Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
O desafio da identidade online (I): a identidade é o novo perímetroAndrés Naranjo 23 noviembre, 2020 Muitas vezes nos encontramos em situações em que nos deparamos com uma missão e, à medida que a missão avança, percebemos que as primeiras opções que fizemos para realizá-la não foram boas. Nesse momento, temos duas opções: começar do zero ou aliviar a tomada de decisões insatisfatórias com trabalho e esforço extras. A Internet foi criada de forma insegura Esta é uma frase que certamente já ouvimos os profissionais de segurança cibernética dizerem. Essa mudança emocionante que a transformação digital significou, uma das mais drásticas da história da humanidade, sempre foi construída com base em coisas que não haviam sido feitas antes. Ao longo do caminho, fizemos escolhas que, às vezes, se mostraram imprudentes. Mas, como dissemos antes, nos vemos no caso de não podermos «reiniciar» a internet e começar do zero. Uma dessas más escolhas que arrastamos desde o início da internet é o gerenciamento de identidade, ou seja, como um sistema sabe quem o usuário está usando. Por exemplo, quem é a pessoa que acessa seu e-mail e como ele difere de outra pessoa. Tradicionalmente, isso se baseia no uso de senhas, as quais devem apenas (precisam ser repetidas, devem) conhecer o usuário em questão. Mas, seja pela própria segurança dos sistemas (onde a senha pode ser interceptada ou roubada tanto na rede quanto no dispositivo onde é utilizada) ou porque o usuário não faz uso responsável deles, este sistema tem se mostrado extremamente frágil. O usuário, o elo mais fraco da cadeia Este ponto é extremamente fácil de verificar: você só precisa dar uma volta pelos canais “underground” do Telegram ou da Deep Web (ou Dark Net) para ver o número de contas de serviço premium que existem para venda: Netflix, Spotify , PrimeVideo, Twitch Gaming e praticamente qualquer tipo. É lógico inferir que essas contas de low cost sem vencimento foram roubadas de outros usuários cujo gerenciamento de credenciais e, portanto, sua identidade pode ser claramente melhorada, seja no serviço online ou em seu uso pessoal. Tanto é verdade que estudos de prestígio a esse respeito, como o da Forrester em seu The Identity And Access Management Playbook for 2020, nos alertam que 81% das violações de segurança se originam de uma senha fraca, roubada ou usada por padrão. Isso ocorre por uma série de razões, tanto devido à responsabilidade do usuário quanto devido a defeitos de design ou implementação de segurança. Em grande parte, isso se deve ao desconhecimento ou falta de zelo do usuário, que pensa que ninguém pode estar interessado em violar sua segurança como usuário privado. Algo que adquire um impacto muito maior quando a identidade do usuário é a porta de entrada para uma entidade maior, como uma empresa e organização. Tanto que, até o momento, provou ser o elo mais fraco da cadeia: um usuário vulnerável a ataques cibernéticos torna uma empresa vulnerável. Isso pode ser causado, sem ir mais longe, pelo uso de uma senha excessivamente fácil de adivinhar, muito comum ou reutilizada em mais de um site ou serviço online. Também recomendo a leitura deste outro artigo sobre o bom uso de senhas. Para esses usos inadequados de senhas, os cibercriminosos desenvolveram técnicas que discutiremos na segunda parte desta série de artigos. Portanto, para não delegar essa confiança ao usuário final, empresas de segurança cibernética como a ElevenPaths se esforçam para evitar esse tipo de risco aos usuários, projetando produtos e serviços que adicionam uma camada adicional de segurança à dupla de usuários tradicionais e obsoletos/senha. Além de incluir aprimoramentos inovadores para serviços de identidade, que também cobriremos no volume 3 desta série de artigos. O caminho para uma gestão robusta de identidade: SmartPattern Onde está o desafio, então? Ser capaz de desenvolver tecnologia que garanta essa camada adicional de segurança sem prejudicar a experiência do usuário e sem forçá-lo a aprender ou se adaptar a um novo sistema de identificação. Chamamos identidade forte ou autenticação de nível 3 para: Algo que você possui: por exemplo, um dispositivo ou cartão físico.Algo que você conhece: por exemplo, um pin ou uma senha.Algo que você é: por exemplo, sua impressão digital. Assim, como culminação e, de certa forma, spoiler de onde esta jornada de transformação digital está nos levando em termos de gestão de identidade, vamos colocar um exemplo de gestão de identidade robusta que seja confortável e utilizável pelo usuário comum de tecnologia: SmartPattern. SmartPattern é um novo conceito no processo de autenticação robusta, bem como na autorização e assinatura de documentos através de um simples gesto do padrão móvel, que pode ser utilizado em qualquer smartphone, tablet ou touchpad de laptop como serviço de identidade. Em outras palavras, o usuário não precisa lembrar ou salvar centenas de senhas, mas simplesmente lembrar um único padrão para todos os serviços online, por meio do qual o serviço utiliza um motor de machine learning que é capaz de detectar características únicas no traçado, que mesmo intencionalmente mostrado a outro usuário, falhará 96% das vezes, como pudemos verificar em um estudo de campo na Universidade de Piraeus, na Grécia. Treinamento de Inteligência Artificial SmartPattern Graças à sua versatilidade, o SmartPattern pode ser integrado a uma infinidade de serviços de autenticação e autorização. Por exemplo, fazer o login e / ou autorizar uma transação bancária, como já demonstramos no portal de demonstração do Nevele Bank: um banco sem senhas! O site SmartPattern oferece mais informações a esse respeito, mas este elemento inovador e avançado serve para demonstrar que o caminho para uma identidade segura terá muitos mais caminhos além da conhecida dupla que até agora consideramos segura. É tudo por agora. No próximo volume, falaremos sobre o cibercrime e o mercado de credenciais roubadas que continua a crescer, tanto na Deep Web quanto em canais clandestinos do Telegram. Pedra, papel ou tesoura e outras maneiras de se comprometer agora e revelar o compromisso depoisUma explicação simples sobre o SAD DNS e por que ele é um desastre (ou uma bênção)
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...