo e (c) de minhas próprias experiências. Agradeço muito por ter encontrado seu tempo para esta conversa.
Etienne: Obrigado.
Você pode encontrar o Tek em seu site e no fediverso em https://mastodon.social/@tek@todon.eu
Interview with Etienne Mainier (Tek) on Infosec and Malware
por Celso Bessa
(versão em português disponível aqui).
As part of the Infuse Program fellowship, recently I facilitated a series of workshops on malware triage and detection.
In the last session, I had the pleasure and honor of having Etienner Mainier, currently working with information security at Human Rights Watch and formerly a researcher with Amnesty Tech, the technology area of Amnesty International, as a guest speaker. Etienne, which also goes by the nick name tek, discussed malware, how to curb spyware like Pegasus, Malware, privacy the danger of data brokers and many other other topics on digital security and public interest technology.
Thanks to Etienne, a.k.a. Tek, for the his generosity in dropping by to this conversation with me and my students.
Celso Bessa (Tecnologia Humanista): So welcome officially to this last office-hours […] please introduce yourself and let us know you became a researcher on security, your career and then we start from there. Thank you.
Etienne: I worked in the industry some 15 years ago. I did a bunch of stuff for companies like pentesting, intrusion testing and intrusion detection and I got lost in the way. I did some development at some point and a bunch of technical projects for companies. I got to this point where I was working for a large company in Europe, where I was doing intrusion detection, but didn’t feel super useful and so I wanted to do something ethical an useful
So I worked for Citizen Lab from 2016, especially with Tibetan communities. which have been targeted by Chinese malware for so long, since at least 2008 and it’s one of the most documented cases of state-sponsored attacks against NGOs. It was great because if you talk about attacks attributed to Chinese authorities, depending on who is targeted, you get into more or less complex attacks, and usually Tibetans get pretty simple attacks. I’ve looked at a pretty badly written Chinese malware, which was a really great way to get into malware analysis because they just go for the very basic stuff, like they don’t try to obfuscate, don’t try to hide etc. They just go for the easy stuff: a bit of persistence here, a bit of sending data there but pretty simple techniques overall. I did a lot of malware analysis on that and then after that, I worked for Amnesty international for some years on more advanced attacks, a little on phishing and then all the Pegasus work. So I can’t say I’m a good malware analyst because I’ve never done that full-time and I don’t eat malware for breakfast, but I’ve seen enough of different aspects of it to know what it looks like. At some point one thing that became quite obvious to me is that even if malware analysis is pretty hard, you can get often quickly identify what it’s about and what it’s doing. But I felt one step that was missing was a lot of very simple forensic and I think that’s what you have focused your training on.
I think looking at processes running, persistence and stuff like that, not a lot of people look at that, because if you’re in a large company, you have tools that just do that for you and in civil society we don’t do that. It’s kind infosec applied for small organisations and individuals and I thought that was missing. So I spent some time developing some curriculum and trainings on how to do forensics at some point. I felt like looking at it this way is great because you understand what you can look for when you check a computer.
One thing I never had in the industry, that was having all the time in civil society was someone coming to me with a laptop or a device saying, Hey, is this compromised? Can you look at it? And so I felt that’s really not too hard but resources were missing about how to do that.
Now I’m working for Human Rights Watch which is going back to Infosec, more equipped than a lot of small organisations in civil society. Not as big as large corporations, so we have to manage with corporate infosec tools but also a lot of “scrapes and duct tape” and make it work.
Celso Bessa: You touch in something that is interesting, that it’s the difference between the resources available in the private sector and the civil society. Civil society and maybe also governments and multinational cooperation organisations face different risks than corporations. For example, APTs, state sponsored actors, or even private sector spying on CSOs. (Well, private sector probably also spies on their competitors, but the intentions and the incentives here are different),and civil society doesn’t have the same resources. Do you see other differences?
