GSMA’S Mobile Connect available to 2 billion consumers globally

ElevenPaths    3 marzo, 2016

Mobile Connect Launched with 34 Operators in 21 Countries Around the World

Barcelona: The GSMA today announced that the GSMA Mobile Connect mobile-based authentication solution is now available to 2 billion consumers globally. Since the solution was introduced at Mobile World Congress 2014, 34 mobile network operators (MNOs) have launched the service in 21 countries, with plans for additional launches and trials to follow in 2016 and beyond. Operators offering services based on Mobile Connect include América Móvil, Axiata Group (Bangladesh, Indonesia, Sri Lanka), China Mobile, China Mobile Pakistan (Zong), China Telecom, China Unicom, DNA, Elisa, Globe Telecom, Indosat Ooredoo, Mobilink, Mobitel, Orange (Egypt, France, Morocco, Spain), Sunrise, Swisscom (Switzerland), Telefónica Group (Argentina, Mexico, Peru, Spain), Telenor Group (Bangladesh, Malaysia, Myanmar, Pakistan, Thailand), TeliaSonera (Finland), Telkomsel, Telstra, TIM and Turkcell (Turkey).

“Over the past two years, the industry has come together to simplify consumers’ lives by offering a single, trusted, mobile phone-based authentication solution that respects online privacy and helps to mitigate the vulnerability of online passwords,” said Mats Granryd, Director General, GSMA. “As Mobile Connect is rolled out globally, mobile operators are fulfilling an important role in the digital identity space, giving users control over their own data and enabling consumers, businesses and governments alike to interact and access online services in a convenient, private, and trusted environment.”

The GSMA’s Mobile Connect solution enables customers to create and manage a digital universal identity via a single log-in solution. The service securely authenticates users, enabling them to digitally confirm their identity and their credentials and grant safe online access to mobile and digital services such as e-commerce, banking, health and digital entertainment, and e-government, via their mobile phones. It works by employing the user’s unique mobile number, combined with a unique PIN for more secure use cases, to verify and grant online access anywhere they see the Mobile Connect logo. All operators and online service providers using Mobile Connect have signed up to the GSMA Mobile Connect privacy principles, which is a core pillar of Mobile Connect.

Additional Deployments and Evolution of Mobile Connect
The GSMA is working closely with operators globally to further extend the adoption of Mobile Connect; operators committed to deliver the service this year include Aircel, AIS Thailand, Bharti Airtel (India), Etisalat (Pakistan, United Arab Emirates), Idea Cellular Ltd, MTN, Ooredoo (Algeria, Myanmar), Orange (Jordan, Poland), SMART Axiata – Cambodia, Smart Communications, Inc., Tata Teleservices, Telefónica Group (Brazil, Colombia, Ecuador, Uruguay), Telenor (India), T-Mobile Poland and Vodafone (India, Spain). Mobile Connect has also been trialled in two EU Member States, Finland and Spain, to establish proof-of-concept for cross-border authentication of e-government services and online interactions between businesses, citizens and public authorities.

While initially focused on secure and convenient log-in to digital services, Mobile Connect is evolving to deliver secure authorisation of digital transactions and to add context and attributes about the user and the transaction to increase convenience, trust and security for users and online service providers, while respecting users’ privacy. This is currently being trialled in the UK by O2 and Vodafone.

Expanding Mobile Connect Services
Mobile Connect is now in commercial use by a wide range of digital service providers in the launch markets including BDTickets, Bloodlink, Cipika Play, CriticaLink, Dhaka Pixel Ltd., GoGhoom, Homeshopping.pk, LangitMusik, migme, Mudah, Rozee.pk, TakeMeTour.com (Thailand), Wavoo, WOW and Wunn Zin Bookstore. These companies comprise a range of vertical services such as commerce, finance and banking, government service access, health services, and media and entertainment.

Technology suppliers such as Apigee, Ericsson, Gemalto, Giesecke & Devrient, GMO GlobalSign Oy, MePIN/Meontrust, Morpho (Safran), Movenda, Nok Nok Labs Inc., Orange Business Services, Ping Identity and WSO2.Telco deliver the technology necessary to support Mobile Connect and to enable easy integration with the operators’ mobile networks so that users of any mobile network offering Mobile Connect can log in and authorised for any application.

» Download press release

*You may also be interested on:

For further information:
mobileconnect.elevenpaths.com

Uma visão mais detalhada de SandaS

ElevenPaths    29 febrero, 2016
SandaS é o produto que tem sido desenvolvido pela ElevenPaths para dar resposta aos desafios que enfrentam aqueles que tem responsabilidade por pela gestão da segurança lógica de uma organização.

O primeiro desafio para a gestão da segurança é detectar incidentes de segurança no menor tempo possível. As ferramentas básicas para este fim são o SIEM (Security Information e Event Management), que recolhem as informações de sistemas e de ferramentas de segurança, normalizam e correlacionam os dados para detectar incidentes. A manutenção e operação de um SIEM é uma atividade que requer atenção constante e ajuste para que seja eficaz.

