Snowden, NSA e o fim
da privacidade
Anchises Moraes
Garoa Hacker Clube e Security BSides SP
Luca Bastos
Principal Consultan...
Vamos começar
com 3 notícias
desta semana
Primeira notícia e que afetou
todo mundo
Quem aí ouviu falar
Quem aí ouviu falar no
The Heartbleed Bug?
Afetou um monte de sites
Afetou um monte de sites
É uma vulnerabilidade séria na biblioteca
de criptografia OpenSSL
Afetou um monte de sites
É uma vulnerabilidade séria na biblioteca
de criptografia OpenSSL
Permite a qualquer um ler a memó...
Afetou um monte de sites
É uma vulnerabilidade séria na biblioteca
de criptografia OpenSSL
Permite a qualquer um ler a memó...
Alguém já viu antes uma falha de
segurança ser anunciada assim
em um site bonitinho com
logomarca e tudo o mais?
Quem aí ouviu falar que
o Heartbleed Bug?
já era explorado
em novembro de
2013 ou até antes?
O Neel Mehta, hoje parte da
segurança do Google, mostrou ao
mundo um problema que já
existe há 2 anos em um lindo site
da ...
Porém o chefão da Codenomicon
é o Howard A. Schmidt
ex chefe de segurança da
Microsoft
A Microsoft junto com o Google e
outras empresas americanas,
colabora (obrigada ou não) com o
NSA
Mais uma notícia da 3a feira que
mostra que tem mais gente com
a pulga atrás da orelha
O presidente da China Xi Jinping
disse na 3a feira que o bug
Heartbleed afetou 98% da
internet e foi projetado pelo NSA
Outra notícia também da 3a feira
Snowden pede novas regras para
impedir abusos da NSA
Estas noticias tem cheiro de NSA
O que é este tal de NSA e como é
que tem recursos para fazer
tanta coisa (ruim)?
O NSA é antigo e já vem
espionando há tempos
Mas quem escancarou tudo foi
Edward Snowden
Thank you, Edward Snowden
As revelações do Snowden foram
estarrecedoras
Nossa privacidade online…
já era
Nossa privacidade online…
já era
USS Jimmy Carter (SSN-23)
Vamos falar agora porque fazem
isto e se tem algum amparo legal
Fazem porque guerra cibernética
é bem mais fácil e principalmente
mais barata do que a física
E vamos provar com números
Edward Snowden, ex contratado
da NSA, vazou com detalhes
documentos que mapeiam um
orçamento bilionário para o NSA,
CIA e ...
O Washington Post, reviu os
documentos e
publicou uma detalhada lista de
objetivos, tecnologias, dados de
recrutamento e o...
O Orçamento negro
americano
US $52.6 bilhões
Washington	
  Post,	
  agosto	
  de	
  2013	
  
 
O orçamento cobre ações de
espionagem e contrainteligência
Chamado de orçamento negro, engloba
mais de uma dúzia de agên...
CIA, NSA e NRO (National
Reconnaissance Office) ficaram com
mais de 68% deste orçamento
 
Detalhe: O orçamento do National
Geospatial-Intelligence Program’s
(NGP) cresceu mais de 100% desde
2004
 
A CIA recebeu US $14,7 bilhões
em 2013
US$ 11,5 bilhões gastos em coletar
dados, processamento e análise
 
O NSA recebeu US $10,8 bilhões
em 2013
US$ 5,6 bilhões gastos em coletar
dados, processamento e análise
 
O NRO recebeu US $10,8 bilhões
em 2013
US$ 8,5 bilhões gastos em coletar
dados, processamento e análise
A comunidade de inteligência
emprega mais de 107 mil pessoas
Mesmo com todo este dinheiro
a guerra cibernética ainda é
mais barata do que o uso de
armas “convencionais”
Um avião F-22 raptor custa
US$ 361 milhões
Uma esquadrilha com 60
destes aviões = $ 22 bilhõeshttp://pt.wikipedia.org/wiki...
EUA lançaram o navio de
guerra mais caro do mundo
US$ 7 bilhões (Estadão 05 de janeiro de 2014)
Zumwalt	
  	
