Jump to content
  • News

    • Bruna Chieco
      Cibercriminosos estão varrendo a Internet em busca de vulnerabilidades conhecidas para construção de temas no WordPress. Segundo informações de pesquisadores do Wordfence Threat Intelligence obtidas pelo ThreatPost, sites WordPress usando temas Epsilon Framework com bugs estão sendo caçados por esses criminosos. Mais de 7,5 milhões de sondagens direcionadas a essas vulnerabilidades foram observadas. Basicamente, os cibercriminosos estão procurando por sites que se esqueceram de instalar as atualizações mais recentes do tema. 
      Os problemas em questão são bugs de injeção de função, afetando cerca de 150 mil sites. O Epsilon serve como base para vários temas WordPress e recentemente diversos bugs corrigidos recentemente no framework podem ser encadeados para permitir a execução remota de código (RCE) e controle de sites.
      As falhas de segurança em sites WordPress em temas que usam o Epsilon Framework são apenas um exemplo dos riscos de segurança inerentes a este sistema de gerenciamento de conteúdo. Outra falha diz respeito ao Shadow Code introduzido por meio de plug-ins e estruturas de terceiros, que expande amplamente a superfície de ataque para sites WordPress. Para evitar problemas, os proprietários de sites precisam estar atentos a plug-ins e estruturas de terceiros e ficar em dia com as atualizações de segurança. 
      Os ataques são essencialmente de sondagem, projetados para determinar se um site tem um tema vulnerável instalado. Aparentemente, a exploração ainda não está em um estado maduro. 
      O WordPress suporta até um terço de todos os sites na Internet, incluindo alguns dos sites de maior tráfego e uma grande porcentagem de sites de comércio eletrônico, portanto, a segurança deve ser a principal preocupação das organizações que utilizam o sistema, mantendo os plug-ins e software atualizados e corrigidos. 
       

    • Uma vulnerabilidade no aplicativo de conferência Webex da Cisco pode permitir que um participante atue como um "fantasma" em reuniões, espionando seus conteúdos. A falha CVE-2020-3419 permite que invasores entrem nas reuniões, no entanto, eles precisam de acesso para ingressar, incluindo links e senhas aplicáveis. Segundo o ThreatPost, por esse motivo, a falha é considerada apenas de gravidade média pela Cisco, que já fez as devidas correções.
      Ao conseguir acesso à reunião, um invasor pode explorar a falha enviando solicitações elaboradas para um site vulnerável do Cisco Webex Meetings ou do Cisco Webex Meetings Server, explorando essa vulnerabilidade para ingressar em reuniões sem aparecer na lista de participantes. “Com essa falha, um fantasma poderia ficar em uma reunião sem ser visto pelos outros, mesmo depois de ser expulso pelo anfitrião, o que torna essa prática especialmente problemática”, disseram pesquisadores da IBM, que atuou junto à Cisco para combater o problema.
      A vulnerabilidade se deve ao manuseio incorreto de tokens de autenticação por um site do Webex vulnerável, afetando todos os sites Cisco Webex Meetings antes de 17 de novembro de 2020; e todos os aplicativos Cisco Webex Meetings com a versão 40.10.9 e anteriores para iOS e Android. A falha também afeta os lançamentos do Cisco Webex Meetings Server 3.0MR Security Patch 4 e anteriores, e 4.0MR3 Security Patch 3 e anteriores.
      Duas outras falhas no Cisco Webex também foram descobertas por pesquisadores da IBM, incluindo a CVE-2020-3441, que permite que um invasor remoto não autenticado visualize informações confidenciais do Webex no lobby da sala de reunião, e a CVE-2020-3471, que permite que invasores mantenham a conexão de áudio de uma sessão Webex mesmo sendo expulsos.
      Usuários devem atualizar para a versão mais recente do Webex imediatamente para garantir que estejam protegidos contra essas vulnerabilidades.
       

