Boletim semanal de cibersegurança 23-29 outubro

Telefónica Tech    29 octubre, 2021

Google corrige dois 0 days no navegador Chrome

O Google lançou uma nova atualização do Chrome (95.0.4638.69) para Windows, Mac e Linux, onde 7 vulnerabilidades são corrigidas, sendo duas delas 0 days. Em relação aos dois últimos, por um lado, há o CVE-2021-38000 com alto nível de criticidade, descrito como uma validação insuficiente de insumos não confiáveis em Intenções; e, por outro lado, CVE-2021-38003, também com alto nível de criticidade, descrito como uma implementação inadequada em V8. O Google, afirmou que ambas as vulnerabilidades estariam sendo ativamente exploradas, embora, no momento, não tenham oferecido mais informações sobre isso, embora seja provável que os detalhes destes serão divididos em relatórios futuros do Google TAG ou project zero, uma vez que foram pesquisadores desses projetos que os detectaram.

​​​​Nova atividade do ator russo Nobelium

A equipe de Inteligência de Ameaças da Microsoft detectou novas atividades associadas ao Grupo de Atores Nobelium, identificados pelo governo dos EUA como parte do serviço de inteligência estrangeira russo (SRV) e que foram culpados pelo ataque à cadeia de suprimentos SolarWinds em 2020. Em referência à atividade observada desta nova campanha, ela teria sido realizada desde maio passado e está focada principalmente nos Estados Unidos e na Europa, seguindo uma estratégia semelhante às campanhas anteriores, mas atacando uma parte diferente da cadeia de suprimentos. Nesta ocasião, a Nobelium tentou acessar clientes de vários Provedores de Serviços em Nuvem (CSPs), Provedores de Serviços Gerenciados (MSPs), bem como outras organizações que oferecem serviços de TI para empresas. Ressalta-se que o grupo de atores tem sido observado vinculando o acesso de quatro fornecedores diferentes, a fim de comprometer um objetivo final, demonstrando uma ampla gama de técnicas e uma complexidade de ações que esse ator usa a ameaça para explorar relações de confiança entre as empresas. Estima-se que 140 provedores de serviços gerenciados e em nuvem tenham sido atacados, e pelo menos 14 foram comprometidos desde maio de 2021.

Squirrelwaffle: novo malware distribuído em campanhas do Malspam

Os pesquisadores da Cisco Talos Intelligence alertaram sobre uma nova família de malware descoberta pela primeira vez em setembro de 2021, apelidada de Squirrelwaffle. Esta ameaça é espalhada através de campanhas malspam, onde nas mais recentes, é usada para infectar sistemas com Qakbot e Cobalt Strike. Esse malware fornece aos atores mal-intencionados um ponto inicial de suporte em sistemas e seus ambientes de rede, com o objetivo de facilitar um maior engajamento. A campanha, semelhante ao observado em ameaças como o Emotet, aproveita threads de e-mail roubados e direciona mensagens de resposta para combinar com o idioma usado no segmento original, denotando uma determinada localização dinamicamente. Seus e-mails maliciosos incluem hiperlinks para arquivos ZIP maliciosos hospedados em servidores da Web, incluindo arquivos .doc ou .xls maliciosos que executam o código de recuperação de malware se abertos. Eles também usam a plataforma DocuSign como isca para habilitar macros. O Squirrelwaffle apresenta uma lista de blocos ip de empresas de segurança com o objetivo de tentar evitar a detecção e análise. Finalmente, os pesquisadores relatam que esse malware é considerado um reinicialização do Emotet, e adverte que as campanhas podem aumentar ao longo do tempo depois de aumentar o tamanho da sua botnet.

Vulnerabilidades nos caixas eletrônicos Diebold Nixdorf

Pesquisadores da Positive Technologies descobriram vulnerabilidades nos caixas eletrônicos Wincor Cineo, de propriedade da diebold Nixdorf, que apresentam os distribuidores RM3 e CMD-V5 2. Especificamente, duas vulnerabilidades foram descobertas com uma pontuação CVSSv3.0 de 6,8. Explorar essas falhas de segurança poderia permitir a retirada de dinheiro acessando a porta USB do controlador dispensador, onde um ator mal-intencionado poderia instalar uma versão de firmware desatualizada ou modificada para evitar criptografia e permitir que o CAIXA emitisse dinheiro. A primeira vulnerabilidade, CVE-2018-9099, foi detectada no firmware do distribuidor CMD-V5 em todas as suas versões. Em segundo lugar, cve-2018-9100, foi identificado no firmware do distribuidor RM3 /CRS também em todas as suas versões. O cenário de ataque consiste em três etapas: conectar um dispositivo a um caixa eletrônico, carregar firmware desatualizado e vulnerável e aproveitar falhas de segurança para acessar dentro do cofre. Os pesquisadores pedem que as organizações de crédito, que para corrigir vulnerabilidades, devem solicitar a versão mais recente do firmware dos fabricantes de caixas eletrônicos.

Vulnerabilidade de 0 day no Windows

O pesquisador de segurança Abdelhamid Naceri revelou detalhes de uma elevação da vulnerabilidade de privilégio de 0 days que afetaria todas as versões do Windows, incluindo Windows 10, Windows 11 e Windows Server 2022. Este pesquisador já notificou a Microsoft sobre o bug, catalogado como CVE-2021-34484,e que eles supostamente corrigiram em agosto. No entanto, depois de examinar a correção, Naceri descobriu que o patch não era suficiente e que ele foi capaz de violá-lo com uma nova exploração que ele publicou no GitHub.  No entanto, o fato de que o bug exige que o invasor saiba o nome e a senha do usuário pode reduzir seu uso em ataques generalizados em relação a outras vulnerabilidades de privilégios.

Termos em cloud que você não pode perder (I)

Roberto García Esteban    26 octubre, 2021

Foram George Favaloro e Sean O’Sullivan, diretores da empresa Compaq Computer, que em 1996 utilizaram a expressão «Cloud Computing» pela primeira vez e, desde então, o termo se popularizou a tal ponto que já conheço crianças do ensino fundamental escola que sabe, por exemplo, que o Siri não mora dentro de iPads, mas muito mais longe, «na nuvem». No entanto, à medida que a tecnologia se desenvolve, surge uma mistura de termos e siglas que são difíceis para os não-tecnólogos entenderem. Portanto, a intenção deste post é tentar explicar esses termos de uma forma simples para revelar os detalhes desse conceito muito geral que é «a nuvem».

Glossário Cloud

API: «Interface de programação de aplicativo». Este é o mecanismo de comunicação usual entre aplicativos. É uma interface que permite que diferentes aplicativos solicitem dados e os entreguem em um formato pré-definido e de acordo com determinados padrões.