SandaS CA é o módulo de SandaS que se integra com o SIEM e o complementa com:

  • Processamento da informação que recebe SIEM com um conjunto de algoritmos próprios que permitem detectar atividades que podem passar despercebidos por estes. Esses algoritmos não somente processam a informações obtida localmente, mas agrega inteligência de todos os clientes assim a partir de nossas fontes externas de segurança cibernética para maior confiabilidade na detecção.
  • Geração dos alertas correspondentes, que são injetados numa SIEM para o tratamento unificado.
  • Coleta dos alertas de SIEM tanto pela sua correlação nativa como as geradas por SandaS, para o processamento automático mediante o módulo SandaS RA.
  • Informação de dados agregados que de mostram no painel do Dashboard em forma de indicadores e métricas.

SandaS CA é normalmente instalado na mesma rede local SIEM, já que requer acesso direto a ele. Dispõe de um SDK de integração para construir conectores que permitem a integração com o SIEM, onde já estão desenvolvidos conectores para os SIEMs de AlienVault, HP ArcSight e Intel Security.

Uma vez detectado um incidente, o próximo passo é para categoriza-lo de uma forma homogênea, atribuindo uma criticidade de acordo com a definição do cliente, segundo os elementos que são afetados, notificar os atores relevantes para o tratamento e resolução e executar ações de resolução ou de remediação. Para se cobrir todo o escopo de forma automática é que foi criado o SandaS RA.

SandaS RA implementa um fluxo de processamento que coleta os alertas e notificações em geral, e, dependendo das configurações de alerta e regras atribuídos pelo usuário (um operador SOC) se atribuiu uma categoria e uma criticidade. OS alertas repetidos são agrupados, para evitar a repetição das seguintes fases sem necessidade. Na sequência se realizam os processos de notificação que são configurados para esse alerta, que podem incluir a abertura de um caso em que o sistema SOC ou de ticketing do cliente, onde há envio de e-mail com planilhas configuráveis ou alertas SMS. Também é possível fazer chamadas para ações automáticas de remediação ou resolução, como bloqueios IPs ou URLs no firewall, IPS ou proxy web do cliente, quando são geridos a partir do mesmo SOC.

SandaS RA conta com interfaces para a integração com sistemas de notificação e conectores que implementam ações de resposta. Os alertas já categorizados e caso a informação dos tickets criados para rastrear incidentes são enviadas para nossa plataforma de Segurança Global, baseado em tecnologias de Big Data com produtos como Sinfonier, nossa tecnologia para a detecção de ameaças cibernéticas baseadas no processamento de informações em tempo real, para seu armazenamento e visualização de toda essa informação relevante como para à própria operação em um portal (SandaS dashboard), que mostra em tempo real a informação relevante de segurança: alertas, incidentes, tickets, SLAs e KPIs.

Com todos estes componentes, SandaS, permite acelerar e dar visibilidade completa de gestão que realiza um SOC nas tarefas de monitoração de segurança de uma organização, se tornando o pilar para a prestação de serviços de segurança gerenciados.

Enrique Díaz
SandaS Technical Lead

traduzido por Leandro Bennaton
CSA Brazil

[PRÓXIMA PARADA] ElevenPaths na RSA Conference de São Francisco

ElevenPaths    25 febrero, 2016

A RSA Conference é um dos eventos mais importantes no panorama mundial da segurança. A conferencia realizada nos Estados Unidos segue sendo um ponto de encontro obrigatório para os responsáveis de segurança de todo o mundo e é claro que a ElevenPaths não poderia deixar de participar.

Entre os dias 29 de fevereiro a 4 de março, estaremos no Stand da Telefônica situado no Hall Norte Stand #4902. Ali, juntamente com os nossos especialistas, serão realizadas apresentações e demonstrações de nossas tecnologias incluindo a nova capacidade de análise de “pentest persistente” do Faast para IoT, a mesma capacidade que estamos demonstrando no Mobile World Congress de Barcelona. Desta maneira, Vamps y Faast, os guarda-costas da Internet das Coisas aterrissaram na RSA Conference de São Francisco juntamente com o restante de soluções da Telefônica e da ElevenPaths para o âmbito da IoT, tais como o Security Monitoring que detecta o comportamento anômalo dos dispositivos IoT baseando-se no trafego de rede, Cyber Threats com a capacidade de detectar e identificar o “modus operandi” dos cibercriminosos e as técnicas utilizadas nos ataques contra as infraestruturas de IoT.

Venha nos visitar e descubra:

  • Como garantir a segurança dos recursos de IT e IoT expostos com nossas soluções de Segurança para IoT;
  • Como verificar o que está acontecendo com todos os seus ativos nos dispositivos IoT em seu ambiente corporativo, graças ao Vamps e o Faast para IoT;
  • Como funciona o novo padrão de autenticação digital com o Mobile Connect;
  • Como utilizar um trinco, não só em sua porta, como também em sua vida digital graças ao Latch;
  • Como controlar e analisar as ameaças nos dispositivos móveis com o Tacyt;
  • Como garantir seus documentos assinados digitalmente com o SealSing.

