Boletim semanal de cibersegurança 12-18 junho

ElevenPaths    18 junio, 2021

Vulnerabilidade de zero-day no Chrome, sétima até agora este ano

Ontem, 17 de junho, o Google apresentou a versão 91.0.4472.114 do Chrome para Windows, Mac e Linux, resolvendo uma vulnerabilidade de zero-dia categorizada como CVE-2021-30554.  A exploração deste bug poderia envolver a execução de código arbitrário em sistemas que têm versões inseguras do Chrome. Por sua vez, o Google não divulgou mais informações sobre o problema de segurança enquanto espera que a maioria dos usuários atualize seu navegador. Essas vulnerabilidades de zero-day têm sido exploradas recentemente pelo agente de ameaças PuzzleMaker, a fim de estrapolar a estrutura do navegador e, assim, instalar malware nos sistemas Windows.  Além disso, a atualização abordou outras três vulnerabilidades graves do navegador, que afetaram os componentes Chrome Sharing, WebAudio e TabGroups, e que foram identificados como CVE-2021-30555,   CVE-2021-30556 e CVE-2021-30557.  

Vulnerabilidades zero-day na Apple

A Apple emitiu atualizações de segurança para resolver duas vulnerabilidades de 0-day que afetam seu sistema operacional móvel iOS 12. Os bugs fixos, categorizados como CVE-2021-30761 e CVE-2021-30762, são devido a problemas no mecanismo do navegador WebKit e podem permitir que um invasor execute código arbitrário ao processar conteúdo web malicioso especialmente criado. A empresa adverte que essas vulnerabilidades seriam ativamente exploradas. Por outro lado, esta atualização de segurança também abordou um problema de corrupção de memória no decodificador ASN.1, categorizado como CVE-2021-30737, o que permitiria a execução remota de código. Os dispositivos afetados por essas falhas são iPhone 5s, iPhone 6, iPhone 6 Plus, iPad Air, iPad mini 2, iPad mini 3 e iPod touch (6ª geração), todos corrigidos com a versão 12.5.4 do iOS.

Microsoft interrompe uma operação BEC de alto impacto

A equipe de pesquisa do Microsoft 365 Defender em conjunto com o Microsoft Threat Intelligence Center (MSTIC) descobriu e interrompeu a infraestrutura de uma operação BEC em larga escala. Em suas análises, eles expõem que atores mal-intencionados estavam abusando de vários serviços web hospedados na nuvem para comprometer caixas de correio e adicionar regras de encaminhamento usando diferentes IPs, e adicionando latência de tempo entre ações para evitar a detecção por sistemas de segurança. Para obter o acesso inicial ao host da vítima, eles teriam feito uso de credenciais exfiltradas obtidas através de técnicas de engenharia social, enviando e-mails de phishing onde anexariam um HTML que conteria um JavaScript, para fingir ser um login da Microsoft. Uma vez que as credenciais do usuário fossem comprometidas, ele acessava sua caixa de correio e adicionava regras de encaminhamento com parâmetros como «fatura», «pagamento» ou «declaração», o que lhes permitia acessar informações financeiras, além de ter um canal de exfiltração de informações persistente. Eles também teriam criado regras para eliminar e-mails que foram encaminhados para sua infraestrutura, adicionando complexidade na detecção de suas operações.

Nova técnica de evasão de malware

Pesquisadores de segurança da Elastic tornaram público uma nova técnica de manipulação de imagem executável, apelidada de «Process Ghosting«, que poderia ser usada por atacantes para escapar de proteções e executar furtivamente código malicioso no Windows. Com essa nova técnica, um agente de ameaças poderia inserir um componente de malware no disco do computador da vítima de uma maneira que dificulte a detecção. Tal evasão aproveita o tempo desde a criação de um processo até que os sistemas de segurança do dispositivo sejam notificados de sua criação, dando aos atacantes uma margem para evitar a detecção. O fluxo do ataque process Ghosting  começaria criando um arquivo, alterando o estado dele para «delete-pending», pendente de exclusão, impedindo assim o acesso e a leitura deste, em seguida, atribuir uma imagem para o arquivo no disco depois de inserir o código malicioso para finalmente excluí-lo. O próximo passo seria criar um processo com as variáveis ambientais relevantes, que serão chamados por um fio para execução. Deve-se notar que o sucesso deste ataque é dado pelo fato de que as chamadas de sistemas de segurança, como o antivírus, são feitas quando o segmento é criado, que tentará ler um arquivo já excluído e, desta forma, a segurança é evitada. 

Ataque à cadeia de suprimentos de um fornecedor de CCTV

A equipe de Mandiant do FireEye divulgou pesquisas sobre um novo ataque na cadeia de suprimentos. Os atacantes deste incidente, que foram identificados como UNC2465, um grupo afiliado ao ransomware DarkSide, teriam invadido um site legítimo de um provedor de câmeras de circuito fechado (CCTV) e teriam implantado um Trojan dentro de um instalador PVR de câmera de segurança que os usuários baixaram para configurar e controlar seus dispositivos. A instalação do malware também iniciou o download do trojan Smokedham ou Beacon, entre outros. Os pesquisadores não detectaram a presença do ransomware Darkside nas redes das vítimas devido, principalmente, ao fato de que essa intrusão ocorreu entre 18 de maio e o início de junho, e até então, a Darkside já havia anunciado o encerramento de sua atividade após o ataque ao Oleoduto Colonial.

Vulnerabilidade crítica na cadeia de suprimentos da ThroughTek

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu um aviso sobre uma falha crítica na cadeia de fornecimento de software que afeta o kit de desenvolvimento de software (SDK) da ThroughTek. A exploração bem-sucedida dessa vulnerabilidade poderia permitir acesso não autorizado a informações confidenciais, como fluxos de áudio/vídeo de câmeras de segurança. O bug, categorizado como CVE-2021-32934 e com uma pontuação CVSS de 9.1, afeta os produtos P2P da ThroughTek com versões 3.1.5 e anteriores, bem como versões rotuladas de nossl e várias configurações de firmware.   

Boletim semanal de cibersegurança 5-11 junho

ElevenPaths    11 junio, 2021

Boletim Mensal da Microsoft

A Microsoft lançou seu boletim de segurança de junho que aborda 50 vulnerabilidades, incluindo falhas de execução remota de código (RCE), problemas de negação de serviço, escalonamento de privilégios e problemas de corrupção de memória. Cinco das vulnerabilidades abordadas permitiriam a execução remota de código: CVE-2021-33742 (0 day em exploração ativa), CVE-2021-31963,   CVE-2021-31967,   CVE-2021-31959,   CVE-2021-31985.  

Também é notável entre as atualizações de segurança, que incluíram patchs de sete 0 day, seis dos quais estavam sendo ativamente explorados:

  • CVE-2021-33742 (CVSS 7.5): Vulnerabilidade de execução remota de código remoto da plataforma Windows MSHTML.
  • CVE-2021-33739 (CVSS 8.4): Microsoft DWM Core Library Elevation of Privilege Vulnerability.
  • CVE-2021-31199 e CVE-2021-31201 (CVSS 5.2): Microsoft Enhanced Cryptographic Provider Elevation of Privilege Vulnerabilities.
  • CVE-2021-31955 (CVSS 5.5): Vulnerabilidade de divulgação de informações do Windows Kernel.
  • CVE-2021-31956 (CVSS 7.8): Windows NTFS Elevation of Privilege Vulnerability.
  • CVE-2021-31968 (CVSS 7.5): Windows Remote Desktop Services Denial of Service Vulnerability. Este é o único 0 day corrigido para o qual não há evidência de sua exploração.