Cloud Computing: Aqui tomo emprestada a definição dada pela Salesforce, empresa que em 1999 foi a primeira a comercializar serviços para empresas a partir da nuvem: “Cloud Computing é uma tecnologia que permite acesso remoto a software, armazenamento de arquivos e processamento de dados pela Internet, portanto, uma alternativa à execução em um computador pessoal ou servidor local. No modelo de nuvem, não há necessidade de instalar aplicativos localmente nos computadores. A computação em nuvem oferece a indivíduos e empresas a capacidade de um pool de recursos de computação bem mantidos, seguros, de fácil acesso e sob demanda. «

Cloud Híbrido: Modelo de implantação de computação em nuvem que combina os recursos de computação dedicados de uma nuvem privada para dados e aplicativos críticos com recursos compartilhados de uma nuvem pública para atender a picos específicos de demanda.  

Cloud Privado: Neste caso, os recursos computacionais e o ambiente são de uso exclusivo de uma organização. É comparável a ter um data center próprio da organização, mas com as vantagens de delegar sua gestão e dimensioná-la sob demanda graças à virtualização.

Cloud Público: Modelo de implantação em que um provedor de serviços de Internet oferece recursos de computação pela Internet em uma infraestrutura compartilhada por várias organizações, na modalidade pay-per-use.

Cluster: É um conjunto de servidores que estão conectados entre si por meio de uma rede e que se comportam como um único servidor em muitos aspectos.

Colocation o Housing: Serviço oferecido por empresas que fornecem data centers em instalações avançadas e seguras para hospedar as plataformas tecnológicas de seus clientes. Essas instalações oferecem serviços e conectividade de alta qualidade.

CPD: Centros de processamento de dados. São os locais físicos onde se encontram todos os equipamentos eletrônicos necessários ao processamento e armazenamento das informações de uma empresa.

Hipervisor: Um hipervisor, também conhecido como monitor de máquina virtual (VMM), é um software que cria e executa máquinas virtuais e também isola o sistema operacional e os recursos do hipervisor das máquinas virtuais, permitindo que sejam criados e gerenciados. Quando o sistema de hardware físico é usado como um hipervisor, ele é chamado de «host» e as várias máquinas virtuais que usam seus recursos são chamadas de «convidados». O hipervisor usa recursos, como CPU, memória e armazenamento, como um conjunto de mídia que pode ser facilmente redistribuído entre seus convidados.

IaaS: “Infrastructure as a Service” ou “Infraestrutura como um serviço «. Com IaaS, uma solução baseada em virtualização está disponível em que o cliente paga pelo consumo de recursos, como espaço em disco usado, tempo de CPU, espaço de banco de dados ou transferência de dados.

Latência: Ou latência de rede, é o tempo que leva para transferir um pacote de dados entre um servidor e um usuário por meio de uma rede.

Máquina virtual: Uma máquina virtual ou VM (do inglês Virtual Machine) é um ambiente virtual criado em hardware físico usando um hipervisor e tem seu próprio sistema operacional, CPU, memória, interface de rede e armazenamento.

Quer saber mais termos? Na próxima semana lhe diremos mais…

Deja un comentario en Termos em cloud que você não pode perder (I)
Roberto García Esteban
Roberto García Esteban

Engenheiro de Telecomunicações da UPM, graduado em Administração e Gestão de Empresas pela UNED e MBA Executivo pelo Instituto de Empresa. Atualmente sou responsável pela Oferta Global para PMEs na Telefónica Digital. Sou um grande fã de futebol (claro, do Real Madrid), embora goste de acompanhar e praticar todos os tipos de esportes (você pode me ver facilmente em uma corrida popular pelas ruas de Madri). Embora minha verdadeira paixão seja brincar com meus dois filhos pequenos.

Boletim semanal de cibersegurança 16-22 outubro

Telefónica Tech    22 octubre, 2021

Zerodium interessado em adquirir 0 days de software VPN para Windows

A empresa de segurança da informação Zerodium informou sua disposição de comprar vulnerabilidades de 0 days visando software de serviços VPN para sistemas Windows: ExpressVPN, NordVPN e Surfshark. A empresa demonstrou interesse nessas explorações que podem revelar informações pessoais dos usuários, vazamentos de IP ou permitir a execução remota de código. Deve-se lembrar que a Zerodium é conhecida pela compra de 0 days em diferentes aplicações que posteriormente vende para a aplicação da lei e órgãos governamentais, de modo que o objetivo dessas novas aquisições é facilmente identificável. No entanto, esse fato gerou alguma controvérsia, como o The Record coletou, já que muitos usuários usam aplicativos VPN para preservar sua privacidade em países com regimes opressivos, e não se sabe quem são os clientes finais a quem a Zerodium vende sua tecnologia. Até o momento, nenhuma das empresas provedoras de VPN se pronunciou sobre o que fazer.

Mais informações: https://twitter.com/Zerodium/status/1450528730678444038

LightBasin: a ameaça contra empresas do setor de telecomunicações

Os pesquisadores da CrowdStrike publicaram uma nova análise sobre o ator de ameaças conhecido como LightBasin ou UNC1945, distinguido por atacar empresas do setor de telecomunicações desde 2016.  Relacionado aos interesses chineses, o LightBasin geralmente seleciona sistemas Linux ou Solaris como alvo em suas operações, pois estão altamente relacionados ao seu setor favorito. O CrowdStrike observou novas Técnicas, Táticas e Procedimentos (TTPs) associadas a esse grupo. Um exemplo disso é que o LightBasin teria se aproveitado dos servidores DNS externos (eDNS) para propagar suas operações, ou TinyShell, um software de emulação SGSN de código aberto, para canalizar o tráfego do servidor C2. Deve-se notar que o eDNS é uma parte fundamental das redes de radiofrequência (GPRS) utilizadas para roaming entre as diferentes operadoras móveis. Os pesquisadores apontam para o alto conhecimento em redes e protocolos desse grupo, afirmando que a LightBasin teria comprometido pelo menos treze empresas de telecomunicações apenas em 2019.

Mais informações: https://www.crowdstrike.com/blog/an-analysis-of-lightbasin-telecommunications-attacks/

RedLine Stealer: principal fonte de dados de dois mercados na Dark Web

​A divisão de pesquisa em segurança cibernética da Recorded Future, Inskirt Group, publicou um relatório identificando o malware RedLine Stealer como a principal fonte de credenciais roubadas que são negociadas em dois mercados da Dark Web: Mercado Amigos e Mercado Russo. RedLine Stealer é um infostealer que tem a capacidade de coletar credenciais de cliente FTP, credenciais de login em navegadores da Web, aplicativos de e-mail, bem como extrair cookies de autenticação e números de cartão salvos nos navegadores de dispositivos infectados. Durante a investigação, a equipe do Inskirt Group detectou a publicação de listagens idênticas em ambos os mercados simultaneamente, que continham as mesmas informações roubadas das vítimas, e que excedeu em muito as contribuições de outros malwares em ambos os fóruns. Além disso, deve-se notar que, embora Redline Stealer tenha sido desenvolvido pelo ator de ameaças REDGlade, várias versões, semelhantes ao original, estão sendo distribuídas, o que gerou uma maior expansão disso.