Tome nota! De 29 de fevereiro a 04 de março estaremos na RSA Conference 2016 de São Francisco, no Stand de Telefônica (Hall Norte Stand 4902), expondo nossas últimas novidades em Segurança para IoT.

» [SAIBA MAIS EM] Conheça nossas soluções de Segurança para IoT

*También te puede interesar:

Para mais informações
elevenpaths.com

Um, dois, três… maneiras de escalação de privilégios no Windows

ElevenPaths    24 febrero, 2016
Antes do Windows Vista, a imensa maioria dos usuários no Windows utilizava o perfil de administrador para executar qualquer tarefa. O malware não precisava se preocupar com a elevação de privilégios, salvo em sistemas de empresas sob um Active Directory, por exemplo. Com o Vista se introduziu o conceito de UAC, uma espécie de usuário que tem por padrão uma espécie de dupla personalidade (usuário e administrador) e que se comporta sempre como usuário exceto quando se concedo o privilégio passando pelo UAC. A princípio os ransomware não necessitavam de privilégios para criptografar, mas agora, quando querem apagar as copias de segurança ou ser ainda mais persistentes no sistema, devem de elevar seus privilégios e assim fazem. Mas como? Existem três formas diferentes de se realizar, vejamos algumas.

É necessário esclarecer que existem “dois tipos de possíveis de elevação”. O usuário por padrão no Windows já é um administrado e, neste caso o malware ou atacante o que quer, especificamente, é enganar o UAC, isto é, evitar que apareça a solicitação de credenciais. “Elevar privilégios” da forma mais pura, se trata de conseguir que um usuário sem privilégios, consiga realizar tudo aquilo que um administrado por fazer, sem o UAC de intermediário. Às vezes é possível realizar desta forma, outras vezes o malware simula uma solicitação real, segundo sua sofisticação, tentar uma ou outra aproximação.

Um, iludindo o UAC – a forma “clássica”

O Windows Vista foi um sistema operacional falido para a Microsoft, talvez pela quantidade de mudanças em um ambiente pouco maduro para os usuários com pouca experiência. Uma das queixas mais frequentes era o uso do UAC e a continua confirmação de ações, que iriam se realizar como administrado. No Windows 7 este problema foi corrigido com a introdução do “auto elevação de privilégios” para certos programas do próprio Windows. Não se pedia confirmação para estes programas (dado que os consideravam de confiança) e assim o usuário notava menos a necessidade de interação através deste auto elevação. A final um erro pois, não tardou muito para se abrir uma porta (que segue aberta) para enganar o UAC.

Mas, o que importa que um usuário/administrador possa enganar o UAC? Ele já não é um administrador? Para que elevar? Pois por exemplo para que o malware apague suas “shadow copies” sem que o usuário se dê conta disso. Mesmo assim não são muitos os ransomware que utilizam esta técnica.

Está prova de conceito continua a ser válida.

Pouco depois liberou-se uma prova de conceito que permite aproveitar a auto elevação de certos programas (injetando-se neles), para que qualquer usuário lance um programa como administrador sem passar pelo UAC. Com maiores ou menores diferenças esta forma segue sendo válida para o Windows 8 e versões posteriores, mesmo com as melhorias realizada do UAC.

Dois, Engando o UAC – em memória

Em 2011 foi publicado um método diferente para desabilitar o UAC em memória. Quando se chama o CreateProcess desde o explorer.exe, esta chamada desencadeia outo CreateProcessInternal e que por sua vez o RtlQueryElevationFlags que decide se mostra ou não a caixa de diálogos do UAC. Em uma prova de conceito disponível, é aberto um explorer.exe que “altera como se fosse uma correção” essa função em memória com o ntdll.dll, e assim faz com sempre devolva 0, independentemente do estado do UAC. Assim nunca perguntará.

Eliminando a Caixa de diálogos do UAC em um Windows 7 totalmente atualizado.

Não funcionará se não se realiza a partir do explorer, mas esta aproximação é suficiente para o malware. Em concreto a versão 3 do cryptowall utiliza essa mesma “solução”, não só para desabilitar o UAC, como também para degradar a segurança do sistema em geral, sem que o usuário veja as caixas de diálogo.

Exemplo de um Malware real solicitando a elevação de privilégios.
É muito semelhante a uma legitima (uma solicitação real do cmd do Windows) até nos detalhes.

Três: Elevação de privilégios verdadeira, através de vulnerabilidades

Independentemente do UAC, de vez em quando, o Windows pode passar de usuário a administrador, mesmo que o usuário não pertença a este grupo. Habitualmente isto se consegue aproveitando uma vulnerabilidade. A vulnerabilidades normalmente são corrigidas e isso ocorre várias vezes ao ano. As vezes as falhas são corrigidas antes mesmo que se façam públicas e outras, são realizadas sem prévio aviso, como no caso recente “Hot Potato”. Neste caso conta com o problema de se aproveitar de várias falhas do sistema, algumas estruturais que a vai dar muito trabalho a Microsoft para solucionar.

