Jump to content
Do Zero Ao Um - ABRIREMOS INSCRIÇÕES AO VIVO! - LIVE Terça-feira 25/06 às 19h - mente.in/youtube ×
    • Bruna Chieco
      O Microsoft Threat Intelligence Center identificou atividades do agente de ameaças Nobelium em conta de um representante de suporte ao cliente. Segundo os pesquisadores, o ataque envolveu invasão de senha e ataques de força bruta a partir da implantação de um malware para roubo de informações. Depois disso, os atacantes usaram as informações para lançar ataques altamente direcionados como parte de uma campanha mais ampla. 
      A Microsoft informa que a maioria dos alvos não foi comprometida com sucesso, mas todos os clientes comprometidos ou visados estão sendo contatados por meio de seu processo de notificação. "Esta atividade foi direcionada a clientes específicos, principalmente empresas de TI (57%), seguido pelo governo (20%), e porcentagens menores para organizações não governamentais e think tanks, bem como serviços financeiros", dizem os pesquisadores. 
      Os alvos estão especialmente localizados nos EUA (45%), seguido por 10% no Reino Unido, e números menores da Alemanha e Canadá. Ao todo, 36 países foram visados, diz a Microsoft. "A investigação está em andamento, mas podemos confirmar que nossos agentes de suporte estão configurados com o conjunto mínimo de permissões necessárias como parte de nossa abordagem de “acesso menos privilegiado” Zero Trust [Modelo e Estrutura de Segurança de Confiança Zero da Microsoft]". 

    • Nos últimos meses, dividimos algumas dicas para quem tem curiosidade acerca das possibilidades de carreiras em Segurança de Aplicações. Afinal, seja para uma transição de carreira, ou mesmo para quem está ingressando agora no mercado de trabalho, ela é apontada como uma das áreas mais promissoras para os próximos anos.
      Desta vez, para mostrar como é a rotina e quais são os desafios de um jovem profissional que está desbravando uma das muitas possibilidades de carreiras dentro de Segurança de Aplicações, resolvemos conversar diretamente com alguém que acabou de ingressar neste universo.
      Nosso bate-papo de hoje é com o Antony Leite, de 17 anos, que há cinco meses é estagiário no time Pentest as a Service (PTaaS) da Conviso, e que, no momento, está estudando para aprimorar suas skills técnicas em relação a Pentest Web e Pentest Mobile.  Foi a partir de uma conversa com um professor e com a ajuda de uma comunidade online que ele passou a ter interesse em uma carreira na área e acabou encontrando esta oportunidade na Conviso.
      Ele nos conta um pouco sobre como é a sua rotina enquanto um profissional que está começando nesta área, quais foram suas primeiras impressões e o que mais o surpreendeu em relação ao dia a dia de uma empresa de AppSec. Confira!
      Antony, antes de entrar na Conviso, qual era o seu conhecimento sobre Segurança de Aplicações? Já ouvia falar a respeito da área nos cursos que frequenta?
      Antes de entrar na Conviso eu estava terminando o curso Pentest Profissional e o Pentest Experience da DESEC (já terminei ele e só estou esperando a minha DCPT - Desec Certified Penetration Tester chegar). Eu fiquei sabendo da Conviso por conta do seu produto - o AppSec Flow -  em um dos bate papos na Boitatech.
      Antes de trabalhar na Conviso, você considerava uma carreira em AppSec? Ou aconteceu “por acaso”?
      Sim. O meu interesse pela a área de AppSec surgiu no início da pandemia e isso se deve a dois fatores. O primeiro é o meu professor Jocenio, que ministrava a matéria de Sistema de Comunicação, ao qual tive o prazer de ter alguns bate-papos sobre as possibilidades de trabalho nessa área. Naquele momento eu percebi que existia um mundo de possibilidades. O segundo fator foi a comunidade Boitatech, eles foram responsáveis pelo meu engajamento inicial na área, meu desenvolvimento em relação às skills técnicas e metodologias de estudo, durante esse tempo sempre estive presente nela, conheci pessoas incríveis que sempre me ajudaram.
      O que mais te surpreendeu a respeito da rotina de um profissional de AppSec?
      As possibilidades de trabalho. Antes de entrar na área eu tinha uma visão muito pequena de como funciona toda a operação de AppSec, achava que tinha poucas possibilidades, mas não - existem várias!

