Página 23 – Think Big

Adversarial Attacks, o inimigo da inteligência artificial

Franco Piergallini Guida 20 julio, 2020

Uma rede neural tem um objetivo simples: reconhecer padrões inerentes aos conjuntos de dados . Para conseguir isso, você deve ter a capacidade de «aprender» passando por um processo de treinamento no qual milhares de parâmetros são ajustados até chegar a uma combinação que minimiza uma determinada métrica de erro. Se você puder encontrar uma combinação de seus parâmetros que permita generalizar os dados, poderá reconhecer esses padrões e prever, com tolerância de erro permitida, entradas de dados que você nunca viu no processo de treinamento. Esses dados podem ser imagens, vídeos, áudios ou dados tabulares. E se alguém souber como manipular esses dados para oferecer os dados que lhes convém?

De uma maneira imperceptível e inconsciente, usamos as redes neurais em um número infinito de tarefas que realizamos diariamente. Alguns dos exemplos mais superficiais são os sistemas de recomendação para filmes no Netflix e músicas no Spotify, a identificação e categorização de e-mails, a interpretação de consultas e previsões da palavra seguinte em mecanismos de pesquisa, assistentes virtuais e seu processamento natural da linguagem, reconhecimento facial nas câmeras e, é claro, a identificação de amigos nas redes sociais e os filtros engraçados que distorcem nossas características faciais.

Sem discriminação, as redes neurais são bem-sucedidas em uma vasta variedade de campos. Podemos usá-los para diagnosticar o COVID-19 , rastrear traficantes de drogas nas mídias sociais ou até detectar notícias falsas . No entanto, foi demonstrado que eles também podem ser invadidos, voltando à essência e à definição de invasão: manipulando o comportamento normal de um sistema.

Uma das técnicas usadas para manipular arbitrariamente as redes neurais é o que é comumente conhecido como «Adversarial Attacks». Com ele, podemos produzir a saída desejada criando uma entrada cuidadosamente criada. Por exemplo, se tivermos uma rede neural que preveja a probabilidade de ter ou não o COVID-19 com base no som da tosse, poderemos manipular os espectrogramas registrados adicionando ruído para modificar a probabilidade de resposta (aumentar ou diminuir). Ou podemos até gerar um espectrograma sem significado ou semelhante aos gerados pela tosse e, assim, obter qualquer probabilidade de resposta desejada.

Exemplo com falsificações profundas

Vamos ver um exemplo concreto: temos um sistema que é muito bom em prever se um vídeo é deepfake ou não. Uma das soluções convencionais para esse problema começa com a coleta e o alinhamento de n faces que aparecem no vídeo usando uma rede neural específica para esta tarefa. Uma vez coletada, outra rede prediz a probabilidade de um rosto sofrer um ataque profundo ou não.

Vídeo tirado do *Deepfake* Detection Challenge (DFDC)

O último passo é obter uma média de todas as probabilidades para as n faces coletadas. Se essa média for maior que um limite imposto (por exemplo, 0,6), o vídeo será classificado como deepfake ; caso contrário, é classificado como sem falha profunda . Claramente, podemos ver que, no exemplo, a qualidade do deepfake gerado não é muito boa e o sistema é muito seguro para classificá-lo (0,86).

Para modificar a probabilidade de saída do sistema, devemos adicionar ruído estrategicamente gerado e inseri-lo no vídeo. Para conseguir isso, temos três restrições:

O ruído gerado deve ser sofisticado o suficiente para que a rede que identifica os rostos continue realizando seu trabalho sem problemas.
O ruído deve ser gerado de forma que a probabilidade prevista pela segunda rede em todas as faces coletadas caia.
As modificações devem ser o mais imperceptível possível para os seres humanos.

Analisando a segunda rede em detalhes, podemos ver que a entrada que ela recebe é sempre do mesmo tamanho: uma imagem RGB de 256 pixels de altura por 256 pixels de largura. As redes neurais são determinísticas, ou seja, para qualquer imagem de entrada que se encaixe na primeira camada, ela produzirá uma saída. Os pixels assumem valores entre 0 e 256, o que implica que o espaço de combinações possíveis para segundas entradas de rede será 256 ^{256 * 256 * 3,} mas apenas um subconjunto muito pequeno atenderá às três restrições.

Para gerar o ruído, usamos o Fast Gradient Sign Method ( demonstração ao vivo), que envolve um ataque de caixa branca e acesso total ao sistema. Mas o que acontece quando temos apenas uma chance de enganar o sistema? Poderíamos criar nosso próprio modelo de réplica do original e gerar o ruído com base nele. Há uma alta probabilidade de que o ataque funcione por transferibilidade , uma propriedade que ainda é um estudo de caso, mas basicamente diz que dois modelos com o mesmo objetivo dependerão das mesmas características para alcançá-lo.

Como nos defendemos contra esse tipo de ataque?

Uma solução pode ser adicionar uma nova rede neural que funcione como um tipo de IDS ( SafetyNet ) em nosso processo. Se você detectar que a imagem ou o vídeo contém esses ataques, poderá descartá-lo e classificá-lo como malicioso. Outra solução seria gerar esses ataques e incluí-los em nossos conjuntos de dados e no processo de treinamento de nossa rede, para que você possa rotulá-los como maliciosos, mas essa opção é muito cara devido ao número de combinações nas quais eles podem ser gerados.

Uma solução muito engenhosa de uma equipe da NVIDIA chamada BaRT ( The Barrage of Random Transforms ) propõe a aplicação de diferentes tipos de ataques ao conjunto de dados em que a rede neural é treinada para impedir a tarefa do atacante de fazer um ataque. digite black box e que a rede possa classificar corretamente um vídeo como malicioso.

Cleverhans , da Tensorflow; e ART (Adversarial Robustness Toolbox) , da IBM, são bibliotecas onde podemos encontrar um ponto de partida com exemplos para aprender mais sobre esse tipo de ataque a redes neurais, além de maneiras de resolvê-los em nossos modelos e aumentar sua robustez.

Há muitos lugares em que os invasores podem tirar proveito desses tipos de técnicas e ter um impacto verdadeiramente significativo: roubo de identidade em sistemas de reconhecimento facial, detectores enganosos de conteúdo sexual ou violento nas redes sociais, sinais de trânsito usados por veículos autônomos, detectores de notícias falsas etc. Por trás de todos esses aplicativos que usamos todos os dias, existem modelos que, como qualquer sistema, podem ser vulneráveis à alteração de seu comportamento.

Ameaças cibernéticas durante o COVID-19, uma investigação da Telco Security AllianceComo se proteger de ataques cibernéticos pandêmicos com ferramentas gratuitas

Ameaças cibernéticas durante o COVID-19, uma investigação da Telco Security Alliance

ElevenPaths 16 julio, 2020

A Telco Security Alliance (TSA) é composta pela AT&T (AT&T Cybersecurity), Etisalat (HelpAG), Singtel (Trustwave), SoftBank e Telefónica (ElevenPaths) . Essa aliança visa fornecer às empresas informações abrangentes sobre segurança cibernética para ajudá-las a enfrentar a crescente ameaça de ataques cibernéticos e o cenário de ameaças em evolução.

Três dos membros, por meio de suas unidades de segurança cibernética (AT&T Cybersecurity (Alien Labs) , Singtel (Trustwave) e Telefónica (ElevenPaths)) , produziram um relatório com as descobertas mais relevantes relacionadas ao COVID-19 nos últimos meses.

Por ElevenPaths , participaram Miguel Angel de Castro, José Ramón Palanco, Helene Mindeguia Aguirre e Sebastián García de Saint-Léger.

Evolução das ameaças cibernéticas durante a pandemia

O cenário de ameaças cibernéticas evoluiu rapidamente desde o início da pandemia do COVID-19. Os membros da TSA viram um aumento acentuado de atividades maliciosas, aproveitando a situação vulnerável de nações e organizações.

Os criminosos cibernéticos cada vez mais tentam lucrar financeiramente por métodos oportunistas , obtêm acesso não autorizado a redes para benefícios estratégicos imediatos e de longo prazo e espalham informações falsas para um determinado objetivo político. A TSA investigou vários atores que operam continuamente na área de crimes cibernéticos e atacou organizações privadas e agências governamentais durante a pandemia.

Por fim, a pandemia do COVID-19 ofereceu novas oportunidades que os atacantes rapidamente começaram a aproveitar e continuarão a fazê-lo pelo maior tempo possível. Tanto as organizações de proteção ao crime quanto os estados-nações responderam historicamente a eventos de grande escala de maneira semelhante; no entanto, o impacto mundial do COVID-19 aparentemente elevou a fasquia para o valor operacional dos ataques.

Para se ter uma ideia desse aumento, o crescimento do número de indicadores de compromisso (IoCs) relacionados ao COVID-19 compartilhados pelo TSA aumentou 2000% entre fevereiro e março deste ano.

A distribuição por tipo de IoCs coletadas desde o início da pandemia pode ser vista abaixo:

Distribuição por tipo de IoCs desde o início da pandemia

Este gráfico mostra a porcentagem da distribuição de indicadores de comprometimento e nos dá uma idéia do tipo de atividade maliciosa gerada durante toda a pandemia. Notavelmente, o fragmento de domínios maliciosos se destaca, cobrindo 44% de todos os indicadores e denotando o grande número de domínios que foram criados para fins fraudulentos.