Mais informações: https://go.recordedfuture.com/hubfs/reports/mtp-2021-1014.pdf

Vulnerabilidade no WinRAR

​Pesquisadores da Positive Technologies descobriram uma nova vulnerabilidade na versão de teste do software de compressão de dados WinRAR para Windows. A falha, que recebeu o identificador CVE-2021-35053, poderia permitir que um invasor interceptasse e modificasse solicitações enviadas ao usuário do aplicativo, que poderiam ser usadas para executar código remotamente no computador da vítima. Especificamente, os pesquisadores descobriram que interceptando o código de resposta que é enviado quando o WinRAR alerta os usuários do final do período de teste e modificando-o para uma mensagem «301 Moved Permanently «, o redirecionamento para o domínio malicioso controlado pelo invasor é armazenado em cache e todas as solicitações são redirecionadas para ele. Uma vez que o invasor tenha acesso ao mesmo domínio de rede, ele já pode executar ações como iniciar aplicativos remotamente, recuperar informações do host local ou até mesmo executar código arbitrário. Deve-se notar que a vulnerabilidade afeta o software na versão 5.70, e foi corrigida na versão 6.02 do WinRAR, lançada em 14 de junho.

Mais informações: https://swarm.ptsecurity.com/winrars-vulnerable-trialware-when-free-software-isnt-free/

SmashEx – Vulnerabilidade no Intel SGX

Pesquisadores de diferentes universidades da China, Cingapura e Suíça descobriram uma vulnerabilidade nas extensões de guarda de software intel, também conhecida como Intel SGX, um recurso de segurança baseado em hardware presente na maioria dos processadores Intel atuais, que permite que um sistema operacional ou aplicativo aloque regiões de memória privada, chamadas enclaves, para isolar informações e proteger-se de processos executados em níveis mais altos de privilégios. A falha, apelidada de SmashEx, permitiria que o invasor acessasse as informações armazenadas nesses enclaves e executasse código arbitrário. De acordo com os pesquisadores, eles teriam conseguido explorar dois sistemas SGX RUNTIME amplamente utilizados: Intel SGX SDK e Microsoft Open Enclave, que executam as bibliotecas OpenSSL e cURL, respectivamente. Por sua vez, a Intel e a Microsoft lançaram patches de segurança para corrigir essas falhas em seus respectivos SDKs, Intel SGX SDK(CVE-2021-0186)e Open Enclave SDK (CVE-2021-33767).    No entanto, o bug afeta outros SDKs de desenvolvedores como Google, Apache ou ARM que ainda não resolveram o problema.

Mais informações: https://arxiv.org/ftp/arxiv/papers/2110/2110.06657.pdf

A nova identidade digital europeia; as carteiras de identidade soberana

Alexandre Maravilla    20 octubre, 2021

Você já parou para pensar na quantidade de contas de usuário que temos na Internet? Contas bancárias, fornecedores, RRSS, email, e-commerce, etc …, atualmente lidamos com um número quase infinito de serviços digitais.

Quantas vezes você teve que repetir o mesmo processo de registro? Você se lembra de quais informações pessoais você compartilhou a cada vez? Você sabe quais dados pessoais seus armazenam e processam cada um desses serviços nos quais você está cadastrado?

De acordo com um inquérito Eurobarómetro, 72% dos utilizadores querem saber como os seus dados são processados ​​quando utilizam serviços digitais e 63% dos cidadãos da UE querem um ID digital único e seguro para todos os serviços online.

Um novo modelo europeu de identidade digital do cidadão

Neste contexto, em 3 de junho de 2021, a Comissão Europeia anunciou a sua nova proposta para uma identidade digital segura e confiável. Nas palavras de Ursula von der Leyen, Presidente da Comissão Europeia;

“Sempre que um aplicativo ou site nos pede para criar uma nova identidade digital ou nos conectarmos facilmente por meio de uma grande plataforma, realmente não temos ideia do que está acontecendo com nossos dados. É por isso que a Comissão irá propor uma identidade eletrônica europeia segura. Uma identidade em que confiamos e que qualquer cidadão pode utilizar em qualquer parte da Europa para qualquer operação, desde o pagamento de impostos ao aluguel de bicicletas. Uma tecnologia com a qual nós mesmos podemos controlar quais dados são usados ​​e como»

De contas de usuário a carteiras de identidade soberana

A UE propôs recuperar a soberania dos nossos dados pessoais e está a trabalhar na definição do novo modelo de identidade digital, baseado em carteiras de identidade. Uma carteira é um aplicativo criptográfico instalado em nossos dispositivos móveis que nos permite armazenar e compartilhar credenciais relacionadas à nossa identidade e seus atributos.

Este novo modelo é baseado em;

Sob este novo paradigma, os usuários deixam de ter tantas identidades ou contas de usuário quanto os serviços digitais que usamos, para uma única identidade que carregamos em nossos telefones celulares e que compartilhamos total ou parcialmente (por meio de atributos de identidade) com o resto do mundo.

Diretiva obrigatória para países da UE

O novo regulamento sobre identificação eletrónica (eID) faz parte do esquema regulamentar europeu eIDAS (identificação eletrónica, autenticação e serviços de confiança), e será obrigatório para os Estados-Membros da UE, o que o mais tardar no final de 2023 / início de 2024, eles terão que fornecer aos seus cidadãos uma carteira de identidade que permitirá;

  • Acessar serviços públicos e solicitar, por exemplo, um certificado de nascimento ou médico, ou comunicar uma mudança de endereço;
  • Envie sua declaração de imposto de renda;
  • Candidatar-se a uma vaga numa universidade pública ou privada de qualquer Estado-Membro;
  • Abrir uma conta bancária;
  • Guarde uma receita que pode ser usada em qualquer lugar da Europa;
  • Valide a sua idade online / offline sem ter de partilhar / mostrar o seu documento de identidade nacional;
  • Alugue um carro com carteira de habilitação digital;
  • Faça check-in em um hotel.

Impacto no setor privado

Esta nova regulamentação também será obrigatória para o setor privado, especificamente para aqueles serviços online que precisam implementar mecanismos de autenticação “fortes”. Isso inclui setores como: transportes, energia, serviços bancários e financeiros, seguros, saúde, telecomunicações ou educação. Além das grandes plataformas online: Google, Apple, Facebook, Amazon.

Segundo a Comissão Europeia, estima-se que a aplicação deste novo modelo de identidade beneficiará o setor privado através:

  • A redução dos custos operacionais quando se trata de: identificar, autenticar e gerenciar os dados pessoais de seus usuários;
  • A redução da fraude online.