Etienne: Clearly you have a big difference in the risk versus the means you have to be protected. In a big corporations, for example, you have a large budget for INFOSEC and you get more or less targeted depending on what you do. But the thing is in civil society you are way more targeted by persistent actors, which means people want to get after you and you really don’t have any means to protect yourself. But I’ve worked with a lot of individual and independent journalists, who really at times didn’t even have money to change the laptops, right? People who have a 10 year old laptop and I’m like “really you can’t continue working with them”. But they don’t have money for that. So indeed, the difference in budget and knowledge is huge. I think it’s awesome to see there’s more and more organisations working with journalists and activists to fill that gap but it still is a pretty big gap and it’s also very unlikely you can centralise security in the same way.
On the attacks. It really depends on the context. I feel if you look at a group, like Ocean Lotus, which is largely attributed to Vietnam. They have been targeting the car industry largely because Vietnam is developing their car industry, but they also have been targeting human rights defenders and activists. The problem we have is what’s reported. If you look at reports on spyware, 90% of them come from the industry, working with large corporations and working with governments, so these reports are about what targets them.
And so you find a large proportion of them focusing on China, Russia, North Korea, and sometimes Vietnam. And so, you completely miss some countries who are just very aggressive on civil society but way less on companies and also in a lot of cases, you completely miss the civil society part. You have a bunch of reports like these where you see these [APT] groups, they’re actually targeting society but no one is reporting and paying attention to civil society.
The weird mystery to me is when we worked on Pegasus, no one was paying attention. First reports about Pegasus were in 2016 and as as far as we knew, it wasn’t threat for companies but a threat for civil society journalists and politicians.
But when we published a big report in 2021, for instance, the French authorities had no clue about how big this was, no one looked at it and no one looked at how to counter it or even how to look if you’re infected or anything. And these cases are really weird ones for me, authorities completely missed that. And a point I’ve made in an article in French, was that civil society is not covered enough and they are this canary in the mine.
I think now we see more people working on that. So it’s balancing that. But it’s hard and when I read a technical report, I feel we miss part of the story. Who is targeted and why?
I saw another good report today about Ocean Lotus targeting NGOs and it’s great. But why are they targeting NGOs. What’s happening? The political context is really missing in a lot of these reports.
Celso Bessa: Do you think is something to improve from the journalism side or maybe giving technical skills for civil society organisations, skill on how to communicate and investigate a little bit more and report the contes? Do you see any way, any strategy there? How we should be talking about it? What could we be doing to fill this gap that you mentioned ?
Etienne: I feel one of the things that happened with Pegasus is that it got a lot of coverage, which was needed. But at some point it’s become too much coverage and into “everything is spyware”. That’s really something that has changed from when no one paid attention to that. But now I regularly see things that are technically not spyware being just named spyware and I don’t know, I feel when you get something in media you will lose complexity and few people and journalists actually get the full context and have time to get the full context. In a lot of places I’ve seen better and better technical journalism, but not everywhere. And a lot of it is very simplified.
I think the only thing we can really do is keep talking about this problem and bringing nuances to this work. For instance, in a lot of places, there are a lot of problems with forensic capabilities by the police that are abused. Like activists being arrested and the phone being cloned for data and so on. This is not a spyware issue but it is a privacy and infosec issue.
And I feel we need to continue bringing nuances about that about, other spyware or other problems, and new things that are going to appear. I don’t know if there is a perfect way to do that but I agree that we need to be sure to have an initial set of knowledge about that, that we have people who can cover that in a way that human rights and activists at the centre of the story. It won’t solve everything, but I think we need to make sure we don’t fall into simplification of the problems, because it’s not going to help anyone.
I feel one problem is, for a lot of journalists and activist, it’s unlikely they will be targeted by something as advanced as Pegasus but it’s very likely to be targeted by something as simple as phishing, and phishing works. A lot of journalists still fall for phishing in email, are compromised and everything. And we need to make sure people don’t only pay attention to attacks like Pegasus and actually have a holistic vision of digital security.
And the other critical think I think is, for instance, I’ve had a lot of people come to me and say “Hey can you check my phone for Pegasus?” And generally what you need is to talk about digital security. You shouldn’t care [only] for Pegasus if you don’t know what phishing is or you don’t have 2fa authentication. You need to have the solid layers first and consider everything. So in one way people care about digital security in ways they didn’t before but if you only answer about Pegasus and not about the broader threats they face, that’s likely not gonna help really.