O resto das vulnerabilidades normalmente ocorrem no kernel, surgem e desaparecem a medida que a Microsoft realiza suas correções. Para ser sincero, estas vulnerabilidades normalmente não são aproveitadas pelos malwares, e sim, em ataques realizados manualmente por auditores e pentesters.

Casos Extra: Elevação de privilégios por outras causas

Existem outros métodos, um habitual é quando um programa estabelece permissões de forma errada no sistema e um usuário pode se aproveitar para mudar o executável (ou até mesmo um serviço) e entre como SYSTEM. Isto também é habitual ocorra a cada tempo, mas é mais atribuído a um instalador ou programados que ao próprio sistema operacional, além de somente funcionar se logicamente existir o programa instalado. Sem ir muito longe, temos um exemplo recente aqui: http://x42.obscurechannel.com/?p=263

O que fazer?

Evitar o uso do UAC criando um usuário sem privilégios de verdade. Se utilizar o UAC, elevar sua segurança nos “moldes Windows Vista”. E para o restante de elevações de privilégio… aplicar os Patchs de correção e melhorar a segurança do equipamento em geral pois muitas das vulnerabilidades já estão mitigadas si se tomam as precauções previas necessárias.

Elevar a segurança da UAC. Se não ha mais remédio que utiliza-lo, uma possivel melhoria.

Sergio de los Santos

Telefônica e ElevenPaths apresentaram sua oferta de cibersegurança para a Internet das Coisas no MWC16

ElevenPaths    18 febrero, 2016

Telefônica e a ElevenPaths apresentam no Mobile World Congress 2016 a primeira tecnologia para a detectar e analisar ameaças de Segurança em IoT

No Mobile World Congress de 2016 (#MWC16) que tem início no próximo dia 22 de fevereiro, a Telefônica e a ElevenPaths apresentaram a primeira tecnologia do mercado pensada para fazer frente aos ciberataques no mundo da Internet das Coisas (IoT). Se trata de Faast, a conhecida tecnologia desenvolvida pela companhia e especializada na detecção e analise de ameaças de segurança das organizações, baseada no pentesting persistente, que inclui agora a detecção das vulnerabilidades no âmbito de IoT.

Desta forma, Faast não só se converte na primeira solução deste tipo, como também permite as empresas e organizações contar com uma solução integral de ciberseguridad que as protege de ameaças tanto para os dispositivos tradicionais conectados a seus sistemas como de outro próprio de IoT como webcams, impressoras, routers, sistemas de videoconferências ou TVs conectados a sua rede corporativa.

Com as novas funcionalidades que incorpora Faast, as companhias poderão monitorar de forma constante os dispositivos IoT da organização, graças a aplicação de técnicas de ataque reais, o que permitirá as empresas fortalecer sua rede e neutralizar estes ataques no futuro. Uma vez identificados os dispositivos, a tecnologia detecta as vulnerabilidades presentes. Falhas como debilidade no processo de autenticação ou autorização, serviços de redes inseguros ou falhas na criptografia de transporte das informações. O usuário pode gerenciar esta e outras vulnerabilidades próprias de todos os dispositivos IoT através do portal online Vamps.

“As auditorias periódicas tradicionais de segurança já não fazem mais sentido por que as alterações das infra estruturas são constantes, como também a aparição de vulnerabilidades ou a quantidade de patches que se aplicam diariamente”, destaca Chema Alonso, CEO de ElevenPaths.
“A evolução do Vamps e Faast em relação ao mundo IoT permitirá as empresas controlar o Shadow IT e o Shadow IoT de forma continua pois conta com um sistema de pentesting persistente e gestão de vulnerabilidades que permitirá descobrir rapidamente os novos dispositivos conectados e os “bugs” que possuem, reduzindo assim o tempo de exposição dos dispositivos a estas ameaças”.

O tamanho do fenômeno IoT em uma sociedade hiperconectada está expondo as empresas a perigos até agora desconhecidos, daí a importância de uma detecção antecipada das ameaças de segurança que representam os dispositivos IoT. Essa é uma das conclusões do informe “Alcance, escala y riscos sem precedentes: assegura a Internet das Coisas” recentemente apresentado pela ElevenPaths juntamente com a área de IoT da Telefônica e alguns colaborados, associações e empresas que trabalham neste âmbito como a SIGFOX, e IoT Foundation.

A nova capacidade de análise do Faast sobre IoT vem complementar as diferentes soluções de segurança para IoT que a Telefônica oferece, assim como o Trusted Public Key Infrastructure, que permite identificar e autenticar os dispositivos IoT conectados à rede, o Security Monitoring que detecta comportamentos anômalos dos dispositivos IoT baseando-se em seu tráfego de rede e, o CyberThreats com a capacidade de detectar e identificar o “modus operandi” dos cibercriminosos e as técnicas utilizadas nos ataques contra as infraestruturas de IoT.