  
E o Data Center dos EUA que
coleta dados de tudo
o que você faz na Internet?
http://www.businessinsider.com/pictures-of-th...
Utah Data Center
Capaz de tratar dados na ordem de exabytes
Utah Data Center
Utah Data Center
Este Data Center custou entre
1,5 E 1,7 bilhões de dólares
...ou 5 aviões F-22 Raptor
...ou ¼ do Zumwalt
Vamos falar de leis
Dois decretos importantes:
CALEA
Ato patriótico
CALEA
Communications Assistance for Law
Enforcement Act
Lei dos grampos nos States
aprovada em 1994, na presidência
de Bil...
CALEA
Exige que operadoras de
telecomunicações e fabricantes de
equipamentos de telecomunicações
modifiquem e projetem seus...
CALEA
Em 2005 a FCC ampliou sua
aplicação para incluir todo o
tráfego de VoIP e Internet banda
larga.
USA PATRIOT Act
Decreto assinado pelo
presidente Bush logo
depois do 11 de Setembro
de 2001
USA PATRIOT Act
Uniting and Strengthening America by
Providing Appropriate Tools Required
to Intercept and Obstruct Terror...
USA PATRIOT Act
Permite, entre outras medidas, que
órgãos de segurança e de inteligência
dos EUA interceptem ligações
tele...
USA PATRIOT Act
Permite, entre outras medidas, que
órgãos de segurança e de inteligência
dos EUA interceptem ligações
tele...
Em outubro de 2001, o presidente
George Bush emitiu uma ordem
presidencial secreta que autoriza o
NSA a realizar uma série...
No início de 2006 o ex-técnico da
AT&T, Mark Klein, mostrou que a
AT&T estava cooperando com a
vigilância ilegal.
As comun...
Existem ainda outras leis tais
como:
Protect America Act de 2007
Foreign Intelligence
Surveillance Act (FISA)
Amendments A...
Vamos falar agora de tipos
de espionagem
Espionagem
•  Ativa
•  Passiva
Espionagem ativa é aquela
tradicional que não escala.
Exige muito esforço para
um unico alvo
Não tem dados antes de
começa...
Espionagem passiva é o
caminho mais fácil
Espionagem passiva é o
caminho mais fácil
Porém criptografia é um
grande problema
Nos anos 90 o NSA perdeu
uma batalha pública para
inserir backdoors em
todas as tecnologias de
criptografia desenvolvidas
n...
Mas não acredite que não
exista backdoors no seu
programa de email e até
no chip do seu celular
Então… o que podemos fazer?
Justamente para ensinar isto
estamos fazendo a CryptoRave
Vamos as dicas
Ficar anônimo tanto quanto
possível
Use Tor para ficar anônimo. Sim, a
NSA está de olho em usuários do
TOR, mas isto os def...
Criptografe suas
comunicações
Use TLS. Use IPSEC. De novo,
apesar da NSA visar conexões
criptografadas, você estará muito
...
Mantenha dados críticos fora
da rede
Se tem algo realmente importante,
use um computador dedicado fora
da internet.
Mantenha dados críticos fora
da rede
Se tem algo realmente importante,
use um computador dedicado fora
da internet. Se voc...
Suspeite de softwares
comerciais de criptografia
A maioria do produtos de
criptografia fornecidos por grandes
empresas ameri...
Suspeite de softwares
comerciais de criptografia
A maioria do produtos de
criptografia fornecidos por grandes
empresas ameri...
Tente usar criptografia de
domínio público compatível
com outras implementações
É mais difícil a NSA colocar um
backdoor no...
Por fim
“Creia na matemática.
Criptografia é sua
amiga.
Use-a bem e faça o
melhor para que nada
possa comprometê-la.
É assim que vo...
Anchises Moraes
Garoa Hacker Clube e Security BSides SP
Luca Bastos
Principal Consultant na ThoughtWorks
Perguntas
Snowden, NSA e o fim da privacidade
Snowden, NSA e o fim da privacidade
Próximos SlideShares
Carregando em…5
×

Snowden, NSA e o fim da privacidade

816 visualizações

Publicada em

O mundo mudou a partir das revelações do Snowden. Mostraremos como o NSA e seus aliados violam nossa privacidade, quanto investem, alguns recursos que usam e o que nós podemos fazer para dificultar ou pelo menos encarecer o que o NSA faz através do uso de criptografia, da navegação de forma anônima ou mesmo não usar a internet para transferir documentos importantes.

Anchises Moraes (Garoa Hacker Clube, CSA, Security Bsides)

Luca Bastos (ThoughtWorks)

Publicada em: Internet
0 comentários
1 gostou
Estatísticas
Notas
  • Seja o primeiro a comentar

Sem downloads
Visualizações
Visualizações totais
816
No SlideShare
0
A partir de incorporações
0
Número de incorporações
46
Ações
Compartilhamentos
0
Downloads
15
Comentários
0
Gostaram
1
Incorporações 0
Nenhuma incorporação