Nova campanha PuzzleMaker usa uma sequência de 0 days no Chrome e Windows 10

Pesquisadores descobriram um novo grupo chamado PuzzleMaker, que estaria usando uma cadeia de 0 day no Google Chrome e Windows 10 em ataques altamente direcionados contra empresas em todo o mundo. A campanha estaria ativa a partir de meados de abril, quando os sistemas das primeiras vítimas foram comprometidos. A cadeia de exploração de 0 days implantada nesta atividade explora uma vulnerabilidade de execução remota de código no Google Chrome V8 Javascript para acessar o sistema. Os atacantes usaram um exploit de escalada de privilégios para comprometer as versões mais recentes do Windows 10, aproveitando-se de uma vulnerabilidade no kernel do Windows (CVE-2021-31955) e outro bug de escalonamento de privilégios do Windows NTFS(CVE-2021-31956), ambos já corrigidos. Uma vez que os exploits do chrome e do windows são usados para obter acesso ao sistema da vítima, o PuzzleMaker implanta e executa quatro módulos de malware adicionais a partir de um servidor remoto. Primeiro, um stager é implantado para notificar que a exploração foi bem sucedida, bem como para implantar e executar um  dropper  mais complexo, que por sua vez instala dois executáveis, que fingem ser arquivos legítimos do sistema operacional Windows; o segundo deles é um Shell remoto e pode ser considerado como a principal payload desses ataques. Nenhuma semelhança foi identificada entre o malware usado e outros já conhecidos. ​

Boletim Informativo Chrome – Novo 0 day ativamente explorado

O Google publicou seu boletim mensal para o mês de junho, no qual várias falhas de segurança em seu navegador Chrome para Windows, Mac e Linux foram corrigidas. Entre essas falhas está um novo 0 day de alta gravidade, identificado como CVE-2021-30551 que, segundo a própria empresa, seria ativamente explorado. Por sua vez, o funcionário do Google Shane Huntley postou um tweet no qual confirma que essa exploração estaria sendo usada pelo mesmo grupo que foi ligado à exploração do CVE-2021-33742 de 0 day no navegador Edge corrigido pela Microsoft esta semana. Este novo 0 day vem de um erro de confusão em seu motor V8 de código aberto e permite que um invasor remoto, através de uma página web especialmente projetada, engane o usuário a acessá-lo e, assim, explorar essa falha e executar código arbitrário no sistema da vítima. Por outro lado, também vale a pena notar o novo boletim, uma vulnerabilidade crítica de tipo use-after-free no sistema de otimização BFCache (CVE-2021-30544).

Novos grupos exploram antigas vulnerabilidades de VPN SonicWall

A equipe de resposta a incidentes da CrowdStrike identificou que os operadores de ransomware  estariam explorando uma antiga vulnerabilidade no SonicWall VPN (CVE-2019-7481 CVSS 7.5) que afeta dispositivos SR 4600 de acesso remoto seguro em vários incidentes. A capacidade de explorar essa vulnerabilidade contra dispositivos SRA não havia sido relatada anteriormente e estaria afetando versões anteriores ao 10.x, embora tenha sido oficialmente lançado que só afetou versões antes do 9.0.0.3, uma vez que as versões mais recentes do firmware Secure Mobile Access (SMA) não atenuam mais este CVE para dispositivos SRA. Além disso, em fevereiro de 2021, o SonicWall PSIRT identificou um novo 0 day (CVE-2021-20016 CVSS 9.8) que afetou seus dispositivos SMA 100 e exigiu atualizações para versões após 10.x. Em relação a essa vulnerabilidade, a SonicWall não mencionou se afetou dispositivos antigos da SRA VPN que ainda estavam em ambientes de produção, pois são considerados fora de sua vida útil. Essa análise do Crowdstrike se concentrou na vulnerabilidade de 2019, pois há provas públicas de conceito sobre ela e eles afirmam não querer fornecer informações que poderiam ser usadas pelos invasores, já que a vulnerabilidade de 2021 não tem PoCs públicos no momento.

Siloscape: o primeiro malware direcionado a contêineres Windows

O pesquisador do PaloAlto Daniel Prizmant detalhou a primeira campanha de malware  direcionada aos contêineres do Windows. Em julho de 2020, uma técnica foi tornada pública para escapar dos contêineres do Windows em Kubernetes e acessar o cluster destes, embora a princípio a Microsoft não o reconhecesse como uma vulnerabilidade, pois argumentava que os contêineres não deveriam ser usados como medida de segurança, finalmente eles tiveram que reconhecer a falha ao permitir que ele escapasse de um contêiner para o host sem ter permissões de administrador(CVE-2021-24096 ). O novo malware chamado «Siloscape» visa explorar kubernetes através de contêineres Windows, implantando um backdoor em clusters Kubernetes mal configurados, a fim de executar contêineres maliciosos com funcionalidades de mineração de criptomoedas ou exfiltrar informações de aplicativos em execução no cluster.  Os vetores de ataque iniciais nos contêineres têm sido principalmente vulnerabilidades da Web, como CVE-2020-14882,aplicações PHP vulneráveis, injeções SQL ou serviços Redis vulneráveis.

Boletim semanal de cibersegurança 2 maio-4 junho

ElevenPaths    4 junio, 2021

Vulnerabilidade no SonicWall Network Security Manager

A SonicWall lançou patches de segurança,  para lidar com uma vulnerabilidade que afetaria as versões locais da solução de gerenciamento de firewall multiusuário do Network Security Manager (NSM). Classificado como CVE-2021-20026 e com um CVSS de 8’8, esse erro poderia ser explorado de forma simples sem interação do usuário, embora, como fator atenuante, deve-se notar que é necessário ser autenticado no sistema para alcançar sua exploração. Afeta o NSM 2.2.0-R10-H1 e anteriormente, mas não as já corrigidas versões NSM 2.2.1-R6 e 2.2.1-R6 (Enhanced). Além disso, essa vulnerabilidade afetaria apenas implantações NSM no local, com versões SaaS não sendo afetadas. Embora a empresa não tenha indicado que há um perigo imediato de que os invasores explorem essa vulnerabilidade, a SonicWall estaria pedindo aos clientes que corrijam essa falha imediatamente.

Exploração ativa de um 0 day no plugin Fancy Product Designer

Foi detectado uma campanha de exploração ativa de uma vulnerabilidade de 0 day no plugin Fancy Product Designer do WordPress, um plugin que estaria presente em mais de 17 mil páginas da Web e que permite personalizar a visualização de produtos no WordPress, WooCommerce e Shopify. Trata-se de uma execução remota de código e vulnerabilidade arbitrária de upload de arquivos que não requer autenticação do usuário. Este bug foi identificado como CVE-2021-24370 (CVSSv3 a partir de 9.8) e afeta a versão 4.6.8 e anterior do plugin nas plataformas WordPress, WooComerce e Shopify. No entanto, os pesquisadores afirmam que os ataques provavelmente serão bloqueados nas plataformas do Shopify, uma vez que eles têm controles de acesso mais rigorosos. Recomendamos que você desinstale completamente o plug-in até que um patch esteja disponível, porque às vezes essa vulnerabilidade pode ser explorada mesmo que o plug-in seja desativado.