As ameaças cibernéticas investigadas têm múltiplos interesses (econômicos, acesso a sites restritos para obter vantagens estratégicas, desinformação etc.) e provêm de diferentes tipos de atores, como organizações criminosas ou organizações vinculadas a estados.

Contribuições para a pesquisa ElevenPaths

A vingança ataca novamente: ataques de phishing em todo o mundo

Um exemplo do trabalho realizado pelos analistas da ElevenPaths foi a descoberta do grupo de criminosos cibernéticos conhecido como Vendetta, focado em campanhas de phishing usando email , principalmente usando COVID-19, e ativo em muitos países como Taiwan, China, Austrália, Egito ou México.

Especificamente, um ataque de phishing foi detectado através de e-mails posando como diretor do Centro de Prevenção e Controle de Doenças de Taiwan. Nesses e-mails, o destinatário foi informado de suspeita de infecção pelo COVID-19 após a detecção de casos positivos nas proximidades e o forçou a fazer o teste. Além disso, eles anexaram um arquivo com instruções sobre como fazê-lo. Este arquivo continha malware com o qual os atacantes infectaram vítimas.

Escondendo e escondendo RATs em ZIPs

Nesse caso, o HustlKing lançou uma campanha de e – mail na qual anexou um ZIP executável que realmente contém RATS compactado (Remote Access Troyans) . Para enganar as vítimas, eles mudaram o ícone do zip para um PDF:

Esses RATs são programas executáveis que contêm Keyloggers, roubam senhas, servem para baixar outras cargas úteis e para baixar ramsonware . Depois que a vítima clica no ZIP, ela é executada automaticamente e persiste; isto é, mesmo que reinicie, reinicie com o computador. Depois que os programas são executados em segundo plano e começam a roubar as informações, eles são comunicados diretamente via Pastebin a um C&C (Comand e Controle ou Comando e Controle), que é uma infraestrutura de comando e controle composta por servidores e outros elementos. que são usados para controlar malware .

Conclusões da pesquisa

Em geral, e em conclusão, vale destacar o bom trabalho realizado pelo setor de segurança cibernética, que você está tomando as ações corretas para lidar com o enorme aumento de ataques cibernéticos durante esta crise de saúde global.

Como visto neste relatório, a pandemia do COVID-19 foi submetida a vários abusos maliciosos por grupos patrocinados pelo Estado e por outros grupos oportunistas. Globalmente, os atacantes mudaram os ataques para temas e alvos focados no COVID-19, e espera-se que esses ataques continuem evoluindo para novas áreas com a maior probabilidade de sucesso para concluir a missão do adversário. Os atacantes oportunistas, que frequentemente buscam ganhos financeiros, viram a pandemia se tornar um tópico ideal em grandes alvos, já que o COVID-19 tem sido universalmente o tópico mais importante.

Relatório completo disponível aqui:

Click to access covid19-insight-from-the-telco-security-alliance.pdf

OpenPGP: Procurando desesperadamente por KristianAdversarial Attacks, o inimigo da inteligência artificial

OpenPGP: Procurando desesperadamente por Kristian

Sergio de los Santos 15 julio, 2020

Há um ano, o OpenPGP teve um problema de vandalismo em seus principais servidores. O sistema estava morrendo e precisava de uma mudança que não fosse trivial sem trair princípios baseados na Internet dos anos 90 e que são ingênuos aos olhos de hoje. Recentemente, uma anedota simples revela novamente sérias deficiências, um anacronismo inadequado nas redes de hoje. Uma vontade inabalável, mas incapaz de se adaptar aos novos tempos, que continua procurando desesperadamente por Kristian.

O que aconteceu?

Os servidores principais (SKS) são básicos na infraestrutura do OpenPGP. Eles garantem que podemos localizar as chaves públicas das pessoas. Eles lhes permitem ingressar no sistema, nunca se perder e replicar para oferecer disponibilidade. Para interagir com eles, o protocolo OpenPGP HTTP Keyserver ou HKP é usado. Através da porta 11371, você pode fazer upload e procurar chaves.

Os funcionários públicos nunca funcionaram muito bem e têm muitas deficiências. Para testá-lo, basta conectar-se a qualquer sistema de chaves (como https://pgp.mit.edu) e procurar por chaves. Após vários erros no servidor (e adaptando o olho à estética dos anos 90), talvez você tenha a resposta. O mesmo acontece com https://keys.gnupg.net, https://pgp.key-server.io ou qualquer outro. Servidores não confiáveis e com pouca manutenção são a base da criptografia pública.

HKP sobre TLS é chamado HKPS. O servidor hkps.pool.sks-keyservers.net é responsável pelo pool de servidores HKPS, o guarda-chuva, e possui «pedidos» do ponto de vista do DNS para se conhecerem e coordenarem. Para pertencer ao pool , os servidores devem ser validados e certificados por sua própria CA que permita a comunicação criptografada. Essa CA foi mantida por uma única pessoa manualmente por mais de 10 anos: Kristian Fiskerstrand.

Todd Fleisher, que gerencia um desses servidores, expirou o certificado que lhe permitia se comunicar com a central e permanecer no pool e, portanto, coordenado com os outros servidores. Ele procurou Kristian «desesperadamente» por um mês. O tempo estava correndo contra ele. Ele não dava sinais de vida nem pelo correio nem pelas redes sociais.

Eventualmente, o certificado expirou e ele teve que fazer check-out em Let’s Encrypt para manter as comunicações criptografadas, sabendo que o pool hkps.pool.sks-keyservers.net não confiava nele, mas pelo menos lhe permitiu continuar operando sem sincronizar . Em pouco tempo, Kristian respondeu: Sem muita explicação, ela estivera em outros assuntos no mês passado. Ele renovou o certificado. Se demorasse mais tempo, o restante dos servidores expiraria e o pool os ignoraria.

Por que isso aconteceu?

Porque um ponto crítico centralizado (que permite o uso descentralizado do OpenPGP) está nas mãos de uma única pessoa que o mantém voluntariamente. Algo de outra década (que nem sequer é a última) propenso a erros, erros e dependente de boas vontades. Romântico, mas impraticável.

Adoramos software livre, mas não devemos esquecer que ele também requer financiamento, para que não apenas uma pessoa, mas uma equipe possa dedicar o tempo correspondente. Porque estamos falando de um sistema de criptografia gratuito e gratuito, cujo avô era o banner cypherpunk dos anos 90 e pelo qual Phil Zimmerman lutou. Lembre-se que até 2000 a exportação de criptografia para fora dos Estados Unidos era muito limitada.

Este não é o único problema do OpenPGP. O Thunderbird, um clássico que passou por todos os tipos de problemas (a Mozilla queria se livrar dele por um tempo para concentrar seus esforços no Firefox) deu boas notícias. Em outubro de 2019, a Mozilla anunciou que queria adicionar suporte nativo ao OpenPGP ao seu cliente de email Thunderbird . Isso envolveu dispensar sua extensão Enigmail, a rainha do gerenciamento de S / MIME e OpenPGP pelo correio.

Esse fato trouxe à luz algumas realidades no mundo do software que, no campo do código aberto e gratuito, talvez sejam mais surpreendentes devido às expectativas geradas. O Enigmail funciona quase como um milagre. Isso significa que a interface do Enigmail usa chamadas para linhas de comando e coleta o resultado redesenhado no Thunderbird, com todos os problemas que isso pode acarretar . Certamente não é a situação ideal, mas esse é o caso há muitos anos e nada melhor surgiu. Enigmail é um projeto de poucas pessoas em seu tempo livre que vive de doações. Eles o apoiam há mais de 15 anos e, quando sabem que terão que matá-lo, até se oferecem para ajudar a equipe de desenvolvimento do Thunderbird a alcançar a integração.

Ainda assim, o Thunderbird teve que enfrentar problemas de licenciamento para incorporar nativamente a criptografia em seu cliente , mas havia uma condição: se o esforço fizesse a Mozilla perder o foco no Firefox, não valeria a pena. Mas parece que está quase integrado. Podemos ver esta mensagem nas últimas versões do Thunderbird:

Isso basicamente significa que eles não conseguiram combinar os dois sistemas por um tempo, nem o Enigmail nem o novo sistema integrado estão indo bem nas versões mais recentes. Você não lhes deu tempo. Portanto, é hora de escolher uma versão desatualizada do Thunderbird, se você quiser usar o OpenPGP com o Enigmail por um período.

O que mais vai acontecer?

Um sistema crítico não pode ser sustentado por boa vontade. É necessária uma massa crítica de uso (além da promoção), investimento (e não apenas doações), colaborações (além das boas palavras), infraestrutura e pessoas. Especialmente pessoas. Você não pode literalmente confiar em um técnico para uma parte crítica do sistema, porque ele coloca toda a sua funcionalidade em jogo. O software livre não pode estar desesperadamente procurando Kristian.

