Pagar quando você é infectado com ransomware? Demasiados cinzas

Sergio de los Santos    6 noviembre, 2020

A Internet está cheia de artigos que explicam por que o ransomware não deve ser pago. E eles provavelmente estão certos, mas se você não diferenciar entre o tipo de ransomware e quem é afetado, os motivos apresentados podem não fazer muito sentido. Portanto, é necessário explicar bem as circunstâncias da pessoa afetada para entender porque ela não deve ser paga e, acima de tudo, entender bem a situação para tomar as decisões cabíveis.

Dois tipos de ransomware

A primeira coisa é deixar claro que existem dois tipos de ransomware. O primeiro apareceu em grande escala por volta de 2012, como uma evolução natural do malware “vírus da polícia” e afetou o usuário médio. Desde 2017, não desapareceu, mas sua incidência caiu consideravelmente. Foram ataques a vítimas aleatórias desavisadas, pedindo quantias grandes, mas acessíveis, por um indivíduo. Esse tipo de ataque «doméstico» talvez tenha uma resposta mais direta: não deve ser pago a menos que haja uma boa razão para isso. Ninguém garante que os arquivos serão devolvidos (um exemplo engraçado é esta anedota no qual, apesar de não ter infectado nada, o atacante insistia em que ele deveria pagar a ele). Nem a vítima é extorquida novamente. E na maioria das vezes, é mais do que provável que o usuário possa continuar vivendo sem muitos de seus arquivos, dados, etc. Mas… e se o seu negócio, sustento, clientes e futuro dependerem da recuperação desses dados? Portanto, a resposta fica complicada.

Quando o ataque é profissional

Porque este não é o momento de culpar a vítima (ela já tem o suficiente) porque seu backup também foi criptografado, não funcionou ou simplesmente não tinha. Em um ataque de ransomware profissional tudo é mais complexo, estamos falando de campanhas que têm conseguido envolver meses de trabalho e estudo para o atacante, com o único objetivo de entrar nas entranhas da rede (às vezes enormes) e, no exato momento, tirar o controlar e criptografar tudo. Agora é tarde demais. Todo o sistema é criptografado e às vezes leva meses para verificar não apenas se o sistema foi recuperado, mas também se os invasores não podem entrar novamente. Aqui, todos os dias perdem-se milhares e milhares de euros por não poderem operar, pela frustrante impossibilidade de realizar o negócio. A situação é muito mais crítica e grave, e é por isso que os agressores pedem a ordem de milhões de euros pelo resgate. Nesse momento começa uma negociação, porque quando há tanto em jogo, não pagar não é algo que se descarta de imediato. Como na vida real com sequestros de pessoas, em que o pagamento é uma opção sempre considerada.

Mas é sempre a última opção. Na verdade, é uma opção que pode acabar sendo oficialmente ilegal. Em julho de 2019, a confederação de prefeitos dos Estados Unidos, em sua reunião anual, recomendou não pagar. Se pagos, eles são incentivados a continuar atacando, disseram. Nesse caso, o estabelecimento não ia além da pura posição “moral”, pois não era vinculativo. Em seguida, foi mais longe, duas propostas de dois senadores (um democrata e um republicano) contemplaram em janeiro de 2020 que seria proibido gastar dinheiro público nesses resgates. O senador republicano também propôs a criação de um fundo para ajudar as organizações a melhorar sua segurança cibernética.

Ele continua a ir mais longe. Agora, o Escritório do Tesouro de Controle de Ativos Estrangeiros (OFAC) relata que “as empresas facilitando pagamentos de ransomware a cibercriminosos em nome de vítimas, incluindo instituições financeiras, seguradoras e empresas envolvidas em análise forense e resposta a os incidentes não apenas alimentam futuras demandas de pagamento de ransomware, mas também correm o risco de violar os regulamentos do OFAC. » O objetivo seria multar tanto quem paga, como os intermediários e quem recebe o dinheiro (caso se identifiquem).

Mais figuras do que você imagina

Na realidade, a recomendação se resume em que ao invés de pagar, deve-se colaborar com as forças da ordem e não envolver intermediários “disfarçados” sob pena de já terem cometido algo ilegal e criminalizado. A razão? Muitos mais afetados do que pensamos que estão pagando, a ponto de o próprio processo de pagamento se tornar um negócio.

O negócio de ransomware se industrializou tanto do ponto de vista dos atacantes (técnicas muito elaboradas, um tratamento muito profissional …) quanto do ponto de vista das vítimas, que já usam intermediários e outras figuras como as seguradoras para lidar com para a crise. Quando a continuidade dos negócios é crítica, as empresas afetadas buscam vários caminhos. Claro, a tentativa de recuperação técnica, avaliação de danos, etc. Mas outras vias «diplomáticas» também estão sendo iniciadas, que podem incluir o contato com os atacantes e com outras empresas.

Com os atacantes, você barganha e negociaestabelecendo uma linha de diálogo como se fosse qualquer outro tipo de transação. Os extorsionários podem até oferecer conselhos úteis após o check-out da vítima. E como qualquer negociação, pode ser delegada. À luz desse negócio sombrio de extorsão, surgiram intermediários que oferecem serviços de “consultoria” que envolvem enfrentar a negociação e pagar o resgate. Nesse cenário industrializado, o pagamento normalmente não garante a recuperação. Ainda mais longe, as seguradoras podem atuar como intermediárias. Pode ser mais recompensador para essas empresas pagar aos invasores do que aos afetados pelos danos, dependendo do que o seguro cobre.

Enfim, um quadro complexo onde nem tudo fica tão claro quando se fala em números e, sobretudo, muito distante do ambiente doméstico onde as diretrizes costumam ser mais claras. As novas leis dos Estados Unidos procuram estrangular os extorsionários, evitando que seus negócios sejam lucrativos … mas essa medida pode não ser suficiente porque a continuidade de negócios legítimos costuma pesar mais. Sobrevivência… não a qualquer preço, senão ao custo (infelizmente) imposto pelos criminosos.

Inovação e novas ferramentas de cibersegurança: Security Innovation Days 2020 (Dia 3)

ElevenPaths    5 noviembre, 2020

Até agora, a VIII edição dos Security Innovation Days 2020. Três dias intensos em que a inovação em cibersegurança e transformação digital  foram os protagonistas. Para este último, reservamos o destaque e a marca deste evento: a apresentação dos últimos projetos e ferramentas em que as nossas equipas têm trabalhado. 

Introdução

O dia recomeçou com a apresentação de Mónica Carrillo e  Pedro Pablo Pérez, que pelo terceiro dia consecutivo se tornou o mestre de cerimônias perfeito. Novos produtos, serviços, ferramentas e, finalmente, os mais recentes desenvolvimentos em inovação para oferecer aos nossos clientes exatamente o que eles precisam.

Pedro Pablo Pérez pronto para o set
Pedro Pablo Pérez pronto para o set

Telefónica Innovation Ventures

A sessão começou em grande estilo, com um importante anúncio oficializado poucas horas antes. Guenia Gawendo, Diretora da Telefónica Innovation Ventures, e  Raúl Riesco, Gerente da AAPP e Investimentos Estratégicos da ElevenPaths, se encarregaram de apresentar o novo projeto da Telefónica Tech Ventures, um veículo de investimento da Telefónica promovido pela ElevenPaths  que visa detectar novas oportunidades relacionadas à  inovação disruptiva em cibersegurança.