Análise do malware utilizado pelo ator de ameaça do Nobelium

A Microsoft publicou uma análise dos artefatos usados na fase inicial da campanha para se passar pela Agência Americana de Desenvolvimento Internacional (USAID) do ator de ameaça Nobelium, também conhecido como APT29 e que estaria por trás do ataque à cadeia de suprimentos de ventos solares. Especificamente, 4 novas famílias de malware foram identificadas:

  • EnvyScout: Permite o roubo de credenciais NTLM de contas do Windows e coloca uma imagem ISO maliciosa no computador comprometido. Esse malware também teria sido identificado em uma campanha de personificação para a Embaixada da Bélgica.  
  • Boombox: arquivo .exe incluído no ISO que atua como um download baixando os artefatos maliciosos criptografados do Dropbox. Ele também é capaz de coletar informações sobre o domínio windows para encaminhamento criptografado para um servidor remoto.
  • NativeZone: DLL que atua como um carregador e começa automaticamente quando um usuário faz logon no Windows para iniciar o CertPKIProvider.dll (VaporRage).
  • VaporRage: DLL que tem recursos de download e execução de shellcode de servidores C2 e com o qual os atacantes executam diferentes atividades maliciosas, incluindo a instalação de balizas Cobalt Strike.  

Distribuição de Teabot e Flubot através de aplicativos e sites fraudulentos

Desde dezembro de 2020,  houve vários ataques contra dispositivos Android com as famílias de malware Teabot e Flubot. Recentemente, pesquisadores da Bitdefender identificaram uma nova onda de aplicativos distribuindo esses Trojans bancários tentando imitar os aplicativos legítimos mais bem avaliados na loja do Android. Por sua vez, o Teabot tem a capacidade de realizar ataques de sobreposição através de serviços de acessibilidade Android, interceptar mensagens, executar várias atividades de keylogging, roubar códigos de autenticação do Google e até mesmo assumir o controle remoto completo dos dispositivos afetados. Até agora, é direcionado contra diversas entidades bancárias conhecidas como Bankia, BBVA, Banco Santander ou ING Espanha, entre outras. Por outro lado, o Flubot teve um impacto significativo na Alemanha, Espanha, Itália e Reino Unido. O vetor de entrada deste Trojan bancário ainda são mensagens SMS que tentam se passar por empresas de encomendas como DHL, FedEx ou Correios. O Flubot tem a capacidade de roubar dados bancários, contatos, SMS e outros dados privados. Ele também é capaz de executar outros comandos disponíveis, incluindo o envio de SMS com o conteúdo fornecido pelo servidor C2.

Epsilon Network: Novo Ransomware explorando vulnerabilidades proxylogon do Microsoft Exchange

A equipe de pesquisadores da Sophos descobriu um novo ransomware,chamado Epsilon Red, após a investigação de um ataque a uma grande empresa hoteleira não identificada dos EUA. De acordo com os pesquisadores, o vetor de entrada usado pelos agentes de ameaças teria consistido na exploração de vulnerabilidades do Proxylogon, pois a empresa não teria aplicado os patches de segurança para proteger a infraestrutura de TI, em relação aos seus servidores Microsoft Exchange. Depois de obter o compromisso da rede, atores mal-intencionados acessam via RDP e usam o WMI (Windows Management Instrumentation) para executar scripts de Software e PowerShell para finalmente implantar o ransomware Epsilon Red. Quanto às características deste novo software malicioso, ele está escrito em Goland e que possui diferentes scripts PowerShell cujas funcionalidades consistem em remover processos de dispositivos das vítimas ou desativar soluções de segurança, entre outros. Embora a origem desta ameaça seja desconhecida e esse nome, juntamente com o emprego desta ferramenta, sejam exclusivos deste invasor, a nota de resgate se assemelha muito à do ransomware REvil.

Recupere o controle de seus dados pessoais graças à identidade descentralizada no Blockchain

Gonzalo Álvarez Marañón    3 junio, 2021

Aposto que, quando você tinha 18 anos, em alguma ocasião eles lhe pediram sua carteira de identidade em uma boate ou na compra de bebidas alcoólicas para verificar se você era maior de idade. Você parou para pensar na quantidade excessiva de informações que revelou apenas ao mostrar sua identidade?

  • A sua data de nascimento, não apenas se for maior de idade.
  • Seu local de nascimento.
  • Seu local de residência.
  • Seu nome e sobrenome.
  • O nome de seus pais.
  • Seu número de RG e CPF.

Nada mal para responder a uma pergunta binária simples: você é maior de idade ou não?

O problema é que no século XXI arrastamos um sistema de identidade do século XIX. A apresentação das credenciais e sua verificação é feita no mesmo documento: o DNI, o diploma universitário, a folha de pagamento … E quando você apresentar este documento a um terceiro para verificar alguma de suas afirmações («Sou maior de idade «,» Eu tenho o diploma de engenheiro «,» Ganho o suficiente para pagar o aluguel «), pode obter todas as informações do documento e mantê-lo para sempre. Você perde o controle de suas informações pessoais!

Hoje nossa vida é digital. Em nossas interações no mundo físico e online, deixamos um rastro de dados pessoais. Cada vez que nos registramos para todos os tipos de serviços, inserimos os mesmos dados repetidamente. E uma vez cedido, não há como voltar atrás. Os sistemas de identidade atuais são centralizados, não são portáteis ou confiáveis ​​e assumem o controle de seus próprios dados.

Como consequência, nossa identidade digital na Internet parece fragmentada em uma infinidade de aplicativos e serviços e totalmente fora do nosso controle. E se houver uma violação de dados após um ataque cibernético bem-sucedido em um dos inúmeros servidores que os armazenam? Seus dados pessoais acabarão nas garras de qualquer cibercriminoso, que os venderá pelo lance mais alto.

Nos últimos anos, credenciais verificáveis ​​e identificadores descentralizados têm ganhado força para compartilhar seus dados pessoais sem abrir mão, de sua privacidade. Graças às soluções de «Identidade Descentralizada! (ou “Identidade Auto Soberana”), nenhuma empresa ou instituição controla ou armazena suas informações centralmente: você pode revogar suas credenciais verificáveis ​​a qualquer momento, mantendo seus dados sempre sob seu controle. Você decide quem e como usa seus dados.

Neste artigo, explicarei como eles funcionam e quais passos estão sendo dados para acelerar a adoção da identidade descentralizada no mundo.

O que é identidade digital?

Sem ser muito filosófico, a verdade é que devemos primeiro abordar esta questão espinhosa: o que é identidade digital? Em 2005, em um trabalho pioneiro de validade absoluta, o engenheiro da Microsoft Kim Cameron o definiu da seguinte maneira:

Um conjunto de declarações feitas por um sujeito digital sobre si mesmo ou sobre outro sujeito digital.

E o que é um sujeito digital? Segundo Cameron, é “uma pessoa ou coisa representada ou existente no meio digital que é descrita ou tratada”. Portanto, além de nós humanos, esta definição inclui todos os tipos de máquinas e dispositivos, recursos digitais e até políticas e relações entre todos eles.

É uma afirmação? Se trata de «uma afirmação sobre a verdade de algo, normalmente contestado ou em dúvida.» Por exemplo, que uma pessoa seja maior de idade, que tenha o diploma de engenheiro, que insira mais de uma determinada quantia em dinheiro ou que saiba a senha para se autenticar perante um serviço remoto.

Essa definição de identidade digital separa claramente o envio de reivindicações da verificação de seu link para um objeto do mundo real. E quais características um sistema de identidade digital deve possuir para se tornar universalmente aceitável e durável?