Vá para a nuvem com confiança suportada pela ElevenPaths e Check PointAmeaças cibernéticas durante o COVID-19, uma investigação da Telco Security Alliance

Vá para a nuvem com confiança suportada pela ElevenPaths e Check Point

Pablo Alarcón Padellano Emilio Sánchez de Rojas Rodríguez de Zuloaga 13 julio, 2020

A segurança na nuvem é alcançada principalmente através da implementação de políticas e tecnologias de segurança apropriadas, como ocorre em outros ambientes de TI. Se você não souber se está usando a nuvem com segurança, orientaremos e ajudaremos você a adotar e proteger rapidamente qualquer carga de trabalho na nuvem, de acordo com sua estratégia geral de nuvem, e a mitigar os riscos da nuvem de acordo com seu apetite por risco definido. Esse é o objetivo dos Serviços de Segurança Gerenciados em Nuvem Pública ElevenPaths.

Embora os provedores públicos de serviços em nuvem (CSPs) dediquem grandes esforços à segurança, o desafio não existe na segurança da própria nuvem, mas nas políticas e tecnologias usadas para proteger e controlar suas implantações na nuvem. Em quase todos os casos, é o cliente, não o provedor de nuvem, que falha ao gerenciar adequadamente os controles usados para proteger os dados de uma organização. De fato, o Gartner considera que, até 2025, 99% das falhas de segurança na nuvem serão culpa do cliente . Além disso, as equipes que estão implementando cargas de trabalho na nuvem podem não ter o conhecimento de segurança necessário para protegê-las adequadamente.

As equipes de conformidade na nuvem tradicionalmente confiam na agregação e nos testes manuais de dados para avaliar a postura de conformidade da TI. O processo de verificação e rastreamento do status de conformidade e resolução de problemas tem sido lento e trabalhoso. Nesta era de riscos de segurança aumentados, as empresas estão eliminando auditorias periódicas de segurança em favor do rastreamento e aplicação contínuos da conformidade. As ferramentas e controles que funcionaram bem para segurança e conformidade no datacenter falham em ambientes de nuvem pública que exigem agilidade e eficiência. Não é de admirar que, à medida que as organizações movam cargas de trabalho críticas para a nuvem pública, a conformidade e a governança continuem sendo uma das principais preocupações.

De acordo com o Relatório de segurança na nuvem de 2019 da Check Point , 67% das equipes de segurança ainda se queixaram de falta de visibilidade em sua infraestrutura, segurança e conformidade na nuvem, além de definir políticas de segurança consistentes nos ambientes em nuvem e no local e falta de equipe de segurança qualificada. terceiro lugar (31% cada). As configurações incorretas (20%) são um dos vetores de vazamento de dados na nuvem mais preocupantes devido a erro humano, e precisamente a falta de experiência e equipe de segurança qualificada (26%) foi uma das maiores barreiras à adoção mais ampla da nuvem pública citada pelos entrevistados.

Como avançar com confiança na nuvem

A oferta de Segurança em Nuvem ElevenPaths , que inclui Serviços Profissionais e Serviços de Segurança Gerenciada em Nuvem (Cloud MSS), pode dar suporte à sua organização, avaliando sua infraestrutura em nuvem para determinar se os níveis apropriados de segurança e governança são implementados para enfrentar esses desafios. Com base nas melhores práticas de segurança na nuvem, na profunda experiência técnica e de consultoria demonstrada em soluções de segurança nativas na nuvem , e na experiência adquirida com o nosso Cloud Security Lab – examinando as principais tecnologias do mercado de segurança em nuvem e os recursos mais recentes projetados para manter sua nuvem segura – nossa equipe de segurança em nuvem orientará e ajudará você a obter a prevenção ideal contra ameaças em nuvem, além de estabelecer e manter a melhor postura de segurança em nuvem possível para seus negócios.

O cumprimento das metas de segurança na nuvem pode exigir repensar e adaptar-se a processos ágeis, reduzindo a complexidade, maximizando a visibilidade e automatizando a aplicação de conformidade e governança. Nosso serviço Cloud MSS inclui e oferece a plataforma de segurança nativa em nuvem unificada CloudGuard da Check Point, fornecendo uma análise abrangente de sua infraestrutura em nuvem com recomendações acionáveis priorizadas da nossa equipe de segurança em nuvem SOC ElevenPaths.

A ElevenPaths é um Parceiro Especializado CloudGuard da Check Point , reconhecimento baseado em nosso sólido conhecimento, habilidades técnicas certificadas e sucesso comprovado no suporte, instalação, implantação e gerenciamento das soluções CloudGuard da Check Point dentro do ambiente de segurança de Clientes, tornando-se o primeiro Especialista em Parceiro CloudGuard em Espanha e América Latina . Fornecemos uma visualização centralizada de todo o tráfego na nuvem, alertas de segurança, configuração de ativos e postura de segurança, além da correção automática.

Além disso, você também pode se beneficiar de nossas lições aprendidas, do conhecimento e da experiência que a equipe ElevenPaths adquiriu ao proteger nossas próprias implantações de nuvem pública usando nosso próprio conhecimento e a solução de gerenciamento de postura CloudGuard Cloud Security da Check Point .

Os Serviços de Segurança em Nuvem ElevenPaths, equipados com a plataforma de segurança nativa em nuvem unificada CloudGuard da Check Point, fornecerão:

Gerenciamento de postura de segurança e conformidade na nuvem: segurança, visibilidade, controle, governança e conformidade de alta fidelidade em seus ativos e serviços em várias nuvens. Nossos especialistas em segurança na nuvem visualizam e avaliam sua postura de segurança na nuvem, detectam configurações incorretas, modelam e aplicam ativamente políticas padrão ouro, protegem contra ataques e ameaças internas, aplicam inteligência de segurança na nuvem para detecção de intrusão na nuvem e garantem que sua infraestrutura de nuvem pública esteja em conformidade com a conformidade regulamentar requisitos e melhores práticas de segurança em todos os momentos. Nossos clientes recebem um padrão abrangente de auditoria de relatórios de segurança e as verificações aprimoradas de conformidade e configuração do ElevenPaths em sua instância de nuvem pública, para encontrar erros de configuração, fornecer um inventário completo de ativos, priorizar testes com falha por gravidade e contexto do seu ambiente,
Proteção da carga de trabalho na nuvem (CWPP): avaliação contínua da vulnerabilidade, proteção total das modernas cargas de trabalho na nuvem, incluindo funções e contêineres sem servidor, do código ao tempo de execução – automatizando a segurança com o mínimo de sobrecarga. A equipe de segurança na nuvem da ElevenPaths verifica continuamente as funções para aumentar sua postura de segurança – fornecendo observabilidade, avaliação contínua e fornecendo às equipes e desenvolvedores de segurança orientações claras sobre como melhorar a proteção geral da carga de trabalho na nuvem;
Segurança de rede em nuvem: segurança de rede em nuvem pública automatizada e elástica para manter ativos e dados protegidos, mantendo-se alinhada às necessidades dinâmicas dos ambientes de nuvem pública. Fornecemos visibilidade consistente, gerenciamento de políticas, registro, relatório e controle em todas as suas redes e redes e monitoramento de eventos de segurança a partir das implantações do Firewall virtual;
Inteligência em nuvem e busca de ameaças: Inteligência de segurança avançada, incluindo detecção de intrusão em nuvem, visualização de tráfego de rede e monitoramento e análise de segurança em nuvem. Aplicamos inteligência de segurança na nuvem e análises de segurança, fornecendo processos aprimorados de segurança na nuvem, informações e decisões contextualizadas avançadas com visualização contextualizada, consultas intuitivas, alertas de intrusão e notificações de violações de políticas, para uma resposta mais rápida e eficiente a incidentes.

Figura 1 – Oferta de segurança Cloud ElevenPaths

Com os Serviços de Segurança em Nuvem Gerenciada da ElevenPaths, as organizações têm operações de segurança em nuvem mais rápidas e eficazes, conformidade e governança de ponta a ponta e práticas recomendadas automatizadas do DevSecOps. Nossos especialistas em segurança na nuvem estão focados em ficar à frente dos adversários, reduzindo incansavelmente sua superfície de ataque e obtendo total visibilidade dos eventos que ocorrem no seu ambiente. Em conjunto com nosso Ponto de Verificação de Parceiro Estratégico, automatizamos sua postura de segurança em grande escala, prevenindo ameaças avançadas e fornecendo visibilidade e controle sobre qualquer carga de trabalho em qualquer nuvem, ajudando você a se mover com confiança na nuvem. Juntos, vamos mais longe .

Ripple20: Internet quebrou novamenteOpenPGP: Procurando desesperadamente por Kristian

Ripple20: Internet quebrou novamente

Sergio de los Santos 9 julio, 2020

Nesse caso, descobrimos que o Ripple20 afeta a implementação da pilha TCP de bilhões de dispositivos IoT. Fala-se em ataques do dia 0, mas eles não são (não há evidências de que tenham sido aproveitados pelos atacantes) e também uma parte deles já foi corrigida antes de ser anunciada. Mas essas vulnerabilidades não são menos graves. Diante de um número tão grande de dispositivos expostos, a Internet quebrou novamente?