Guenia Gawendo durante seu discurso
Guenia Gawendo durante seu discurso

Magnet

Em seguida, como a primeira apresentação devidamente focada em novos desenvolvimentos, a equipe CTO, representada por  Gonzalo Fernández e  David López Meco, apresentou o projeto Magnet, uma iniciativa desenvolvida inteiramente durante este complicado 2020 que oferece segurança e conectividade para as PME. Prova de que o desenvolvimento remoto de produtos é possível. 

A equipe CTO, representada por Gonzalo Álvarez e David López Meco
A equipe CTO, representada por Gonzalo Álvarez e David López Meco

ElevenLabs

Chegamos ao ponto alto do dia, nossa equipe da Área de Inovação e Laboratório apresentou as últimas ferramentas, tendo como diretor, Sergio De Los Santos, acompanhado por uma equipe de luxo: José Torres,  Helene Aguirre,  José A. Cascallana,  Gabriel Álvarez,  Félix Brezo e David Vara.

Uma área que cresceu muito no último ano, agregando nossos centros de inovação que temos em toda a Espanha: TEGRA, C4IN e SOTH, além dos nossos amados Chief Security Ambassadors (CSAs), espalhados por 5 países.

Se quiser saber mais sobre as ferramentas apresentadas, aqui você pode encontrar mais informações:

  • Deeder, ferramenta para assinar contratos por meio de plataformas de mensagens instantâneas
  • Aldara, a ferramenta inteligente para redes sociais
  • Aristeo: em andamento desde C4IN (C 4.0 com Cidaut
  • Ameba
  • TheTHE, ferramenta para equipes de Threat Hunting
  • IDoT, identidade das coisas

Mais desenvolvimentos da equipe de Inovação e Laboratório: AMSIExtChainLock ou DoH (DNS sobre HTTPS).

José Torres e Sergio de los Santos durante seu discurso remoto
José Torres e Sergio de los Santos durante seu discurso remoto

Patrocinador Netskope

Também temos a visão do nosso parceiro Netskope sobre a nova era da cibersegurança, na qual o SASE e a  nuvem  serão peças-chave. Uma ótima apresentação de Samuel Bonete, Regional Sales Manager para Iberia. É um prazer contar com você. 

Samuel Bonete, gerente regional de vendas da Ibéria na Netskope
Samuel Bonete, gerente regional de vendas da Ibéria na Netskope

Despedida

Não poderíamos chamá-lo de Security Innovation Days sem a presença do nosso Chairman Chema Alonso, que contou a história e evolução do ElevenPaths e como chegamos a esta Nova Era e seus novos projetos como o CDCO da Telefónica.

Um fechamento de luxo assinado pelo nosso Chairman, Chema Alonso
Um fechamento de luxo assinado pelo nosso Chairman, Chema Alonso

Muito obrigado a todos os presentes, estamos muito felizes com a acolhida e participação nesta edição tão especial, até o próximo ano!

A seguir, o vídeo completo deste terceiro dia:

Se você quiser saber mais sobre os Security Innovation Days 2020, verifique os seguintes artigos:

Cibersegurança e negócio na nova era: Security Innovation Days 2020 (Dia 1)
Novos recursos para o futuro da cibersegurança: Security Innovation Days 2020 (Dia 2)
Security Innovation Days 2020: The New Era

Novos recursos para o futuro da cibersegurança: Security Innovation Days 2020 (Dia 2)

ElevenPaths    4 noviembre, 2020

Segundo dia dos Security Innovation Days 2020, com foco nos novos recursos que adquirimos como empresa de cibersegurança da Telefónica Tech. Há algumas semanas anunciamos a compra de duas empresas líderes, cada uma em seu próprio terreno, o que nos ajudaria a completar nossa oferta. Primeiro foram Govertis, especialistas em consultoria e GRC (Government, Risk and Compliance), e depois iHackLabs, especialistas em treinamento e capacitação profissional.

Além de apresentar essas aquisições, discutiremos como a inteligência de ameaças é gerada e gerenciada e como nossos especialistas se organizam para proteger nossos clientes 24 horas por dia, 7 dias por semana. Se você perdeu o evento ao vivo, aqui está um resumo completo, prepare-se para conhecer The New Era da cibersegurança!

Introdução

Mais uma vez, Mónica Carrillo, acompanhada de Pedro Pablo Pérez, fez uma introdução ao dia, antecipando o que iríamos encontrar na próxima hora e meia: novas soluções de segurança, inteligência, operações e o destaque do dia: novas capacidades focadas nas pessoas.

Geração inteligente de ameaças

A primeira apresentação foi assinada por Miguel Ángel de Castro, Analista Líder da ElevenPaths, presença constante nestes eventos onde apresenta conteúdos mais técnicos mas para todos os públicos. A apresentação girou em torno das estratégias que usamos para gerar inteligência de qualidade contra ameaças e como elas são usadas para melhorar a resposta a incidentes , destacando nossa colaboração com a Cyber ​​Threat Alliance e, é claro, com uma demonstração ao vivo, um sinal de identidade dos nossos eventos de inovação.

Miguel Ángel de Castro explicando sua demonstração ao vivo
Miguel Ángel de Castro explicando sua demonstração ao vivo

E-Signature

A assinatura digital e as soluções biométricas são cada vez mais comuns e importantes em empresas de todos os setores, principalmente devido à situação que se vive em todo o mundo. Para esta apresentação tivemos Daniel Ramos, Business Development Manager da ElevenPaths, que começou apresentando as novidades que o SealSign apresenta, nossa assinatura digital e ferramenta de assinatura biométrica junto com Nick Dawson, Diretor e Chefe Global de Vendas de Soluções B2B da Samsung Electronics, que foi Ele se conectou ao nosso evento de Seul para explicar como nossa tecnologia da Samsung está sendo usada, integrando-a em seus dispositivos.

Operações especiais: Threat Hunting

Para falar de operações especiais, ninguém melhor do que Martina Matarí, Team Lead da equipe de Threat Hunting e Roberto Carlos Pérez González, Manager de Serviços Gerenciados, nossos especialistas explicaram como estamos nos adaptando à transformação digital modificando os serviços e as operações que nossos clientes demandam.

Sua apresentação contou com a presença de um convidado especial: Daniel Aparicio, Gerente de Operações de Arquiteturas e Cibersegurança da Ferrovial, cliente com quem a Telefónica mantém uma longa relação no campo da cibersegurança, um luxo poder contar com sua presença.

Capacidades e pessoas em crescimento: promovendo treinamento em segurança cibernética

Chegamos ao ponto-chave deste dia: novas habilidades adquiridas em torno das pessoas. No mesmo dia, 21 de outubro, foi anunciado o lançamento da CyberAcademy+ , academia que vai treinar e treinar quase 3.000 funcionários da ElevenPaths e, posteriormente, os profissionais dos nossos clientes.

Elena Lim, Chefe da CyberAcademy+ e José Manuel Ávalos, Manager de Desenvolvimento de Negócios da CyberAcademy+, apresentaram o compromisso da ElevenPaths com as pessoas. A procura de profissionais e ameaças cibernéticas está em constante aumento, por isso a formação nesta área é cada vez mais necessária. Por meio da plataforma de treinamento iHackLabs e das novas ferramentas e cursos que estamos desenvolvendo internamente, poderemos preencher esse gap entre o que as empresas precisam e o que é oferecido atualmente neste setor.

Capacidades e pessoas em crescimento: impulsionando a consultoria em segurança cibernética

Em seguida, foi a vez de Alejandro Ramos, Diretor Global de Operações de Segurança, que apresentou mais uma das competências que adquirimos: o ramo de consultoria e GRC graças à integração da empresa Govertis, e ninguém melhor que Eduard Chaveli, remotamente de Valência e fundadora desta empresa que tem 20 anos de experiência e vai contribuir muito para a nossa oferta actual.