*Pode te interessar também:

Para mais informações
elevenpaths.com

ElevenPaths no Mobile World Congress 2016 em Barcelona e RSA em São Francisco

ElevenPaths    15 febrero, 2016

Mobile World Congress 2016
De 22 a 25 de fevereiro ocorre o Mobile World Congress, o maior evento de dispositivos móveis que acontece em Barcelona. A Telefónica estará presente, você poderá nos encontrar no pavilhão 3 Stand 3J20, onde apresentaremos algumas das novidades que temos trabalhado nos últimos meses, especialmente com Vamps, nossa gestão de vulnerabilidade e o sistema de tecnologia de pentesting persistente Faast, adaptados ao mundo de IoT.

Vamps e Faast para o mundo IoT
É quase impossível pensar em um mundo sem dispositivos conectados, e este novo mundo gera uma diversidade de riscos na vida das pessoas, assim como para as empresas e organizações e portanto deve ser preparado para os riscos que podem representar para a segurança das empresas.

No mundo das empresas, os administradores de TI e os responsáveis de segurança se encontram frente a um novo quebra-cabeça para controlar a quantidade de tecnologias que circulam nas redes de seu escritório, todos os dias. Se a isto juntarmos todos esses dispositivos conectados, configurado e manipulado muitas vezes pelos próprios funcionários, com maior ou menor conhecimento técnico, tornar-se um ponto muito importante.

Por conta disso, na ElevenPaths temos trabalhado para adaptar a detecção automática de Faast, nossos sistemas de plataforma de pentesting persistentes, para localizar o IoT nas empresas que auditamos continuamente. Nossa tecnologia Faast agora também permite detectar e analisar novas vulnerabilidades em dispositivos IoT. Tudo com o objetivo de você poder controlar o Shadow IT e o Shadow IoT melhor dentro de sua empresa.

  • Onde: Barcelona
    Hall 3 Stand 3J20
  • Quando: 22/Fevereiro até 25/ Fevereiro

RSA Conference 2016
A RSA Conference 2016 é uma grande oportunidade de se conectar com as novas tecnologias e as tendências para proteger melhor o mundo digital. A Telefônica vem investindo no desenvolvimento de novas soluções com o objetivo de progredir continuamente através da inovação radical e disruptiva, alimentado por sua subsidiária, ElevenPaths, onde também é promovida a colaboração e investimentos para estabelecer alianças junto aos melhores parceiros de segurança e organizações no mundo.

  • Onde: Moscone Center, San Francisco
    Booth no North Expo #N4902.
  • Quando: 29/Fevereiro até 4/Março

Venha conhecer as soluções de segurança para IoT da ElevenPaths na #MWC16 em Barcelona, exposição no Hall do pavilhão 3 Stand 3J20 e na RSA no Booth no North Expo #N4902 em São Francisco.

[NOVO] Assim funcionam as nossas soluções de segurança cibernética para dispositivos IoT na sua empresa

ElevenPaths    5 febrero, 2016

Na semana passada apresentamos nosso novo relatório de segurança Internet das coisas intitulado » Escopo, escala e riscos sem precedentes: Assegurar a Internet das Coisas». Neste relatório nós falamos sobre a falta de mecanismos de defesa para a Internet das Coisas que leva as empresas a perigos desconhecidos.

A velocidade de crescimento e a adoção da Internet das Coisas está rapidamente superando as leis necessárias para regular e padronizar as medidas de segurança. Hoje os ciberataques são notícias em destaque, e os cibercriminosos estão cada vez mais criativos em seus vetores de ataque. Uma sociedade hiper-conectado de longo alcance tem o efeito adverso de criar riscos de segurança de largo alcance, não só para indivíduos, mas para as empresas e até mesmo países. Estas são as razões pelas quais temos trabalhado há alguns meses em soluções de segurança para o mundo da Internet das Coisas, antes que seja tarde demais.

Qual é a melhor maneira de nos defendermos, prevenir e parar os ataques cibernéticos? A segurança da Internet das Coisas é uma questão de negócios, e não apenas dos departamentos de TI.

Assim funcionam as nossas soluções de segurança cibernética para os dispositivos da Internet das Coisas na sua empresa:

  • Trusted Public Key Infrastructure: Identidade e segurança da conexão.
    Esta solução ajudar a identificar de forma exclusiva os dispositivos da Internet das coisas através de certificados digitais, fornecendo uma forte autenticação entre os objetos conectados a rede e os serviços ao cliente (instalações de TI) reforçando a segurança das comunicações existente.

  • CyberThreats: Segurança contra as ameaças externas.
    Nova capacidade de CyberThreats para detectar mais cedo e identificar os cibercriminosos do modus Vivandi, que utilizam técnicas de ataques a organizações de infra-estrutura da Internet das Coisas, ou contra a sua rede de fornecedores.
  • VAMPS: Segurança em infraestructuras da Internet das Coisas.
    Vamps agora também detecta as ameaças de segurança em todos os dispositivos da Internet das Coisas em seu ambiente corporativo. Aqui foi onde colocamos um maior foco e especialmente na nossa tecnologia Pentesting persistente Faast, agora também adaptado para o mundo da Internet das Coisas.