Recuperando a soberania digital

Modelos de identidade descentralizada / soberana há muito tempo são um «tópico quente» na estrutura de identidade. Eles tinham o consenso dos especialistas sobre sua utilidade e viabilidade técnica, mas faltava um impulso para validar sua viabilidade econômica, ainda não havia aquele caso de uso que revigorasse o ecossistema. Agora parece que esse impulso chegou definitivamente via UE.

Em suma, o horizonte aponta para o fato de que estamos começando a redefinir a identidade como a conhecemos até hoje, um novo modelo de identidade pensado para as pessoas, em que atributos como privacidade e soberania sobre as informações pessoais são fatores definidos desde sua concepção.

Boletim semanal de cibersegurança 9-15 outubro

Telefónica Tech    15 octubre, 2021

Boletim de Segurança da Microsoft

A Microsoft publicou seu boletim de segurança para o mês de outubro, no qual corrigiu um total de 81 falhas em seu software, incluindo 4 vulnerabilidades de 0 day. Das 81 falhas, 3 foram categorizadas com gravidade crítica. O primeiro 0 day, categorizado como CVE-2021-40449 e com CVSS de 7,8, teria sido explorada para realizar ataques em campanhas contra empresas de TI, entidades militares e diplomáticas. O segundo 0 day (CVE-2021-40469 e CVSS 7.2) é uma vulnerabilidade de execução remota de código no Windows DNS Server. O terceiro (CVE-2021-41335 e CVSS 7.8) é uma elevação da falha de privilégio no kernel do Windows; e, finalmente, categorizado como CVE-2021-41338 e com CVSS 5.5, uma vulnerabilidade de evasão de segurança é encontrada no Firewall Windows AppContainer. Por outro lado, os 3 bugs de gravidade crítica corrigida correspondem a vulnerabilidades de execução de código remoto, dois deles no Windows Hyper-V (CVE-2021-38672 e CVE-2021-40461) e o resto(CVE-2021-40486) no Microsoft Word. Recomendamos que você aplique atualizações de segurança o mais rápido possível.

Vulnerabilidade em plataformas NFTno OpenSea permitem roubar carteiras de criptomoedas

Pesquisadores da CheckPoint detectaram que atores mal-intencionados poderiam esvaziar carteiras de criptomoedas através de plataformas NFT maliciosas no OpenSea, um dos maiores mercados digitais para negociação de ativos criptográficos. Esta plataforma, ativa desde 2018, tem um total de 24 milhões de NFT (tokens não fungíveis), atingindo um volume de até 3.400 milhões de dólares apenas em agosto de 2021. O método de ataque usado é criar um NFT no qual o agente de ameaça inclui uma carga maliciosa e, em seguida, distribui-a para as vítimas. Vários usuários relataram que suas carteiras foram esvaziadas após receberem supostos presentes no mercado OpenSea, uma tática de marketing conhecida como «airdrop» usada para promover novos ativos virtuais. Do CheckPoint eles identificaram que a plataforma permite o upload de arquivos com múltiplas extensões (JPG, PNG, GIF, SVG, MP4, WEBM, MP3, WAV, OGG, GLB, GLTF), então eles fizeram um teste para reproduzir o cenário do ataque, carregando um SVG com uma carga de pagamento maliciosa usada para esvaziar as carteiras de possíveis vítimas. Os bugs relatados foram corrigidos.

Ataques cibernéticos contra sistemas de tratamento de água

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) emitiu um novo alerta sobre ataques cibernéticos contra instalações de processamento de água potável e efluentes. A atividade observada inclui tentativas de comprometer a integridade dos sistemas através de acesso não autorizado realizado por atores de ameaças conhecidos e desconhecidos. A nota também aponta para deficiências conhecidas em entidades do setor, como sua suscetibilidade a ataques de spearphishing, a exploração de sistemas de software e controle obsoletos e sem suporte, bem como a exploração de sistemas de acesso remoto. Ao longo de 2021, houve vários incidentes relevantes que se encaixariam nesse esquema, como a identificação, em agosto, de amostras de ransomware pertencentes às famílias Ghost e ZuCaNo nos sistemas SCADA de plantas na Califórnia, Nevada e Maine. Da mesma forma, vale lembrar o incidente ocorrido em fevereiro em uma estação de tratamento de água na Flórida, onde um ator de ameaça conseguiu modificar os volumes de produtos químicos descarregados nas bacias de purificação.

Os alertas do Google sobre ataques apoiados pelo governo aumentam 33%

A equipe do Grupo de Análise de Ameaças (TAG) do Google, publicou informações sobre o número de avisos gerados por seu sistema de alerta «Security warnings for suspected state-sponsored attacks» iniciado em 2012.  Especificamente, no decorrer de 2021, esse sistema já enviou mais de 50 mil avisos aos usuários, o que representa um aumento de 33% em relação ao mesmo período de 2020. De acordo com o Google, este serviço monitora mais de 270 grupos de invasores em 50 países diferentes, gerando avisos no momento em que tentativas de phishing, distribuição de malware ou ataques de força bruta cuja origem está relacionada à infraestrutura de atores de ameaças apoiadas por governos conhecidos como Privateers. Durante 2021, o Google destaca dois atores de ameaças sobre o resto, levando em conta o impacto causado por suas campanhas focadas em ativistas, jornalistas, funcionários do governo ou trabalhadores de estruturas de segurança nacional, identificados como APT28 ou «Fancy Bear« com o apoio da Rússia e APT35 ou «Charming Kitten», um ator de ameaça iraniano ativo desde pelo menos 2014. Além disso, a publicação aponta que, no caso de receber um alerta desse tipo, significa que a conta é considerada como um «alvo» e não implica necessariamente que ela tenha sido comprometida, por isso incentivam os usuários a se cadastrarem por esse serviço ou possibilitarem na sua ausência o duplo fator de autenticação em suas contas.

TrickBot duplica e diversifica seus esforços de infecção

Pesquisadores da IBM rastrearam a atividade do grupo ITG23, também conhecido como TrickBot Gang e Wizard Spider, depois de observar um aumento na expansão dos canais de distribuição usados para infectar organizações e empresas com Trickbot e BazarLoader, amostras usadas para organizar ataques de ransomware e extorsão direcionados. Após as análises realizadas, a IBM estima que esse aumento poderia ter contribuído para o pico de atividade do ransomware Conti alertado pela CISA em setembro passado.   Pesquisadores também associaram o ITG23 a dois grupos afiliados à distribuição de malware, como hive0106 (também conhecido como TA551) e Hive0107. Estes são caracterizados por ataques perpetrados com o objetivo de infectar redes corporativas com malware, usando técnicas como sequestrar threads de e-mail, usar formulários falsos de resposta ao atendimento ao cliente, além do uso de call centers undeground empregados em campanhas bazarCall. Esses TTPs estariam desencadeando um aumento nas tentativas de infecção por esses grupos.  