      "A parte mais gratificante acho que é o autodesenvolvimento, a sensação de sempre estar evoluindo, aprendendo algo novo, principalmente na Conviso, onde um dos valores é crescer 1% por dia"
       
      Como é a sua rotina de trabalho?
      A minha rotina de trabalho na Conviso inicia na segunda-feira, com uma reunião semanal, onde são separadas as análises que serão executadas durante a semana e quem será o responsável por cada uma. Normalmente eu fico acompanhando um analista em um projeto. No final da semana, na sexta-feira, acontece a reunião de Review, onde cada membro do time mostra o que ele realizou durante aquela semana, se enfrentaram alguma dificuldade na realização do projeto ou algo do tipo.
      Depois de 15 dias temos uma reunião de retrospectiva, onde apontamos pontos positivos, pontos que devem ser melhorados e ações para que o time possa melhorar - é uma dinâmica muito legal e produtiva. A cada 30 dias temos ainda a reunião One-a-One que acontece entre você e o seu líder, onde você levará pontos que possam ser melhorados no seu dia a dia, planos para o seu PDI - Plano de Desenvolvimento Pessoal, ou qualquer assunto que caiba a você e ao seu líder. Depois de algum tempo no estágio, acompanhando os analistas, você irá escolher um tema para fazer um blog post, onde a Conviso irá divulgar em seu blog.
      Para você, qual a parte mais gratificante de trabalhar nesta área? E qual a mais desafiadora?
      A parte mais gratificante acho que é o autodesenvolvimento, a sensação de sempre estar evoluindo, aprendendo algo novo, principalmente na Conviso, onde um dos valores é crescer 1% por dia. A parte mais desafiadora é quando encontramos a fronteira do nosso conhecimento. Na minha área, isso ocorre quando estamos analisando uma aplicação e encontramos novas tecnologias do mercado ou tecnologias implementadas de forma mais robusta, o que acaba nos levando a ter que estudar esse assunto mais a fundo, levando em conta as especificidades do sistema do cliente. Posso garantir que é bem desafiante, mas, por outro lado, é muito gratificante quando avançamos nessa fronteira do conhecimento.
      Você pretende seguir carreira em AppSec depois de formado? Se sim, qual direcionamento pretende tomar dentro da área?
      Sim, pretendo seguir na carreira de AppSec com foco na parte ofensiva.
      Que dicas você daria para alguém que tem interesse em ingressar na área de AppSec?
      Frequentar comunidades voltadas para essa área, participar de eventos e buscar se manter sempre atualizado sobre as novas tecnologias e tendências é um ótimo início, como também participar de CTFs, visto que temos ótimas plataformas como o TryHackMe, HackTheBox, PicoCTF. Porém, ressalto que estudar, buscar cursos e certificações voltadas para essa área é muito recomendável, pois são os momentos que você consegue dar alguns saltos de conhecimento. Além disso, junto aos cursos, buscar sempre praticar, testar a teoria e experimentar novas abordagens são também iniciativas que sempre garantem muito aprendizado e um amadurecimento/evolução na área de AppSec.
      Segurança de Aplicações - possibilidades de carreira vão muito além do Pentest
      Se assim como o Antony você tem interesse em uma carreira em Segurança de Aplicações, a Conviso tem vagas para variados perfis - desde estagiários a profissionais sênior - e em diversas áreas da empresa. 
      No caso do Antony, ele gostou tanto da experiência no time de Pentest as a Service (PTaaS), que pretende seguir na carreira de AppSec com foco na parte ofensiva. Mas vale lembrar que existem muitas outras áreas em que um profissional pode atuar quando falamos sobre AppSec.
      Na Conviso, por exemplo, um Analista de Segurança da Informação tem uma série de possibilidades. Este profissional pode trabalhar tanto na área de Consulting -  atuando em projetos que têm como objetivo entregar processos, programas e atividades que tenham como foco em AppSec; como pode também atuar no time de Managed Security Services - MSS, como o responsável por diversas etapas do ciclo de desenvolvimento seguro, análise de requisitos, modelagem de ameaças, revisão de código e recomendações de melhores práticas de segurança; e pode ainda também atuar na área de PTaaS, testando aplicações nos mais variados contextos possíveis, subvertendo software e construindo soluções criativas.
      E vale lembrar que até aqui abordamos apenas algumas das atividades relacionadas aos analistas que atuam nos times de Professional Services. Profissionais como um Desenvolvedor, que se dedica ao desenvolvimento de software, ou mesmo um Account Executive, que atua no time de Sales e tem contato direto com os clientes, também são imprescindíveis para que uma empresa de AppSec funcione e prospere!
      Se você tem interesse em saber mais sobre a rotina de outros profissionais que fazem uma empresa de Segurança de Aplicações acontecer - como Desenvolvedores Ruby on Rails, bem como time de Sales, Marketing e People Hacking, sinalize nos comentários, e certamente traremos este conteúdo em um próximo texto. Até lá, não deixe de conhecer as vagas abertas na Conviso. ?