De acordo com o próprio Kim Cameron, você deve cumprir as seguintes Sete Leis de Identidade Digital :

  1. Consentimento e controle do usuário: os sistemas técnicos de identidade só devem revelar informações que identifiquem um usuário com o consentimento do usuário.
  2. Divulgação mínima para uso restrito: a solução que revela a menor quantidade de informações identificáveis, ​​e que melhor limita seu uso, é a mais estável a longo prazo.
  3. Partes justificadas: a divulgação de informações identificáveis ​​deve ser limitada às partes que ocupam um lugar necessário e justificável em uma determinada relação de identidade.
  4. Identidade direcionada: um sistema de identidade universal deve suportar identificadores «omnidirecionais» para uso por entidades públicas (por exemplo, um servidor da web) e identificadores «unilaterais» para uso por entidades privadas (por exemplo, um token de sessão entre um visitante e esse site), facilitando assim a descoberta e evitando a liberação desnecessária de informações correlacionáveis.
  5. Pluralismo de operadoras e tecnologias: um sistema de identidade universal deve canalizar e permitir a interoperação de várias tecnologias de identidade gerenciadas por vários provedores de identidade.
  6. Integração humana: o meta-sistema de identidade universal deve definir o usuário humano como um componente do sistema distribuído integrado por meio de mecanismos de comunicação homem-máquina inequívocos que oferecem proteção contra ataques de identidade.
  7. Experiência coerente em todos os contextos:  O meta-sistema de identidade unificador, deve garantir uma experiência contínua e consistente para seus usuários, permitindo a separação de contextos em vários operadores e tecnologias.

Os sistemas de identidade atuais não estão em conformidade com essas leis. Mas o trabalho está sendo feito em novas propostas de identidade digital, com base em credenciais verificáveis, no Blockchain e em algumas outras tecnologias. Vamos revisá-los.

Credenciais verificáveis

Em primeiro lugar, para operar uma identidade digital de acordo com as leis de Cameron, é necessário um sistema de armazenamento e troca de credenciais padronizado, que permite que as credenciais tradicionalmente usadas no mundo off-line sejam portadas para o mundo on-line : identidade, passaporte, diplomas, licenças, títulos de propriedade, informações médicas, informações fiscais, etc. O W3C trabalha desde 2017 no modelo de dados de credenciais verificáveis . Esta especificação fornece «um mecanismo para expressar este tipo de credenciais na web de forma criptograficamente segura, respeitando a privacidade e a verificação por máquinas».

No mundo físico, uma credencial contém, no mínimo:

  • Informações que identificam o assunto da credencial: foto, nome, número de identificação etc.
  • Informações que identificam seu emissor: estado, universidade, banco etc.
  • Informações sobre o tipo de credencial: passaporte, carteira de habilitação, cartão de saúde, diploma etc.
  • Os atributos ou propriedades específicas indicadas: local de nascimento, tipo de veículo que pode ser dirigido, título emitido etc.
  • Evidência de como a credencial foi obtida.
  • Informações sobre restrições de identidade: data de validade, termos de uso etc.

Uma credencial verificável pode não só representar a mesma informação que uma credencial física, mas também, graças ao acréscimo de tecnologias como assinaturas digitais, as tentativas de adulteração tornam-se mais evidentes, tornando-as mais confiáveis ​​do que suas contrapartes físicas.

Se precisar compartilhar informações com outra identidade digital, você pode gerar uma apresentação verificável apenas dos dados pessoais que você escolher. Em seguida, você mostra esse envio verificável ao verificador, para mostrar que possui credenciais verificáveis ​​com as características que afirma possuir.

Tanto as credenciais, quanto os envios verificáveis ​​podem ser transmitidos rapidamente, tornando-os mais convenientes do que suas contrapartes físicas, quando se trata de estabelecer confiança na Internet.

Um elemento chave desse sistema são os Identificadores Descentralizados (DID): um novo tipo de identificador único global, projetado para que pessoas e organizações possam gerar seus próprios identificadores usando sistemas em que confiam. Esses novos identificadores permitem que as entidades demonstrem controle sobre eles por meio da autenticação com evidências criptográficas, como assinaturas digitais. Seus objetivos de design são: descentralizado, controlado pelo usuário, privado, seguro, baseado em evidências criptográficas, detectável, interoperável, portátil, simples e extensível.

A pergunta que surge a seguir é: como são armazenadas de forma segura?

Identidade descentralizada no Blockchain

Atualmente, suas informações pessoais estão espalhadas por milhares de servidores, fora do seu controle: podem desaparecer e levar suas informações; podem ser atacados e suas informações, divulgadas; podem negociar seus dados sem o seu consentimento; podem negar a você acesso futuro ou alterar os termos de uso. Seus dados não pertencem mais a você. O objetivo fundamental da Identidade Auto Soberana é que você possua e controle de todas as informações sobre você, garantindo sua privacidade.

Ou seja, buscamos um sistema descentralizado (não é controlado por nenhuma organização ou oligopólio), transparente (todas as informações são visíveis para todos) e imutável (ninguém pode alterar as informações armazenadas). Esses requisitos farão você pensar imediatamente no Blockchain: ele atua como um livro de contabilidade distribuído e aberto a qualquer pessoa para ler e escrever com a propriedade de que, uma vez que um bloqueio tenha sido adicionado ao blockchain, é muito difícil (idealmente impossível) alterá-lo.

A identidade descentralizada funciona de maneira semelhante a uma criptomoeda: você cria um par de chaves pública e privada em uma carteira de identidade. Sua carteira calcula o hash de sua chave pública (seu identificador) e o armazena imutável em um blockchain. Você cria, possui e controla esses identificadores descentralizados, independentemente de qualquer organização ou governo.

Além disso, seu portfólio atua como uma interface, com o blockchain e com outros atores, de modo que seja tão fácil para você trabalhar com suas identidades quanto usar o Instagram. Contanto que você controle as chaves criptográficas vinculadas à sua identidade descentralizada, você mantém o controle.

E quanto aos seus dados? Eles são armazenados no blockchain, para que todos possam ver? Não! Suas credenciais com suas afirmações são armazenadas em um Hub de identidade: uma rede de data warehouses distribuídos e replicados, pela nuvem (Cloud) e pela borda (Edge), em smartphones, laptops, alto-falantes inteligentes, … onde você escolher.

Por exemplo, se você concluir seus estudos em uma Universidade, ela lhe emitirá um diploma associado à sua identidade, com todas as suas informações de acordo com o padrão de credenciais verificáveis. Você pode armazenar essas informações em seu hub de identidade. Se, posteriormente, você precisar provar a um empregador que possui o cargo, será suficiente para você criar uma apresentação verificável de suas credenciais, que pode ser verificada de forma independente pelo empregador.

Ilustração 1. Operação esquemática de um sistema de identidade descentralizado.

Quem está trabalhando em Identidade Descentralizada?

O grupo de trabalho mais ativo sobre identidade auto soberana é a Decentralized Identity Foundation (DIF) . Reúne os principais atores do cenário atual e suas iniciativas mais destacadas. Se quiser saber mais sobre este assunto, é sem dúvida o seu primeiro destino.