Em uma entrevista em que Alejandro fez perguntas a Eduard, pudemos aprender com mais detalhes o que eles vão nos oferecer e como isso nos permitirá oferecer aos nossos clientes este importante e necessário ramo da segurança . Bem-vindo ao ElevenPaths!

Alejandro Ramos e Eduard Chaveli durante sua apresentação
Alejandro Ramos e Eduard Chaveli durante sua apresentação

Patrocinador Cytomic

Por fim, e para encerrar este segundo dia, foi a vez de mais uma das patrocinadoras Ouro do evento, a CytomicJosu Franco, Strategy and Technology Advisor da empresa, explicou a visão de sua empresa do momento em que nos encontramos, um tempo de mudança em que a segurança cibernética é fundamental , sua apresentação tratou de um dos temas mais importantes da atualidade: “Endpoint Security”, de especial relevância com o surgimento do teletrabalho.

Despedida

Até agora neste segundo dia, para o terceiro e último reservamos um dos principais temas destes eventos: a apresentação das mais recentes ferramentas e tecnologias em que estamos a trabalhar, não pode perder!

Aqui está o vídeo completo deste segundo dia:

Se você quiser saber mais sobre o Security Innovation Days 2020, verifique os seguintes artigos:

Cibersegurança e negócio na nova era: Security Innovation Days 2020 (Dia 1)
Inovação e novas ferramentas de cibersegurança: Security Innovation Days 2020 (Dia 3)
Security Innovation Days 2020: The New Era

Cibersegurança e negócio na nova era: Security Innovation Days 2020 (Dia 1)

ElevenPaths    3 noviembre, 2020

O primeiro dia do  Security Innovation Days 2020 foi  concluído com mais de 1.500 pessoas conectadas de todos os cantos do mundo. Se você perdeu o primeiro dia de  nosso evento de inovação em cibersegurança, não se preocupe, aqui está  um resumo completo  para que você possa reviver esta primeira abordagem focada nos negócios e como a  cibersegurança é fundamental no processo de transformação digital  de empresas de todos os setores.

Introdução – Keynote Telefónica Tech

O evento começou com uma apresentação da apresentadora e anfitriã do evento,  Mónica Carrillo, na qual ela explicou como funciona o evento deste ano:  três dias totalmente  online  em que nossos especialistas e vários de nossos  parceiros  apresentarão a nova era do cibersegurança, The New Era. 

Uma oitava edição muito especial por vários motivos:

  • Encontro virtual: por motivos óbvios, esta edição de 2020 é realizada 100% online, permitindo a participação de colegas, clientes e pessoas interessadas em cibersegurança de todo o mundo
  • Três dias: temos muito para contar, por isso decidimos ir de um dia para três, separando as apresentações por assunto e facilitando o atendimento
  • Telefónica Tech: esta edição é a primeira que celebramos como empresa integrante da holding Telefónica Tech, poucas semanas após um ano deste anúncio

Após a apresentação, o nosso CEO Pedro Pablo Pérez tomou a palavra, expondo as principais características do ElevenPaths e como está inserido na holding Telefónica Tech, e quem melhor que o CEO da Telefónica Tech , José Cerdán, através de uma ligação do conjunto ao Distrito Telefónica ), para explicar as capacidades digitais da holding e como a cibersegurança é oferecida ao cliente, juntamente com Cloud, Internet of Things (IoT) e Big Data.

Pedro Pablo destacou os quatro pilares sobre os quais se baseia a criação da ElevenPaths como empresa: confiança, crescimento, eficiência e motivação, muito alinhados com a estratégia global do grupo Telefónica e que nos permitirá crescer maximizando valor e também maximizando a entrega de valor a nossos clientes com a mais alta qualidade.

Resumindo, ElevenPaths é o partner confiável de que qualquer empresa precisa para enfrentar a transformação digital com segurança.

Pedro Pablo Pérez, CEO da ElevenPaths, durante sua apresentação
Pedro Pablo Pérez, CEO da ElevenPaths, durante sua apresentação

Patrocinador Gold: Zscaler

A primeira apresentação correspondeu a um dos patrocinadores do evento, ZscalerJay Chaudhry, seu CEO e fundador, explicou sua proposta de valor como parceiro estratégico da ElevenPaths, colaborando para que os projetos de seus clientes sejam mais fortes do que nunca.

Ele começou destacando a importância do futuro no curto e médio prazo, um futuro em que a segurança cibernética será de vital importância. Ele prevê que a próxima década será cheia de interrupções e oportunidades, e não poderíamos estar mais de acordo: Welcome to the New Era.

Jay Chaudhry, CEO Zscaler
Jay Chaudhry, CEO Zscaler

Novo Perímetro

Entramos no assunto: voltamos para nossos especialistas em produtos, aqueles que estão mais próximos dos desenvolvimentos e tendências de mercado, pegaram o conjunto para explicar o que é o novo perímetro de segurança cibernética e o que ele abrange.

Alberto Sempere, Diretor Global de Produtos e Alianças da ElevenPaths conduziu a apresentação, centrada em várias das questões mais importantes do presente e, especialmente, o futuro da segurança cibernética. Para explicar cada um dos tópicos, os gerentes de nuvemMiguel Ángel Pérez Acevedo, Chefe de produto de segurança global de nuvem e marketing de produtos espanhóis da ElevenPaths, Vicente Segura Cibersegurança Industrial, Chefe de IoT e segurança de IoT da Telefónica, foram ao set e David Prieto, Chefe de Risco, Conformidade, Identidade e Serviços da ElevenPaths, com uma demonstração de nosso serviço SealSign.

Tendências que já são realidade hoje e que farão a diferença nos próximos meses.

Vicente Segura com Alberto Sempere e Miguel Ángel Pérez Acevedo
Vicente Segura com Alberto Sempere e Miguel Ángel Pérez Acevedo

Mesa redonda internacional de CISOs

Chegamos a um dos destaques do dia, uma mesa redonda internacional com CISOs de vários clientes que contribuíram com suas opiniões sobre o panorama da segurança cibernética. Nesta apresentação eles participaram:

  • José Luis Domínguez , VP de Desenvolvimento de Negócios do Cliente na ElevenPaths
  • Maximiliano Lewinsky , Country Manager da Telefónica Cybersecurity Tech no Reino Unido, Alemanha e EUA
  • Luis Urzúa , Country Manager da Telefónica Cybersecurity Tech no Chile
  • Mariluz Garín, CISO de Eroski
  • Jorge Venegas, chefe de segurança cibernética da Caja de Compensación Los Andes
  • Oran Hollander, Head of Cybersecurity da O2 Alemanha
José Luis Domínguez e Maximiliano Lewinsky conectado à mesa redonda do conjunto
José Luis Domínguez e Maximiliano Lewinsky conectado à mesa redonda do conjunto

Patrocinador Gold: Palo Alto Networks

Para encerrar o dia, surgiu a oportunidade para mais um de nossos parceiros e patrocinadores Gold do evento, a Palo Alto Networks.

Seu CTO e fundador, Nir Zuk, descreveu sua visão do futuro da segurança cibernética e como estamos trabalhando juntos para atingir nossos objetivos.

Conexão com a Califórnia para falar com Nir Zuk, CTO e fundador da Palo Alto Networks
Conexão com a Califórnia para falar com Nir Zuk, CTO e fundador da Palo Alto Networks

Despedida

Até agora o resumo do primeiro dia, com apresentações muito interessantes e que sem dúvida nos deixa com vontade de mais. Faltam ainda dois dias em que apresentaremos as últimas ferramentas em que temos trabalhado, a nossa proposta em torno do talento e das pessoas e as últimas competências que adquirimos em consultoria e formação.