Celso Bessa: This speaks to a consideration about resources. I mean, Using spyware as powerful as Pegasus is costly. There is a lot in there to make it work the way it works, and considering that this is a commercial product, there’s a lot of costs involved in selling these to governments or whoever is buying it, so it’s expensive. And connecting to what you said about the Chinese malware, they did the easy and the low-cost things, because it’s efficient most of the time. So if you cover the basics, we are better protected and we are creating friction, and a small amount of friction for adversaries is better than no friction at all, and you never know what you stumble on.
Etienne: Yeah.
Celso Bessa (Tecnologia Humanista): You mentioned good examples of reports. Could you share an example of an outlet, or a country that has better reporting which we could look for inspiration?
Etienne: I think there is more good reporting by civil society. I think it’s great that this topic is not only CitizenLab or Amnesty anymore. Now we see reports by many organizations in different languages and organisations outside of Global North. I think that’s really great. It really depends on which country but in France, the tech reporting is much better than it used to be. Internationally you really have some reporters now who are really on top of this topic.
I’m kind of frustrated that there is also a model of reports by the industry side, because everything they focus about is really the technical aspects. They get into publishing because they want customers. You get eports where they focus on all these websites that were hacked but you don’t know which websites and then you realise the context was actually way more interesting than the act itself sometimes. I think we often lack the human rights angle to a lot of these reports. It’s better than it used to be but I think we need to make sure we have context on reports, context on who are targeted, what human rights defenders and journalist voices are there.
Celso Bessa: You mentioned a lot of things are being reported as a spyware and are not actually. Do you have examples of that?
Etienne: The example of what gets lost in spyware is a lot of time forensic tools like Celebrite , and all these companies are a huge problem and it’s really not a spyware, infection works in a different ways. It works really differently. There are a lot of human rights issues with that. I think that’s the main one that gets conflicted. But there were some really good reports about advertisement intelligence being used for spyware targeting. And I feel there are not a lot of reports on that, but there are some major privacy issues with it.
[Guest A of the session made questions on use and procurement of Pegasus and similar software in Mexico. To preserve the guest’s privacy and safety, we are not publishing the question to avoid details about them, only an edited version of Etienne’s comments]
Etienne: It’s hard to know if it’s still used. I think Mexico was one the earliest customers of the NSO group. It was also acquired by multiple state agencies within Mexico and as result was resold to multiple state agencies, and It was being really largely abused. I mean, I don’t exactly know how many proven cases we have now in Mexico but I think that’s more than 50 now.A couple of years ago, a lot of people thought that with the new government the contracts were stopped, but actually people discovered activists targeted in Mexico under the new government. The President actually said that they stopped the contract with NSO group. It’s hard because it’s not like the State is a centralised entity, right? You have multiple agencies working on multiple things. Whether it’s fighting against the Mafia, drug trade, etc.
NSO is based in Israel, and they need to have an export licence by the Israeli authorities. It seems that after the revelation of abuse of Pegasus, they have limited the export licence to some countries. So we don’t know how much the Israeli authorities accept export to Mexico. It’s possible that they would possibly wouldn’t. So there is basically no transparency. No transparency on the export from the Israel authorities and definitely no transparency Mexican authoritities.
How can we trust authorities, who say, they don’t have such tools when we have seen abuse even after they said they stopped contract with NSO group? I think the situation in Mexico is better now but I need to double check and look at the reports.
Celso Bessa: I would like to stress the point about the government not being a single entity, that there’s different agencies and bodies within the country and its states. At least from the reports that I saw it means it isn’t something exclusive of any state branch, because you see a lot of misuse of this technology by the executive and judicial branches alike. And also the point of transparency, which is something that is missing from reports, and not often regarded by the general audience. I started my work on public interest technology working on transparency and that’s something that it’s very hard to do: spread the idea of holding the government accountable. It has been changing, but it’s something that we still have a long way to go. So I think it’s interesting that you mentioned that.