    • Uma violação de uma pasta da Sony contendo números de identificação de série para cada console PlayStation 3 pode ter banido usuários da plataforma inexplicavelmente. Segundo o ThreatPost, a Sony supostamente deixou uma pasta sem segurança com cada ID de console PS3 online, que foi descoberta e relatada por um YouTuber espanhol em meados de abril. 
      Várias semanas se passaram, e agora os jogadores nos fóruns da PlayStation Network estão reclamando que não conseguem fazer login e estão recebendo a mensagem de erro 8071006. O ThreatPost diz que aparentemente atacantes começaram a usar os IDs roubados do console PS3 para fins maliciosos, fazendo com que os jogadores legítimos fossem banidos. 
      A Sony não respondeu ao pedido do ThreatPost para comentar ou confirmar se há uma relação entre a violação de ID do PS3 e os relatos de jogadores terem sido bloqueados da plataforma. Ainda assim, pesquisadores ressaltaram ao site de notícias a importância de todas as empresas terem controles de segurança mais robustos em tempo real, já que esse pode ser considerado um exemplo da falta de proteções de segurança adequadas e falta de visibilidade da própria empresa sobre seus dados confidenciais em tempo real.

    • O Bitcoin era até então o método de pagamento de escolha para cibercriminosos, mas aparentemente outra criptomoeda está surgindo como preferência entre eles. Segundo o Ars Technica, o Bitcoin ainda deixa um rastro visível de transações em seu blockchain subjacente, enquanto o Monero foi projetado para obscurecer o remetente e o destinatário, bem como a quantia trocada.
      Isso resulta na escolha do Monero como uma ferramenta cada vez mais procurada por gangues de ransomware, diz o site. A ascensão do Monero ocorre em um momento em que as autoridades correm para reprimir o crime cibernético após uma série de ataques audaciosos, em especial o ocorrido na Colonial Pipeline.
      O Monero foi lançado como um projeto de código aberto em 2014 por um usuário de um fórum bitcoin com o pseudônimo thankful_for_today. Seu documento original argumentava que a rastreabilidade do bitcoin era uma "falha crítica", acrescentando que "privacidade e anonimato são os aspectos mais importantes do dinheiro eletrônico".
      Bryce Webster-Jacobsen, Diretor de Inteligência do GroupSense, grupo de segurança cibernética que ajudou um número crescente de vítimas a pagar resgates em Monero, afirmou ao Ars Technica que grupos de ransomware estão mudando especificamente para essa criptomoeda reconhecendo a capacidade de cometer erros com o uso de Bitcoins, que permitem que as transações de blockchain revelem sua identidade.
      O REvil, por exemplo, aparentemente removeu a opção de pagar em Bitcoin este ano, exigindo apenas Monero, de acordo com Brett Callow, Analista de Ameaças da Emsisoft. Enquanto isso, tanto o DarkSide, o grupo culpado pelo ataque à Colonial Pipeline, quanto o Babuk, outra gangue de cibercrime, permitem pagamentos em qualquer criptomoeda, mas cobram um prêmio de 10% a 20% das vítimas que pagam em Bitcoins mais arriscados, dizem os especialistas.
      A ausência de uma trilha digital para o Monero é problemática para a polícia, que normalmente trabalha com grupos analíticos de criptomoedas do setor privado para rastrear transações suspeitas no livro razão digital do Bitcoin.