A seguir, deixamos para vocês o vídeo completo da primeira sessão. Welcome to the New Era.

Se você quiser saber mais sobre os Security Innovation Days 2020, verifique os seguintes artigos:

Novos recursos para o futuro da cibersegurança: Security Innovation Days 2020 (Dia 2)
Inovação e novas ferramentas de cibersegurança: Security Innovation Days 2020 (Dia 3)
Security Innovation Days 2020: The New Era

Criptografia com preservação de formato para garantir a privacidade de dados financeiros e pessoais

Gonzalo Álvarez Marañón    26 octubre, 2020

Suas informações pessoais se espalham por milhares de bancos de dados de organizações públicas e privadas. Como proteger sua confidencialidade para que ela não caia em mãos erradas? À primeira vista, a solução parece óbvia: criptografá-lo. Infelizmente, em criptografia, as coisas nunca são simples, criptografar informações dessa maneira tem muitas desvantagens. Vamos ver com um exemplo.

Desvantagens da criptografia de dados confidenciais

Imagine que uma loja online ou sua instituição financeira deseja criptografar o número do cartão de crédito que mantém em seu banco de dados. Eles poderiam recorrer à solução de criptografia padrão: use AES, por exemplo, no modo CTR com uma chave de 128 bits e com um vetor de inicialização aleatório. Se o número do seu cartão for 4444 5555 1111 0000, o resultado da criptografia com AES-128-CTR é mostrado na tabela a seguir, codificado de diferentes maneiras comuns:

Texto claro4444 5555 1111 0000
Texto criptografado em Base64U2FsdGVkX1 / Kgcb0V8G ++ 1DWcwyu47pWXflP2CiVda51Ew ==
Texto hexadecimal criptografado53616c7465645f5f3601f1e979348111d342c038e9275492a1966fd8659f61a89869
Texto criptografado não criptografadoSalgado__ݺ▒Ii <½║ ‘{☺Éqc »▬ @ Çþ¶ÔÈ × C♂ ♦

Como você pode ver, o formato do texto cifrado não tem nada a ver com o formato do texto claro original:

  • Alterar o comprimento: o texto cifrado é muito mais longo do que o texto não criptografado. Isso violaria os limites de comprimento padrão para cartões de crédito impostos pelo banco de dados.
  • Mude o formato: ninguém reconheceria aquele chouriço como um número de cartão de crédito. Se um invasor cibernético rouba seu banco de dados, você não precisa ser muito inteligente para descobrir que o que você está roubando não é um cartão de crédito pronto para usar.
  • Alterar o conjunto de caracteres: não passaria em qualquer validação do conteúdo do registro, pois contém caracteres que não são números e muito menos em sua forma não codificada, que parece o WhatsApp de um adolescente. O texto cifrado causaria problemas no esquema de dados.

Esta transformação de texto simples em uma string monstro quebrará muitos sistemas:

  • Você não poderá armazená-lo em bancos de dados que não estão preparados para aceitar este novo formato.
  • Você não poderá transmiti-lo por meio dos gateways de pagamento para usar.
  • Você terá que decifrar cada vez que usá-lo.
  • Você não poderá pesquisar um número de cartão específico no banco de dados para consultar suas operações.

Te parece pouco? Bem, os problemas não param por aí. Se durante uma consulta ao banco de dados, o valor criptografado for descriptografado para leitura e, em seguida, criptografado novamente, o AES no modo CTR usará um novo vetor de inicialização aleatório, de modo que a criptografia final não se parecerá com o valor criptografado anterior . Como prova, nesta nova tabela você tem o mesmo valor do cartão criptografado com a mesma chave, mas com outro vetor de inicialização:

Texto claro4444 5555 1111 0000
Texto criptografado em Base64U2FsdGVkX18OyY1wEH1Co2mFw3nXazm9e6yCGqLLAyTbug ==
Texto hexadecimal criptografado53616c7465645f5f09c2cb2e14abda1d21bea9d22e3653e8310e6e8551a94bbf1467
Texto criptografado não criptografadoSalgado__Ñ╬T7¶Í «é¿r═§yG» ¬³hºƒð7 → {╩e

Nada para ver, certo? Como consequência, esqueça o uso de dados criptografados como uma chave exclusiva para identificar uma linha em um banco de dados, porque eles mudam de criptografia para criptografia.

Resumindo: criptografar dados formatados de maneira muito rígida, como um cartão de crédito, apresenta limitações práticas aparentemente intransponíveis . Mas então, se a mudança de formato impede sua criptografia, como cumprir os regulamentos mais recentes, como o GDPR, o PCI DSS ou o PSD2? Como preservar a confidencialidade dos dados sem prejudicar a funcionalidade dos bancos de dados?

Que solução a criptografia oferece?

A resposta que os criptógrafos têm para esse dilema é conhecida como criptografia de dados com formatação preservada (Format-Preserving Encryption, FPE). O FPE estende algoritmos de criptografia clássicos, como AES, para que o texto cifrado mantenha o comprimento e formato originais. Além do mais, no caso particular de um cartão de crédito, o valor criptografado pode até mesmo ser feito para passar no cheque Luhn. Veja como o número do cartão de crédito antigo seria criptografado usando o FPE:

Texto claro4444 5555 1111 0000
Texto cifrado com FPE1234 8765 0246 9753

Com o FPE, um cartão de crédito é criptografado em uma cadeia que ainda parece um cartão de crédito e passa em todos os cheques.

Graças ao FPE, os dados não causam mais erros em bancos de dados, formatos de mensagem ou aplicativos legados. E qual é a grande vantagem do FPE? Você pode processar e analisar os dados enquanto eles estão criptografados, pois eles continuarão a atender às regras de validação.

Claro, existem vários dados altamente formatados, além dos números de cartão de crédito, que podem ser protegidos com sucesso usando o FPE:

  • Número IMEI
  • Numero de conta bancária
  • Número de telefone
  • Número da Segurança Social
  • Código postal
  • DNI                                            
  • endereço de email
  • Etc.

Esses identificadores são usados ​​rotineiramente por todos os tipos de indústrias: comércio eletrônico, financeiro, saúde, etc. A questão é: quão seguros são esses métodos de criptografia?

FPE no mundo real

Em 2013 o NIST adotou em sua recomendação SP 800-38G três algoritmos para criptografar os dados preservando o formato, denominados, respectivamente, FF1, FF2 e FF3. Se você está curioso sobre o nome, ele se deve ao uso de um esquema de cifra muito antigo: a cifra Feistel; portanto, os algoritmos baseados nele são chamados de criptografia com preservação de F ormatel baseada em F eistel ou FF. FF2 nem viu a luz do dia, pois foi quebrado durante o processo de aprovação. Quanto ao FF3, em 2017 eles já encontraram fragilidades, que foram reforçadas em sua versão posterior FF3-1. Por enquanto, FF1 e FF3-1 mantêm o tipo.

Apesar de tudo, os algoritmos do FPE ainda têm limitações:

  • Os algoritmos FPE são determinísticos: o texto simples idêntico resultará em texto cifrado idêntico quando criptografado com a mesma chave, ao contrário da criptografia convencional, que geralmente é aleatória. No entanto, para dados com formatos menos exigentes, como um endereço de e-mail, a aleatoriedade pode ser facilmente adicionada, já que um endereço de e-mail pode ter qualquer comprimento, ao contrário de, por exemplo, um número de telefone que sempre terá 9 dígitos.
  • Os esquemas do FPE não fornecem integridade de dados (você não tem garantia se os dados criptografados foram adulterados) ou autenticação do remetente (você não tem garantia de quem criptografou os dados).