But moving away from Pegasus again, let’s talk about skill building, as this is a skill building series. What would be a usual day for you? Both as malware analyst and a digital security researcher. And based on the outline of the series that I shared with you, what do you think that it’s missing, or something that someone working in triaging malware should focus on?
Etienne: [when I was on malware triaging/analysis], it was challenging. I mean, it’s a bit closer to what Access Now is doing now, making sure people work for civil society and so on. A lot of triaging is about what was targeted.
It still is part of my work. Some staff from NGOs come every day with new stuff, and sometimes it’s weird. A lot of them actually are not that targeted, it is [general] scam. For instance, right now, there are people telling us they have people emailing them, telling them they are hacked and that kind of stuff stresses people out, but once we know the threat it’s mostly a scammer trying to scare people.
Specifically about triage, I think that’s really a great question because I feel that is what we’re missing. I feel the first step of becoming a threat analyst, is really being able to triage that and then building skills in a few specific types of surveillance. Whether it’s spyware or something else.
There are a few things that are really important. I mean, the first one is understanding the attack and every attack is kind of different. You have to be curious and have some good bases in how systems work and just try to understand what did the attacker wants to achieve, right? When you get a [malicious] PDF, there is the idea of attack, but if you don’t see the end goal, if you don’t see what they want to achieve. If you are seeing a malicious website, what is the end goal right? If you don’t get that, you’re kind of missing the real questions: What is it to do? We used to have exploits in PDF for JavaScript in PDF and stuff like that, a lot of PDF, but now we see a lot of QR codes which hope that people will scan to bypass a lot of protections.
So the first question is “Okay what is trying to achieve”? Once you know it’s malicious and you have an understanding of that, I think often the second question is: “Is it targeted?”And it’s kind of hard to understand and really answer that sometimes, but often it’s not too hard. For instance, the big difference is targeted attacks target very few people while cybercrime is targeting a lot of people.
So if you get a phishing domain, you can look at threat databases, you check URLscan, VirusTotal or others. And if these domains appear in any phishing reports, most likely is cybercrime. Because by definition targeted attacks really attack very few people. Twenty, fifty max. Which means that very likely they are really not mentioned in any existing threat database.
Sometimes you find it has been reported over the last month, as a cybercrime organisation, or maybe you find actually something that has been reported a couple of months ago as an APT. That kind of thing is really helping and when you have that, you have to look at the context. Sometimes email is very custom like if the email is pretending to be someone working with you and really custom to the context and to the person targeted, then it’s very likely targeted. Otherwise it’s possibly cybercrime. And once you have that, it really helps you because cybercrime targets everyone. So if you’re a journalist targeted by cybercrime, it’s normal, right? Everyone’s target. But if someone is targeted by something else, like something that appears to be state sponsored, then you have to be more careful because in a lot of cases that means that you are on someone’s list, someone’s trying to get into your account. Some journalists know that it happens to them regularly and they are really careful with that. But for some people, it can be a sign that they are at increased risk and that increased risk can come in a lot of ways. Targeted attacks, and attacks in general, do not happen outside of the physical world. So for journalists, it may be a sign that there is a threat and maybe they should be careful with the physical security measures.
Very rarely you need to do deep malware analysis, I think even for advanced attacks. Often it’s very time consuming. What you need to know is a few things. Is it malicious, is it targeted? Find a few information about what’s doing. For instance, find a domain communicating or where it’s installed on the hard drives, you can check if computers are compromised by it. But you don’t really need to understand all the bits and pieces of the malware. And that’s great because it’s very time consuming, and sometimes you will be able to just get enough information you need by a quick analysis. The more I go, the more I’m going into that idea of doing a quick analysis. I spend, I don’t know, two or three hours looking into something and I have enough information and I can decide if I want to spend a week analysing it or find someone who can do that, right? In civil society we now have some people, like Amnesty, who have time to do that and actually focus their work on it. So that is great.
Celso Bessa: Are there trends that you are seeing, changes in the way that both APT and cybercrime works, their techniques. What are trends in malware and cybersecurity that you think we should pay attention to?