Foi anunciado pelo Departamento de Segurança Interna e pelo CISA ICS-CERT . Esses são 19 problemas de todos os tipos na implementação da pilha TCP / IP da empresa Treck. Como essa implementação fornece ou licencia inúmeras marcas (quase 80 identificadas) e dispositivos de IoT, os afetados são, efetivamente, bilhões. E por sua própria natureza, muitos deles nunca serão remendados.

O que aconteceu?

A empresa JSOF fez uma análise completa da pilha e encontrou problemas de todos os tipos. Uma auditoria escrupulosa que encontrou inevitavelmente quatro vulnerabilidades críticas, muitas sérias e outras menores. Eles poderiam permitir tudo, desde o controle completo do dispositivo até envenenamento no trânsito, incluindo negação de serviço. A razão do otimismo é que eles criaram um logotipo e um nome atraente para os bugs e relataram as vulnerabilidades em particular, muitos deles já foram corrigidos pela Treck e outras empresas que usam sua implementação. As razões para o pessimismo são que outros não foram resolvidos e que é difícil rastrear as marcas e modelos afetados (66 marcas estão com confirmação pendente). De qualquer forma, outro fato importante a destacar é que esses dispositivos geralmente são encontrados precisamente em plantas industriais, hospitais e outras infraestruturas críticas nas quais uma séria vulnerabilidade pode ter conseqüências horríveis.

Portanto, resta apenas auditar, entender e atenuar o problema caso a caso para saber se um sistema está realmente em perigo. Algo que já deveria ser feito sob um plano de segurança maduro (do qual os ambientes do AT não deveriam ser isentos), mas que, em qualquer caso, poderia servir como um estímulo para alcançá-lo. Porque são falhas graves, públicas e nas entranhas de dispositivos usados para operações críticas … Uma verdadeira espada de Dâmocles.

De qualquer forma, eles já são conhecidos e, portanto, é possível proteger ou atenuar o problema, como já aconteceu no passado contra outros problemas graves que afetaram milhões de dispositivos conectados. Com eles, parecia que a Internet estava quebrando, mas, apesar de tudo, continuamos. E não porque não fossem sérios (ou mesmo, provavelmente, aproveitados por terceiros), mas porque sabiam como responder a eles em tempo hábil. Não é necessário diminuir sua importância, mas precisamente continuar concedendo-a para que não a percam, mas sempre fugindo de manchetes catastróficas. Vamos revisar alguns casos históricos.

Outros «apocalipses» de cibersegurança

Já houve outros casos de catástrofes que afetariam a rede como a conhecemos e sobre os quais várias manchetes pessimistas foram escritas. Vamos ver alguns exemplos:

O primeiro a chegar às massas foi o «Effect 2000» , que apesar de não ter um logotipo oficial desde o início, tinha uma marca própria (Y2K). Aqueles eram outros tempos e, no final, ele ficou em uma espécie de decepção apocalíptica que estava satisfeita com muita literatura e alguns telefilmes.
Apocalipse criptográfico do Debian em 2008: Uma linha de código foi removida em 2006 no pacote OpenSSL que ajudou a gerar entropia calculando o par de chaves pública e privada. As chaves geradas com ele não eram mais realmente confiáveis ou realmente seguras.
Kaminsky e DNS em 2008 : foi uma falha inerente ao protocolo, não um problema de implementação. Dan Kaminsky descobriu sem oferecer detalhes. Thomas Dullien aventurou-se semanas depois para publicar em seu blog sua visão particular de qual poderia ser o problema e ele estava certo: era possível falsificar (através do envio contínuo de determinado tráfego) as respostas dos servidores autorizados de um domínio. Doze anos depois, mesmo após essa catástrofe, o DNSSEC permanece «uma raridade».
Espionagem «em larga escala» com o BGP: Em agosto de 2008, houve uma conversa sobre a maior vulnerabilidade conhecida na Internet novamente. Tony Kapela e Alex Pilosov demonstraram uma nova técnica (considerada teórica) que permitia interceptar o tráfego da Internet em escala global. Era uma falha de design no protocolo BGP (Border Gateway Protocol) que permitia interceptar e até modificar todo o tráfego da Internet não criptografado.
Heartbleed em 2014: novamente deu a possibilidade de conhecer as chaves privadas nos servidores expostos. Além disso, inaugurou as vulnerabilidades da «marca», porque o apocalipse também deve saber como vendê-lo. Um logotipo e uma página exclusiva foram projetados com um modelo que se tornaria o padrão de fato, um domínio foi reservado, uma espécie de campanha de comunicação foi orquestrada, exageros foram lançados para fornecer embalagens, o tempo foi resolvidoetc. Ele abriu caminho para uma nova maneira de relatar, relatar e espalhar violações de segurança, embora , curiosamente, o curto efeito técnico fosse diferente: o sistema de revogação de certificados foi testado e, de fato, não se ajustou.
Spectre / Meltdown em 2017 (e desde então muitas outras falhas nos processadores): esse tipo de falha tinha alguns elementos muito interessantes para supor uma inovação importante. Essas eram falhas de design de hardware , não menos que no processador. Raramente testemunhamos uma observação no CERT.org, onde foi proposto abertamente a troca de hardware para corrigir um bug.

No entanto, se olharmos para ela com perspectiva, até agora parece que nenhuma dessas vulnerabilidades já foi usada como um método de ataque maciço que derruba a Internet e a «quebra». Felizmente, a responsabilidade de todos os atores do setor serviu para que não nos colocássemos nos piores cenários.

Infelizmente, sim, sofremos sérios problemas na rede, mas eles foram causados por outras falhas muito menos espetaculares, baseadas em «worms tradicionais» como o WannaCry. Talvez isso mostre uma perspectiva interessante sobre, por um lado, a maturidade da indústria e, por outro, sobre o tremendo trabalho que ainda precisa ser concluído em alguns aspectos ainda mais simples.

O grupo Vendetta e os e-mails de phishing COVID-19Vá para a nuvem com confiança suportada pela ElevenPaths e Check Point

O grupo Vendetta e os e-mails de phishing COVID-19

Gonzalo Álvarez Marañón 8 julio, 2020

Em abril de 2020, uma nova ameaça entrou em cena: o grupo conhecido como Vendetta . Ele provou ser um grupo prolífico e seu principal meio de ataque são as campanhas por email baseadas principalmente no Covid-19.

Seus alvos estão distribuídos em todo o mundo e seus ataques foram detectados em países como Austrália, México, Egito, Romênia, Áustria ou China. Vendetta escolhe alvos dos setores de tecnologia, negócios e governo em particular, pois gerenciam informações confidenciais. Eles demonstraram habilidade significativa durante esse estágio ao selecionar e analisar seus objetivos.

Seu procedimento usual de ataque é enviar anexos mal-intencionados em e-mails contendo malware que permite controle total e roubo de informações do sistema da vítima. O design dos e – mails de phishing provou ser muito preciso, pois inclui detalhes e uma mensagem bem estudada e direcionada, além de levar em consideração o contexto global no qual o engano se baseia.

O malware usado não é totalmente autodesenvolvido, mas também contém software comercial. É versátil e possui uma baixa taxa de detecção graças ao uso de empacotadores e cargas prejudiciais finais na memória. A arma do malware é que ele instala um ponto de acesso (geralmente amostras do .NET) usando empacotadores multicamadas desconhecidos e conhecidos que injetam RATS modulares diferentes na memória. Por fim, o malware permite que o invasor obtenha controle total e acesso contínuo à rede de destino por meio do C2C. Esse grupo também fornece seus artefatos de infecção usando sites comprometidos e sua própria infraestrutura.

Campanha Vendetta Covid-19

Analisamos a campanha de ataque realizada por esse grupo no período entre 03-05-2020 e 09-05-2020 no contexto do Covid-19. Abaixo, descrevemos a análise de um ataque de phishing por e – mail que se apresenta como diretor do CDC de Taiwan. Como resultado da análise, descobrimos mais de 134 amostras de malware , vários URLs e domínios intimamente relacionados ao grupo Vendetta.

Primeira descoberta: ataque baseado na representação do diretor do CDC de Taiwan

O email foi analisado pela primeira vez em 2020-05-03T22: 43: 15 de Taiwan. As detecções de antivírus por email foram muito baixas. Como você pode ler no correio, a carta parece ter sido assinada por Chou Jih-haw , diretor geral dos Centros de Taiwan para Controle e Prevenção de Doenças. O texto mostra, a partir do idioma usado e do conteúdo, que é um ataque direcionado aos cidadãos de Taiwan. Eles são convidados a fazer o teste Covid-19 em um centro em Taiwan. Devido ao comportamento desse grupo ao selecionar suas vítimas, é possível pensar que o ataque foi direcionado contra o próprio CDC de Taiwan.

Ao traduzir o email, podemos ler:

É importante notar a qualidade e atenção aos detalhes do email , um recurso característico do grupo Vendetta que é bastante incomum em geral nas campanhas de phishing , que geralmente contêm erros tipográficos, gramaticais etc. Isso demonstra o quão específico foi o ataque ao CDC de Taiwan e o esforço que o grupo Vendetta fez para realizar seus ataques.

Entre os anexos, temos um arquivo cdc.pdf.iso que contém o malware usado pelos atacantes para infectar as vítimas.