Um desses atores é a Microsoft, que surpreendeu a si próprio e aos de fora quando, em 2017, anunciou a ION (Identity Overlay Network : uma rede de identificadores descentralizados que funciona na blockchain Bitcoin. Está trabalhando muito para entrar no mercado de identidade descentralizada, conforme relatado em seu site sobre identidade, Outra empresa muito relevante que optou pela identidade descentralizada é a IBM, com sua iniciativa chamada Verify Credentials .

Na Europa, a obra de referência é o European Self-Sovereign Identity Framework (ESSIF) , um dos casos de uso mais proeminentes da European Blockchain Services Infrastructure (EBSI) .

Claro, muitas outras iniciativas públicas e privadas estão se juntando a este movimento ao redor do mundo: Hyperledger  Indy / AriesID2020SovrinCivicSerto ou Bloom, para citar alguns.  

O futuro da identidade descentralizada

Nossas identidades não devem ser gerenciadas por um intermediário. Elas devem ser gerenciadas por cada um de nós, sob nosso controle total, preservando nossa privacidade e segurança por padrão. Graças à identidade digital descentralizada, os usuários poderão controlar a identidade digital online, pela primeira vez desde o nascimento da Internet.

Além disso, milhões de pessoas, hoje sem identidade digital devido às limitações das nossas infraestruturas de autenticação, poderão aceder a serviços financeiros, educacionais e sociais através de uma identidade auto soberana e usufruir de direitos que até agora lhes eram inacessíveis.

A história da Identidade Descentralizada ainda está sendo escrita. Eu apresentei vários protagonistas e as primeiras cenas do drama, mas o desfecho ainda está longe. Num mundo cada vez mais descentralizado, rumo à confiança zero , a identidade é o último desafio a vencer.

E o presidente disse «tudo bem agora.» As novas propostas em cibersegurança da Casa Branca

Sergio de los Santos    1 junio, 2021

Joe Biden assinou uma Ordem Executiva para melhorar a segurança cibernética nacional e proteger com mais eficiência as redes do governo federal . O ataque à operadora de oleoduto Colonial Pipeline, notícia que viralizou na mídia em geral, foi a gota d’água. Apesar do fato de que o setor de segurança cibernética pode ter percebido que o ransomware acabaria atacando a infraestrutura crítica e causando o caos, foi necessário que a ameaça se materializasse para que ocorresse uma reação que, esperamos, ter consequências benéficas. O Mundo da cibersegurança já tem em sua história para recordar, outro ataque que mudou as regras do jogo.

Eventos negativos, capazes de mudar as leis, o paradigma ou a consciência coletiva de uma indústria, são contados nos dedos de uma mão. Na segurança cibernética talvez (sem a pretensão de completar com todos os casos) possamos falar do Blaster e do Sasser em 2003, que modificou completamente a percepção de segurança na Microsoft, já bastante tocada. A Stuxnet em 2010 nos alertou sobre as armas cibernéticas e conscientizou o mundo sobre a nova estratégia cibernética e geopolítica. O Wannacry em 2017, um golpe no orgulho da indústria, por ter sido atacado naquele momento por um worm que se aproveitou de uma vulnerabilidade já corrigida. E apesar de anos lidando com ransomware, a ameaça deve se materializar em um impacto com graves consequências para os Estados Unidos, para que as normas sejam endurecidas. Porque se pensarmos bem, foi o próximo avanço lógico na escala: passou de atacar usuários a sequestrar PMEs, de PMEs a grandes empresas, destas a organizações adiante, suspeitava-se, das infraestruturas críticas. Mas o incidente (junto com tantos outros que vêm acontecendo) acabou fazendo o presidente reagir.

Este decreto visa modernizar as defesas, mas sobretudo focar em um problema que, apesar da gravidade da situação, ainda pode ser mitigado. Fundamentalmente, a ordem pretende compartilhar mais informações entre o governo e o setor privado e melhorar a capacidade de resposta. Os pontos de ação básicos são:

  • Permite que as empresas privadas (especialmente aquelas que hospedam servidores) compartilhem informações com o governo. Isso agilizará o processo de investigação quando ocorrerem incidentes relacionados a algum acesso a um servidor. Também terão um tempo máximo para relatar esses incidentes.
  • Melhorar e adotar os padrões de segurança cibernética no governo federal. É um compromisso (a alto nível, embora sejam mencionadas tecnologias específicas) em adotar os melhores padrões (2FA, criptografia, SDLC …) a partir das próprias infraestruturas do governo.
  • Melhorar as redes de fornecimento, como mostrou o ataque à SolarWinds. O software vendido ao governo deve atender aos requisitos mínimos de segurança. Haverá uma espécie de certificado que o credencia, semelhante ao de energia ou emissões.
  • Um conselho ou comissão de revisão de segurança cibernética pública e privada. Quando ocorre um acidente, ele é gerenciado e as conclusões são tiradas de maneira coordenada. Esta comissão inspira-se na que a aeronáutica já possui, em que os setores público e privado se reúnem após grandes incidentes aéreos.
  • Um sistema padrão de resposta a incidentes interno e externo será criado. As empresas não precisam mais esperar que algo aconteça para descobrir o que precisa ser feito.
  • Melhorar a capacidade de defesa da rede federal. Talvez a medida mais genérica, que visa reforçar toda a infraestrutura do governo com as ferramentas de segurança cibernética adequadas.
  • Melhorar a capacidade de remediação e investigação. Talvez isso seja basicamente resumido na melhoria dos sistemas de log.

E agora?

Essa ordem executiva significará que as empresas terão que atender a padrões mínimos, com procedimentos e auditorias… E no final das contas, será gerada uma indústria mais saudável, mais monitorada por ela mesma. Mais robusta e unida, esperamos. Algo semelhante ao que as empresas de cartão de débito e crédito fizeram quando lançaram a iniciativa PCI-DSS que exigia que todos que trabalham com esses dados passassem por uma auditoria mínima. Embora não resolva completamente o problema, irá melhorar significativamente. Põe em foco a segurança cibernética no mais alto nível, une forças e, como mencionamos, ataca o problema de um ângulo político e jurídico que complementa a abordagem técnica, insuficiente por si só.

No entanto, ainda faltam leis mais claras contra os invasores que simplifiquem a possibilidade de perseguir, identificar e impor sanções em todo o mundo. Agora existe apoio político e legal para promover a segurança do ponto de vista técnico, mas o ciberespaço também é legal, social, político … e a atividade dos atacantes deve ser estrangulada por todos esses ângulos. Um problema tão grave, embora de natureza técnica, não pode ser resolvido apenas por esse mesmo ângulo. Se nos concentrarmos apenas em corrigir e responder, auditar e certificar, não faremos progresso suficiente. De qualquer forma, essa encomenda é uma ótima notícia e um primeiro passo nessa direção.

#MulheresHacker: por você, por todas

ElevenPaths    1 junio, 2021

Chegou o final do ano acadêmico e com ele os exames de ingresso na universidade. Jovens meninas e meninos em busca de um objetivo final que, depois de tantos anos de esforço, faz um tempo não era tão heterogêneo.

Quantas de nossas avós não puderam optar pela educação superior? Mulheres inteligentes, fortes e corajosas que renunciaram a suas ilusões e aspirações universitárias para cuidar e formar novas gerações.

Em homenagem a elas, nossas referências de vida e superação, o #MulheresHacker, iniciativa global da Telefónica que busca tornar visível o papel das mulheres no setor tecnológico e conscientizar nossas meninas sobre seu potencial para estudar carreiras na STEM, lança o terceiro vídeo de sua campanha 2021. CLIQUE PLAY!