Etienne: It’s a good question. A very broad and good question. We’re looking at spyware now and it seems that it’s not growing too much. It’s mostly managed but they were more common within a couple of years ago. I feel like one trend that is scaring me is that there is a broader and broader surveillance industry.
We discovered there are so many new ways to monitor people that are acquired by governments. OSINT for instance, OSINT was used very early on for human rights, right? Satellite imagery and everything. And now you have hundreds of companies who developed those tools and sell them to the governments, to the police to actually track people. You also have a lot of advertisements as surveillance. There’s a good book that was published a couple of months ago, about how data acquired by commercial companies were gathered as part of surveillance, like find contacts and so on. And now, this data has been sold to the government. And you have these companies who gather data about hundreds of data brokers and sell that to the government.
You have the same thing with, I was talking about advertisement intelligence, which means using advertisement data to monitor people. This is a scary technique. We have an understanding of a few of these markets now, some good knowledge about this spyware ecosystem, but what about the ads ecosystem? We don’t know what’s happening there. Same with everything about these companies who are monitoring Internet traffic. You have companies now who just record a large part of Internet traffic and the possibility of abuse is wild.
What distresses me is making the link between abuse and the usage of these technologies. Because often it’s very hard. A journalist is being arrested but we don’t understand why. What is scaring me for the future is we have multiple new topics that need to be tackled that are going to require a lot of work from civil society to try to keep track of.
[Guest B asks: Do you have any further thoughts on data brokers? I mean these are private companies. And sometimes I get that they have more Information about people in general than the government itself and there is no [national, strong] privacy regulation in the US. So yeah, do you have any thoughts?]
Etienne: I think data brokers in the US are such a wild issue, that it is nowhere near what you see in Europe, for instance. You have way less issues with these brokers in Europe. But in the US where companies collect data for renting and for the old credit ecosystem is such a hard to understand Ecosystem. Multiple companies are getting data from different places and using it for very different uses and it’s very hard to understand exactly how much data they have. There are some real issues with how it’s used
I’ve started to read a great book – can’t find the name now, but I will look at it and share it after – about that for instance, when 9/11 happened, the US government realised that a lot of data about people who did the attacks were available in commercial companies collecting that to sell to other companies. And there was a switch there: these companies are definitely private, but now the state is one of the customers.
There was this massive scandal in the US with X Mode and this company selling geolocation data to the state and one thing that the FBI revealed was that they were actually buying this data because they don’t have to get a warrant in their investigation. So the fact these are private companies is also avoiding all the protection you have from the states. They don’t need to get a warrant that they would need to ask Google or telcos and so on to get this data. And it’s a massive issue because then you get into a completely unprotected ecosystem of completely unregulated companies
And if you have followed this case on the Muslim Pro app –honestly it’s the most scary example –, an app for Muslim people to find the right direction to Mecca for their praying. It needs the GPS for that. So, it finds your location, and tells you where Mecca is. It had, I think, 100 million users at that time. And the company collected this data, which people didn’t know, while actually the app was collecting location and selling it to the US Army. And in the current context how widely can this be abused? If the US Army has knowledge on geolocation of 100 million of Muslim in the world, right?
And so it’s very hard to make a link between the abuse and the surveillance. People can be arrested or killed because of some things they did and they were monitored by the smartphone and didn’t know. We’re talking about 100 million people having apps like this. A weather app requires your location most of the time so it can tell where you are. The weather app I tried was sharing my geolocation with 271 companies.
That’s wild that we have this advertisement ecosystem, and who knows which companies are they reselling data to. Ultimately will have to go through regulation, better regulation. Europe has GDPR and improved some laws, but it’s going to take a lot of time until things really change. And usually regulation is several years late on the issues. So, yeah, I don’t know if you’ve been fighting for that in the US for a long time, but it’s a hard fight.
Celso Bessa: You mentioned that you’re scared of the market for surveillance. And cybercrime is increasing. And right now we have the UN Cybercrime Conventions with some provisions that, according to some media outlets and digital rights organisations, can make independent research on cybersecurity more difficult.
Etienne: I haven’t looked in depth into this convention. And I don’t have any good answer in the conventions yet, sorry about that.