Você já pensou em uma estratégia de segurança em camadas para Cloud?

Denny Roger    13 octubre, 2021

Conheça os 4C para segurança nativa em Cloud: cloud, clusters, contêineres e código; e estratégias para Segurança Avançada em Cloud.

Uma recente pesquisa chamada “Cloud and Threat Report”, conduzida pela Netskope em julho de 2021, identificou que nos últimos 18 meses o uso de aplicações em cloud disparou. O crescimento da utilização de cloud gerou também um aumento impressionante de novos riscos para os CISOs administrarem, segundo o relatório:

  • Exfiltração de dados: Funcionários que estão saindo da empresa fazem upload de 3 vezes mais dados para aplicativos pessoais durante seu último mês no emprego;
  • Exposição de dados: 97% dos usuários do Google Workspace autorizaram pelo menos um aplicativo de terceiro a ter acesso a sua conta corporativa, potencializando a exposição de dados.
  • Malware: no segundo trimestre de 2021, tivemos um aumento de 68% de downloads de malware realizados através de aplicações em cloud. 66.4% dos malwares foram distribuídos utilizando aplicações de cloud storage;
  • Shadow IT: colaboradores trazem aplicações em cloud não homologadas para as empresas mais rapidamente do que a velocidade de bloqueio. Por exemplo, organizações que têm de 500 a 2000 funcionários estão usando agora 805 aplicações em cloud, sendo que 97% são shadow IT.

Segurança nativa em Cloud: cloud, clusters, contêineres e código

Uma visão de “segurança nativa em cloud” pode ajudá-lo a pensar na segurança em camadas desse ecossistema. Os 4C da segurança nativa de cloud são: cloud, clusters, contêineres e código.

  • Segurança do provedor de Cloud: Cada provedor de cloud faz recomendações de segurança para a execução segura de workloads em seu ambiente. Fornecem segurança para proteger operações, aplicações, armazenamento de dados, rede e identidade dos usuários.
  1. Segurança de infraestrutura: Controle de acesso de rede ao servidor de API / controle de acesso de rede a nós / controle de acesso de Kubernetes ao Cloud Provider API / controle de acesso ao armazenamento de dados de Kubernetes / Criptografia do armazenamento de dados de Kubernetes.
  • Segurança de Cluster: Existem duas áreas de preocupação para proteger o Kubernetes:
    1. Protegendo os componentes do cluster que são configuráveis.
    2. Protegendo os aplicativos executados no cluster – Acesso à API Kubernetes / Application secrets management / Criptografia / Políticas de segurança / Gerenciamento de recursos do cluster / Políticas de rede / TLS para entrada do Kubernetes.
  • Segurança do Contêiner: Verificação de vulnerabilidades no contêiner e segurança de dependência de sistema operacional / Assinatura e aplicação de imagens / Acesso de privilégios mínimos / tempo de execução de contêiner com isolamento mais forte.
  • Segurança de Código: Acesso somente por TLS / Limitação de intervalos de porta de comunicação / digitalização de bibliotecas de terceiros do aplicativo para vulnerabilidades de segurança conhecidas / Análise de código estático / Análise de código dinâmico.

Segurança Avançada para Cloud

A abordagem da segurança em camadas para cloud deve evoluir para um modelo de segurança avançada, abrangendo todos possíveis riscos cibernéticos.

  • Cloud Security Posture Management (CSPM)

Realize avaliações da postura de segurança cibernética e conformidade operacional, incluindo:

  • Identificação e monitoramento dos ativos em cloud e como eles estão configurados de acordo com os requisitos de segurança cibernética.
    • Avaliação de vulnerabilidades nos ativos e identificação de ameaças que afetam a segurança de cloud.
    • Identificação e gestão de risco cibernético para priorizar correções no ambiente de cloud.
    • Detecção de violações de conformidade de acordo com as boas práticas, políticas de segurança cibernética e regulações do setor.
    • Resposta a incidentes cibernéticos.
  • Cloud Workload Protection Plataform (CWPP)

Realize a proteção e o monitoramento dos workloads, em tempo real, incluindo:

  • Visibilidade e controle dos workloads em execução, independentemente de seu ciclo de vida e casos de uso (ambiente, aplicativo etc.).
    • Hardening: Definição e implantação de política baseada em casos de uso e boas práticas de segurança cibernética para cloud.
    • Monitoramento: Detecção de alertas de acordo com o catálogo de casos de uso definido pela etapa de hardening e notificação de violações de política.
    • Personalização de regras baseadas nas políticas e serviços de inteligência de ameaças.
    • Implementação de medidas robustas de proteção do workload em qualquer ambiente de cloud e detecção contra ameaças e ataques.

O cenário ideal para segurança avançada em cloud é a integração entre as capacidades de detecção e resposta de ameaças na configuração e comportamento (CSPM) juntamente com as capacidades de prevenção de ameaças integradas nos workloads (CWPP) para oferecer uma segurança 360º em cloud e assim abranger todos possíveis vetores de exposição.

Nãos se esqueça de considerar os temas que estão na agenda do CIO em relação a Cloud Security

  • Segurança na aplicação: Identificação de ameaças e vulnerabilidades no design, desenvolvimento, implantação, atualização das aplicações.
  • Auditoria e Compliance: Políticas e procedimentos, regulamentos, auditorias internas e externas, controle de conformidade.
  • Plano de Continuidade de Negócios (PCN): Política do PCN, análise de impacto, abordagem de recuperação de desastres, mecanismos de tolerância a falhas / failover.
  • Cloud Hardening: Proteção do ambiente de cloud e redução de vulnerabilidades.
  • Criptografia e Tokenization: Proteção dos dados em trânsito, dados em uso, dados em repouso.
  • Governança de Segurança Cibernética: Estratégia de Segurança e Gestão de Risco. Política de Segurança Cibernética e Normas.
  • Gestão de Identididades e Acessos: Restrição / Autorização de Acesso do Usuário, Revisão de Acesso do Usuário, Autenticação, Gestão de Senhas.
  • Proteção de dados: Classificação de dados, backup de dados, avaliações de conformidade com LGPD, segregação de dados, política de retenção, prevenção a vazamento de dados e descarte seguro.
  • Portabilidade: Capacidade de mover as aplicações e dados entre um fornecedor de cloud e outro e de se mover entre diferentes ambientes de cloud (públicas, privadas e híbridas).
  • Gestão de Eventos: Detecção / Prevenção de Intrusão, Métricas de Resposta a Incidentes, Gestão de Incidentes e Logs.
  • Gestão de Vulnerabilidades: Avaliação de vulnerabilidades, suporte a teste de invasão, gestão de patches, antivírus e anti-malware.