    • Quatro falhas de segurança separadas afetam cerca de 30 milhões de endpoints individuais da Dell em todo o mundo. Segundo o ThreatPost, as vulnerabilidades dariam aos invasores controle e persistência quase completos sobre os dispositivos visados.
      Os bugs de alta gravidade foram encontrados pelos pesquisadores da Eclypsium, e podem permitir que atacantes remotos obtenham execução arbitrária de código no ambiente de pré-inicialização dos dispositivos Dell. De acordo com uma análise da empresa de segurança, os bugs afetam 129 modelos de laptops, tablets e desktops, incluindo dispositivos corporativos e de consumo, protegidos pelo Secure Boot, padrão de segurança que visa garantir que um dispositivo seja inicializado usando apenas software confiável para o fabricante do equipamento original.
      As falhas permitem que adversários de rede privilegiados contornem as proteções de inicialização segura, controlem o processo de inicialização do dispositivo e subvertam o sistema operacional e os controles de segurança de camadas superiores, dizem os pesquisadores.
      Os problemas afetam o recurso BIOSConnect do Dell SupportAssist, uma solução de suporte técnico pré-instalada na maioria das máquinas Dell baseadas em Windows e utilizada para realizar recuperações remotas do sistema operacional ou para atualizar o firmware no dispositivo. O relatório da Eclypsium observou que as vulnerabilidades específicas permitem que um invasor explore remotamente o firmware UEFI de um host e obtenha controle sobre o código mais privilegiado do dispositivo.
      A primeira vulnerabilidade, CVE-2021-21571, é o início de uma cadeia que pode levar à execução arbitrária de código. As outras três vulnerabilidades distintas e independentes (CVE-2021-21572, CVE-2021-21573, CVE-2021-21574) ajudam os atacantes a obter a execução arbitrária de código no ambiente de pré-inicialização no dispositivo de destino, disseram os pesquisadores.

    • Atuando na área de segurança há cerca de 10 anos, Fernando Pinheiro (@n3k00n3) possui uma trajetória admirável de alguém que começou a se interessar sozinho por hackear e a partir disso desenvolveu uma carreira que o levou ao cargo de pentester. Mas sua história tem outro fator ainda mais relevante. Se considerando uma pessoa não-binária, Fernando não se identifica com o gênero feminino ou masculino. Esse é um fato que, dentro de sua caminhada profissional, nunca passou a ser relevante ou participar do seu dia a dia. Mas na sua visão, existem poucas oportunidades de conversar sobre o tema na área por ser um ambiente predominantemente masculino e machista.
      Fernando conta que esse assunto ainda é considerado um tabu na profissão, apesar de nunca ter interferido na sua carreira, que iniciou em Salvador (BA), onde nasceu. Fernando sempre consumiu muito conteúdo da comunidade de segurança da informação, mas o que despertou isso não foi um desejo pela profissão em si. "Meu interesse na área começou logo depois de ver uns jogos na lan house. Tinha que pagar para poder jogar e eu não tinha dinheiro. Eu via meus amigos aumentando de level e eu não conseguia evoluir tanto quanto eles, uma vez que não conseguia pagar as horas. No início foi estranho, mas me deu esse start. Foi aí que eu achei uma vulnerabilidade no aplicativo de gerência da lan house e consegui administrar as horas de todas as pessoas, tendo hora o suficiente para jogar o dia todo", conta em entrevista ao Mente Binária.
      Depois de um tempo, o administrador da lan house descobriu e criou uma nova versão do aplicativo. Mas Fernando insistiu no hacking até ser expulso da lan house. "Eu já tinha visto em filmes, entendia a ideia dos hackers, mas meu objetivo não era ser hacker, era só jogar. Foi o início de tudo, que chamou minha atenção", diz.
      E foi mesmo a vontade de jogar que despertou mais a sua curiosidade sobre hacking. Em casa, Fernando pesquisava sobre computação para tentar melhorar seu próprio computador, e acabou encontrando blogs com bastante informação sobre o tema. "Comecei a estudar mais, buscar conhecimento sobre, por exemplo, como funcionavam as vulnerabilidades de aplicações web".
      Na época com aproximadamente 15 anos, Fernando lia revistas para entender a parte de sistemas operacionais, mas ainda assim não levava tão a sério a história de virar hacker. "Aprendi umas coisas básicas do sistema que ajudaram mais tarde. Meu pai foi um dos maiores apoiadores na época, trazia revistas com CD de computação ou com vários jogos e uma revista digital que ensinava algo. Isso me levou a estudar mais sobre computador em si. Meu pai gostava e me influenciou", destaca.
      "Só consegui emprego nesse setor quando fui morar em São Paulo"
      Carreira – Fernando não sabia que dava para trabalhar na área de segurança, mas tinha conhecimento sobre a atividade de programação ou no suporte. "Eu tinha de 19 para 20 anos quando descobri a área de pentest como profissão e que as pessoas pagavam para alguém encontrar falhas. Eu falava para meus amigos 'como assim estavam pagando por isso e a gente fazia de graça?'", lembra. 
      Mesmo depois de descobrir que existia essa profissão, Fernando ainda passou por uma trajetória até virar pentester. "Eu trabalhei com suporte de Linux e como designer ligado à computação. Era legal enquanto não aparecia nada para trabalhar com segurança em si. Apesar de saber que existia a profissão e empresas que contratavam, parecia um mundo distante", diz Fernando, afirmando que em Salvador não tinha empresas na área, e que até hoje dificilmente se encontra uma empresa de segurança ofensiva na região. "Só consegui emprego nesse setor quando fui morar em São Paulo", conta.
      Mas enquanto ainda trabalhava com suporte de Linux, Fernando estudou e fez cursos sobre manutenção de computadores e redes. "Esse estágio foi em uma cooperativa de software livre, e foi onde eu me encontrei usando Linux, que era algo que eu gostava, pois era uma das base de segurança e estava no meio de uma comunidade ainda maior, com a filosofia hacker vivendo dentro desse ambiente", disse.
      Fernando ficou nessa empresa/cooperativa durante um pouco mais de 1 ano e depois conseguiu uma vaga como voluntário na Universidade Federal da Bahia (UFBA) para trabalhar como pentester. "Foi meu primeiro trabalho nessa área, mas não era só pentester, eram vários tipos de trabalho. Um deles era resposta a incidentes na automatização de tarefas. A Universidade era muito grande, não era o maior foco achar falha de segurança, mas esse foi o pontapé para a área", conta.