Em suma, o FPE continua como um problema de pesquisa aberto, no qual ainda veremos muitos avanços tanto na criptoanálise (quebra de algoritmos) quanto na criação de novos e mais poderosos.

Pensando em ataques a WAFs baseados em Machine Learning

Franco Piergallini Guida    20 octubre, 2020

Uma das peças fundamentais para a correta implementação do machine e deep learning são os dados. Esses tipos de algoritmos precisam consumir, em alguns casos, uma grande quantidade de dados para encontrar uma combinação de “parâmetros” internos que os permitam generalizar ou aprender, a fim de prever novas entradas. Se você está familiarizado com a segurança de computadores, provavelmente o que notou é que os dados são o que sobra, a segurança é sobre os dados e nós os encontramos representados de diferentes maneirasfiles, logs, network packets, etc.

Normalmente, esses dados são analisados ​​manualmente , por exemplo, usando file hashes, regras personalizadas como assinaturas e heurísticas definidas manualmente. Esses tipos de técnicas exigem muito trabalho manual para acompanhar as mudanças no cenário das ameaças cibernéticas, que crescem dramaticamente exponencialmente a cada dia. Em 2016, havia cerca de 597 milhões de executáveis ​​de malware exclusivos conhecidos pela comunidade de segurança de acordo com a AVTEST e, até agora, em 2020, há mais de um bilhão.

Imagem 1: fonte https://www.av-test.org/es/estadisticas/software-malicioso/

Para este volume de dados, uma análise manual de todos os ataques é humanamente impossível. Por esse motivo, algoritmos deep e machine learning são amplamente utilizados em segurança, por exemplo: antivírus para detectar malware, firewall para detectar atividades suspeitas na rede, SIEMs para identificar tendências suspeitas em dados, entre outros.

Assim como um cibercriminoso pode explorar uma vulnerabilidade em um firewall para obter acesso a um web serveros algoritmos de machine learning também são suscetíveis a um possível ataque, como vimos nestas duas partes anteriores: Adversarial Attacks, o inimigo da inteligência artificial 1 e Adversarial Attacks, o inimigo da inteligência artificial 2. Por tanto, antes de colocar tais soluções na linha de fogo, é fundamental considerar suas fraquezas e entender o quão maleáveis ​​elas são sob estresse.

Exemplos de ataques a WAF

Vejamos alguns exemplos de ataques a dois WAFs, onde cada um cumpre um objetivo simple: detectar XSS e sites maliciosos analisando o texto de um URL específico. A partir de grandes sets de dados, onde XSS e sites maliciosos foram rotulados corretamente, um algoritmo do tipo logistic regression foi treinado para prever se ele é malicioso ou não.

Os sets de dados para XSS e para sites maliciosos usados ​​para treinar esses dois algoritmos de logistic regression são basicamente uma coleção de URLs classificados como «bons» e «ruins»:

Imagem 2: URLs maliciosos
Imagem 3: XSS
Imagem 3: XSS

Onde os dados de setembro contêm 420.000 URLs de sites maliciosos entre bons e ruins e, do lado do XSS, existem 1.310.000.

Por se tratar de um ataque de white box, temos acesso a todo o processo e manipulação de dados para treinamento do algoritmo. Portanto, podemos perceber que o primeiro passo nos dois cenários é aplicar uma técnica chamada TF-IDF (Term frecuency – Inverse document frecuency), que nos dará uma importância a cada um dos termos dada sua frequência de aparecimento em cada um dos URLs em nossos conjuntos de dados.

De nosso objeto TF-IDF podemos obter o vocabulário gerado para ambos os casos, e uma vez que o algoritmo seja treinado podemos acessar facilmente e ver quais desses termos lhe conferem maior peso. Por sua vez, a partir desses termos, podemos facilmente manipular o output do algoritmo. Vejamos o caso da classificação de sites maliciosos.

Classificação de sites maliciosos

De acordo com o algoritmo, se algum desses termos aparecer em um URL, há uma grande probabilidade de que seja um site não malicioso:

Imagem 4: peso dos termos para considerá-los NÃO maliciosos
Imagem 4: peso dos termos para considerá-los NÃO maliciosos

Isso significa que, simplesmente adicionando um desses termos ao meu URL malicioso, poderei influenciar o algoritmo ao máximo à minha mercê. Tenho meu URL malicioso que o algoritmo detecta com certeza de que é realmente um site malicioso:

Imagem 5: URL malicioso
Imagem 5: URL malicioso

Com 90% de confiança, ele classifica o URL como malicioso. Mas se adicionarmos o termo ‘photobucket’ ao URL, o algoritmo já o classifica como «bom»:

Imagem 6: URL malicioso com um termo que dá "confiança"
Imagem 6: URL malicioso com um termo que dá «confiança»

Poderíamos até mesmo aumentar essa probabilidade simplesmente adicionando outro termo ao URL, por exemplo «2011»:

Imagem 7: URL com 2 termos que dão "confiança"
Imagem 7: URL com 2 termos que dão «confiança»

Vamos passar para o cenário XSS. Temos um payload que o algoritmo classifica corretamente como XSS e com 99% de confiança (neste exemplo, o label 1 corresponde a XSS e 0 a não XSS):

Imagem 8: Carga útil XSS detectável
Imagem 8: Carga útil XSS detectável

Vejamos os termos com menor peso para inverter essa previsão:

Imagem 9: peso dos termos para diminuir a previsão de ataque XSS
Imagem 9: peso dos termos para diminuir a previsão de ataque XSS

Como fizemos antes, adicionamos alguns desses termos para manipular a saída do algoritmo. Após alguns testes, encontramos o payload que inverte a previsão, tivemos que adicionar o termo «t / s» cerca de 700 vezes para atingir a meta:

Imagem 10: carga útil capaz de inverter a previsão XSS
Imagem 10: carga útil capaz de inverter a previsão XSS

E com certeza, nosso algoritmo prevê isso como NO XSS:

Imagem 11: Sem detecção de XSS devido à carga útil usada
Imagem 11: Sem detecção de XSS devido à carga útil usada

Caso alguém se interesse pelo assunto, deixamos para eles os links dos projetos WAF de sites maliciosos e do WAF de XSS . Algumas referências foram retiradas do livro Malware Data Science.

Ter acesso às etapas e modelos de pré-processamento de dados torna mais fácil gerar esses tipos de ataques. Se o invasor não tivesse acesso a eles, seria um esforço maior para encontrar o pré-processamento correto dos dados e a arquitetura ou algoritmo do modelo preditivo. No entanto, ainda é possível recriar esses ataques usando outras técnicas, como transferibilidade, em que amostras adversárias que são especificamente projetadas para causar classificação incorreta em um modelo também podem causar classificações incorretas em outros modelos treinados independentemente. Mesmo quando os dois modelos são suportados por algoritmos ou infraestruturas claramente diferentes.

O futuro das assinaturas digitais para proteger o seu dinheiro está na criptografia de limiar

Gonzalo Álvarez Marañón    19 octubre, 2020

Imagine que você fosse uma pessoa tão moderna, tão moderna, que todo o seu dinheiro estivesse guardado em criptomoedas em vez de em um banco tradicional. Se você lidou com criptomoedas , sabe que geralmente são gerenciadas por meio de aplicativos de carteira de criptografia . Sua missão é facilitar as operações típicas de realização de transações e verificação de saldos, mas não armazenam criptomoedas . Acima de tudo, eles têm a missão crucial de assinar com sua chave privada. Em essência, o que é uma carteira criptografada? Uma interface para a sua chave privada !