Nenhuma nota no slide

Snowden, NSA e o fim da privacidade

  1. 1. Snowden, NSA e o fim da privacidade Anchises Moraes Garoa Hacker Clube e Security BSides SP Luca Bastos Principal Consultant na ThoughtWorks
  2. 2. Vamos começar com 3 notícias desta semana
  3. 3. Primeira notícia e que afetou todo mundo
  4. 4. Quem aí ouviu falar
  5. 5. Quem aí ouviu falar no The Heartbleed Bug?
  6. 6. Afetou um monte de sites
  7. 7. Afetou um monte de sites É uma vulnerabilidade séria na biblioteca de criptografia OpenSSL
  8. 8. Afetou um monte de sites É uma vulnerabilidade séria na biblioteca de criptografia OpenSSL Permite a qualquer um ler a memória de sistemas protegidos por versões vulneráveis do OpenSSL
  9. 9. Afetou um monte de sites É uma vulnerabilidade séria na biblioteca de criptografia OpenSSL Permite a qualquer um ler a memória de sistemas protegidos por versões vulneráveis do OpenSSL Foi descrito em um site bonitinho http://heartbleed.com/
  10. 10. Alguém já viu antes uma falha de segurança ser anunciada assim em um site bonitinho com logomarca e tudo o mais?
  11. 11. Quem aí ouviu falar que o Heartbleed Bug? já era explorado em novembro de 2013 ou até antes?
  12. 12. O Neel Mehta, hoje parte da segurança do Google, mostrou ao mundo um problema que já existe há 2 anos em um lindo site da empresa Codenomicon
  13. 13. Porém o chefão da Codenomicon é o Howard A. Schmidt ex chefe de segurança da Microsoft
  14. 14. A Microsoft junto com o Google e outras empresas americanas, colabora (obrigada ou não) com o NSA
  15. 15. Mais uma notícia da 3a feira que mostra que tem mais gente com a pulga atrás da orelha
  16. 16. O presidente da China Xi Jinping disse na 3a feira que o bug Heartbleed afetou 98% da internet e foi projetado pelo NSA
  17. 17. Outra notícia também da 3a feira
  18. 18. Snowden pede novas regras para impedir abusos da NSA
  19. 19. Estas noticias tem cheiro de NSA
  20. 20. O que é este tal de NSA e como é que tem recursos para fazer tanta coisa (ruim)?
  21. 21. O NSA é antigo e já vem espionando há tempos
  22. 22. Mas quem escancarou tudo foi Edward Snowden
  23. 23. Thank you, Edward Snowden
  24. 24. As revelações do Snowden foram estarrecedoras
  25. 25. Nossa privacidade online… já era
  26. 26. Nossa privacidade online… já era
  27. 27. USS Jimmy Carter (SSN-23)
  28. 28. Vamos falar agora porque fazem isto e se tem algum amparo legal
  29. 29. Fazem porque guerra cibernética é bem mais fácil e principalmente mais barata do que a física E vamos provar com números
  30. 30. Edward Snowden, ex contratado da NSA, vazou com detalhes documentos que mapeiam um orçamento bilionário para o NSA, CIA e outras agências
  31. 31. O Washington Post, reviu os documentos e publicou uma detalhada lista de objetivos, tecnologias, dados de recrutamento e outras informações
  32. 32. O Orçamento negro americano US $52.6 bilhões Washington  Post,  agosto  de  2013  
  33. 33.   O orçamento cobre ações de espionagem e contrainteligência Chamado de orçamento negro, engloba mais de uma dúzia de agências que compoem o programa nacional de segurança
  34. 34. CIA, NSA e NRO (National Reconnaissance Office) ficaram com mais de 68% deste orçamento
  35. 35.   Detalhe: O orçamento do National Geospatial-Intelligence Program’s (NGP) cresceu mais de 100% desde 2004
  36. 36.   A CIA recebeu US $14,7 bilhões em 2013 US$ 11,5 bilhões gastos em coletar dados, processamento e análise
  37. 37.   O NSA recebeu US $10,8 bilhões em 2013 US$ 5,6 bilhões gastos em coletar dados, processamento e análise
  38. 38.   O NRO recebeu US $10,8 bilhões em 2013 US$ 8,5 bilhões gastos em coletar dados, processamento e análise
  39. 39. A comunidade de inteligência emprega mais de 107 mil pessoas
  40. 40. Mesmo com todo este dinheiro a guerra cibernética ainda é mais barata do que o uso de armas “convencionais”
  41. 41. Um avião F-22 raptor custa US$ 361 milhões Uma esquadrilha com 60 destes aviões = $ 22 bilhõeshttp://pt.wikipedia.org/wiki/F-22_Raptor
  42. 42. EUA lançaram o navio de guerra mais caro do mundo US$ 7 bilhões (Estadão 05 de janeiro de 2014) Zumwalt    
  43. 43. E o Data Center dos EUA que coleta dados de tudo o que você faz na Internet? http://www.businessinsider.com/pictures-of-the-nsas-utah-data-center-2013-6
  44. 44. Utah Data Center Capaz de tratar dados na ordem de exabytes
  45. 45. Utah Data Center
  46. 46. Utah Data Center
  47. 47. Este Data Center custou entre 1,5 E 1,7 bilhões de dólares ...ou 5 aviões F-22 Raptor ...ou ¼ do Zumwalt