Una-se à iniciativa #MulheresHacker, ESTAMOS À ESPERA DE VOCÊ!

Seguro Cibernético e Crime Cibernético diante da «devastadora epidemia global de ransomware»

Sergio de los Santos    31 mayo, 2021

A AXA France removeu o pagamento de resgate por ransomware de sua cobertura de seguro cibernético. Esta decisão foi tomada durante uma sessão do Senado na França, abordando «a devastadora epidemia global de resgate». A decisão da seguradora traz grande impacto, pois pode afetar diretamente as vítimas, o restante das seguradoras e o futuro em geral do ecossistema do cibercrime baseado em ransomware, que ainda está longe de ser controlado.

A Internet está cheia de artigos que explicam por que o resgate do ransomware não deve ser pago. E provavelmente, fornecem dados interessantes, mas se você não diferenciar entre o tipo de ransomware e quem é afetado, os motivos apresentados podem não fazer muito sentido. Portanto, é necessário explicar bem as circunstâncias da pessoa afetada para entender o porquê ela não deve ser paga e, acima de tudo, entender bem a situação para tomar as decisões cabíveis.

Ransomware doméstico e profissional

A primeira coisa, é deixar claro que existem dois tipos de ransomware: doméstico e profissional. O primeiro apareceu de forma massiva por volta de 2012, conhecido como “Reveton Ransomware” mais conhecido na época como “vírus da polícia” e afetou o usuário de média renda. Desde 2017, não desapareceu, mas sua incidência caiu consideravelmente. Foram ataques a vítimas aleatórias e desavisadas, utilizando táticas de intimidação para pedir resgates de até U$200, por pessoa atingida. Esse tipo de ataque «doméstico», tem uma resposta talvez mais direta: não deve ser pago a menos que haja uma boa razão para isso. Mas se falamos de organizações, PMEs ou grandes empresas, devemos ter em mente que seu negócio, sustento, clientes e futuro dependem da recuperação desses dados e, portanto, a resposta deve ser mais bem avaliada.

Em um caso de ransomware profissional, a abordagem se torna um pouco mais complexa. Estamos falando de campanhas que têm conseguido levar meses de trabalho e estudo para o atacante, com o único propósito de invadir a rede (às vezes enorme) e no momento exato, assumir o controle e criptografar tudo. A partir desse momento, perdem-se milhares e milhares de euros todos os dias por não conseguir operar, pela frustrante impossibilidade da continuidade do negócio. Nesses casos a situação se agrava, porque possibilita aos criminosos responsáveis pela invasão, escolher o valor de resgate que desejam receber, que pode chegar na ordem de milhões de euros, ou mesmo em parte proporcional do seu volume de negócios. Nesse momento, começa a negociação, porque: “Quando as apostas são altas, não pagar não é algo que está imediatamente descartado”. Como no caso de certos sequestros de pessoas, o pagamento do resgate é sempre uma opção considerada.

Situação crítica

Além disso, a extorsão acaba se tornando dupla. As vítimas enfrentam não apenas a perda de dados, mas também o vazamento de informações para o público, caso não paguem o valor do resgate. O sentimento de desamparo é generalizado. Não nos esqueçamos da situação devastadora que vivemos. Tanto é verdade que a AXA tomou uma decisão na França: a cobertura do seguro cibernético não devolverá o dinheiro do resgate aos clientes que pagam por extorsão. Uma companhia de seguros como a AXA, que poderia cobrir o custo do resgate, concluíu que essa cláusula normalizava justamente a menos traumática das saídas: pague e ceda à extorsão. E também presumimos que eles não compensaram com tantos incidentes. Parece que a normalização do pagamento não apenas tornou o negócio de seguros não lucrativo, mas também alimentou a própria indústria do crime cibernético. Lembre-se de que uma das estratégias contra os invasores é que, se eles não forem pagos, o negócio de extorsão deixará de ser lucrativo para eles.

Mas que alternativa as organizações têm que, se não pagarem, serão forçadas a fechar? Ou cedem à extorsão e alimentam o processo que fortalece os atacantes (e se perpetua contra outras empresas que serão futuras vítimas) ou resistem ao pagamento e correm o risco de perderem tudo. Porque este não é o momento de culpar a vítima (ela já tem o suficiente) porque seu backup também foi criptografado, não funcionou ou simplesmente não tinha.

Soluções fáceis de propor, complexas de implementar.

O negócio de ransomware não deve ser estrangulado apenas por evitar o financiamento da extorsão, mas também por melhorar a segurança dos negócios e por ter leis eficazes que processam os criminosos com penalidades que desencorajam os ataques. A situação requer várias abordagens de muitos ângulos. Por sua vez, o seguro de empresas requer a aplicação de medidas adequadas para cada empresa. Alguns exigirão medidas mais complexas, outros mais simples e todos vão exigir consciência. Mas ignorar o problema ou pensar que ele é estranho para você é a pior estratégia para se usar.

Do ponto de vista jurídico, também existem tantos ângulos quanto figuras coexistindo nesse ecossistema. O crime cibernético se industrializou tanto do ponto de vista de invasores quanto de vítimas que já usam seguradoras assiduamente para lidar com a crise. Muitos mais afetados do que pensamos que estão pagando, a ponto de o próprio processo de pagamento se tornar um modelo de negócio.

Intermediários e outras figuras, como seguradoras, são usados ​​para lidar com a crise. Quando a continuidade dos negócios é crítica, as empresas afetadas seguem vários caminhos. Claro, a tentativa de recuperação técnica, avaliação de danos, etc. Mas outras vias «diplomáticas» também estão sendo iniciadas, que podem incluir o contato com os atacantes e com outras empresas.

Com os atacantes você barganha e negocia, estabelecendo uma linha de diálogo como se fosse qualquer outro tipo de transação. Os extorsionários podem até oferecer conselhos úteis após o check-out da vítima. E, como qualquer negociação, pode ser delegada. À luz desse obscuro negócio de extorsão, surgiram intermediários que oferecem serviços de “consultoria”, que envolvem enfrentar a negociação e pagar o resgate. As seguradoras podem ser mais compensadas ao pagar aos invasores do que à vítima pelos danos, dependendo do que seu seguro cobre.

Enfim, um quadro complexo onde nem tudo fica tão claro quando se fala em números e, sobretudo, muito distante do ambiente doméstico onde as diretrizes costumam ser mais claras. As novas leis geralmente procuram estrangular os extorsionários impedindo que seus negócios sejam lucrativos, mas essa medida pode não ser suficiente porque a continuidade de negócios legítimos costuma pesar mais. Qual será o futuro papel das seguradoras após a decisão da AXA?

Boletim semanal de cibersegurança 22-28 maio

ElevenPaths    28 mayo, 2021

A vulnerabilidade na pilha do protocolo HTTP do Windows também afeta o WinRM

Investigadores de segurança descobriram que a vulnerabilidade que afeta o servidor web Windows IIS (CVE-2021-31166, CVSS 9.8), que residia na pilha do protocolo HTTP -http.sys- responsável pelo processamento de solicitações, também pode ser explorada, para atacar sistemas que expõem o serviço WinRM (Gerenciamento Remoto do Windows), permitindo que atacantes não autenticados executem código arbitrário. Esta vulnerabilidade afeta apenas as versões 2004 e 20H2 do Windows 10 e Windows Server. Deve-se observar que, embora esse serviço esteja desabilitado nas versões do Windows 10, ele está habilitado por padrão nas versões do Windows Server. Embora não haja prova pública de conceito para a execução de código arbitrário usando esta vulnerabilidade, os pesquisadores publicaram um teste, para realizar ataques de negação de serviço enviando um único pacote.