Sim, essa chave privada é como as chaves do reino: dá acesso a todo o seu dinheiro. Qualquer pessoa que a conheça pode limpar seus bolsos. Se você perdê-lo, não poderá recuperar seu capital. Portanto, você terá que protegê-lo muito bem . E isso não é uma tarefa fácil! Neste artigo, revisarei as alternativas tradicionais e novas que estão surgindo para garantir a segurança das assinaturas digitais .

Claro, para evitar entrar em detalhes matemáticos, ao longo do artigo usarei uma analogia simples. Imagine que cada unidade de criptomoeda está protegida dentro de um cofre com um cadeado que só pode ser aberto com a chave do dono daquela criptomoeda. As criptomoedas não se movem realmente entre as caixas, elas estão sempre em seu próprio cofre. Quando você transfere moedas de uma para outra, em vez de enviá-las, é realmente como se você estivesse apenas trocando as fechaduras de uma caixa para outra. Por exemplo, quando Alice transfere dinheiro para Bob, ela realmente só remove a fechadura da caixa abrindo-a com sua chave e substituindo a fechadura de Bob. Bob pode removê-lo mais tarde com sua chave e assim por diante. Imagine que cada pessoa tem fechaduras infinitas, para que qualquer pessoa possa colocar o cadeado de outra pessoa em qualquer caixa, mas apenas o dono do cadeado pode abri-lo com a chave. Está entendido?

Vamos lá!

Eu cozinho, eu como: chaves duplicadas

A solução mais simples e mais difundida hoje para proteger sua chave é fazer muitas cópias de sua chave e armazená-las em muitos lugares diferentes, garantindo assim que você não a perderá. O problema óbvio é que quanto mais cópias você fizer de sua chave, maior será a chance de um invasor obter uma delas .

Você poderia confiar cópias de sua chave a outras pessoas, com certeza seu cunhado se oferece para mantê-la para você. Mas se você pensar sobre isso, a única coisa que você consegue é mudar o problema. Em primeiro lugar, até que ponto você pode confiar na honestidade deles? Em segundo lugar, não importa o quão bem eles sejam, até que ponto você pode confiar em suas boas práticas?

Não, a duplicata não parece uma boa ideia.

Ilustração 1. Cofre tradicional: um cadeado, uma chave.
Ilustração 1. Cofre tradicional: um cadeado, uma chave.

Bem distribuído, bem conhecido: multi-assinatura (multisig)

Outra abordagem mais promissora é distribuir a responsabilidade de ficar com a chave e abrir a fechadura entre várias pessoas . Em vez de a caixa ter uma fechadura única, a nova caixa terá várias fechaduras e cada pessoa autorizada receberá uma chave diferente, cada uma para a sua fechadura. A partir de agora, serão necessárias várias chaves para abrir as várias fechaduras da caixa. É o que é conhecido como multi-assinatura ou Multisig .

O Multisig evita o ponto único de falha anterior porque proteger a caixa com várias travas tornará mais difícil comprometer – uma chave não é mais suficiente, são necessárias várias para abrir a caixa.

Para tornar as operações mais flexíveis, esquemas M-de-N costumam ser usados: N cadeados são colocados na caixa com a peculiaridade de que para destravá-la basta abrir M, onde M é menor ou igual a N. Parece mágica, certo ? Por exemplo:

  • Com o seu parceiro, você pode usar uma assinatura múltipla 1 de 2 para que qualquer um de vocês possa abrir a caixa. Se um perder a chave, o outro ainda pode abrir a caixa. Mas se um invasor roubar qualquer uma das duas chaves, ele também poderá abri-la. E se o seu parceiro for maluco, nada o impede de esvaziar a conta!
  • Com uma multi-assinatura 2 de 2 , agora vocês dois têm que abrir a caixa. Assim, vocês se protegem e um atacante terá que roubar as duas chaves, já que apenas uma não abrirá a caixa. Essas assinaturas múltiplas também servem para autenticação multifator : você pode ter uma chave no computador e outra no smartphone. Sem acesso a ambos os dispositivos, a caixa não abre.
  • Com o multisig 2 de 3 , se você tiver um filho, poderá dar a ele uma chave e os pais ficarem com as outras duas. O garoto vai precisar que um de vocês dois abra a caixa, pois só com a chave ele não conseguirá.
  • Com um esquema 4 de 7 , várias pessoas em uma equipe ou comitê terão que cooperar para abrir a caixa. Eles são muito adequados para implantar políticas corporativas .
  • E todos os cenários que você pode imaginar.

O problema com o Multisig é que ele requer uma caixa maior para acomodar vários cadeados, e quem passar por perto notará uma medida de proteção incomum: “Hmm, o que tem dentro? Vamos acompanhá-lo ”. Por outro lado, o custo das transações também aumenta porque as informações de cada signatário devem ser adicionadas ao blockchain.

Ilustração 2. Cofre Multisig: dois cadeados, duas chaves.
Ilustração 2. Cofre Multisig: dois cadeados, duas chaves.

Cup to Cup: Shamir’s Secret Sharing Scheme (SSSS)

Aqui , a responsabilidade de guardar as chaves e abrir as caixas também é compartilhada , mas em vez de criar vários cadeados que cada um abre com sua chave, um único cadeado de aparência normal é criado e é a chave que é dividida em partes que são entregues a cada um dos participantes. Além disso, o cadeado tem uma peculiaridade: pode ser aberto com um número M de partes da chave menor que o número total N de partes em que foi dividido na forja.

Tecnicamente, ele usa o que é conhecido como esquema de compartilhamento de segredos de Shamir ( Shamir’s Secret Sharing Scheme , SSSS). O elenco de Shamir também permite operar com esquemas M-de-N, para tornar o acesso mais flexível, como no Multisig. Agora a caixa parece normal por fora, pois está protegida por um único cadeado.

O problema é que, antes de abrir a caixa, os participantes reconstroem a chave, cada um juntando a sua parte. Nesse ponto, assim que a chave acaba de ser reconstruída, ela se torna vulnerável a roubo. Por outro lado, no SSSS, alguém precisa primeiro criar a chave e, em seguida, dividi-la e distribuí-la. Lá, outra janela de oportunidade aparece para um invasor roubar a chave antes que ela seja dividida. Além disso, esse terceiro deve ser confiável, pois quem pode garantir que ele não guarda uma cópia da chave completa?

Ilustração 3. SSSS seguro: um cadeado, uma chave dividida em dois.
Ilustração 3. SSSS seguro: um cadeado, uma chave dividida em dois.

Assinando do limite

E você não poderia ter várias chaves diferentes e um único cadeado? Ou seja, não existe método que combine o melhor do Multisig com os benefícios do SSSS? Sim existe. São chamados de esquemas de assinatura com limite (T hreshold Signature Scheme , TSS), limite de criptografia baseado , um subcampo do computador multiparte com segurança .

No esquema de assinatura de limite, cada usuário cria sua própria chave (que ninguém mais conhece) e, em seguida, eles se unem para forjar um cadeado de aparência completamente normal. O truque é que este cadeado especial pode ser aberto quando cada uma das N teclas (ou um subconjunto M delas) gira a fechadura um pouco, até que entre todas elas consigam girá-la completamente.