Boletim semanal de cibersegurança 2-8 outubro

Telefónica Tech    8 octubre, 2021

Vulnerabilidades em Apache ativamente explorado

No início desta semana, o Apache estava corrigindo um 0 day (CVE-2021-41773) que afetou os servidores HTTP do Apache e estava sendo ativamente explorado. No entanto, na quinta-feira descobrimos que o patch lançado na versão 2.4.50 era insuficiente, dando origem a uma nova vulnerabilidade, uma vez que um agente de ameaças remotas pode continuar a aproveitar o ataque Path Traversal para mapear URLs com arquivos fora do diretório raiz do servidor web através de diretivas semelhantes a Alias. Além disso, a execução remota de código também seria possível se os scripts CGI tivessem sido ativados em tais caminhos ou caminhos aliased. Essa nova vulnerabilidade, identificada como CVE-2021-42013, afeta as versões 2.4.4.49 e 2.4.50 e também está sendo ativamente explorada. A Apache lançou uma correção para a nova vulnerabilidade na versão 2.4.51. Além disso, a CISA fez uma publicação instando as organizações a aplicar os patches o mais rápido possível, já que varreduras maciças estão sendo observadas para aproveitar essas falhas.

Vulnerabilidade no Azure AD permite ataques de força bruta

Pesquisadores de segurança da Secureworks publicaram a descoberta de uma nova vulnerabilidade no Microsoft Azure. Essa falha, que ainda não foi corrigida pela Microsoft, poderia permitir que agentes de ameaças realizassem ataques de força bruta contra o Azure Active Directory sem serem detectados, já que nenhum evento de login seria gerado no inquilino da empresa vítima. A falha está no recurso SSO (Seamless Single Sign-On, on) do Azure, que permite que os usuários entrem automaticamente sem ter que inserir credenciais. No entanto, a exploração dessa falha não se limita apenas às organizações que usam OSO Sem Emenda. A Microsoft informou aos pesquisadores que os recursos do SSO sem emendas seriam melhorados para mitigar a vulnerabilidade. Como resultado da vulnerabilidade ser conhecida, algumas provas de conceito para explorar a  falha já foram publicadas no GitHub.

Syniverse sofre acesso não autorizado a seus sistemas durante anos

Em setembro, a empresa Syniverse informou à Comissão Nacional de Mercado de Valores Mobiliários dos EUA que havia descoberto em maio deste ano que havia sofrido um incidente de segurança que afetou seu ambiente de transferência EDT através de acesso não autorizado a bancos de dados internos em várias ocasiões desde 2016. A própria empresa, indicou que o incidente não afetou sua operação e que não houve tentativa de extorsão. A Motherboard publicou um artigo onde tenta avaliar o possível escopo real desses fatos, destacando que o Syniverse oferece serviços a mais de 300 empresas do setor de telecomunicações, como AT&T, Verizon ou T-Mobile. Além disso, em seu artigo acrescentam que um ex-funcionário da empresa teria relatado que os sistemas afetados continham acesso a metadados de registros de chamadas, dados de pessoas, números de telefone, locais, bem como conteúdo de mensagens de texto SMS. De acordo com o pesquisador de segurança, Karsten Nohl, o Syniverse teria acesso à comunicação de bilhões de pessoas em todo o mundo e esses fatos afetariam seriamente a privacidade dos usuários. De acordo com as mídias digitais, o Syniverse não quis pronunciar questões específicas sobre a real extensão da afetação.

Extraem 950GB de dados de um agente Tesla C2

Pesquisadores de Resecurity, em colaboração com vários ISPs da União Europeia, Oriente Médio e América do Norte, teriam conseguido extrair 950GB de informações de um servidor de Comando & Controle (C2) do Agente RAT Tesla, ativo desde o final de 2014 e conhecido pelo comprometimento de informações confidenciais através de campanhas malspam. Após analisar as informações, eles teriam localizado credenciais de usuário e arquivos confidenciais, entre outros, permitindo que os pesquisadores estabelecessem padrões de uso do Agente Tesla por agentes de ameaças. Entre esses padrões, destaca-se a distribuição geográfica das vítimas, localizando as regiões mais afetadas, como Estados Unidos, Canadá, Itália, Espanha, Chile ou Egito, bem como setores mais afetados por este RAT, entre os quais estão os setores financeiro, varejo e governamental. Como diferentes pesquisadores de segurança que estariam rastreando esse malware expõem, o agente Tesla continuará a ser uma ameaça aos ambientes windows, especialmente depois de observar que a nova versão do RAT estaria atacando a interface ASMI da Microsoft para evitar ser detectado e alongar os tempos de infecção.

​TangleBot – Novo Malware para Android

Pesquisadores de segurança do Proofpoint descobriram um novo malware para dispositivos móveis Android, que eles batizaram como TangleBot e que, por enquanto, seria destinado a usuários nos Estados Unidos e canadá. Esse malware é distribuído através de campanhas de smishing onde o envio de regulamentos sobre COVID-19 ou informações relacionadas a possíveis quedas de energia são simuladas. O SMS incentiva as vítimas a clicar em um link que as solicita uma atualização do Adobe Flash e as convida a baixar a suposta atualização. O que realmente acaba sendo instalado já é o TangleBot, um malware que dá aos invasores controle total dos dispositivos, o que lhes permite monitorar e gravar atividades do usuário, ativar um keylogger para interceptar todas as senhas digitadas ou também armazenar áudio e vídeo sem o conhecimento do usuário usando o microfone e a câmera do dispositivo. Além de seus recursos de espionagem e keylogging, o malware pode bloquear e fazer chamadas, levando à possibilidade de outros tipos de serviços premium serem ativados.

PackageDNA, nossa estrutura de análise de pacote de desenvolvimento que estreou na BlackHat

Diego Samuel Espitia    5 octubre, 2021

Após vários meses de pesquisa e desenvolvimento, durante o evento BlackHat USA 2021 Arsenal, apresentamos nossa ferramenta de análise profunda para pacotes de desenvolvimento que chamamos de PackageDNA. Foi o que pôde ser visto durante a palestra “Scanning DNA para detectar pacotes maliciosos em seu código”, cujo objetivo foi mostrar o framework de análise de bibliotecas que foi programado para ajudar desenvolvedores e empresas a validar a segurança dos pacotes que estão sendo usados ​​em seus códigos.

Essa ferramenta surgiu quando nós, da equipe de Inovação e Laboratório, decidimos analisar o malware que está oculto nas bibliotecas de desenvolvedores. De vez em quando, tornava-se público que alguns deles suplantavam os originais, já no final de 2018, quando algumas bibliotecas PyPi foram alertadas. A história se repetiria muito desde então, mas como fazer a pesquisa sem uma ferramenta que facilite a pesquisa?