Now if you look even in the industry, very different people work on cybercrime versus targeted threats because cybercrime requires cooperation between states. And require collaboration between states and the industry. So it’s very common for instance, to have collaboration between companies and the police and police between different countries. When you look at state sponsored attacks, the question becomes way more political. For instance, we don’t fully know but there is strong suspicion that the governments from Spain and France had at least some of the ministries that had been targeted by Pegasus. And a lot of people think Moroccan authorities are behind it. And we’re in the case where states are authors of the problems. Many journalists in France were targeted with Pegasus. They think that the Moroccan authorities are behind it. And there is a lot of evidence to prove it, but when they go to the police and actually go into justice with it, how do you sue a state?
Celso Bessa: Back to spyware, what should be the mentality of someone that is doing this kind of work and paying attention to the changes of techniques and tools.
Etienne: The techniques haven’t changed much, the big difference is we now have ways to get partially protected against Pegasus. If anyone is at risk of being targeted by Pegasus, using lockdown mode on the iPhone offers great protection to that kind of attack.
One lesson is politically it has been very hard to get any meaningful political change. Surprisingly, the US was almost one of the few States who actually made some difference to limit spyware issues, probably with some political interest in that. But for instance, in Europe, we have had massive issues in a lot of countries with spyware abuse and there’s not any clear change on regulation or on the techniques.
We start to have some good knowledge of attacks against the iPhone. We have very little knowledge on attacks against Android, which is really the problem. But on iPhone. It seems that the zero-click attacks that we see in apps are getting harder and harder, and we see companies that only have one-click attacks, which means that if you don’t click on the link sent by email or anything, you don’t get compromised. So it’s going to be less efficient and we can still continue to tell people to be careful with what you click on and so on. But it’s really hard to see how this is going to evolve.
I’ve read multiple testimonies of people who are doing research saying, they say it is becoming harder to compromise smartphones. So it seems that in that space it’s going to be more expensive to find exploits. But you have some States ready to pay 50 million to have that, they will probably have it and it’s going to continue to be a cat and mouse game.
That said, one thing that’s changed over the last couple of years is that big companies are now paying attention. You have Google tracking these people, you have Apple tracking these companies, which wasn’t an issue before for them before, it wasn’t really on the radar. But now they have to teams dedicated to that. There was another great report published yesterday by Google about NSO exploits that is pretty new. That is not something we would not have seen in 2020/21. So I think that’s a really positive change. So it’s great, but you won’t be able to do really significant change without that political change. I’m not a big believer of technical change really solving that problem.
Celso Bessa: That’s a great point. Thank you. Do you have any closing thoughts?
Etienne: I am just thankful for the invitation, and I am really happy to see events and training like this happening in society, because I think it’s a huge need. And I really like the way you framed it, looking not only at hardcore reversing but looking at forensic, looking at different aspects. I think it’s a rich way to look at and a really efficient way to get on spyware questions.
Celso Bessa: Thanks. Credit where credit is due: The outline of the series was adapted from my experience with the Infused Fellowship, which this program and the interview are part of, conversations with my mentor while skilling up, and my own experiences. I really appreciate you making time for the conversation.
Etienne: Thank you.
You can ffindTek at his website and the fediverse at: https://mastodon.social/@tek@todon.eu
Os custos da proteção: o panorama global das ferramentas de privacidade e segurança de dados
por Celso Bessa
Privacidade e segurança de dados são preocupações globais. As soluções para estas questões deveriam considerar contextos globais e locais. Mas a maioria das ferramentas são projetadas principalmente para o mercado de língua inglesa dos EUA, e em segundo lugar, Europa. Raramente, o contexto, as comunidades e as necessidades da Maioria/Sul Global é levanda em conta na criação de funcionalidades, interfaces, documentação e, principalmente, valores e modelos precificaçã de ferramentas como VPN, chaves de segurança, gerenciadores de senha, servidores seguros, ferramentas de criptogafia, etc. Dificultando o acesso e uso por ativistas, jornalistas, organizações de sociedade civil, líderes sociais e aqueles no público em geral que se preocupam privacidade e segurança.