Uma grande vantagem do TSS é que as chaves nunca são reunidas , evitando assim as janelas de oportunidade do SSSS. Outro recurso de segurança adicional é a «atualização»: a cada certo tempo predefinido, as chaves são atualizadas para evitar que um invasor roube uma a uma M das N chaves criadas e com o M abrindo o cadeado. Outra vantagem das assinaturas de limite é que as chaves podem ser revogadas ou novas criadas sem alterar a fechadura, para aquelas situações em que novos participantes entram ou saem do grupo, situação típica em ambientes corporativos. Em troca, o TSS exige que todas as partes estejam presentes ao forjar e abrir o bloqueio , portanto, esse protocolo não pode ser executado de forma assíncrona. Além disso, ainda é muito verde, propostas criptográficas ainda estão sendo feitas e até mesmo houve um ataque bem – sucedido contra uma das propostas.

Ilustração 4. TSS seguro: um cadeado, duas chaves.
Ilustração 4. TSS seguro: um cadeado, duas chaves.

A disciplina de assinaturas de limiar é um campo recente, com inúmeras propostas, ainda longe de atingir a maturidade dos esquemas de assinatura convencionais, como o ECDSA.

Por enquanto, o TSS está fornecendo aos usuários segurança de dois fatores para acesso a chaves privadas ou compartilhamento da capacidade de assinatura entre vários dispositivos, de forma que um único dispositivo comprometido não coloque todo o seu dinheiro em risco. No caso das empresas, o TSS permite a implementação de políticas de controle de acesso que impeçam tanto quem está dentro quanto quem está fora de roubar fundos corporativos.

Com assinaturas de limite, a chave privada não será mais um ponto único de falha.

Nova versão do nosso SIEM Attack Framework, agora com 7 fabricantes

Área de Inovação e Laboratório ElevenPaths    16 octubre, 2020

Há já algum tempo, na equipa de Inovação e Laboratório da ElevenPaths, temos vindo a trabalhar em diversos projectos e investigações relacionadas com os aspectos de segurança do SIEM (Security Information and Event Management). Um dos projetos que lançamos é uma ferramenta gratuita de código aberto chamada SIEM Attack Framework para a análise de segurança dessas tecnologias, e que nos permite detectar fragilidades na configuração de alguns produtos como Splunk, GrayLog e OSSIM. No ano passado, apresentamos ela no BlackHat Arsenal 20198dot8 e EkoLabs, onde ela ganhou o prêmio por melhor laboratório da EkoParty2019

A ferramenta ainda está viva e faz parte do nosso conjunto de ferramentas à disposição da comunidade. Durante 2020, dissemos como é a estrutura de desenvolvimento e como temos adicionado a descoberta de novos SIEMs dentro do framework em um capítulo de nosso CodeTalks4DevsNele ajudamos a comunidade a entender como o desenvolvimento foi planejado, como contribuir ou modificar módulos para fins específicos e também antecipar que em breve haveria surpresas.

O que adicionamos nesta atualização?

Alguns dias atrás, também lançamos uma atualização da ferramenta em nosso repositório adicionando mais três SIEMs ao framework de ataque para tentar facilitar o trabalho das equipes Red Team e Pentesting. Nesta última atualização, incorporamos os seguintes fabricantes:

  • QRadar, para o qual implementamos um módulo de teste de força bruta para detectar a senha do administrador. Como o usuário é sempre administrador, é necessário apenas obter a senha para acessar o ambiente web, embora seja um ataque muito lento devido a algumas proteções. Porém, o número de tentativas não é controlado na API, portanto é possível realizar um ataque de força bruta para detectar a API-Key e então extrair a configuração completa da configuração do SIEM e dos usuários de acesso ao banco de dados. dados internos chamados ARIEL.
  • McAfee SIEM, neste nós implementamos um ataque de dicionário para detectar a senha do usuário que vem por padrão chamada “NGCP. Devido a certas configurações de restrição este ataque pode ser lento, por isso estamos procurando outra forma de obter essas credenciais, então implementamos um novo módulo aproveitando o fato de que o sistema habilita o serviço SSH por padrão e que é possível acessar com o usuário root, mas que além disso compartilha a mesma senha do usuário NGCP. Uma vez obtidos esses dados, é possível usar três outros ataques que nos permitem obter informações de configuração, serviços de serviço, proteções configuradas e extrair o arquivo shadow do sistema, e com ele todos os usuários dele.
  • SIEMonster, onde implementamos um módulo de ataque de dicionário semelhante ao mencionado no caso anterior, visto que este SIEM possui o mesmo usuário configurado para acesso SSH e para acesso WEB, denominado «deploy», para o qual é possível obter acesso administrativo a ambos os ambiente da web conforme console. Além disso, dois ataques foram gerados para obter dados de configuração do sistema e o arquivo shadow para ter todos os usuários dele.
  • ElasticSIEM, também implementamos um módulo de força bruta para SSH já que o sistema operacional recomendado para sua instalação habilita o serviço por padrão. Por sua vez, para implementações locais, ele não gera um controle de acesso ao serviço da web por padrão, e requer a implementação de uma série de configurações para que um mecanismo de autenticação possa ser integrado. Por sua vez, geramos um módulo que nos permite aproveitar esta configuração possível e acessar o sistema por console , para obter mais dados de configuração, embora muitas vezes comprometer este SIEM requer apenas identificá-lo dentro da rede.

Além disso, nesta nova versão, foram feitas alterações em:

  • validação dos dados inseridos pelo analista foi modificada
  • Adiciona-se a possibilidade de especificar uma porta de forma simples diferente daquela que é detectada pela instalação do SIEM, para que possa ser detectada mesmo que tenha sido publicada em outra porta da própria ferramenta sem ter que recorrer a outras ferramentas para isto.
  • Baterias de teste foram adicionadas para otimizar o desempenho.
  • Foram feitas modificações que permitem aos usuários ver quais dados podem ser obtidos em alguns dos ataques e comparar com os resultados obtidos.

Com todas essas mudanças e melhorias, a versão 0.2 da ferramenta oferece a possibilidade de analisar sete SIEMs diferentes de maneiras diferentes. Em alguns deles podemos detectar e tirar proveito de fragilidades na configuração padrão, em outros no uso da API de gerenciamento e em outros serviços expostos, mas sempre oferecendo a possibilidade de avaliar a segurança do sistema.

Redefinindo a segurança na nuvem com SASE

Samuel Bonete Satorre    15 octubre, 2020

Por um momento e pense com frieza: que porcentagem de seu tráfego de internet termina em sites ou navegação tradicional e qual proporção em serviços SaaS? Se analisarmos em detalhe, mais de 85% do volume de tráfego que circula na Internet acaba em serviço SaaS. Dito isso, um proxy ou firewall tradicional, seja on-prem ou na nuvem, é capaz de entender o que acontece nos aplicativos em cloud que são consumidos? Seja honesto com você mesmo…

Soluções de segurança tradicionais ou baseadas em modelos legados são orientadas a proteger o usuário de forma a salvaguardar a navegação e evitar que ele acesse sites maliciosos, baixe malware ou clique em um site de phishing. Essas soluções também seguem um modelo «permitir / negar», autorizando o uso de determinados aplicativos e bloqueando muitos outros. Agora, em um momento em que o mundo da web e o SaaS convergiram, esse padrão não faz mais sentido. Os proxies e firewalls cloud não são suficientes para proteger nossas informações.

Um proxy cloud convencional é eficaz para paralisar ou permitir aplicativos em nuvem e páginas da web, mas não funciona para decodificar em um nível baixo o que está acontecendo no aplicativo SaaS. Em outras palavras, você pode fornecer informações básicas (por exemplo, que um usuário se conectou ao OneDrive e carregou X Gb de dados), mas não pode fornecer relatórios detalhados como: a que instância específica o usuário se conectou? Que documento você carregou para essa instância? Eles foram protegidos com ressonância magnética? Os arquivos foram posteriormente compartilhados com terceiros? Etc.