    • Com o isolamento social decorrente da pandemia de COVID-19, o uso de plataformas de videoconferência para aulas e reuniões aumentou exponencialmente no mundo todo. Junto com isso, começou a surgir um tipo de invasão nessas reuniões, chamada de Zoombombing, quando as reuniões do Zoom são invadidas por terceiros não autorizados com o objetivo de interromper as sessões em andamento e assediar os participantes.
      Para evitar esse tipo de perturbação, o Zoom anunciou o lançamento de dois novos recursos de segurança para remover e relatar participantes perturbadores das reuniões: 
      - Suspender Atividades Participantes: no ícone Segurança, os anfitriões (hosts) e co-anfitriões (co-hosts) agora têm a opção de pausar temporariamente a reunião e remover um participante que atrapalha. Ao clicar em “Suspender Atividades do Participante”, todos os vídeos, áudio, bate-papo em reunião, anotações, compartilhamento de tela e gravação durante esse período serão interrompidos e as salas de sessão de grupo serão encerradas.
      Os hosts ou co-organizadores serão questionados se gostariam de denunciar um usuário de sua reunião, compartilhar quaisquer detalhes e, opcionalmente, incluir uma captura de tela. Depois de clicar em "Enviar", o usuário denunciado será removido da reunião e a equipe de segurança do Zoom será notificada. Os anfitriões e co-anfitriões podem, assim, retomar sua reunião, reativando individualmente os recursos que gostariam de usar. O Zoom também enviará um e-mail após a reunião para coletar mais informações.
      O recurso Suspender Atividades do Participante é habilitado por padrão para todos os usuários gratuitos e pagos do Zoom.
      - Relatório dos participantes: além dos hosts e co-hosts poderem relatar usuários a partir do ícone Segurança, os participantes da reunião também podem, clicando na ferramenta de Segurança do lado superior esquerdo da tela. Proprietários de contas e administradores podem habilitar recursos de relatório para não hosts em suas configurações da web.
      Os novos recursos estão disponíveis nos clientes de desktop Zoom para Mac, PC e Linux, e em nossos aplicativos móveis, com suporte para o cliente da web e VDI que virá ainda este ano.
      - Notificador de reunião em risco: o Zoom implantou também um Notificador de reunião em risco para verificar postagens de mídia social pública e outros sites em busca de links de reunião Zoom compartilhados publicamente. Quando a ferramenta detecta uma reunião que parece ter alto risco de ser interrompida, ela alerta automaticamente o proprietário da conta por e-mail e fornece conselhos sobre o que fazer. Essas etapas podem incluir a exclusão da reunião vulnerável e a criação de uma nova com uma nova ID de reunião, habilitando as configurações de segurança ou usando outra solução, como webinars do Zoom ou OnZoom. Ao receber um e-mail, o Zoom recomenda agir, ou haverá o risco de ter a reunião interrompida.

    • Os programas de recompensa para caçadores de bugs (conhecidos como bug bounty) estão se tornando cada vez mais populares. O ZDNet contou a história de alguns pesquisadores que participaram desses programas e obtiveram sucesso, sendo essa uma forma diferente de abordar a cibersegurança. Esses pesquisadores de segurança abordam um alvo da mesma perspectiva de um invasor em potencial.
      Essa indústria em crescimento permite aos pesquisadores de segurança invadir o software das organizações com a permissão delas. Depois, eles relatam os pontos fracos que descobrem em troca de uma recompensa financeira. A primeira vez que Katie Paxton-Fear encontrou um bug, ela pensou que era apenas sorte. Ela não tinha experiência em segurança cibernética, mas era programadora e desenvolvedora. Ela já encontrou mais 30 bugs de segurança desde então.
      Esse tipo de programa permite que essas organizações resolvam os problemas antes que os invasores mal-intencionados encontrem os mesmos pontos fracos. Várias empresas executam seus próprios programas de recompensa para caçadores de vulnerabilidades, mas existem também empresas que organizam esses programas para outras companhias que não desejam executá-los internamente.
      De acordo com o HackerOne, empresa que organiza recompensas por bugs para grandes empresas e agências governamentais, nove hackers já ganharam mais de US$ 1 milhão cada um em recompensas por detectar vulnerabilidades. Outros 13 atingiram US$ 500 mil em ganhos vitalícios e 146 hackers já ganharam US$ 100 mil cada.
      Tommy DeVoss é um dos pesquisadores que ganhou algumas recompensas pelo trabalho, e ele conta ao ZDNet que era um hacker mal-intencionado que se tornou um caçador de recompensas de insetos, e nesses programas ele procura coisas que mudaram nos sistemas que ele tem como alvo, checando bugs antigos para ver se houve uma mudança que significa que a falha está de volta. Assim, DeVoss usa o conhecimento que antes era voltado para cometer crimes, mas agora para ser recompensado dentro da lei.
      O HackerOne disse ao ZDNet que a recompensa média paga por uma vulnerabilidade crítica é de US$ 3.650, enquanto o valor médio pago por vulnerabilidade é de US$ 979. Isso tem estimulado muitos outros hackers a entrarem para esse mundo dos caçadores de bugs. Os benefícios para os pesquisadores estão na chance de vasculhar os sistemas de outras pessoas e ser pago por isso, sem descumprir nenhuma lei. Já para as empresas que usam programas de recompensa, o benefício é poder fazer com que muitos hackers experientes examinem seu código exatamente da mesma maneira que os invasores fariam, mas sem o risco.
      O ZDNet conta a história de mais alguns caçadores de bugs e de empresas que aplicam esses program,as em sua reportagem, em inglês. Leia mais.

