Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
Teletrabalho: equilíbrio entre controle empresarial e privacidade do trabalhador (II)Antonio Gil Moyano Juan Carlos Fernández Martínez 21 enero, 2021 Dando continuidade ao primeiro artigo em que vimos tanto a regulamentação do teletrabalho quanto as medidas de segurança e privacidade nessa modalidade, nesta segunda parte vamos nos aprofundar no que realmente interessa a regulamentação: o equilíbrio jurídico e técnico entre as partes, em neste caso, empregador e empregado. Equilíbrio entre o poder de controle do empregador e o direito do trabalhador à privacidade A linha estabelecida pelos Tribunais para o acesso legal do empregador às informações corporativas dos dispositivos começa com o dever destes segundo o regulamento anterior de ter políticas sobre a utilização dos seus dispositivos, matéria que está regulamentada na actual Lei de Protecção Dados. E a pergunta de um milhão de dólares: o empregador pode acessar as informações de dispositivos e e-mails corporativos? «Depende». Depende do ponto de vista de que se trata, do empregador ou do trabalhador, uma vez que a resposta pode ser tão variada quanto os casos existam na realidade empresarial. A primeira coisa que deve ser verificada é a existência de regulamentação prévia das regras de uso do dispositivo. Caso a resposta seja afirmativa, deve-se analisar o documento em questão e verificar quais são as medidas de controle regulamentadas e a existência ou não de proibições expressas de uso pessoal. Essa proibição pode ser motivada por razões de segurança da informação. Por outro lado, se não houver tal regulamentação e, tendo em vista o acesso às informações corporativas do trabalhador, este pode alegar que seu direito à privacidade foi violado, desde que entendam os tribunais que, na ausência de regulamentação, existe uma certa tolerância no local de trabalho para uso pessoal dos equipamentos da empresa. Em ambos os casos e para evitar problemas de arbitrariedade do empregador, é necessário comprovar a existência de suspeita prévia sobre a violação laboral do seu trabalhador e, com base nesta indicação, justifica-se o início da investigação e a obtenção de provas, obedecer aos princípios da necessidade, idoneidade e proporcionalidade , de forma a permitir ao empregador a prova da infracção garantindo o máximo zelo pelo direito à privacidade do trabalhador. Para solucionar a minimização do acesso à informação, os técnicos costumam utilizar programas de computador que permitem realizar pesquisas heurísticas com base em critérios de palavras-chave, seleção de intervalos de datas e arquivos com base no código de sua assinatura hash , desta forma podem discernir grão de joio, em uma teia de informações e e-mails. É uma pergunta comum entre advogados e especialistas em TI: quem é considerado responsável pela legalidade das evidências obtidas? E a resposta de ambos os profissionais é que os empregadores tendem a delegar a responsabilidade de técnicos de TI na obtenção de provas digitais, incluindo, em muitas ocasiões, a presença de advogados de empresas, uma vez que tendem a desconhecer a regulamentação específica da matéria. . Neste sentido e de forma a limitar responsabilidades quanto à validade dos testes, Recomenda-se a estes profissionais, especialistas em informática, que reflictam esta circunstância quanto à validade da prova e à limitação da responsabilidade especificamente no objeto do contrato de prestação de serviços. Sendo o mais correto incorporar um terceiro ator, como a figura de um advogado especializado em provas e investigações tecnológicas, o que permite ao empregador estabelecer uma correta estratégia de prova digital para comprovar o fato da suspeita prévia e, consequentemente, a legitimidade para Investigação aprofundada. Acompanhamento desse profissional ao empregador em todo o processo que poderia resultar, por exemplo, em dispensa disciplinar, desde obtenção de prova digital até defesa em juízo. Ferramentas técnicas para controle e acesso a dispositivos de informação da empresa Por termos uma equipa de suporte informático e cibersegurança na nossa empresa, sabemos bem o que esta mudança repentina na forma de trabalhar significou para os nossos clientes, sem estarmos preparados e sem termos tomado as medidas necessárias para garantir a segurança das informações e a continuidade de seus negócios . Tivemos que configurar a sua infra-estrutura para adaptá-la a uma utilização massiva do teletrabalho, assim como os computadores pessoais dos utilizadores que, em geral, não cumpriam os requisitos mínimos de segurança. É um cenário complexo e requer o uso de ferramentas que permitem um controle seguro e acesso às informações da empresa. Antes de desenvolver uma política de segurança da informação relacionada ao gerenciamento de ativos e teletrabalho, devemos nos fazer as seguintes perguntas: Sobre ativos Existe uma política sobre o uso aceitável dos ativos da empresa, como computador ou laptop, celular, e-mail, mensagens instantâneas, internet, redes sociais, etc.?