A situação atual obriga-nos a proteger não só a navegação do utilizador na Internet, mas também os dados e, sobretudo, a estarmos atentos para onde vão as informações corporativas. Além dos aplicativos SaaS regulamentados, as informações da empresa podem acabar em qualquer página da web, serviço SaaS não regulamentado ou instância IaaS. É por isso que o conceito de Next Generation Proxy Cloud, ou NextGen Secure Web Gateway, ganha peso.

O primeiro passo para uma estratégia SASE

E o que é isso sobre um NextGen Secure Web Gateway? Basicamente, é um serviço proxy de navegação web oferecido a partir da nuvem, mas que, ao contrário dos serviços tradicionais, é capaz de proteger a navegação e controlar o que os usuários fazem nas aplicações SaaS, podendo ler as informações que transfere para eles e aplica controles dentro de um contexto.

Em suma, estamos falando em fornecer inteligência ao proxy, combinando recursos de Proxy, CASB, DLP e Threat Protection em uma plataforma 100% cloud pela qual passaremos o tráfego de navegação de nossos usuários, quando eles estiverem no escritório, em um sedes conectadas por SD-WAN ou em mobilidade.

Desta forma, a primeira coisa que acontecerá quando um funcionário abrir seu laptop é que ele se conectará de forma transparente a um ponto de controle na Internet e, a partir daí – após validar a postura de segurança da equipe – toda sua atividade será controlada em SaaS e sua navegação na web serão protegidos. Além disso, se o usuário precisar acessar com segurança os recursos corporativos localizados na rede interna, isso pode ser feito por meio de um modelo Zero Trust Network Access, que facilitará o acesso remoto seguro daquela rede de interconexão aos recursos internos. Esta abordagem de elevar as funcionalidades de segurança para um novo perímetro de cloud 100%ele corresponde ao modelo SASE “Secure Access Service Edge” que está na moda atualmente. Mas para fornecer serviços de segurança cloud, é necessário ter um Edge que ofereça suporte.

Hoje, a NewEdge trabalha com pontos de presença em 40 regiões (incluindo Madrid, São Paulo, Buenos Aires, Santiago do Chile, Bogotá entre outras) e novos datacenters são adicionados a cada mês. O NewEdge foi projetado para escalar em mais de dois terabits por segundo em cada ponto de presença e é capaz de atender ao tráfego online de centenas de milhões de usuários. Com extenso peering com serviços cloud, CDN, software como serviço (SaaS), bem como Infraestrutura como serviço (IaaS) representando mais de 300 redes adjacentes, a NewEdge é agora a melhor rede conectada do mundo para fornecer segurança de dados com um plataforma nativa na nuvem.

O lado sombrio do WebAssembly

Carlos Ávila    13 octubre, 2020

Hoje, as tecnologias de desenvolvimento de software para a web se multiplicam rapidamente, ao mesmo tempo que introduzem, em alguns casos, novas formas de ataque ou vantagens inesperadas para os invasores. Vamos ver o que é WebAssembly (WASM) e quais benefícios potenciais ele pode ter para os invasores.

Este padrão aberto relativamente novo (anunciado em 2015 mas começou a ser utilizado em 2017) permite-nos executar código binário, compilado com linguagens como C, C ++ ou Rust em navegadores modernos, com todas as novas funcionalidades e performance que pode acarretar.

Arquitetura geral do aplicativo WebAssembly
Arquitetura geral do aplicativo WebAssembly

O WASM não foi criado para substituir o JavaScript, mas para complementá-lo. Na verdade, é o mecanismo JavaScript responsável por sua execução. Este padrão possui múltiplos casos de uso, conforme indicado por seu site: desenvolvimento / execução de jogos, aplicativos CAD, plataformas de simulação, contratos inteligentes (blockchain), entre outros. Se você quiser dar uma olhada em como eles executam um binário de jogo no WASM, você pode ver este site que emula o famoso Gameboy ou como o AutoCAD começa a ser executado em qualquer navegador.

Assim como as novas tecnologias e linguagens de programação nos oferecem várias melhorias, é uma questão de tempo até que os invasores encontrem vetores de ataque para usá-los em seu próprio benefício , e os aplicativos WebAssembly não são exceção. Vamos ver, por meio do exemplo abaixo, como um código malicioso simples pode ser compilado para simular um ataque cibernético de engenharia social.

WASM (Fraude PoC) compila e executa exemplo
WASM (Fraude PoC) compila e executa exemplo
WASM (Fraude PoC) compila e executa exemplo

Esse tipo de ataque simulado é conhecido como «golpe de serviço de tecnologia», em que um golpista se faz passar por técnico de uma empresa de tecnologia usando táticas de intimidação e engenharia social para induzir as pessoas a pagar por serviços de suporte desnecessários. Quando a vítima liga para o número do suporte técnico, os golpistas pedem dinheiro para corrigir o problema ou solicitam acesso para instalar software malicioso (backdoor) no dispositivo da vítima. Este tópico do Twitter de Sergio de los Santos é um bom exemplo da sofisticação alcançada.

Caso de golpe de serviço técnico
Caso de golpe de serviço técnico

Nesses casos, o benefício para o invasor seria ofuscar o código no momento da análise, mais velocidade, etc. Na verdade, o código compilado do WASM já foi usado para campanhas de mineração de bitcoins, infectando navegadores por meio de código malicioso em sites comprometidos. Entre os casos mais conhecidos estão os de Coinhive e Cryptonight. Ambos os ataques (usando JavaScript gerado por WASM) aproveitaram o poder computacional para «minerar» criptomoedas por meio do navegador. Em geral, quando navegamos na Internet, podemos encontrar sites que foram comprometidos por golpistas, geralmente com código JavaScript ou WASM puro e, a partir daqui,Se nossos navegadores não tiverem controles adequados, o ataque pode ser concluído.

Se o WebAssembly estiver sendo usado para oferecer suporte a ataques de mineração de criptografia, os invasores podem continuar lucrando com outras frentes. Outras fórmulas de uso malicioso para WASM são:

  • Redirecionamento para URLs maliciosos: existem campanhas para infectar dispositivos por meio de redirecionamentos maliciosos (via código WebAssembly) de sites comprometidos com os mesmos golpes de suporte técnico, mineração de criptomoeda, etc.
  • Keyloggers registram o pressionamento de tecla para roubar senhas e quaisquer outras informações confidenciais de visitantes de sites comprometidos, aproveitando o fato de que o WebAssembly está gerando um código que evita as detecções típicas de controles externos ou navegadores.
  • Exploração do navegador: a exploração de vulnerabilidades no navegador quase sempre envolve JavaScript. Portanto, o WebAssembly pode desempenhar um papel importante na exploração do navegador, ofuscando o código de exploração.

As tecnologias oferecem muitas possibilidades, o WebAssembly não é exceção e pode ser um aliado ou um inimigo. É muito claro que tem muitas vantagens, mas pode fornecer novos caminhos para explorar as fraquezas em diferentes casos. Enquanto os desenvolvedores se esforçam para integrar recursos de segurança, nós, como usuários, devemos tomar nossos cuidados, mantendo nossos navegadores atualizados com plug-ins que bloqueiam a execução dinâmica de JavaScript, como o NoScript. De ElevenPaths, fornecemos ferramentas como AMSIext para evitar execuções indesejadas em navegadores.