Vulnerabilidade zero day na Apple

A Apple publicou um boletim de segurança onde corrige várias falhas de segurança, incluindo uma de zero day, que afeta seu sistema operacional macOS. Dentre as vulnerabilidades abordadas, destaca-se à zero day, descoberta pela empresa de segurança Jamf e classifica como CVE-2021-30713, que se refere a uma falha de bypass na estruturado TCC  do macOS e que foi explorada por pelo menos um ano pelo grupo que opera o malware XCSSET. Para a distribuição de amostra, os operadores XCSSET esconderiam o código malicioso em projetos Xcode no Github, fingindo ser scripts legítimos da Apple para evitar o controle de transparência e controle (TCC) do macOS. Da mesma forma, vale destacar outra vulnerabilidade corrigida, descoberta por Pesquisadores ZecOps e identificado como CVE-2021-30741, cujo impacto afeta os sistemas iOS permitindo o processamento de código malicioso. A Apple recomenda atualizar os sistemas afetados para as versões mais recentes para resolver problemas de segurança.

Atualização: nova campanha de espionagem baseada na exploração de vulnerabilidades no Pulse Secure

Em 20 de abril, os pesquisadores da FireEye publicaram a descoberta e análise de uma campanha de espionagem por meio da exploração de vulnerabilidades em dispositivos Pulse Secure VPN, realizada por supostos atores de ameaças de origem chinesa. Atualmente, um mês depois, os pesquisadores continuaram a coletar informações de suas descobertas. A equipe de engenharia reversa do Flare identificou 4 novas famílias de malware relacionadas ao UNC2630, projetadas especificamente para manipular dispositivos Pulse Secure, chamados BLOODMINE, BLOODBANK, CLEANPULSE e RAPIDPULSE. Assim mesmo, a  Cybersecurity and Infrastructure Security Agency (CISA) atualizou seus alerta para incluir novos TTPs de atores de ameaças, IoCs e medidas de mitigação atualizadas. Por sua vez, a equipe de resposta a incidentes de segurança Ivanti Publicou uma nova ferramenta para melhorar a integridade do software Pulse Connect Secure.

Campanha de malvertising com o software AnyDesk

A equipe Falcon Complete da CrowdStrike, publicou uma análise de uma campanha de malvertising que usa o software de desktop remoto AnyDesk como isca. Os operadores da campanha supostamente usaram a plataforma de publicidade do Google para se passar pelo legítimo site AnyDesk, aparecendo em buscas antes dos anúncios do próprio software legítimo. Por meio da página falsificada, os usuários baixariam o instalador AnyDesk, que já foi infectado, com recursos maliciosos. Os pesquisadores sugerem que cerca de 40% dos cliques nesses anúncios maliciosos do Google, resultaram em instalações do binário AnyDesk infectado, enquanto em 20% das instalações, os atores das ameaças realizam comunicações diretas com os computadores das vítimas para atribuir tarefas ou executar comandos.

Evolução da internet das coisas e os desafios da segurança

Leandro Vasconcellos Gomes    26 mayo, 2021

A evolução global para uma economia e estilo de vida digitais não para de escalar, e essa ascensão e até mesmo a sobrevivência de negócios até então parciais ou integralmente “off-line” podem estar diretamente ligados a investimentos em tecnologias que contribuam para essa evolução. Estudos apontam uma estimativa de projeção de receita com IoT no Brasil na casa de Bilhões até 2021 e números na casa de meio bilhão de dispositivos de IoT até 2023. Como estamos amparados de regulação e como lidar com a burocracia? Como cuidar da segurança nesse cenário ainda um tanto quanto imprevisível?

O tema vêm ganhando relevância há algum tempo, ao ponto do governo ter criado um plano especifico para trata-lo, com ideia de desenvolver cada vez mais esse mercado, melhorar a qualidade de vida das pessoas com ganhos implementados de eficiência de serviços, incremento da produtividade em diversos campos com destaque para o agronegócio (~ 20% do nosso PIB) dentre outros ganhos para nosso país. O que têm se destacado e quais os desafios de cibersegurança para o tema?

Os benefícios notórios que vêm tornando dispositivos de IoT atraentes para o mercado residencial são similares para empresas, porém, os mesmos problemas que tornam uma residência vulnerável a falhas de segurança de IoT se aplicam também para empresas. Equipamentos inteligentes têm capacidade de coletar dados de inúmeras fontes, e estes dados podem ter finalidades maléficas ou benéficas. Vamos imaginar em algo que mais cedo ou mais tarde tornará realidade no Brasil, que são os carros populares conectados (grande escala). Imaginem hackers explorando vulnerabilidades de conexões wireless, bluetooth ou do app de telefone de bordo e passando a controlar a direção do veículo? E o setor de saúde? Infelizmente já houve casos de ataques a dispositivos responsáveis por integrar sistemas sensíveis e vitais à sobrevivência de pessoas como marcapasso e bombas de insulina.

É fundamental para empresas que desenvolvem ou pensam em atuar em projetos de IoT, terem consciência que se faz necessário todas as partes impactadas conhecerem quais informações serão coletadas, para que serão utilizadas, por quanto tempo serão armazenadas, até porque, todos também precisam estar atentos a nossa lei de privacidade (LGPD). A cautela com segurança da informação ao trabalharmos com IoT deve ser intensificada, pois como estamos tratando de dados gerados e coletados em real time, o risco de ataques cibernéticos é enorme. Grandes empresas já vêm fazendo investimentos no incremento de camadas de segurança que aplicam algoritmos de predição e prescrição de reações frente a suspeitas e, somado o uso de inteligência artificial das coisas (AIoT) para monitorar o fluxo dos dados coletados. Porém, o uso desse tipo de tecnologia ainda não é viável para todos (pequenas/médias empresas e pessoas físicas). Então quais seriam as recomendações de ações de prevenção para esse público?

Muito pode e deve ser feito, mas ações simples podem evitar ou minimizar eventuais ataques destinados a esses tipos de dispositivos. São elas:

  • Avaliar bem quais dispositivos precisam estar conectados e em que momento;
  • Evitar ao máximo uso de bluetooth;
  • Criar uma rede segregada exclusivamente para dispositivos IoT;
  • Utilizar senhas fortes e dedicadas para dispositivos de IoT;
  • Atualizar seus dispositivos sempre que houver novas versões;
  • Criptografar os dados através de VPNs, dentre outros.

E o futuro, qual o panorama de segurança de IoT?

Consumidores e empresas terão cada vez mais dispositivos de IoT que atenderão residências, empresas, veículos, cidades inteligentes dentre outros. Tudo isso inevitavelmente atrairá ainda mais o foco de cyber criminosos, que enxergarão uma oportunidade de explorar vulnerabilidades desses bilhões de novos dispositivos conectados e tornar a vida dos especialistas de segurança da informação mais “emocionante”. Penso que o ponto chave não esteja no futuro, mas sim, em um presente bem planejado, desde a etapa de implementação de tecnologias diversas, até mudanças significativas na gestão das áreas de TI, já que o ambiente de internet das coisas é complexo, requer equilíbrio de requisitos de segurança, controle de níveis de rede, dados compartilhados, armazenados e da proteção dos dispositivos contra cyber ataques.