TIPO	INDICADOR	NOMBRE	DESCRIPCIÓN
`SHA256`	`0aa87ed22e193e1c6aa9944cf1b9e88ec4ae6a5b3f975e3fb72c0f5b06b864f2`	`1349628.eml`	Correo electrónico con un archivo malicioso adjunto
`SHA256`	`51B0165FBA9CF8E0B7BFEBDC33E083ECC44D37CDBB15B5159B88B71E52B0255B`	`cdc.pdf.iso`	Archivo comprimido que contiene malware

Análise de conteúdo malicioso

Quando o arquivo malicioso cdc.pdf.iso foi descompactado, obtemos o arquivo cdc.exe, um arquivo desenvolvido no .NET e empacotado com um empacotador desconhecido. Essa ameaça é chamada RoboSki.

Como podemos ver na captura de tela a seguir, o malware usa uma seção do binário para ocultar outros componentes usados por esta ameaça. Este é um método que o Vendetta costuma usar para criar suas ameaças.

Depois que a amostra é executada, o malware cria um arquivo .DLL na memória que contém uma imagem .png, que por sua vez contém o código de shell criptografado nos pixels da imagem.

Quando o código do shell é executado, o malware coloca a seguinte carga prejudicial na memória. Podemos distinguir o malware ReZer0 , fornecido com o Eazfuscator.

Após alguns despejos de memória de diferentes cargas ofuscadas, e após ser descompactado e analisado, concluímos que a carga final contém o malware Nanocore RAT , como pode ser lido no nome do projeto.

TIPO	INDICADOR	NOMBRE	DESCRIPCIÓN
`SHA256`	`0aa87ed22e193e1c6aa9944cf1b9e88ec4ae6a5b3f975e3fb72c0f5b06b864f2`	`1349628.eml`	Correo electrónico con un archivo malicioso adjunto
`SHA256`	`51B0165FBA9CF8E0B7BFEBDC33E083ECC44D37CDBB15B5159B88B71E52B0255B`	`cdc.pdf.iso`	Archivo comprimido que contiene malware
`SHA256`	`d5d3cf535b3313077956d5708225cf8029b039ed0652ee670ce25ea80d2b00c0`	`Cdc.exe`	Archivo .NET PE empaquetado que contiene el malware RoboSky atribuido al Grupo Vendetta
`SHA256`	`19B5353BF8A69A64536C865A4890B69EE1DCD59445968E1CFD94C62E1A97B11E`	`Cdc.exe_unpacked.exe`	Archivo .NET PE no empaquetado .NET que contiene el malware Nanocore malware
`IP`	`172.111.188.199`		C2C

Links com o grupo Vendetta

O anexo malicioso foi atribuído ao grupo Vingança devido aos seguintes fatores:

A árvore de ataque observada no grupo Vendetta é sempre baseada no mesmo padrão:
- A alta qualidade do processamento de e-mail de phishing
- Malware .NET RoboSki como o primeiro estágio do malware
- Rezer0 Malware Memory Watch
- Rezer0 despeja a próxima etapa do ataque na memória, neste caso Nanocore RAT
IP C2C: 172.111.188.199 usado anteriormente por este grupo.
O caminho Pdb contém um nome de usuário chamado Vendetta

Recursos comuns nas amostras usadas por este grupo. O projeto CxFlatUI , que pode ser encontrado no GitHub e pertence ao usuário » HuJinguang «, é usado pelo grupo Vendetta como base de código para criar suas ameaças.

Como resultado do uso do projeto CxFlatUI como base de código, os metadados EXIF com os valores CompanyName e FileDescription correspondem a outras amostras neste grupo:

Análise do banco de dados genético do malware Intezer : foi identificado nos genes e cadeias da amostra analisada pertencentes ao grupo Vendetta.

Ao executar a fase dinâmica por CompanyName, ProductDescription, a carga extraída da memória, etc. Foram detectadas 134 amostras que poderiam estar diretamente relacionadas à vingança. O grupo os usou inicialmente (eles foram vistos pela primeira vez) durante o período entre 3 e 9 de maio de 2020.

As ferramentas usadas pelo grupo Vendetta são, por exemplo, Nanocore RAT , AgentTesla , Remcos e Formbook , ReZer0 . Também estão incluídos nesta lista o Azolurt , o Warzone RAT (Ave Maria) ou o Hawkeye e também, até certo ponto, amostras genéricas de malware. Eles usam diferentes empacotadores manuais conhecidas como ConfuserEx , Eazfuscator , IntelliLock ou iLProtector .

A imagem a seguir mostra o gráfico resultante da análise genética das 134 amostras relacionadas à Vendetta. Podemos ver como esse grupo usa os diferentes tipos de RATS que identificamos como pertencentes ao arsenal da Vendetta.

Encontramos um exemplo que não segue o padrão usual, pois não é um executável compilado com o executável PE32 para MS Windows .Net. Em vez disso, encontramos um MZ para MS-DOS. O idioma detectado nos recursos desse binário inclui o inglês do Reino Unido e o inglês dos Estados Unidos, quando esse valor geralmente é neutro nas amostras analisadas no .NET.

Quando se trata do certificado, há uma cadeia de certificados, mas termina em um certificado raiz não confiável.

TIPO	INDICADOR	NOMBRE	DESCRIPCIÓN
`SHA256`	`080ff06496d8b6b5e6307059e378ed7052e381a6f130d89385c778edf32ae996`	`Vdnoenr.exe`	Predator the Thief
`SHA256`	`9fbb3df3c9b58626be3f9e66e8b4abd811a8069839374ade15cc405eb3b4d816`	`sr3S0CjtBE.exe`	Vdnoenr.exe no empaquetado
`MUTEX`	`cjF0OHM0`		Mutex creado
`MUTEX`	`IESQMMUTEX_0_208`		Mutex creado
`DOMAINS`	`bbc-news-uk1.space`		Resolución de DNS

Também encontramos cadeias de texto relacionadas ao AutoIt , uma tendência amplamente usada para criar o conta-gotas inicial devido às suas características de evasão de antivírus.

“O AutoIt suporta as convenções de chamada __stdcall (WINAPI) e __cdecl. A convenção __stdcall (WINAPI) é usada por padrão, mas __cdecl pode ser usada. Consulte a documentação do DllCall () para obter detalhes sobre como alterar a convenção de chamada.”

"O AutoIt detectou que a pilha está corrompida."

Uma vez analisados, vemos que ele foi empacotado com o mpress_packer 2.19, que contém uma grande quantidade de código do malware Predator the Thief , um infostealer comercial altamente versátil (malware de roubo de informações), tanto pelo grande número de recursos quanto pelo design modular. .

Conclusões

Após a análise das comunicações feitas pelos 134 binários relacionados, foram obtidos vários indicadores de comprometimento pertencentes à infraestrutura maliciosa do grupo Vendetta. A lista completa desses indicadores encontra-se no anexo 1.

Após a análise, podemos concluir que o grupo Vendetta se destaca, não tanto pelo uso de peças muito novas de malware (já que geralmente trabalham com produtos comerciais do mercado de malware ), mas pela ênfase especial que eles colocam no reconhecimento e preparação. Eles selecionam alvos para campanhas específicas, não se concentram na distribuição em massa e deixam o contexto usado, neste caso, causado pelo Covid-19, a seu favor.

Eles preparam e-mails com grande atenção aos detalhes, tanto visual quanto de conteúdo, usando diferentes idiomas e com um tom de urgência e autoridade que, sem dúvida, aumentam as chances de sucesso de tais ataques