      Fernando participando do Nullbyte, encontro da comunidade hacker, em 2015
       
      Experiência na área de segurança – Depois da Universidade, onde ficou por uns 6 meses, Fernando participou de um projeto de verão chamado Rails Girls Summer of Code. Lá, aprendeu a desenvolver a linguagem de programação chamada Ruby on Rails para ajudar na segurança da aplicação. "Esse projeto durou cerca de 3 meses, e aí fui para uma empresa de segurança defensiva para implementar soluções de segurança como firewall, antivírus e WAFs. Era o outro lado da moeda", conta. 
      A partir dessa experiência, Fernando conseguiu ver como eram implementadas as soluções de segurança para impedir ataques e como esses ambientes eram gerenciados. "Isso chamou minha atenção sobre como explorar de forma melhor. Eu passei por vários clientes, principalmente de governo, e dava para entender como estavam as falhas e por que existiam. Isso me ajudou bastante a entender uma aplicação ou uma infraestrutura". 
      Depois disso, Fernando foi para São Paulo trabalhar na Cipher, onde atua até hoje. No meio disso, ainda passou por uma empresa de consultoria. "Basicamente, meu dia a dia é encontrar falhas de segurança em aplicações web, aplicações mobile, API, e infraestrutura. Cada semana tem um projeto novo, com linguagens de programação diferentes e desenvolvidas por pessoas diferentes". Dá uma olhada nas publicações que Fernando faz com base em pesquisas que também realiza no tempo livre em seu Blog.