    • » [SABER MAIS] Pentesting persistente para dispositivos da Internet das Coisas com Faast para a sua empresa

  • Security Monitoring: Segurança nos dispositivos
    A nossa família de soluções para o governo e para a gestão da segurança, Security Monitoring permite identificar comportamentos anômalos dos dispositivos da Internet das Coisas com base no seu tráfego de rede e nos seus logs de funcionamento.

  • Incident Response: Resposta ante incidentes de segurança
    Incident Response conta com uma equipe de especialistas para avaliar o impacto de uma vulneração da sua infra-estrutura, desenvolvendo um plano de acção e ajudando a prevenir potenciais riscos de segurança.

» [PRÓXIMAMENTE] Nós vamos dizer-lhe tudo em primeira mão de 22 a 25 de fevereiro no Mobile World Congress em Barcelona. Venha conhecer as nossas soluções de segurança para a Internet das Coisas com as demos que vamos apresentar no stand da Telefônica.

» Pode ler o relatório completo titulado por «Escopo, escala e riscos sem precedentes: Assegurar a Internet das Coisas»aqui.

*Você também pode estar interessado em:

Para mais informações
elevenpaths.com

Android concentra mais de 95% dos ataques em dispositivos móvel

ElevenPaths    3 febrero, 2016

Com uma market share, concentração de mercado, próxima dos 81%, o Android é o sistema operacional mais comum entre os 2.000 milhões de dispositivos móveis existentes no mundo. É por isso que as ameaças dirigidas a dispositivos móveis crescem continuamente: ataques específicos, adwares agressivos, aplicativos mal-intencionados que se comportam como uma aplicação legítima, mas que roubam informações ou consumem serviços em segundo plano… É que muitas vezes determinados Apps permanecem indetectáveis nos Market places, por tempo suficientemente para altas atingir taxas de download que afetam milhares de usuários ao mesmo tempo.

Os dados são preocupantes: Android concentra mais de 95% dos ataques em dispositivos móvel, o número de Trojans bancários nas apps é 9 vezes maior do que em 2014, e houve uma profissionalização dos grupos de cibercriminosos que concentram suas atividades em dispositivos móveis. Se acrescentarmos que a cada dia cerca de 5.000 novos aplicativos são criados, detectar novos vetores de ameaças móveis de forma ágil não é possível com ferramentas de segurança tradicionais.

Grupos de cibercriminosos têm uma estrutura quase empresarial, desenvolvendo aplicativos maliciosos sob uma perspectiva de custo-benefício, de modo que, a fim de maximizar os seus lucros, a reutilização de código, imagens, certificados digitais, etc. introduzindo «singularidades » atributos únicos que identificam um aplicativo ou um desenvolvedor.

Assim, este novo cenário de ameaças requer novas ferramentas, capazes de explorar a inteligência provenientes de não só aplicações móveis , mas também dos mercados, a fim de descobrir essas «singularidades» introduzidas pelos atacantes.

Tacyt, nossa ferramenta de Cyber Intelligence para aplicativos maliciosos para Android fornece acesso a um histórico de registro de cerca de 4 bilhões de aplicativos móveis publicados em diferentes Market places, bem como a informação de contexto disponível.

Desde a sua criação, a nossa ferramenta interveio em vários casos de sucesso notável. Um deles foi quando as autoridades espanholas usaram Tacyt para correlacionar as pessoas envolvidas em um esquema com aplicações através de SMS. Em outro caso, Tacyt foi fundamental para identificar um malware desconhecido e não detectado pelos antivírus e usando novas técnicas, conseguia burlar a proteção da Google Play. Graças a isto foi identificada uma botnet importante chamada Shuabang.

As descobertas de Tacyt também incluem familias desconhecidas de clickers que utiliza uma nova estratégia para cometer fraudes, golpes baseados em aplicativos que exigem números de preços premium ou a descoberta de novas técnicas de adware, chamadas «atrasos de Downloaders» para citar alguns deles.

Os atacantes tentam melhorar as técnicas de programação, tentando evitar os controles e ferramentas de segurança existentes… Mas eles sempre cometerão falhas, detectáveis através do conceito de singularidade.

Você também pode estar interessado em:

Adolfo Hernández
[email protected]

Hot Potato: Mais do que uma elevação de privilégio no Windows, um compêndio de falhas bem aproveitadas

ElevenPaths    26 enero, 2016
Esquema de funcionamiento de Hot Potato

Há poucos dias se tornou pública uma elevação dos privilégios, previamente desconhecido e com prova pública de conceito em todas as versões de Windows. Este é um caso especial porque consegue elevação de privilégios através de um compêndio de falhas de projeto do Windows, além de «abrir a porta» a um novo tipo de ataque. Veja os detalhes e como podemos tentar combatê-la.