Anexo 1: IOCs relacionadas com o Grupo Vendetta

bcaf5698e3d5291c284e0ea40deec27e69c4942049f1c90a4e334e066485dfa9

b2bccd13743ac9153a8b731af82d6b19fa7395dd16596a3b5f783f1092419c3a

92632fa88b730e2593837c7d51884384dcf8c887fd4b8d3cc6741d12ae9cd347

c068b1a7379f95ee883cd4ed9639bb2b28c380934f3bc0e0c7be97ad808c7b8a

147e92a20eaa350aef112cd3110af132aa9667af4e8eb90d345d4b7da8cea95c

b26960e8083466e40ebbfcc6dfe93c4080a516d6260e1a2900ce7649fc44442e

c315112980543e9046f7b3167586d3a5ba25734aac85679542adaca7867f3ef7

713c780c42db40b3456b797e578c889f19a915441a428277aaa8235dfecd0142

20eb672944019e3a3520f9c3bac67acbfff3700fa27aec05bfe96129a77b6437

bbf20efcdbae1950b49b4f121f17baee19a5d638983e96a954bd6e602fb35b16

0f525a06128b217d0081ee6d81a2d2fe04e9ecd20cf0e0fa7c99aaa9ed83154d

f4f76522a5a1a8f056d53bfea97293f503b6bc703cf37ff60dd8b47f47ecaaaa

dcaf6aed333996a431610306d24a90e7bb27035cdeb93901c1e1b00626877e78

736d65eea1acec603391ea9dc50b880c83a1ef4de69cdc6649e79dab9eeea392

12025c0f03e21ce62c476f6d5a95d3de80ef8ad59fc3a552550d0c9e927458e4

42e7b0bc64037556ec415d6f869b09205a85d746550ad196c07d4be7ae739155

2fdeeae131f4bc6dd0fb7e2ebdcc379fadf314203f0de0e2b1e4a90aabf20b1f

1eda6158b488a4f6635255b406b59933d4dc6877e1cac1bb85e1d9bfd9cd7f62

e4bb158234319609a3d891e08f7ae6d6deee7fac7138639a8954dae5f281eea8

90a9045fefcc8463e698c79a594247fa002b0badf6846b200eef6a8bf47ca53d

170914b423f415bdf562a5ee3eff48808d4b0731013bcdf870bfdf2bcded8caa

8e9d9d8dfe961ede4406310aefed0eab63e52f29ad2c557eed012e298e644a43

e67f30ee8be83b021b5ba3ebe65e610fc1a50ce3f3cb1c081f62ada165d84186

7f84806700f99b46ccda77e5a87922e88cb5bf5694624455cc040324524a6f86

6e53e6f7bd88850c3771be189fb16601e0f2bcbf6f80a7baa7990bbc77e28491

d65c09f664bfd72f66e988c6a83bb29f94ab3c22968f76977f3d30500848f621

3e7e66fbf0442436122d17de23a4ff3b217edd9111c97eec4e05e22b2fe72046

123d231401b30d6f5ea191832456133eba46c1d77ac5717ee4a3abe050f1664b

cd41beb4d2b564bf1a91656755247e37487c7dd24d22cae84c9de2428535c7c0

9a09ddc92cdd2f9ef6f019b075c62ea781778ac50850b5c79dc9f5a000a2da8b

148cadfe967abcc303b8deecbbb030efd3ee9b49424246b8975f8f7e54ae2c36

f37fbb193f6ba57d318e7f5333fa7870282de9b3322e024c65d89977d2ec594c

0360c343788f8fe1ec3e57514ee4ced37503c9271741ce3688afe5086135f8f0

7e9657bb8f4920565b2cbdc1add6d78026fc4e8047632ba077463e5991e105ee

60ad4364f4a6c17082d929b810116a71e6730ed7ad0ca750624976b043f04499

4203720a4d4d988958a592e89d937e987e95fe7d8b7417a70d88ff62c5dbd77b

e64c94e34a8b4174fe920c0968019f46574d172bc270a424d66a80295694a7d7

060a16518824101a132d9816abde0b03fec08b29beb9415c217ec0e1f2cf7793

20edc5b15578c2714fd64a6577a5bd1fbbb13434dc2e900e3b7c568537206050

0eb506623215bfd28e3f1b9f7f34b0fc254b0a2fe8a91f5cd0a62f26bd739169

1a1025e072db46f1c469e3d9758147a97a57bc33da3ab2c0e2d93c52759176bf

73521003fe09aecd04a3b01d252a3c49037c35c188c8a19624fe6367a6f2cc00

539900a999853a6783c7e700987248efd3307604d5ca3cc4bdc3e69cf3489e06

8fae14da82a6d0df4b14d205e91bb068cb57c79c8267b8a50fc12a07da395b50

0b44ede8d91f14918ec469990ff81f496d85fed73b744f317928f1bfb92463d1

766f2988c9aae96c380e1628fefdd981c84ce9cf7fbbdd8dc03c365377443c2c

286add28a79440668077a7d762ee81ee169f1c08daa27bc680dbf8c8832d2785

d5f347be26d404ab0fb1ea2eb8b2d4d3fd308306952129c871e03bd916818c8d

e30672336261f66449f9e3e1f7e4fd6ba381e6046cdb5c9ba0088c576aca5176

1d748a0cc73a641e1d10a372a2f47901527f759cbe540109068323315a2f63c0

d5d3cf535b3313077956d5708225cf8029b039ed0652ee670ce25ea80d2b00c0

219760dead477932b0a969b38ecc8d7ee41b2da4de72f32700f905cd705c340f

f4ad5a582c73b80900d35c87421f1d6076cd4fe994b65417223aedaab76b806e

2f9b92ba539de2cd1fdd35725fb144f72e4809d9c43dd79a6e2fb403ea07001c

774cabba771d38532276d09fea65d562a9eac297737d74e937695877d21f1958

5a67dee45b2e60de47e22739c8be8614f31cdb4acbaf554f37d06ea41ddd8762

97b8bdb2c3d831301d68b883fea274703bd497462caa192f6a09130a0f42d10c

201aab86deb0b609b895f6934d5a87b56384cdf01dbfce5e5bb2e970f91bb919

4e59193170ad7a1da7d91bea0028bb8107a3a305cd91a353822e23924ceda25b

2a07d219f5444c0bdf0942f2157f623efc400dcba8594d3eafa2f5dc0fd5836b

5521ef291f90c10acfd6e796a6ad2cb099a14da80bd09c6e8ffe0710c8eb547c

f57374520bfbf5f5afbbfe8c8cf762f95e05cf050fe959d731d49b77f4776cba

e2d6119bb484c9e5f5a7107b4687553416208badbb881df4328bec5146d08509

0598b4ce2460676755245bad49490a9c94ae85a074c2242adfa65c52b0ad3796

3eeedb9932e7f8b09dfb11dd48a50cb473ec777e1c7d0cf1ce6c21623e86549a

d6a03be138abc31b13e2c70092dfd8ee73e59a52c5881fe2ac477f9c9cec539e

e16ba0ace7b0abc8bf1cd0d89ecb591ce94210cb2192196a756fe1c554e03d62

705e6b3291082ab445e179e9e65464f3d7809f266ca5644707f67b59c531ab43

3996059fe34930b9d9f584bda6d7e784a2295ae3d988255e97857b9928b5c955

424ffe0e02a6f89682d55c7e051538705a067dbb87ad5daa9379ac70593da268

016b1bc90d2a25f17ae03f0a29bf8297dfd33fd718e02e318f4a64d192fceb60

5de3d93e65bc78582772de69a6663ccef69fa056f9cf7fe44cd3011d03104b59

af9ff2feb141ada2c8ca807fb12326dcb0d377d372d13955c33ca6aef378b387

d3ccfc7eefe685bc703f2975cde7560c851f7e28f8fac127baf54b24ede4ca91

199528b69b42d1af70f525973be5e53bcd16c19b39a117cfaa27ba1a515723f8

b3347d03d6ab008c67cb3c819b545ea82fd5d0eb8e92050af7daebb35c803ad4

5a0e68a086ea94b7601121e52f03bb29faab5d1da95ced80a11218034e8d2944

01c7dd686988aded4a1730159eaaa2f4ecfb9f53dc93a3f9ba0503b7698aa454

2ae8f7e54b2c1568faa2071facfbab5f1f66e77cca38fd755c66c56f048abab3

7f98aba8439fcc1f2b54cbb1a12f1a8f4752d65e0fb8ee7fbdd206e2f0db5b99

6c22a397528ff1fe394044d94134af1d81ab8ef5ce82dd65283586ac6d9319c0

d79ff402299dcf2d71c104beb763f0e3893eb857622cc07d8969aa08541950f9

15b7b01be91b632db911f41473c68e5d3d1e705f1738214aa2827b8f6b060b87

cf27ba547b3b778e771324406fd4e95b992a1664826d179cf7af0d4f8dd1bc0a

43ca549fc5b4e817a872ea9d53f1a17949a7a2d80d67a2b2f37907b021da818b

a563a898ce1c8dcac374ef8a468e39a185ca3b010f1a41b60731a7beac23f846

4c886afcf091e440b12ade502e4b8dcd2e9995cb2c10d7c0f8fd16e736d6fca6

2e268914ba79bc7c7ac43a39b6dc463d56e32f6e43ff8cfb4aa19e43aefd8ffb

3363075fd1a09ada8858a47b099c702028f26705c5967633ee92f341817db3b3

14e7b4f4f4e98ecb3aad0e67857b3fbbca1d314ecdaa0b1aab122e1d97954977

eddcaacc8947b326dd6998c90175846c76375ee953074668354ac72dba27ffdf

f9155082e1d12e318287a25bb73036feab7c75b7f0c3c1c30f457cbecaf9763a

388b67c9e243a4156343e3f2c6b640df04f1803a2eed2b66ff88ee698e348880

44e50aaa49e93786e5e228983b0b1daddf8ad88baacc627e7667ea749d64cdfe

5b6b8e78568b828610d9d85128e14e34938614f7fc2885569995834678da14b2

fe376b2372b224037d4ab183527213a3731e8a141a74cbdabd1c00eb52da6323

cd9b154f848a6f37a110de136034cbf5190600da5687bb6259f19addf2e2759a

82d3edc9ad7ba25feca5ef08641b0f030d92faa5dec17f3148e062b727a0240c

b590b1181625df5cc62b8716449c07faf158411381babca4d22988c5d852aafa

bacaaa40e0f3b6cba3fc498dfbd6f2d198a767453cd8513acdbafa9fefaeed2a

c1b451ce8ae3ab62b5cdfd52793c5cf4e57efbc39012c4139d1b8958b202f6d1

895225b53f54d122a60d52a692acfe09a4fb64fbc2bea01746d2ec3f12e3a564

0627b6c0e68d720dbeafde9231c6a2a1652a7c6e1d7b8816fc8c829e793c0847

26ff94fc13fe6281062a8b36abed5e25e350dd441a31b8acc910292fd67c4805

6ff9969b0b9d452a37be71de3c3cb1773a4ce604068bdb715ee3f2742d0e3898

67669c698454edaee7a64ddeb26eea619e2946939a4d71b5299b9fef7c4252a1

f3eb876bdd52d2f6fb8a8dfe28fcff50129a1fd88f76b3e99c500357c36ff862

bb8510a80af2965bdca1fdb2218ebfaa2a72402c0b767c3fde6b7807baa647b5

0756d1e1046fc633cd6796b320ba230db24e73c238c7ceb4dd20096ff366502b

246366b847f40185b79d4b7dccd159a0ea49b16043baa6c2898ad6dc88fcf0a0

4e4b0f2b45295ae88dc7cd1e2846788f54a22905bf6cf289519f609e41dda2a4

eceba2e6a2c1be781eaa0dd185fae4061a47c5cda10934672723f9ce06332ff4

