Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Decepticons vs. Covid-19: a batalha definitivaGabriel Bergel 29 junio, 2020 Decepticons. Aqueles que são da Geração X se lembrarão muito bem de quem eram: na saga Transformers, eles eram os seres robóticos modulares com autoconfiguração mecânica do planeta Cybertron, liderado pela Megatron. Sem perceber, já nos anos 80 falamos sobre decepticons e robôs auto-configuradores. A situação atual da pandemia Do Covid-19 nos forçou a nos confinar em nossas casas e, portanto, fomos forçados a trabalhar em casa. O vírus mudou a forma como usamos a Internet e o tráfego de rede aumentou em 70%. E do ponto de vista social e psicológico, estamos todos sob um estresse social e emocional que, por outro lado, é muito normal nesses tipos de situações. Esse conjunto de circunstâncias torna-se a imagem perfeita para os cibercriminosos, que estão mais do que nunca tentando aproveitá-lo para alcançar seus objetivos e obter dinheiro diretamente ou algo (informações, geralmente) que lhes permita obtê-lo. O que isso tem a ver com Decepticons? Decepticons se encaixam muito bem nesta «nova realidade». Considerando que os cibercriminosos estão cada vez mais usando a engenharia social para nos enganar, especialmente o phishing (que de acordo com a divisão de crimes na Internet do FBI é a forma mais proeminente de crimes cibernéticos), hoje temos que ser cautelosos, especialmente nestes tempos em que estamos mais distraídos pela pandemia. Então, se os cibercriminosos usam a decepção como sua principal arma, por que não nós? Dentre todas as técnicas e estratégias que adotamos na cibersegurança, uma das mais importantes é a «decepção», entendida não como um sentimento de insatisfação, mas como o conceito inglês de engano. No campo militar, este termo é usado para descrever essas ações realizadas com o objetivo de enganar os adversários sobre as capacidades, intenções e operações das próprias forças militares, afim de obterfalsas conclusões. Na doutrina militar dos Estados Unidos o acrônimo MILDEC(MILitary DECeption)é usadoe na antiga doutrina militar da União Soviética e agora da Rússia eles usam o termo Maskirovka (russo: ) que literalmente significa camuflagem, ocultação, mascaramento. Alguns exemplos históricos Há inúmeros casos de uso dessa técnica em diferentes situações de conflito ou guerra, como o mítico cavalo de Tróia, usado por Aqueos como estratégia para entrar na cidade fortificada de Tróia; ou como na Segunda Guerra Mundial, quando um exército fantasma enganou Adolf Hitler com um desfile itinerante de tanques, canhões e aeronaves (em grande parte tripulados por atores e artistas) suplantando o Exército Aliado perto da linha de frente. Isso desviou a atenção para as tropas americanas, separando as forças alemãs e dando aos Aliados uma vantagem tática. Em um capítulo da famosa série de televisão Viking vemos como Ragnar Lodbrok também usa uma estratégia engenhosa para entrar em Paris, fingir estar prestes a morrer e solicitar um enterro cristão na catedral. Uma vez dentro e para surpresa de todos, Ragnar sai de seu caixão e… o que acontece a seguir já é spoiler. Este episódio realmente aconteceu, de acordo com o que as sagas vikings dizem, embora seu protagonista não fosse Ragnar, mas aquele que mais tarde se tornaria rei da Noruega, Harald Hardrada (Harald III da Noruega). Figura 1: Rey Harald III de Noruega Decepção eHoneypot, eles são os mesmos? Em nosso blog já falamos em uma ocasião sobre decepção e Nikos Tsouroulas explicou muito bem:: «Essas abordagens nos permitem implantar cenários falsos que simulam a infra-estrutura, os ativos e os perfis de nossa organização para mover um invasor para um ambiente controlado e monitorado, onde novos desafios e dificuldades são colocados em uma árvore de ataque, especificamente projetada com base na natureza de cada organização. Isso direciona os recursos de um invasor para uma infra-estrutura falsa, enquanto nossos verdadeiros ativos são protegidos e ganhamos inteligência do adversário (indicadores em seu C&C, ferramentas usadas, capacidades, motivações, etc.).» No meu último trabalho de campo antes da pandemia, tive a oportunidade de trabalhar com a tecnologia dos amigos da CounterCraft (empresa espanhola que a Telefónica selecionou em 2016 para investir e apoiar sua expansão)e fiquei impressionado com o que havia avançado esse tipo de plataforma. Provavelmente um termo que eles conheciam e que está muito relacionado a esta abordagem é honeypot. É uma isca que pode ser usada com qualquer tecnologia, mais comumente em um servidor web. Existem muitas soluções de código aberto que permitem que você faça isso a um custo muito baixo, mas a decepção é um conceito mais amplo do que apenas um chamariz. Figura 2: Honeypot Antes de 2010, havia apenas algumas empresas de cibersegurança oferecendo produtos enganosos,mas graças à grande evolução que esse tipo de plataforma experimentou, ouso dizer que hoje já existem mais de 15 provedores de tecnologia enganosa.. Essas soluções podem ser um grande acelerador para as equipes de detecção e resposta, pois produzem alertas que os departamentos de segurança podem aproveitar para reagir e responder com mais precisão e em tempo hábil. Diante dos novos desafios de segurança cibernética que as empresas enfrentam durante esta crise de saúde, a CounterCraft preparou pacotes de segurança específicos para este fim e tem um catálogo de 25 campanhas de trapaça prontas para uso: phishing, exfiltração de dados, ataque SWIFT, detecção de movimento lateral, etc. Conclusões Não podemos esquecer o que o Gartner disse há um tempo atrás: o engano é simples e econômico, aumenta o tempo de detecção em 12 vezes e melhora o tempo para ficar em mais de 90%. O que eu gosto nesta solução é que ela combina inteligência avançada, compilada por campanhas, enriquecida com o MITRE ATT&CK, para que você possa ter uma visão ampla sobre o que, quem e como você está agindo contra a organização. Assim, podemos obter dados de ameaças, TTP e IOC de adversários que podem ser imediatamente compartilhados com soluções de segurança cibernética como SIEM, SOAR, MISP, Sandbox e outros. Em última análise, devo dizer que a decepção com a segurança cibernética é um meio de permanecer proativo ao invés de reativo. Estamos tentando tornar esta batalha mais simétrica, então desta vez não devemos apenas apoiar os Autobots,mas também nos juntar aos Decepticons. «Toda guerra é baseada em enganos.»Sun Tzu «Não é a espécie mais forte que sobrevive, nem a mais inteligente, mas a mais receptiva à mudança.»Charles Darwin Chaves para implantar uma Identidade Digital Corporativa 360AMSIext, nossa extensão que detecta malware na memória do navegador
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...