    • O .NET 5.0 foi lançado esta semana pela Microsoft incluindo C# 9 e F# 5 e com um conjunto de novos recursos e melhorias. O .NET Framework é uma iniciativa da Microsoft que visa oferecer uma plataforma única para desenvolvimento e execução de sistemas e aplicações. Todo e qualquer código gerado para .NET pode ser executado em qualquer dispositivo que possua um framework da plataforma. 
      A versão 5.0 já está em uso ativo por equipes da Microsoft e de outras empresas para produção e testes de desempenho. O ASP.NET Core, EF Core, C# 9 e F# 5 também foram lançados. É possível baixar o .NET 5.0, para Windows, macOS e Linux, para x86, x64, Arm32, Arm64 aqui. Veja também o comunicado com as demais informações.
      A Microsoft destaca que o .NET 5.0 tem como objetivo permitir que um grupo muito maior de desenvolvedores migre seu código e aplicativos do .NET Framework para o .NET 5.0. Veja os highlights da nova versão:
      .NET 5.0 já foi testado por ser hospedado por meses em dot.net e bing.com. O desempenho é bastante aprimorado em muitos componentes e é descrito em detalhes em melhorias de desempenho no .NET 5.0; Desempenho do Arm64 no .NET 5.0; e gRPC. C# 9 e F# 5 oferecem novos aprimoramentos de linguagem, como programas e registros de nível superior para C# 9, enquanto F# 5 oferece programação interativa e um aumento de desempenho para programação funcional em .NET. As bibliotecas .NET têm desempenho aprimorado para serialização Json, expressões regulares e HTTP (HTTP 1.1, HTTP / 2).  A latência do P95 caiu devido a refinamentos no GC, compilação em camadas e outras áreas. As opções de implantação de aplicativo são melhores, com publicação de aplicativo cliente ClickOnce, aplicativos de arquivo único, tamanho de imagem de contêiner reduzido e adição de imagens de contêiner Server Core. Escopo da plataforma foi expandido com Windows Arm64 e WebAssembly. Dentre as várias novidades do C# 9, tem uma legal que sempre foi algo meio lógico de se pensar, mas que nunca funcionou, que é um if assim:
      var tecla = Console.ReadKey(); if (tecla.KeyChar is 'Y' or 'y') { // faça algo } // Antes teria que ser feito: if (tecla.KeyChar == 'Y' || tecla.KeyChar == 'y') { // faça algo } Legal, né? Duas condições escritas de maneira muito mais simples. 🙂