7b5e89ca46752ad31a046d9b1ef6ab2ceb8289e1dcf8c68556df0a2b27f8acb1

230768a8b1c1a0f8ee13a9d91a67742f3c0dac9d1bb5218a59362b6ddfd07284

5456f58b7112cbc0cccb10f8da3b6edb96712a08dfc09729aad2f60bd62be4fc

28240d3260b1ea8df33747d3d6c9be6685f83dbc4c40d6c90b2622054dd79b4b

38540db35f6786084fa896cb52297141625d5e8da335e8b539fda1683cda5f86

a9d9dd9c8a720a43790c0218adfc255ef41a3b5f1be8b1e0d0e9931a24225493

47dcbf01785cbe9d614186a2fa97706470ef31008ce7d09f2bbcae8d96c073f0

2656b3ff415a282bab5d844689e62e93e2f6ff089529bda9377bbb58cce17880

59674d38de995cca06bb45e523d6c080eae1d717ec632932d28c0dd648b1086d

d3db87b88e8b020f212e9707d8efb3888eccf436fd30658966e6db0e90e46f04

7dac4a54cfc927b195a3b35b031b7653622dc95706324122e39c6ed1f1767259

0245bb4c69fc027f53b3f5c41ed13a515a81c9b0bb12700df6688554ce248d70

d4d23638d8c40ac1f052c82c4302aa3403378afdb65cab1bc582396c2ae7757a

32ae82bfe98d50ecd5d6a7267854c8e09f353c980d4bd526de6128202b884cb2

080ff06496d8b6b5e6307059e378ed7052e381a6f130d89385c778edf32ae996

4791a5bcad2a0ea8e525bf24dc5c480ead507f0a888b31134fc26799167a2f94

1745870e72b522d26907dd2a6b9005804bf5aa390df6cc9cac32d3cd1d118cfc

795f59666238d3e1d5ae55f2f43b4b85e040488444865f23f3d3d43b26451203

1cadbfc60a4a24b71e3024cec9bcb7a451f6dc2ac61f714e060925e927e41d2d

1c964f7b4a1f588cab0f3a68eb987905b9d5b4d3121db07af0e26b291db6f1b7

0513703f3cdd9baff067432764336311825131de68252c8e20392e08e55c15f7

CapaciCard agora funciona no iPhoneRipple20: Internet quebrou novamente

CapaciCard agora funciona no iPhone

Área de Inovação e Laboratório ElevenPaths 6 julio, 2020

Continuamos a desenvolver o CapaciCard para funcionar no iPhone , uma funcionalidade que expande sua utilidade, pois até agora só podia ser usada no Android. O CapaciCard é um projeto na área de ElevenPaths Innovation and Laboratory que suscitou o interesse de várias áreas de logística, tanto da Telefónica quanto de outras empresas externas.

Como antes, o CapaciCard permite autenticação em qualquer plataforma sem a necessidade de integrações complexas.

O que é o CapaciCard

É uma tecnologia proprietária de identificação e autorização proprietária destinada a permitir a autenticação e / ou autorização de qualquer operação em um sistema de computador. Você pode imaginar se autenticar ou autorizar um pagamento simplesmente passando um cartão de plástico na tela do seu celular (sem NFC ou hardware específico)? Você pode imaginar fazendo o mesmo colocando o mesmo cartão no touchpad do laptop?

Com esta atualização, o Capacicard agora pode ser usado no Android e iOS, sem esquecer que também pode ser usado no touchpad do laptop e, é claro, em beacons IoT dedicados, como o nosso iDoT .

Vantagem

O CapaciCard permite a autenticação, identificação ou autorização de usuários, aproveitando as características capacitivas inerentes às telas multitoque que quase todos os telefones celulares e touchpads disponíveis no mercado possuem. Nenhum hardware adicional, Bluetooth, NFC ou qualquer tipo de conexão é necessário, apenas um cartão.

Pode ser usado no touchpad do laptop.

Econômico : o CapaciCard é um cartão com alguns pontos capacitivos invisíveis que formam um gráfico exclusivo para cada usuário. Qualquer tela capacitiva (como um telefone celular ou um touchpad de laptop) pode lê-los.
Serviços diferentes no mesmo dispositivo: o CapaciCard permite provisões diferentes, portanto, com um único cartão, é possível autenticar com diferentes fornecedores. A web só precisa ser modificada para tirar proveito dessa tecnologia, como geralmente é feito para incorporar qualquer provedor de identidade.
Emparelhado com o dispositivo: esqueça os cartões de coordenadas e as senhas, o CapaciCard é simples e fácil de usar. Não tenha medo de perder o cartão: um simples emparelhamento prévio com os dispositivos mais comuns nos quais você o usa impede que ele seja usado por terceiros.

Mais informações em https://capacicard.e-paths.com

Laboratório ElevenPaths e Área de Inovação

O setor de varejo farmacêutico e seus aplicativos móveisO grupo Vendetta e os e-mails de phishing COVID-19

O setor de varejo farmacêutico e seus aplicativos móveis

Carlos Ávila 2 julio, 2020

O setor de varejo farmacêutico foi forçado a avançar muito mais rapidamente nesta corrida da chamada «transformação digital», devido à pandemia global que a sociedade está enfrentando atualmente. Portanto, as empresas farmacêuticas tiveram que usar aplicativos que já foram implantados ou para implantar rapidamente aplicativos. Esses aplicativos são os mesmos que movem sua empresa para gerenciar prescrições e pedidos de medicamentos, descontos etc. e que tornam atrativa a utilização de seus serviços nesses tempos de alta demanda por medicamentos.

Por outro lado, muitos governos no mundo estabeleceram a quarentena obrigatória, o que levou as pessoas a usar mais a mídia digital para comprar remédios, alimentos e outros produtos. Por esse motivo, os aplicativos móveis e a infraestrutura que os suporta desempenham um papel fundamental hoje, e é mais provável que eles incorporem nossa vida diária mais do que nunca.

Que implicações isso tem?

Todos os dados gerados pelos clientes são gerenciados pelo seu dispositivo móvel e pela infraestrutura tecnológica (própria ou de terceiros) das empresas ou cadeias farmacêuticas. Como esperado, esses aplicativos podem ter vulnerabilidades e representar um risco para os dados do cliente.

Muitos desses aplicativos têm comunicação direta com dispositivos e sistemas da empresa que executam processos internos, criando um vetor de ataque adicional para os cibercriminosos que buscam esse tipo de informação.

Imagem 1: Descrição e funcionalidades de aplicações farmacêuticas

Nesta análise, selecionei a versão mais recente de 29 aplicativos (iOS / Android) de empresas farmacêuticas nas quais o usuário pode acessar vários serviços, dentre os quais os mais importantes são a compra on-line de medicamentos e o gerenciamento de prescrições médicas. As aplicações foram selecionadas aleatoriamente em empresas farmacêuticas na América do Sul, Espanha e Estados Unidos.

Nessa amostra de aplicativos, focamos em analisar apenas o aplicativo móvel, pois, embora os pontos fracos tenham sido descobertos no lado do servidor ( back-end ), eles não foram incluídos.

Para esta revisão, usamos um dispositivo Android (roteado), um iPhone 5S ( no jailbreak ) e nossas plataformas mASAPP (análise contínua da segurança de aplicativos móveis) e Tacyt (ferramenta de inteligência cibernética para ameaças móveis) .

Resultados da análise

Os 10 principais controles de segurança móvel da OWASP realizaram testes gerais, que representam apenas uma visão geral da quantidade de testes abrangentes que poderiam ser feitos em tais aplicativos móveis.

No nosso caso, os resultados mostraram que, embora controles de segurança tenham sido implementados para o desenvolvimento desse tipo de aplicativo, foram encontradas várias fraquezas que devem ser corrigidas e, acima de tudo, manter a melhoria contínua no processo de desenvolvimento . As vulnerabilidades encontradas de acordo com os controles avaliados são encontradas na seguinte matriz de resumo:

Resumo geral dos resultados analisados controles
(-) Característica que se aplica apenas às plataformas Android

Antes de tudo, queremos destacar vários pontos fracos que encontramos em estruturas facilmente legíveis, como arquivos XML, chaves de API ou arquivos de configuração, o que indica armazenamento local inseguro.