Este tema é presente o tempo todo meu trabalho com segurança holística e cibersegurança junto a este público, e ando cada vez mais interessado em me debruçar sobre ele. Por essa razão, fui um dos proponentes da sessão Os custos da proteção: o panorama global das ferramentas de privacidade e segurança de dados para o próximo encontro da comunidade de direitos digitais em Portugal, um evento meio herdeiro do finado Internet Freedom Festival.
Os custos da proteção: o panorama global das ferramentas de privacidade e segurança de dados”
Na falta de políticas nacionais eficazes de privacidade de dados, usuários da internet que desejam proteger sua privacidade e segurança digital geralmente precisam instalar e usar VPNs, bloqueadores de anúncios, gerenciadores de senhas, clientes de e-mail ou serviços como DeleteMe para proteger suas PII.
Essas soluções são frequentemente recomendadas por especialistas em segurança da informação e cibesegurança, mas para cidadãos [em países da ] maioria global, o uso dessas ferramentas é frequentemente dificultado por fatores sociais, políticos e econômicos, incluindo preço, taxas de câmbio, requisitos para ter cartão de crédito, peculiaridades dos sistemas bancários locais ou o fato de que interfaces, documentação e os próprios aplicativos são projetados para o mercado de língua inglesa.
– Junte-se a nós para uma jam session para:
identificar as melhores e mais úteis ferramentas disponíveis (comerciais ou de código aberto) em sua região/seu idioma/seu contexto cultural para atender às necessidades regionais de segurança digital / privacidade;
– falar sobre como as ferramentas ou estratégias existentes podem ser modificadas/expandidas para torná-las disponíveis para usuários em mais partes do mundo
Se por acaso você for participar do evento, considere-se convidada/o/e. Se não, mas tiver um caso ou anedota sobre como você já deixou de usar uma ferramenta, ou foi hackeada/o/e ou sofreu alguma ataque, trauma, assédio digital por não ter tido acesso a uma ferramenta digital, me mande uma mensagem no Mastodon.
“Para proteger os usuários das redes sociais… legislação abrangente.. que se aplique a todas as plataformas”
por Celso Bessa
“Para proteger os usuários das redes sociais, Washington deve implementar uma legislação abrangente sobre privacidade que se aplique a todas as plataformas, sejam chinesas ou não.”
Diana Fu e Emile Dirks em The TikTok debacle: Distinguishing between foreign influence and interference, tradução livre minha
Ótimo ensaio, em inglês, de Diana Fu e Emile Dirks sobre operações de influência e de interferência e porquê banir o TikTok é uma má idéia (e no meu entender, muito hipócrita). Parte de uma série maior sobre a China como poder global.
Dia da Internet Segura – webinário como criar senhas seguras e únicas
por Celso Bessa
Esta semana, como parte da celebração do Dia Internet Segura, vou conduzir o webinário Senhas Mais Seguras Sem Enlouquecer para a Tecnologia Humanista, no dia 08 de fevereiro de 2024 às 20:00 no horário de Brasília.
O webinário tem vagas limitadas e para participar, bastar enviar um email para o endereço technologiahumanista{{{arroba}}}proton{{ponto}}me com o assunto Dia da Internet Segura. Você vai receber o link para o webinar meia hora antes do evento.
What is an API – for older people
por Celso Bessa
I was organizing one of my backup disks and came across this short slide deck, that I created for an internal informal meeting while working with Dejusticia, in 2019.
Compare the graphic style of the presentation above with the ones below, about digital security and passwords (which are out-of-date, by the way) and the recent one I did for my talk on the Expondo o Invisível project, during the Coda.Br 2023, which shows my option for more accessibility when deciding the color pallete, as an example of the gradual changes and experimentings I have been doing.
And even informed the latest iterations of my resumé:
I decided to share here for educational purposes. Both as an example of the need for adapting language and tone when facilitating training, and an early example of the current — and slowly evolving — graphic design visual language I have been using in my educative and communication material.
Enjoy it.
- Página 1
- Página 2
- Página 3
- Interim pages omitted …
- Página 75
- Go to Next Page »