      Fernando esteve entre os finalistas do Hackaflag em 2014
       
      Quebrando tabus – Fernando destaca que o fato de não se pronunciar muito sobre seu posicionamento de gênero dentro da comunidade LGBTQIA+ talvez seja um dos motivos que fizeram com que esse tema nunca tenha interferido em toda a sua trajetória. "Eu já vi algumas situações em que isso interferiu na vida de outras pessoas, como se isso fosse um demérito ou influenciasse na questão técnica de alguém. Isso é bem diferente do que a comunidade em si e a história do hacking diz", afirma. 
      Citando o Manifesto Hacker, Fernando diz que o que importa é o conhecimento técnico, e não a identidade de gênero ou a sexualidade de alguém. "Isso não quer dizer nada para a comunidade, e sim seu conhecimento científico/técnico e como isso ajuda a comunidade. Esse manifesto fala sobre isso, mas em muitas situações eu vi o oposto", lamenta.
      Por ainda ser um tema delicado diante de um universo com a mentalidade mais fechada, Fernando não costuma levantar esse assunto com receio da reação da comunidade, de como as pessoas veriam e como isso afetaria sua vida profissional. Contudo, conta uma experiência em que pôde falar mais abertamente sobre o assunto em um hacker space – Raul Hacker Club – em Salvador, onde várias pessoas da área de hacking, TI e desenvolvimento falavam sobre a pauta. 
      "Hacking é liberdade, é quebrar padrões"
      O verdadeiro hacking – Nas redes sociais, Fernando se classifica abertamente como não-binário, mas ainda assim acredita que falta um debate em si na área de segurança que aborde a comunidade LGBTQIA+. "Se pessoas da comunidade colocam isso em seus perfis, acho que chama atenção para um debate. E publicar sobre isso chama atenção para o assunto, já que são pessoas que estão na área há um tempo e isso não influencia em nada na vida profissional em termos de conteúdo técnico. Isso não deixou ninguém menos hacker, menos desenvolvedor", pontua.
      Fernando observa que nesse último ano houve uma mudança no cenário, e neste mês de junho, no qual é celebrado o Orgulho LGBTQIA+, o número de pessoas que publicaram sobre o assunto em suas redes aumentou. "Pessoas técnicas, que geralmente postam algo técnico, publicaram sobre o orgulho LGBTQIA+. Existem mais pessoas trans na área falando sobre isso e ajudando outras pessoas a entrarem na área", diz, citando ainda que houve uma recente visibilidade e reconhecimento de mulheres trans na comunidade hacker.
      Para Fernando, falar sobre o tema é se auto afirmar, lembrar que existe, e faz parte da filosofia dos hackers. "Hacking é liberdade, é quebrar padrões, é achar maneiras de subverter algo. Essas pessoas estão hackeando um padrão estabelecido há muito tempo. Somos hackers, por que não exercer isso na área de segurança? Por que não falar sobre o assunto?", questiona.
      Fernando incentiva a todos a abordarem esse assunto sem medo. "Seja seu melhor, independente de sua crença, de sua orientação. Falar sobre isso vai ser bom, e não influencia no seu quesito técnico. Falem sobre isso, hackeiem!". ?️‍?

    • O Google está trabalhando para permitir que código Rust seja utilizado no kernel Linux, o que se trata de uma grande mudança tecnológica e cultural após décadas usando apenas a linguagem C. Para isso, a empresa financiará o projeto com o objetivo aumentar a segurança do sistema operacional, conforme publicou o CNet.
      A empresa já financia um projeto do Internet Security Research Group para deixar toda a Internet mais segura. Trata-se de um módulo para o Apache HTTP web server (ou simplesmente httpd), que é um software livre, sendo o servidor web mais utilizado no mundo, também escrito em linguagem C, utilizando a linguagem chamada Rust.
      Agora, o projeto permite possível adicionar novos elementos escritos em Rust no coração do Linux, chamados de kernel, o que tornaria os sistemas operacionais Android e Chrome do Google mais seguros. Miguel Ojeda está sendo contratado para escrever software em Rust para o kernel Linux. O Google está pagando pelo contrato, que será estendido por meio do Internet Security Research Group. 
      A melhor segurança para o Linux é uma boa notícia para todos, exceto para os atacantes. Além dos sistemas operacionais Android e Chrome, os serviços do Google, como YouTube e Gmail, contam com servidores que executam Linux. Ele também capacita a Amazon e o Facebook, e é um acessório nos serviços de computação em nuvem.
      Não está claro se os líderes do kernel do Linux irão acomodar o Rust. Segundo o CNet, Linus Torvalds, o fundador do Linux, disse que está aberto a mudanças se o Rust para Linux provar seu valor. 

×
×
  • Create New...