As duas faces do anonimato

1
As duas faces do anonimato

• Diogo Rodrigues Maciel drm
• Paulo Roberto de Melo Rodrigues prmr

2
Roteiro

• Anonimato
• Anonimato na era digital
• Criptografia
• Cryptovírus e roubo de senhas
• Resolvendo os problemas
• Como evitar

3
Anonimato

• Definição Anonimato é a qualidade ou condição do
  que é anônimo, isto é, sem nome ou assinatura. A
  expressão designa ainda o individuo sem renome.
• Com o advento das mensagens por telecomunicações
  e, em particular, pela Internet, designa o ato de
  manter uma identidade escondida de terceiros.
• Isso é bom ou ruim?

4
Anonimato

• Vantagens
• As pessoas podem fazer determinadas ações ou
  expor idéias sem medo de perseguição.
• Exemplo Eleição, disque-denúncia, caixas de
  sugestões etc.

5
Anonimato

• Desvantagens
• Os criminosos podem realizar crimes sem medo de
  serem descobertos.

6
Anonimato na era digital

• As vantagens e desvantagens continuam
  praticamente as mesmas
• ... no entanto causando um maior impacto, tanto
  nas vantagens como nas desvantagens.

7
Vantagens

• Comércio eletrônico.
• Dinheiro (cédulas) Anônimo mas não é seguro.
• Cartões (e-money identificado) Seguro mas não é
  anônimo.
• Dinheiro eletrônico (e-money anônimo) Seguro e
  anônimo.

8
Desvantagens

• Os crimes se tornam cada vez mais difíceis de
  serem solucionados.
• Aparecimento dos chamados Crimes perfeitos.
• ... impossível não falar de criptografia

9
Criptografia

• Criptografia é a técnica de converter
  (codificar) uma mensagem ou mesmo um arquivo
  utilizando um código secreto. Com o propósito de
  segurança, as informações nele contidas não podem
  ser utilizadas ou lidas até serem decodificadas.

10
Um pouco da história da criptografia

• Os Estados Unidos sempre classificaram a
  criptografia como uma arma e tentaram evitar a
  proliferação desta tecnologia.
• Empresas privadas e estrangeiros não deveriam ter
  acesso a formar de criptografia.
• No entanto matemáticos desenvolveram sistemas
  independentes.
• Phil Zimmermann criador do PGP (Pretty Good
  Privacy) defende a criptografia.
• Clinton relaxou o controle sobre a criptografia,
  até que um dia...

11
(No Transcript)
12
Um pouco da história da criptografia

• Agentes do FBI e da CIA recusam-se a comentar se
  os terroristas utilizaram programas de
  criptografia para planejar os ataques.
• ... mas a questão é o anonimato volta a ser um
  tema bastante discutido.

13
... Outros problemas

• Compartilhamento de arquivos
• Protocolos descentralizados dificultam o
  descobrimento das pessoas que estão distribuindo
  arquivos ilegais.

14
Cryptovírus e Roubo de Senha

• Deniable password snatching

15
Cryptovírus

• Uma nova classe de vírus de computador que contêm
  a chave pública do autor do virus.
• Usando a chave pública, o vírus pode encriptar os
  arquivos da vítima e tomá-los como reféns
• O único modo da vítima obter a chave privada é
  pagando o resgate (que não necessáriamente é
  dinheiro)

16
Roubo de senha e Segurança por obscuridade

• Exemplo um trojan horse que rouba os pares
  login/senha dos usuários e guarda os dados em um
  arquivo oculto.
• Mais tarde o autor do ataque acessa a máquina e
  baixa o arquivo com as senhas

17
Roubo de senha e Segurança por obscuridade

• Para o autor este ataque é arriscado por duas
  razões
• Outra pessoa pode achar o arquivo
• O trojan Horse pode ser descoberto - o ator do
  ataque pode estar se entregando ao baixar o
  arquivo.
• Segurança por obscuridade não é aconselhável
  pelos criptógrafos, mas este é um princípio
  bastante utilizado na segurança de computadores.
• Segurança não deve depender do segredo do
  sistema, nem da ignorância de quem o ataca.

18
Resolvendo o problema com criptovirologia

• Um criptotrojan com chave pública pode ser usado
• Para resolver a primeira questão
• O trojan pode encriptar cada entrada
  (login/senha) usando uma chave pública
• O código cifrado resultante é armazenado em um
  arquivo oculto, como antes. Este arquivo pode ser
  concebido para conter sempre N valores de
  entradas cifradas e permanecer com o tamanho fixo.

19
Resolvendo o problema com criptovirologia
Índice i

• Para implementar isto um indice i é armazenado no
  início do arquivo. Seu valor indica o proxima
  entrada a ser sobrescrita. Deste modo o arquivo
  fica sempre atualizado e com tamanho fixo.

Entrada 1
Entrada 2
Entrada N-2
Entrada N-1
20
Resolvendo o problema com criptovirologia

• Para resolver a segunda questão
• O fato de que os pares login/senha estão
  encriptados abre espaço para um canal de
  distribuição anonima.
• Situação de exemplo
• O trojan se copia em qualquer disquete inserido
  na máquina ( desde que haja espaço )
• Para que o arquivo continue oculto, ele é escrito
  nos últimos setores, menos utilizados, do
  disquete. Assim ele fica invisível para o
  sistema de arquivo

21
Resolvendo o problema com criptovirologia

• Este ataque mostra que
• Às vezes o malware precisa coletar e salvar os
  dados obtidos no sistema alvo.
• Para que o malware seja mais difícil de detectar,
  ele deve ter tamanho fixo. (lista circular)
• Para o autor do trojan resta o problema de
  instalá-lo pela primeira vez. Pode ser escrito um
  vírus que o instale na máquina.
• Se o autor for pego na hora de infectar uma
  máquina, pode alegar que é uma vítima inocente do
  vírus.

22
Como evitar

• Autenticação sem uso de login/senha
• smart cards
• Timed cryptographic tokens
• Cada usuário tem um número de identificação
  pessoal (PIN) e um código mostrado no token que
  muda em intervalos regulares de tempo.
• RSA SecureID

23
Como evitar

• De qualquer forma, esse tipo de ataque pode ser
  usado para roubar outros tipos de informação.
• Um trojan pode manda em broadcast dados
  criptografados com chave pública
• Neste caso apenas o autor seria capaz de
  desencriptar a mensagem

24
Referências

• Malicious Cryptography Exposing Cryptovirology.
  Adam Young. (Capítulo 4 The Two Faces Of
  Anonymity).
• en.wikipedia.org/wiki/Main_Page

25
Perguntas?