Três ataques em um

Isso acontece de vez em quando. Uma prova de conceito é publicada para elevar privilégios sem nenhum patch aplicado. A verdadeira dor de cabeça para um administrador de rede se você quiser mantê-la sob controle. Sem ser muito rigoroso, nos veio a cabeça que no final de 2014 ocorreram várias vezes seguidas afetando o Windows e uma mais uma em agosto de 2015. No kernel Linux, o mais recente ocorreu em março de 2015. Mas este caso é especial, porque na realidade é uma combinação de falhas com base em outros históricos conhecidos e um mais moderno dos mencionados em 2014.

Esta última frase (de https://code.google.com/p/google-security-research/issues/detail?id=222) parece que foi a ideia…

NTLM é um protocolo de autenticação inventado pela Microsoft que tem duas versões. O primeiro está obsoleta e desatualizada e tem um problema de reflexão ou de «pass the hash», que trouxe Microsoft dores de cabeça desde que foi descoberto faz alguns anos. Se trata de que alguém tente autenticar com o equipamento do atacante por NTLM, que a informação se faça passar pela vítima ainda que a senha não seja conhecida. Antes se podia aproveitar para passar os hashes para a própria máquina, mas foi mitigado com o patch MS08-068. Uma vez que eles não poderiam usar a autenticação (desafio) que estavam sendo usados nesse momento. Este foi um pequeno golpe para os atacantes, mas o patch jamais impediu ataques entre protocolos. Em outras palavras, a autenticação de WebDAV para SMB (como fizeram no Google) ou de HTTP para SMB, como tem sido feito agora.

A coisa interessante sobre a batata quente é o uso combinado de falhas que são provavelmente nunca serão corrigidos ou que vai custar para serem consertadas, será muito complicado no Windows por conta da compatibilidade. Três tipos de ataques são usados, vejamos:

Falsificar NBNS

Quando um nome ou domínio não responde por DNS ou por resolução direta do arquivo host, ele pede para outros sistemas na rede, através do protocolo de NBNS, questionando quem conhece o IP de que se está buscando. O ataque faz com que seja sempre responda a todos os processos do próprio equipamento (127.0.0.1) para todas as perguntas. Mas eles não se importam se ele não responder com a mesma ID que foi perguntado, então ele responde a todos com o ID gerado pela força bruta (eles são apenas 65536 valores). Como vai por UDP, é rápido e eficaz. E se não for solicitado por NBNS por que ele resolve para DNS? No computador, você pode monopolizar todas as portas UDP. Com eles responde se ao DNS e se não houver livre, o DNS não funciona … então NBNS vai ser usado como uma tentativa desesperada.

Embora ele não tenha nada a ver com este ataque em particular, o criador deixa a porta aberta a um ataque à internet NBNS (se a vítima tenha a porta UDP 137 aberta, é claro!).

Un WPAD falso

Por outro lado, temos um outro ataque já conhecido. O Windows tenta automaticamente para lhe dizer que proxy deve usar. Ou seja, se espera que um sistema com nome «WPAD» para resolver, conectar e dar a configuração (um arquivo .dat). Eles fazem inclusive serviços essenciais do Windows.

Com esta opção marcada, o computador irá buscar sempre um WPAD

 
Agora, usando o ataque NBNS já descrito, é dito ao equipamento que o wpad esta em 127.0.0.1. E é devolvido .DAT (se configura o proxy ) também com 127.0.0.1.
Em que consiste? Que a máquina de destino se converta no seu próprio proxy local e, portanto, observar o seu tráfego. E, para todos os usuários do computador aparecerá que o proxy é 127.0.0.1.

O ataque, abre proxies locais para todos os processos

Levando a autenticação NTLM de HTTP para SMB

Esta é a parte que é uma novidade (embora a ideia tenha sido por conta do Google). O path anteriormente mencionado, MS08-068, corrigiu um ataque típico, mas não a causa raiz do problema. Ninguém conseguiu parar o ataque NTLM entre os protocolos. Se são capturadas as credenciais NTLM através de HTTP e são encaminhadas a um processo SMB do computador, podemos enviar mensagens que serão executados como SYSTEM, porque eles parecem autenticado. Veja aqui a elevação.

O ataque em ação, um usuário comum é adicionado ao grupo de administradores

Agora só precisamos esperar uma solicitação HTTP gerada a partir de um serviço com alto privilegio tentando autenticar por NTLM em algum lugar. Como temos um proxy HTTP no seu computador, capturamos as credenciais e injetamos um comando. Tudo é enviado para o serviço que escuta o SMB interno. Lá está, o comando será lançado com privilégios máximos. Quais os serviços geram solicitações HTTP autenticadas com NTLM privilegiado? Windows Update, ou Windows Defender … O ataque aqui varia de versão para versão, mas é bastante confiável.

Poderá ser corrigida? Como? O que a Microsoft tem que fazer agora?