  48. 48. Vamos falar de leis
  49. 49. Dois decretos importantes: CALEA Ato patriótico
  50. 50. CALEA Communications Assistance for Law Enforcement Act Lei dos grampos nos States aprovada em 1994, na presidência de Bill Clinton
  51. 51. CALEA Exige que operadoras de telecomunicações e fabricantes de equipamentos de telecomunicações modifiquem e projetem seus equipamentos, instalações e serviços para garantir que eles tenha capacidades de vigilância embutidas
  52. 52. CALEA Em 2005 a FCC ampliou sua aplicação para incluir todo o tráfego de VoIP e Internet banda larga.
  53. 53. USA PATRIOT Act Decreto assinado pelo presidente Bush logo depois do 11 de Setembro de 2001
  54. 54. USA PATRIOT Act Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism
  55. 55. USA PATRIOT Act Permite, entre outras medidas, que órgãos de segurança e de inteligência dos EUA interceptem ligações telefônicas e e-mails de organizações e pessoas supostamente envolvidas com o terrorismo
  56. 56. USA PATRIOT Act Permite, entre outras medidas, que órgãos de segurança e de inteligência dos EUA interceptem ligações telefônicas e e-mails de organizações e pessoas supostamente envolvidas com o terrorismo, sem necessidade de qualquer autorização da Justiça, sejam estrangeiras ou americanas.
  57. 57. Em outubro de 2001, o presidente George Bush emitiu uma ordem presidencial secreta que autoriza o NSA a realizar uma série de atividades de vigilância no interior dos Estados Unidos, sem autorização estatutária nem aprovação do tribunal, incluindo a vigilância eletrônica de telefone e de Internet dos americanos.
  58. 58. No início de 2006 o ex-técnico da AT&T, Mark Klein, mostrou que a AT&T estava cooperando com a vigilância ilegal. As comunicações eram direcionadas para salas secretas da NSA dentro das operadoras de telecom.
  59. 59. Existem ainda outras leis tais como: Protect America Act de 2007 Foreign Intelligence Surveillance Act (FISA) Amendments Act de 2008 mas vamos parar por aqui
  60. 60. Vamos falar agora de tipos de espionagem
  61. 61. Espionagem •  Ativa •  Passiva
  62. 62. Espionagem ativa é aquela tradicional que não escala. Exige muito esforço para um unico alvo Não tem dados antes de começar a espionar
  63. 63. Espionagem passiva é o caminho mais fácil
  64. 64. Espionagem passiva é o caminho mais fácil Porém criptografia é um grande problema
  65. 65. Nos anos 90 o NSA perdeu uma batalha pública para inserir backdoors em todas as tecnologias de criptografia desenvolvidas nos States
  66. 66. Mas não acredite que não exista backdoors no seu programa de email e até no chip do seu celular
  67. 67. Então… o que podemos fazer?
  68. 68. Justamente para ensinar isto estamos fazendo a CryptoRave
  69. 69. Vamos as dicas
  70. 70. Ficar anônimo tanto quanto possível Use Tor para ficar anônimo. Sim, a NSA está de olho em usuários do TOR, mas isto os defende. Quanto menos exposto você estiver, mais seguro estará
  71. 71. Criptografe suas comunicações Use TLS. Use IPSEC. De novo, apesar da NSA visar conexões criptografadas, você estará muito mais seguro do que se comunicar em aberto.
  72. 72. Mantenha dados críticos fora da rede Se tem algo realmente importante, use um computador dedicado fora da internet.
  73. 73. Mantenha dados críticos fora da rede Se tem algo realmente importante, use um computador dedicado fora da internet. Se você precisa mover dados críticos para um computador com internet, criptografe o conteúdo e use um dispositivo USB
  74. 74. Suspeite de softwares comerciais de criptografia A maioria do produtos de criptografia fornecidos por grandes empresas americanas, tem "NSA- friendly backdoors”.
  75. 75. Suspeite de softwares comerciais de criptografia A maioria do produtos de criptografia fornecidos por grandes empresas americanas, tem "NSA- friendly backdoors”. Softwares de código fechado são mais fáceis para a NSA incluir backdoors do que software de código aberto
  76. 76. Tente usar criptografia de domínio público compatível com outras implementações É mais difícil a NSA colocar um backdoor no TLS do que no BitLocker, porque muitos trabalham com TLS enquanto BitLocker só precisa ser compatível com ele mesmo.
  77. 77. Por fim
  78. 78. “Creia na matemática. Criptografia é sua amiga. Use-a bem e faça o melhor para que nada possa comprometê-la. É assim que você permanecerá seguro mesmo face à NSA.” Bruce Schneier
  79. 79. Anchises Moraes Garoa Hacker Clube e Security BSides SP Luca Bastos Principal Consultant na ThoughtWorks Perguntas

×