Nossa ideia inicial era levar apenas os pacotes PyPi, mas nos propusemos um desafio maior e a ideia evoluiu para levar as bibliotecas das principais linguagens de programação. Assim, tornou-se um framework, que deveria mostrar a cada pacote que analisou no PyPi, RubyGems, NPM e Go, os seguintes dados:

  • Metadados do pacote;
  • HASH de todos os arquivos que ele contém;
  • detecção de possíveis IoCs, como IPs, HASH, URLs e e-mails;
  • análise estática do código, com ferramenta open source para cada linguagem;
  • análise usando AppInspector, ferramenta de código aberto da Microsoft para identificar componentes maliciosos;
  • validação de arquivos suspeitos contra Virustotal;
  • validação do relatório CVE no GitHub, levando em consideração a versão específica do pacote;
  • validação de pacotes gerados pelo mesmo usuário dentro da biblioteca e em outras linguagens de programação;
  • verifique o possível typosquatting do pacote na mesma biblioteca.

Tudo isso terminou em uma estrutura poderosa que permite uma análise profunda das bibliotecas que estão sendo usadas no código que é analisado ou que está sendo criado, mas que também dá aos analistas de segurança uma visão estática da segurança do código, uma visão sobre comportamento do atacante e dados para inteligência de ameaças.

Como usar o PackageDNA?

O framework é desenvolvido em Python3 com um console interativo que permite ao usuário simplesmente selecionar o que deseja fazer. A primeira tela que o usuário vê é a seguinte:

A partir daqui você deve iniciar com a opção 7 a configuração de todas as ferramentas externas que estão associadas ao uso do framework (todas são de uso livre ou desenvolvimentos de código aberto). Como você pode ver na imagem a seguir, é apenas para carregar corretamente cada valor.

Depois que tudo estiver configurado, o usuário pode executar o seguinte nas bibliotecas PyPI, RubyGems, NPM e Go:

  1. Analise a versão mais recente de um pacote;
  2. analise todas as versões de um pacote e compare os resultados entre as versões;
  3. carregue uma lista de pacotes com versões específicas;
  4. faça upload de um pacote local para análise.

Para a análise de inteligência de ameaças, o usuário seleciona a opção 4 no painel inicial e permite que ele entre em outro painel onde pode realizar:

  1. Pesquisas dos pacotes gerados em cada uma das bibliotecas e desenvolvimentos carregados no github usando o nome de usuário que deseja investigar;
  2. analisar o «typosquatting» e «marksquiatting» encontrados em uma biblioteca específica de um pacote;
  3. pesquise por segmentos de código dentro de um pacote específico.

Embora a ferramenta seja desenhada sem um banco de dados que armazene todas as buscas, existe uma opção que permite revisar os resultados das análises realizadas e armazenadas localmente na máquina.

Tendo as informações inicialmente no console, mas com a opção de visualizá-las no navegador através do Flask, conforme pode ser visto nas imagens a seguir.

Ataques na cadeia de abastecimento, a melhor bancada de teste

Durante o desenvolvimento, os ataques à cadeia de suprimentos de software ganharam grande relevância no mundo, com relatos de vários pacotes que foram detectados como maliciosos em muitas bibliotecas que estavam ao nosso alcance. Não poderíamos ter um cenário de teste melhor.

Na verdade, fomos capazes de analisar versões do maratlib, um pacote PyPI que foi implantado para minerar criptomoedas maliciosamente e suplantou um pacote comumente usados em matemática chamado matplotlib.

Executando a ferramenta e utilizando a comparação nas duas versões, pudemos ver claramente o segmento de código malicioso que é detectado pelo AppInspector e que está presente em apenas uma das versões carregadas na biblioteca.

Mas, além disso, podemos observar os outros pacotes que aparecem no relatório e que são gerados usando técnicas de typosquatting.

Portanto, com esta estrutura, esperamos ser capazes de fornecer à comunidade de desenvolvedores e analistas de segurança de código um mecanismo simples, mas muito poderoso, para atingir seus objetivos. Você pode baixá-lo gratuitamente em https://github.com/telefonica/packagedna e estamos abertos aos seus comentários e contribuições para melhorar a ferramenta.

Boletim semanal de cibersegurança 25 setembro – 1 outubro

ElevenPaths    1 octubre, 2021

Certificado raiz Let’s Encrypt (DST Root CA X3) expira

Há alguns dias, Scott Helme, fundador da Security Headers, destacou a data de 30 de setembro como a data em que o certificado raiz do Let’s Encrypt, DST Root CA X3, expiraria. A partir das 16:01 horário da Espanha, 30 de setembro, quando o certificado raiz existente expirou em vários sites, todos os dispositivos e navegadores que não foram atualizados (e para os quais, portanto, o certificado deixou de ser compatível) começaram a ter problemas ao considerar as conexões como não confiáveis. Em seu artigo, Helme forneceu uma lista de clientes que só confiavam no certificado que ia expirar e que, portanto, iOS<< < <10 (iPhone 5 é o modelo mais baixo que pode chegar ao iOS 10), iOS < 10 (iPhone 5 é o modelo mais baixo que pode chegar ao iOS 10),  Android < 7.1.1 (mas >= 2.3.6 funcionará se servido isrg Root X1 cross-sign), Mozilla Firefox < 50, Ubuntu < 16.04, Debian < 8, Java 8 < 8u141, Java 7 < 7u151, NSS < 3.26 e Amazon FireOS (SilkBrowser).» Para contornar esse problema, o Let’s Encrypt tem um novo certificado raiz, ISRG Root X1. Por outro lado, deve-se notar também que, até ontem, a empresa utilizou um sistema de identificação cruzada que tornou o DST Root CA X3 compatível com a versão mais recente e estendida do ISRG Root X1, porém, com o vencimento do primeiro, essa prática é encerrada. Após o vencimento e apesar dos avisos feitos, Helme teria confirmado problemas, pelo menos, para empresas como Palo Alto, Bluecoat, Cisco Umbrela, Catchpoint, Guardian Firewall, Monday.com, PFsense, Google Cloud Monitoring, Azure Application Gateway, OVH, Auth0, Shopify, Xero, QuickBooks, Fortinet, Heroku, Rocket League, InstaPage, Ledger, Netlify e Cloudflare Pages.