Normalmente, uma falha de elevação de privilégio ocorre em algum ponto do sistema por má programação (buffer overflow, configuração inadequada …). Corrigindo esta parte, a porta é fechada. Mas este problema é especial porque três problemas conhecidos há anos e nunca foram eliminados, alias a experiência nos diz que a Microsoft trabalha de forma lenta para eliminar as elevações de privilégio.

O mais provável é que a Microsoft se veja obrigada a corrigir de alguma forma utilizando hashes NTLM (com desafios em uso) que variam de protocolo para protocolo. Corrigiram o problema «canônica» de “pass the hash” evitando que o servidor SMB envie ao próprio servidor SMB, mas agora afeta a outros protocolos. Fato: O patch foi emitido em 2008 e o problema era conhecido desde 2000. Haviam formas de mitigar-los, mas o ataque existiu por oito anos. E agora, será que vai demorar muito? Outro fato: A elevação de privilégios mencionado no início do artigo e trazidas à luz pelo Google, foram relatados em público porque a Microsoft não corrigiu no prazo de 90 dias, um período de cortesia concedidos aos fabricantes. De qualquer modo, parece que se fechar qualquer uma das portas, abrirão outras formas de combinar outros métodos em um futuro próximo.

O que deve o administrador fazer?

Você não pode ficar à espera do patch. Como qualquer falha pode (e deve) atacar o problema de várias frentes. Aqui estão algumas dicas. Aviso: há muito a fazer, e se não forem feitas corretamente, poderá ser problemático:

  • Para o ataque NBNS: Identificar mal formados ou «floods» deste tipo de pacotes na rede. Existem programas específicos e também os IDS deveriam detectá-los. Tendo registros de DNS para todos os nomes de NetBIOS e evitar resolução. Especialmente para WPAD ou WPAD.dominio.
  • Contra o ataque WPAD, impedir que o Windows localize este arquivo. Parar o serviço «Detecção automática WinHTTP Web Proxy» em computadores e impedir que o Internet Explorer o procurem. By the way, um truque pode ser incorporado WPAD no arquivo de hosts, e configurá-lo para qualquer valor.
    • Forçar o uso de NTLMv2
  • Contra a autenticação NTLM. Forçar o uso de Kerberos e NTLMv2 (se você tiver o equipamento relativamente moderno) e aplicar esta melhoria publicado pela Microsoft há algum tempo. Além disso, a assinatura SMB todas as comunicações.

Opções de segurança relacionadas com a assinatura de comunicações SMB

Mas são parâmetros muito sensíveis, se você tem o equipamento antigo na rede. Você pode quebrar as coisas.
 

E, em geral, para usar o firewall de saída para impedir que qualquer programa desconhecido acesse à rede. Evite executar programas de usuários desconhecidos…. como de costume.
Finalmente, note que é engraçado como esta prova de conceito não está sendo detectado pelo antivírus imediatamente. Embora seja inútil, muitas vezes, detectar rapidamente esses binários para evitar o primeiro ataque de invasores que tentam lançar como é o binário.
Sergio de los Santos
tradução por Leandro Bennaton

2015: o ano dos vazamentos de informações

ElevenPaths    14 enero, 2016
Os cerca de 220 milhões de credenciais filtrados em mais de 250 violações de segurança durante 2015, reacendeu muitos debates e nos convidam a reflexões. Entre as reflexões sobre o tipo de senhas utilizadas pelos usuários e estas são armazenadas nos servidores. Entre os debates sobre a importância de medidas de segurança como a autenticação de duplo fator autenticação.



Em Dezembro de 2013, ocorreu uma falha grave de segurança, o vazamento de informações pessoais de mais de 70 milhões de clientes da empresa americana Target, incidente que levou à mobilização imediata de recursos para cybersegurança, no valor de cinco milhões de dólares. A partir deste incidente, as empresas passaram a estar cada vez mais conscientes de que precisam para proteger seus ativos de informação, no entanto o ano de 2015 foi marcado por um grande número de violações da segurança, tendo sido uma ameaça para ambos, os usuários e também as empresas. Este quadro de insegurança levou nossa equipe especialista à realização desta pesquisa sobre as mais afetadas por este tipo de vazamento de informações.


Para preparar este documento tiveram que ser recuperados todos os incidentes de segurança publicados que envolveram usuários e que ocorreram no período entre o 1 de Janeiro e 30 de novembro de 2015.

Alguns detalhes do informe:

  • Nos Estados Unidos, o setor mais afetado foi o de Lazer e Jogos.
  • Israel tem sido o principal país, juntamente com o Reino Unido, que receberam maior número de ataques hacktivistas.
  • 42,6% dos vazamentos ocorridos em 2015 continha senhas em texto claro, felizmente o volume total representa apenas 6,5% do total de credenciais subtraída.
  • 80,32 % do total de credenciais obtidas foram roubados em 13 incidentes (5,14%), foi onde mais coletaram credenciais.

Faça o download do relatório completo aqui.