Víctor Mayoral-Vilches Cibercrime em Robótica, pesquisa da Alias Robotics que viaja para Black Hat Robôs industriais são seguros? É a dúvida com que essa análise começa, a partir da Alias Robotics, trabalhamos em conjunto com a TrendMicro em uma pesquisa sobre segurança robótica...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Campanha de conscientização de funcionáriosElevenPaths 5 febrero, 2019 Hoje em dia está mais do que comprovado que o elo mais fraco na corrente de cibersegurança é o funcionário. São eles o objetivo principal da maioria das campanhas de engenharia social, sejam através de e-mails (phishing), chamadas telefônicas a um técnico de suporte (vishing) ou arquivos anexados que pareçam interessantes. Ao falar de engenharia social é inevitável relembrar dos quatro princípios citados por Kevyn Mitnick: Todos queremos ajudar uns aos outros O primeiro movimento é sempre de confiança para com o outro Não gostamos de falar “não” Gostamos de ser reconhecidos por algo que fizemos No final, sempre aprendemos com nossas falhas e é melhor que façamos simulações e campanhas de conscientização antes nos tornar vítimas de campanhas maliciosas reais. Veja abaixo algumas ações de conscientização que você pode tomar: Campañas de phishing. Se caracterizam pelo envio massivo de e-mails para as possíveis vítimas com link para um site falso quase idêntico ao original. O objetivo é roubar credenciais dos usuários. Quando o empregado cai na “armadilha”, é direcionado mãos uma página web indicando que ele ou ela é uma vítima, mas que, por sorte, se tratava de um treinamento. A seguir são apresentadas diversas dicas e conselhos para evitar novos riscos. Em função da complexidade de se aplicar uma campanha de phishing para toda a empresa, é possível aplicar técnicas de typosquating ou cybersquating, além do envio de mensagens para públicos VIP e diretores (spear-phishing) que podem representar maior risco para a organização. Campañas de vishing. a técnica de vishing se baseia em chamadas telefônicas para ganhar a confiança do interlocutor e, assim, obter informação sensível. Por exemplo, pode-se anexar arquivos como documentos PDF, Excel ou PowerPoint em e-mails que oferecem descontos em um produto ou serviço utilizado pela vítima. Ao utilizar arquivos Office, a ideia é injetar códigos PowerShell em macros (pequeninas aplicações que automatizam ou executam funções dentro da suíte Office), dessa maneira o usuário será sempre convidado a habilitar as macros para visualizar corretamente o documento. Campanhas de USB maliciosos: ao contrário dos ataques anteriores, necessitamos nesse de acesso físico efetivo aos escritórios do cliente para colocar um par de dispositivos USB em zonas de grande circulação de pessoas (cafés, bebedouros, impressoras, áreas de descanso, etc.). Estes ataques podem ser divididos em duas categorias principais: USB padrão: similar à campanha que usa arquivos anexados, com a diferença de que aqui o “anexo” está armazenado no dispositivo USB. A estratégia utilizada é sempre criar um nome muito atrativo para o arquivo, como algo nominal ao CEO por exemplo, para que o funcionário fique curioso o abra. USB falso: se baseia criar um dispositivo que se parece com um pen-drive de armazenamento mas que, ao ser conectado, se comporta como um teclado que executa comandos como o acesso à uma página controlada pelo atacante ou o download de certo programa. Para maiores informações, há um post de um colaborador aqui da Telefônica que explica bem a técnica. A aplicação em série de campanhas de conscientização permite que as empresas identifiquem o nível de awareness de seus empregados em relação à segurança da informação, assim como permite detectar quais os departamentos ou pessoas demandam maior treinamento no tema. Além disso, é uma medida que permite revisar os procedimentos internos de atuação ao se deparar com incidentes, revisar os filtros de spam, configuração padrão de equipamentos móveis e controles e acesso ao edifício. Ignacio Brihuega Rodríguez Coordenador de Hacking Ético da ElevenPaths @n4xh4ck5 Extensão na Chrome Web Store ativa há um ano rouba dados de cartão de créditoAnalisando o impacto da vulnerabilidade FakesApp e decifrando o tráfego do WhatsApp Web com “WhatsApp Decoder” (Parte 1/2)
Telefónica Tech Boletim semanal de cibersegurança, 30 abril — 6 maio TLStorm 2 – Vulnerabilidades em Switches Aruba e Avaya Pesquisadores da Armis descobriram cinco vulnerabilidades na implementação de comunicações TLS em vários modelos de switch Aruba e Avaya. Especificamente, as...
Roberto Velasco DevSecOps: 7 fatores-chave para implementar segurança em DevOps DevSecOps, também conhecido como SecDevOps, é uma filosofia de desenvolvimento de software que promove a adoção de segurança em todo o ciclo de vida de desenvolvimento de software (SDLC)....
ElevenPaths Boletim semanal de cibersegurança 5-11 junho Boletim Mensal da Microsoft A Microsoft lançou seu boletim de segurança de junho que aborda 50 vulnerabilidades, incluindo falhas de execução remota de código (RCE), problemas de negação de serviço,...
ElevenPaths Boletim semanal de cibersegurança 2 maio-4 junho Vulnerabilidade no SonicWall Network Security Manager A SonicWall lançou patches de segurança, para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do...
Gonzalo Álvarez Marañón Recupere o controle de seus dados pessoais graças à identidade descentralizada no Blockchain Aposto que, quando você tinha 18 anos, em alguma ocasião eles lhe pediram sua carteira de identidade em uma boate ou na compra de bebidas alcoólicas para verificar se você era...
Sergio de los Santos E o presidente disse «tudo bem agora.» As novas propostas em cibersegurança da Casa Branca Joe Biden assinou uma Ordem Executiva para melhorar a segurança cibernética nacional e proteger com mais eficiência as redes do governo federal . O ataque à operadora de oleoduto Colonial Pipeline, notícia...