Guia de boas Práticas Recomendadas para Seleção e Reforço de Rede VPN

A Agência Nacional de Segurança (NSA) e a Agência de Segurança cibernética e infraestrutura dos EUA (CISA) criaram e publicaram conjuntamente um documento sob o título De seleção e endurecimento de soluções VPN de acesso remoto que visa ajudar as organizações a escolher uma solução VPN que siga os padrões atuais,  bem como a definição de uma série de práticas recomendadas para fazer uso de fortes credenciais de autenticação, agilidade para corrigir vulnerabilidades e implementar processos para proteger e monitorar o acesso à rede virtual privada (VPN). A publicação deste guia veio após os numerosos ataques ocorridos contra o governo e instituições de defesa em vários países durante este ano por atores de ameaças, apoiados principalmente por governos, e diferentes grupos de ransomware que se aproveitaram de vulnerabilidades conhecidas em serviços de VPN de uso generalizado, como Fortinet, Pulse Secure ou Cisco. O documento está agora disponível publicamente a partir do seguinte link e, como a própria NSA afirma em seu comunicado de imprensa, «A publicação da orientação faz parte de sua missão de ajudar a proteger os departamentos de defesa e segurança nacional

Chrome corrige novos 0 days ativamente explorado

Em 24 de setembro, o Google lançou uma atualização urgente de seu navegador Chrome para Windows, Mac e Linux que resolve um 0 day em que o próprio fabricante afirma ter relatos de sua exploração ativa na rede por atores de ameaças, embora não tenha fornecido detalhes específicos sobre os supostos incidentes. A falha, identificada como CVE-2021-37973 (no momento sem pontuação CVSSv3), reside no novo sistema de navegação do Google para Chrome chamado «Portais» e é um bug do tipo «use depois de livre» que, após uma exploração bem sucedida em versões vulneráveis do Chrome, permitiria a execução de código arbitrário. O Google já preparou a nova versão do Chrome 94.0.4606.61 que resolve o problema e, como dizem em sua própria publicação, «será implementado nos próximos dias/semanas».

Apenas alguns dias depois, em 30 de setembro, o Google lançou novamente uma atualização urgente de seu navegador Chrome para Windows, Mac e Linux resolvendo dois novos 0 days dos quais ainda não forneceu detalhes específicos, sendo reservado até a implementação massiva do patch. Essas vulnerabilidades, que estão sendo ativamente exploradas de acordo com o Google, foram designadas como: CVE-2021-37975,uma falha de uso de memória após sua liberação no motor V8 JavaScript e WebAssembly (use-after-free), o que permitiria o bloqueio de programas e a execução arbitrária de código; CVE-2021-37976 que produz um vazamento de informações no kernel do navegador. O Google já preparou a nova versão do Chrome 94.0.4606.71 que resolve o problema com planos para os usuários implementá-lo principalmente durante os próximos dias.

Malware GriftHorse para dispositivos Android inscrevem-se em serviços pagos

Pesquisadores de segurança da Zimperium descobriram um novo Trojan distribuído em larga escala desde novembro de 2020, que subscreve as vítimas a serviços premium de SMS. Até hoje, teria infectado mais de 10 milhões de dispositivos Android em mais de 70 países. A distribuição de malware é feita através de aplicativos de aparência legítima de ferramentas, personalização ou software de entretenimento, carregados na Google Play Store oficial e em lojas de terceiros. O malware é desenvolvido com a estrutura Apache Cordova, tornando-o multiplataforma e permitindo que atualizações sejam implantadas sem a necessidade de interação do usuário. O aplicativo exibe repetidamente alertas com pretextos de prêmios para redirecionar a vítima para um site em seu idioma no qual, ao inserir seu número de telefone, eles são inscritos em um serviço de SMS premium com um custo mensal superior a € 30. Deve-se notar que o malware emprega várias técnicas para evitar a detecção: evita codificar URLs, não reutiliza domínios, filtra o conteúdo com base na geolocalização do endereço IP e evita a verificação da análise dinâmica da comunicação. Os pesquisadores estimam que os autores do Troiano têm lucros mensais entre 1,2 e 3,5 milhões de euros.

Telefónica Tech no pódio de IoT e Big Data

Bernardo Campillo Soto    28 septiembre, 2021

Hoje queremos revisitar com vocês algumas boas notícias que recebemos em meados de junho, um pouco antes das férias de julho e agosto, um pouco antes do tórrido verão e das Olimpíadas, e isso nos fez irmos para aquelas merecidas férias com um pouco mais de alegria (se possível).

Como muitos de vocês devem se lembrar, a GlobalData, uma das principais casas de analistas do mundo, avaliou as capacidades da Telefónica Tech, em IoT & BigData. E Especificamente no campo da IoT, nos considerou líderes na última atualização de seu relatório “Global Industrial IoT Services: Competitive Landscape Assessment”.

Para salientar, apesar do sobrenome «Industrial IoT«, é na verdade um exercício de revisão global de todo o nosso portfólio de produtos e soluções, capacidades profissionais e capacidade de execução de projetos para nossos clientes e como tudo isso se compara com nossos concorrentes globais, tanto telecoms como empresas específicas de IoT. Vamos lá, no ano olímpico estamos no pódio dos Jogos Olímpicos de IoT.

Em seu relatório final, a GlobalData destaca como pontos fortes de nosso compromisso como Telefónica Tech IoT & BigData o seguinte:

  • Experiência no setor, visto que já gerenciamos mais de 35M de conexões IoT (incluindo todos os tipos de tecnologias: celular, fixa, LPWA, satélite etc.) para muitos clientes globais de alto perfil.
  • Visão da AI das Coisas: A união de ecossistemas e recursos que tínhamos para IoT e BigData / AI que implementamos nos últimos meses é considerada um diferencial, pois podemos oferecer um e2e2 real com mais valor para nossos clientes e seus negócios.
  • Nossa proposta na Indústria 4.0: Às capacidades já reconhecidas em versões anteriores do relatório (por exemplo, soluções especiais de conectividade através de LTE e Redes Privadas 5G) neste ano, adicionamos a consideração de que estendemos nossa oferta com parceiros especialistas neste espaço, podendo oferecer não apenas conectividade, mas casos de uso mais complexos e valiosos.

Podemos considerar que a melhora na posição global se deve ao fato de que, das 7 áreas avaliadas, ficamos em cinco delas e melhoramos em 2 delas, que, além disso, são vistas pela GlobalData como chaves em suas considerações para clientes potenciais de serviços de IoT. Especificamente, melhoramos nas áreas de:

  • Serviços de valor (de muito forte a líder): Nossas capacidades em serviços profissionais, de consultoria, segurança e análise de dados são avaliadas de forma muito positiva.
  • Parcerias (de Forte a Muito Forte): O universo de parceiros comerciais (ou seja, o Programa de Parceria como um canal de revenda) e parceiros de aplicativos (por exemplo, Geotab, soluções Edge com Microsoft, com AWS etc.) se destaca.

No gráfico anexo, você pode ver como fomos pontuados e como essas pontuações se comparam com a média do mercado.

Esta classificação de Liderança, de fato, representa uma melhoria em relação à posição “Muito Forte” que tínhamos em análises anteriores da GlobalData sobre este tipo de serviços e, portanto, confirma que estamos na direção certa em termos de como estamos armados com capacidades e soluções, como melhorou a nossa visão estratégica e o reforço das capacidades de execução que temos neste ecossistema, quer ao nível dos produtos, quer dos projetos mais especializados.

Por fim, gostaria apenas de lembrar que essa conquista é fruto de toda a empresa. Eu vejo isso como uma equipe e todos nós atiramos como um o tempo todo.

Vamos buscar a próxima medalha ou campeonato mundial ou o que quer que eles joguem em nós, Telefónica Tech!