É permitido o uso pessoal dos ativos da empresa ?Em caso afirmativo, o uso inadequado foi adequadamente documentado e explicado?Foi aceito e assinado pelo funcionário?Como isso é controlado e gerenciado?Existe algum tipo de monitoramento ou rastreabilidade?Terminada a relação funcionário / empresa, como esses bens são devolvidos?Existe procedimento e documento para este fim?O que acontece se eles não forem devolvidos? Sobre teletrabalho Existe uma política específica de teletrabalho voltada para usuários móveis?Os controles aplicados são iguais para todos os usuários, independentemente de sua localização?Para dispositivos móveis, existe algum tipo de ferramenta MDM (Mobile Device Management) que permita seu controle e criptografia?Foram implementadas medidas específicas para garantir a utilização durante o teletrabalho? Como por exemplo:Usando conexão VPN (Virtual Private Network)Senha forte com autenticação de dois fatores (2FA)BackupsAtualizações do sistemaSoluções de segurança específicas (não apenas antivírus)Segurança na nuvem (95% dos ataques na nuvem serão de responsabilidade dos usuários) O INCIBE desenvolveu um guia de segurança cibernética para teletrabalho para orientar essas boas práticas. Conclusões É obrigatório conhecer e aplicar, em qualquer infração trabalhista por meio das novas tecnologias da ordem do trabalho, o que se conhece como Teste Barbulescu II, em nome de sentença célebre do Tribunal Europeu de Direitos Humanos em que são dados critérios para o acesso legal às informações dos dispositivos / emails corporativos. Onde a primeira coisa a fazer é verificar a existência de políticas para o uso de dispositivos da empresa e se ajustadas à realidade da organização, à metodologia de trabalho e à existência de proibições expressas de uso pessoal, de forma que o trabalhador não possa alegar o que se denomina «expectativa de privacidade» no o uso pessoal de dispositivos corporativos e, portanto, as provas obtidas por violação dos Direitos Fundamentais podem ser declaradas nulas. E se, por fim, fossem aplicados os princípios da necessidade, adequação e proporcionalidade para o acesso às informações nos equipamentos de informática do trabalhador. Entendendo que, com o cumprimento do anterior, tanto do ponto de vista jurídico como da execução técnica, a obtenção das provas deve ser considerada lícita e, consequentemente, levada em consideração pelo Tribunal, observados critérios de pertinência e avaliação gratuita , bem como os princípios da publicidade, oralidade, imediatismo, contradição e concentração no ato oral. Não existe cibersegurança 100%, nem total segurança jurídica. Estudo de caso: meu funcionário me trai Nossa empresa possui um aplicativo de cadastro de funcionários, onde a cada dia eles devem se identificar no início, para que sejam registrados os horários de entrada e saída. Nosso funcionário trabalha com um aplicativo que também registra todo o processo / atividade deste enquanto trabalhamos nele. Esta função desenvolve-se há 10 anos, embora ultimamente tenhamos notado alguns comportamentos estranhos juntamente com algumas perdas injustificadas. Além disso, alguns de seus colegas reclamam de assédio e a gerência chamou sua atenção em várias ocasiões. A empresa e o empregado fazem o acompanhamento das faltas e faltas ao trabalho, detectando-se uma discrepância em determinado dia em que o empregado afirma ter comparecido. Nosso trabalho de análise forense começa analisando o aplicativo de log de acesso e também seu trabalho. Detectamos que naquele dia específico foram registrados dois acessos com aquele usuário: um às 8h, que dura apenas 2 segundos; e outra às 20h05, que vai até às 14h, horário de saída. No desenho da aplicação, não só foi levado em consideração o cadastro do usuário, mas também o IP a partir do qual o usuário se conecta. Este IP é sempre o mesmo, o da empresa, uma vez que todos os utilizadores trabalham na rede e não está contemplado o teletrabalho na empresa. Detecta-se que o IP cadastrado é externo e portanto essa conexão foi feita de fora da empresa. O log também é analisadodo aplicativo de gerenciamento e verifica-se que não houve nenhuma atividade naquele dia para aquele usuário. Em seguida, procedemos à reclamação e solicitamos ao tribunal para que o operador de comunicações identifique e geograficamente o IP registado. O relatório da operadora confirma que o IP corresponde a um ADSL que está em nome do funcionário e está geolocalização no seu endereço habitual. Resolução de caso Todas as evidências encontradas (IP da ligação externa, actividade da aplicação de gestão e sua geolocalização com laudo técnico da operadora) apontaram para o facto de ter sido o colaborador, a partir de casa, quem fez a ligação para que a empresa visse que naquele dia ele estava trabalhando no escritório. Por fim, a resolução foi favorável à empresa. Primeira parte do artigo disponível aqui: Teletrabalho: equilíbrio entre controle empresarial e privacidade do trabalhador (I) As primeiras vulnerabilidades oficiais no Machine LearningCriptografia plausivelmente negável ou como revelar uma chave sem revelá-la
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...