Se escolhemos adotar esse conceito, precisaremos “pagar alguns preços” como: compartilhamento de mais informações, consequentemente menos privacidade e interesses coletivos acima de interesses individuais. As empresas deverão trabalhar muito para garantir capacidades e parceiros necessários para apoiar as principais tendências de IoT.  Além disso, suas infraestruturas de TI e ecossistemas com terceiros deverão suportar ambientes em cloud, edge computing, crescimento da exposição de APIs, Big Data, uso de aprendizado de máquina, blockchain, plataformas de threat intelligence e correlação, dentre outros. É complexo, desafiador, requer altos investimentos e estudos, mas é um caminho sem volta que precisamos enfrentar!

A Telefónica Tech oferece portfólio completo de soluções gerenciadas avançadas de cibersegurança por meio de uma grande equipe global com atuação local de especialistas com mais de 10 anos de experiência nas mais diversas tecnologias.

Combinando essas capacidades com nossos serviços profissionais (consultoria), oferecemos aos nossos clientes soluções sob medida para suas necessidades específicas. Com isso, nossa base de clientes e infraestruturas internas e terceirizadas é crescente de maneira a melhor proteger os ambientes de IoT e oT dos nossos clientes.

Boletim semanal de cibersegurança 15-20 maio

ElevenPaths    21 mayo, 2021

Avisos de segurança QNAP

A QNAP emitiu dois avisos de segurança para alertar seus clientes sobre:

  • A detecção de ataques recentes com o ransomware  eCh0raix, eles estariam apontando contra seus dispositivos NAS (Network Attached Storage). A empresa tem recomendado que seus clientes se protejam desse tipo de ataque imediatamente, usando senhas mais seguras, permitindo a proteção de acesso IP para evitar ataques de força bruta e evitando o uso das portas padrão 443 e 8080. Este alerta vem apenas algumas semanas após os pesquisadores de segurança já alertarem para a detecção de Ataques de ransomware AgeLocker (também conhecido como Qlocker) contra seus dispositivos.
  • A Exploração ativa de uma vulnerabilidade de zero day no Roon Server, afetando especificamente o Roon Labs do Roon Server 2021-02-01 e versões anteriores. Da QNAP, eles recomendam desabilitar o Roon Server e não expor o NAS à Internet para se proteger desses ataques até que uma atualização de segurança seja lançada.

Mais informações: https://www.bleepingcomputer.com/news/security/qnap-warns-of-ech0raix-ransomware-attacks-roon-server-zero-day/

O Trojan bancário Bizarro estende seu impacto à Europa

Os pesquisadores de segurança identificaram novas campanhas do Trojan bancário brasileiro conhecido como Bizarro em vários países europeus, como Espanha, França, Portugal ou Itália. Como de costume nos cavalos de Troia brasileiros, sua distribuição é realizada por meio de campanhas de spam que obrigam o download de um arquivo ZIP de um site comprometido, tendo-se identificado infraestrutura em AWS, WordPress ou Azure, tanto para hospedagem dos arquivos maliciosos iniciais quanto para a acomodação do C2. É um ladrão que coleta informações sobre o computador infectado, a sessão, o antivírus usado ou os dados do navegador. Uma vez no navegador, o software malicioso força o fechamento de sessões abertas em serviços bancários digitais no navegador para forçar o usuário a inserir novamente as credenciais e, assim, ser capaz de capturá-las. Além disso, possui outros recursos típicos desse tipo de Trojan, como sequestro de mouse e teclado, resolução de fatores de autenticação dupla (2FA), registro de pressionamento de tecla, envio de mensagens falsas do sistema ou indução à instalação de aplicativos maliciosos, entre outros.

Quatro vulnerabilidades corrigidas do Android podem ter sidos usadas em ataques direcionados

O Android atualizou as informações associadas a quatro vulnerabilidades corrigidas em 3 de maio em seu boletim de segurança do mês de maio. Especificamente, as informações relacionadas à sua exploração mudaram e afirmam que eles podem estar sendo explorados. Duas das vulnerabilidades, identificadas como CVE-2021-1905 e CVE-2021-1906, afetam os drivers do GPU Qualcomm, enquanto os dois restantes, CVE-2021-28663 e CVE-2021-28664 afetam os condutores do GPU Arm do Mali.De acordo com a equipe Project Zero do Google, todas as quatro vulnerabilidades estavam sendo exploradas por invasores mesmo antes do lançamento dos patches e poderiam ter sido usadas em ataques direcionados.

Todas as informações: https://twitter.com/maddiestone/status/139500434699624

Nova tendência de criptografia dupla com múltiplas variantes de ransomware

Recentemente, houve uma nova tendência, analisada por pesquisadores da Emsisoft, em que agentes maliciosos estão usando múltiplas variantes de ransomware para criptografar duplamente os dados de suas vítimas, com o objetivo de dificultar a possível recuperação e aumentar as chances de obtenção de um resgate. Deve-se mencionar que não é uma extorsão dupla, mas uma criptografia dupla, em que os mesmos operadores decidem usar diferentes variantes de ransomware no mesmo ataque. Na análise realizada, foram observados ataques com REvil e Netwalker em conjunto, bem como outros com MedusaLocker em conjunto com GlobeImposter. Em alguns casos, uma amostra foi compartilhada através do portal de um grupo quando os arquivos criptografados foram enviados através do portal do outro, portanto, é até possível que os operadores das diferentes famílias estejam trabalhando juntos. Também foi observado que às vezes os dados são criptografados primeiro com um ransomware e, em seguida, criptografados novamente com o segundo, enquanto, em outras, parte do sistema de criptografia com uma variante e parte com outra. Essa nova tendência se soma a outras observadas recentemente, como a método de extorsão tripla, que consistiria em, além de criptografar os dados e ameaçar torná-los públicos, contatar clientes ou terceiros que possam ser afetados pelo ataque para solicitar resgate, com o mesmo objetivo de aumentar os benefícios econômicos.

Mais detalhes: https://blog.emsisoft.com/en/38554/psa-threat-actors-now-double-encrypting-data-with-multiple-ransomware-strains/

Campanha de distribuição de malware STRRAT

A equipe de segurança da Microsoft relata a detecção de uma nova campanha de distribuição em massa por e-mail da versão mais recente do malware STRRAT. Os invasores estariam usando contas de e-mail previamente comprometidas para enviar as mensagens, que contém uma imagem anexada que simula ser um PDF anexado. Quando você clica para abrir o suposto documento, a imagem baixa o malware STRRAT. As primeiras detecções desta família datam de 2020. É um malware programado em Java e tem um espectro de funcionalidades diversos, desde o roubo de credenciais de diferentes clientes de e-mail, a gravação de pressionamentos de teclas, a execução de comandos arbitrários, ou a capacidade de instalar a ferramenta RDWrap de código aberto para obter acesso remoto através de sessões RDP, entre outros. Também vale a pena mencionar a função «rw-encrypt», que apenas adiciona a extensão “.crimson” aos arquivos, sem modificar o seu conteúdo. Em outras palavras, o usuário pode pensar que os arquivos estão criptografados como ocorre em ataques de ransomware, uma vez que, como a extensão foi alterada para “.crimson”, eles não podem abri-los; entretanto, bastaria recolocar a extensão original de volta para poder recuperar as informações. A Microsoft publicou pesquisas avançadas para facilitar a identificação de indicadores e comportamentos maliciosos relacionados ao STRRAT.

Mais informações: https://twitter.com/MsftSecIntel/status/1395138347601854465