    • A Polícia Federal do Amazonas está investigando fraudes bancárias eletrônicas praticadas através do Internet Banking em Manaus. A Operação Boleto Real foi deflagrada na quarta-feira, dia 10 de novembro, visando cumprir três mandados de busca e apreensão expedidos pela 2ª Vara Federal da Justiça Federal no Amazonas. Os investigados irão responder por furto mediante fraude e organização criminosa e, se condenados, poderão pegar até 16 anos de prisão.
      Segundo comunicado da Superintendência Regional da Polícia Federal no Estado do Amazonas obtido pelo Mente Binária, os criminosos utilizavam contas de vítimas para efetuar o pagamento de impostos estaduais e federais, transferências e compras pela Internet, tendo movimentado ilicitamente mais de R$ 2 milhões nos últimos meses. O comunicado diz ainda que diversas empresas “de fachada” eram utilizadas para ocultar os valores obtidos por meio das atividades criminosas.
      A Operação Boleto Real é resultado da força-tarefa Tentáculos de repressão a fraudes bancárias eletrônicas, coordenada pela Polícia Federal com a cooperação de instituições bancárias aderentes a um Acordo de Cooperação Técnica. Dentro da atuação conjunta, a Polícia Federal possui um Grupo Permanente de Análise para a investigação desse tipo de delito. Assim, foi identificado um estabelecimento comercial do ramo da construção civil em Manaus que se utilizava de serviços de invasão de contas bancárias, por meio da Internet, para pagamentos de boletos de compras para compor seus estoques.
      A PF vem observando ainda que criminosos têm utilizado de uma estratégia denominada “fraude as a service”, ou seja, fraudes bancárias eletrônicas para obter financiamento para diversas condutas criminosas, como tráfico de drogas, lavagem de dinheiro, entre outras.

    • A Federal Trade Commission (FTC) fez um acordo com o Zoom após acusar a empresa de videochamadas de se envolver em "uma série de práticas enganosas e injustas que minaram a segurança de seus usuários". Segundo a FTC, o Zoom alegava que sua criptografia era mais forte do que realmente era. Em acordo, a FTC exige que a empresa implemente um programa robusto de segurança da informação para resolver as acusações.
      A FTC alega que o Zoom manteve as chaves criptográficas que poderiam permitir à empresa acessar o conteúdo das reuniões de seus clientes, e que suas reuniões tinham um nível de criptografia inferior ao prometido. “As alegações enganosas do Zoom deram aos usuários uma falsa sensação de segurança, de acordo com a reclamação da FTC, especialmente para aqueles que usaram a plataforma da empresa para discutir tópicos delicados, como saúde e informações financeiras”, diz a FTC.
      Segundo a FTC, pelo menos desde 2016, o Zoom enganou os usuários ao anunciar que oferecia "criptografia ponta-a-ponta de 256 bits" para proteger as comunicações dos usuários, quando na verdade fornecia um nível inferior de segurança. A criptografia ponta-a-ponta é um método de proteger as comunicações de forma que apenas o remetente e os destinatários, e nenhuma outra pessoa, nem mesmo o provedor da plataforma, possa ler o conteúdo.
      O Zoom admitiu o erro, segundo o TechCrunch, levando a empresa a lançar um esforço de recuperação de 90 dias, que incluiu a implementação de criptografia ponta-a-ponta para seus usuários. Isso acabou sendo lançado no final de outubro, mas inicialmente dizendo que os usuários gratuitos não poderiam usar criptografia.
      A FTC também alegou que o Zoom armazenou algumas gravações de reuniões não criptografadas em seus servidores por até dois meses e comprometeu a segurança de seus usuários ao instalar secretamente um servidor web chamado ZoomOpener nos computadores de seus usuários para que eles entrassem nas reuniões mais rapidamente. O Zoom lançou uma atualização que removeu o servidor web, e a Apple também interveio para remover o componente vulnerável dos computadores de seus clientes.
      Em sua declaração, a FTC disse que proibiu a Zoom de deturpar suas práticas de segurança e privacidade no futuro, e concordou em iniciar um programa de gerenciamento de vulnerabilidade e implementar uma segurança mais forte em sua rede interna. O porta-voz da Zoom, Colleen Rodriguez, disse em um comunicado que o Zoom "já tratou dos problemas identificados pela FTC".

×
×
  • Create New...