Imagem 2: Arquivos de certificado / chave *codificada*

Figura 3: Arquivos com API Keys hardcoded legibles — Figura 3: Arquivos com *API Keys hardcoded legibles*

Embora uma grande parte desses aplicativos estabeleça canais de comunicação segura (HTTPS) com seus back-end , alguns canais HTTP não criptografados continuam funcionando, como mostra a tabela de resultados. Também encontramos aplicativos que não verificam a autenticidade de seus certificados, o que mostra a necessidade de melhorar a segurança nesse sentido.

Imagem 4: Uso de certificados auto assinados

Além disso, entre outras práticas inseguras de programação de aplicativos , observamos a falta de recursos de ofuscação de código (despersonalização) para impedir o processo de reversing em quase todos os aplicativos Android.

Imagem 5: Revisão das classes java após o processo de reversing

Figura 6: Documentação e comentários técnicos em detalhes

Um fato não menos importante nesta análise é que cinco dos aplicativos foram encontrados pela Tacyt em mercados não oficiais , em muitos casos implantados por usuários que não eram necessariamente os proprietários do aplicativo (para que finalidade).

Imagem 7: Amostra de um aplicativo encontrado em outros mercados não oficiais

Conclusões

Acreditamos que essas descobertas continuam sendo uma contribuição adicional ao progresso em direção a uma melhor segurança e esperamos que sirva para ajudar os desenvolvedores de aplicativos no setor farmacêutico.

Nesta crise de saúde global, houve muitos outros casos em que as indústrias tiveram que transformar muitos de seus serviços tradicionais em serviços digitais, mas de forma abrupta, com os riscos que isso implica para os computadores.

É essencial gerenciar a segurança e a privacidade dos usuários de dados de aplicativos farmacêuticos, pois eles armazenam dados particulares sobre nossa saúde. É importante que as empresas deste setor estejam cientes de que os dados de seus clientes estão expostos a riscos de computadores e que, por meio de controles adequados e avaliações constantes , eles devem protegê-los, mantendo também sua infraestrutura tecnológica protegida contra possíveis ameaças cibernéticas

Carlos Ávila
@badboy_nt

Procurando serviços de MDR? Cuidado, nem todos são iguaisCapaciCard agora funciona no iPhone

Procurando serviços de MDR? Cuidado, nem todos são iguais

Nikolaos Tsouroulas 1 julio, 2020

Você está gastando mais do que pode pagar em seu SOC, mas ainda não detectando e respondendo rapidamente o suficiente para incidentes? Você sofreu um incidente e precisa melhorar rapidamente as operações de segurança antes que a próxima chegue? Você está confuso com as centenas de produtos e siglas que o mercado oferece todos os dias e está apenas procurando um parceiro MDR para confiar para ajudá-lo a criar uma solução sob medida para você?

Isto é o que fazemos na ElevenPaths, empresa de Cybersegurança de Telefónica. Acreditamos que todas as organizações devem ser capazes de confiar em operações de segurança modernas focadas em:

Detecção subsequente de vulnerabilidades de endpoint e de rede, de posterior de vulnerabilidades com base em visibilidade total e técnicas comportamentais. comportamento.
Inteligência de ameaças para detectar melhor novas ameaças e orientar a preparação e a resposta.
Análise avançada de todas as fontes disponíveis na organização para adicionar uma camada de detecção avançada adicional que une todos os vetores de ameaça.
Campanhas de detecção proativa para garantir que nada seja nada escape.
Um programa de resposta a incidentes e gerenciamento de crises com todas as habilidades necessárias disponíveis no momento em que o dia chegar quando for necessário implementá-lo.
Escalabilidade e automação para reduzir custos.

Tudo o que você precisa saber sobre o mercado de Detecção e Resposta Gerenciada (MDR)

Acreditamos que, assim como não há tamanho universal para todos, nem todos os MDR oferecem o mesmo. Para ajudar ainda mais nossos clientes a entender o que procurar em um programa e parceiro de MDR, trabalhamos com a Harden Stance e os principais provedores de MSSP e MDR para elaborar um relatório que examine o mercado de de MDR e enfatize todos os aspectos importantes que um cliente que busca melhorar seus recursos de detecção e resposta deve considerar antes de se envolver com um fornecedor.

Você pode encontrar o relatório completo cortesia de ElevenPaths aqui. Se você tiver alguma dúvida ou comentário, você pode entrar em contato conosco aqui.

O que o ElevenPaths pode oferecer como provedor ou parceiro de MDR?

Nossos principais componentes são:

Laboratório MDR (detecção e resposta)
- Nossa equipe de especialistas em ameaças avalia as tecnologias dos principais fabricantes (por exemplo, EDR, NTA, TIP, Intelligence Feeds,Advanced Analytics Platforms, etc.) para fornecer serviços de consultoria com base nas necessidades e requisitos técnicos das organizações.
Serviços gerenciados em tecnologias e plataformas
- A ElevenPaths oferece serviços gerenciados sob medida ou sob medida para essas tecnologias e plataformas. Gestão e investigação de alertas edr ou integração deICs e gerenciamento de plataformas TIP para a aplicação de inteligência de ameaças.
Smart SOC (iMSSP)
- Os recursos tradicionais do MSSP se fundem com os recursos sofisticados dos serviços de MDR para que o cliente possa terceirizar recursos avançados el de de monitoramento,detecção,pesquisa e resposta para o i-SOC ElevenPaths.

AMSIext, nossa extensão que detecta malware na memória do navegadorO setor de varejo farmacêutico e seus aplicativos móveis

AMSIext, nossa extensão que detecta malware na memória do navegador

Área de Inovação e Laboratório ElevenPaths 1 julio, 2020

Anti-malware (AMSI) procura resolver um problema ao longo da vida no setor da indústria de antivírus. Foi introduzido no Windows 10 e procura estabelecer um canal de comunicação nativo entre o sistema operacional e o antivírus sem a necessidade de tocar em um disco, fazer chamadas de I/O, etc. Ou seja, conectar a memória a um sistema de detecção de maneira simples. Isso é ideal para as chamadas de scripts que avaliam e reconstroem sua carga maliciosa na memória, mas não são detectadas no disco. Portanto, a Microsoft já conecta o Powershell e o Office ao AMSI, para que a memória desses processos seja analisada. Mas e os navegadores? Esta extensão corrige.

A evolução do malware

No início, era o vírus: trechos de código de montagem que eram concatenados para arquivos, modificando seu ponto de entrada, mais tarde, essa técnica foi distorcida e aprimorada até seus limites, buscando a execução, reprodução automática, a independência de um «convidado» (o malware há muito tempo é independente ) e passando despercebido pelo radar do antivírus.

«Tocar em disco» parece ser a premissa de infectar, mas também uma condenação, porque é quando os scanners antivírus começam a ser analisados. Se o malware conseguisse evitar esse pedágio, eles poderiam escapar dos detectores. Essa técnica foi denominada sem arquivo e procurava uma fórmula etérea na qual permanecer na memória o máximo possível, evitando tocar no disco ou atrasá-lo ao máximo, sem aterrissar no disco, que é rigidamente controlado pelo antivírus. O arquivo sem arquivo foi aperfeiçoado a tal ponto que já existe uma fórmula nativa do Windows para mitigá-lo o máximo possível. O AMSI é um sistema que facilita a conexão de qualquer fluxo de informações na memória com o antivírus.

Como o AMSIext funciona

Nossa extensão conecta o navegador à AMSI, transmite ao sistema AMSI (estático) todos os scripts em potencial que passam pelo navegador antes de atingirem o disco e os analisa para interromper a navegação, se necessário. Funciona de duas maneiras:

Se detectar páginas ou arquivos com as extensões «js», «ps1», «vbs», «hta», «vb», «vbe», «bat», «cmd», «jse», «wsf», «ws «,» Msh «,» msh1 «,» msh2 «,» mshxml «,» msh1xml «e» msh2xml «no navegador, ou mesmo uma única página apontando para eles, bloquearão a web. Isso evita que o script precise tocar no disco para ser detectado pelo antivírus tradicional.
Adicione uma opção de clique com o botão direito do mouse para enviar rapidamente qualquer script para o ASMI.

Depois que o enviamos para a AMSI, geralmente é o Windows Defender (embora outros antivírus possam estar associados a ele) que fica encarregado de avaliar a maldade do script. A extensão não é avaliada por si só, serve apenas como uma interface entre o navegador e a AMSI, que por sua vez a envia para o Windows Defender.

Em resumo, é uma fórmula muito simples para se proteger contra scripts maliciosos muito mais cedo do que o habitual. O sistema, caso o Windows Defender esteja errado, tem a possibilidade de criar uma lista branca de domínios.

Este vídeo esclarece como funciona:

O AMSIext está disponível para Chrome e Firefox e está na versão beta (com muitas melhorias em potencial, incluindo o logotipo) e iremos atualizá-lo no futuro.

Esperamos que ache isso útil.

Decepticons vs. Covid-19: a batalha definitivaProcurando serviços de MDR? Cuidado, nem todos são iguais