Jump to content
    • Fernando Mercês
      Foi lançada na última sexta-feira, dia 7 de Abril de 2023, a versão snapshot_2023-04-07_18-12 do x64dbg. Os commits desde a versão anterior foram:
      7 de Abril de 2023
      Fixed compilation error caused by generated code 5 de Abril de 2023
      Merge pull request #3044 from torusrxxx/patch000000d9 Fix a one-off issue while painting Add the plugin directory to the DLL search path 11 de Março de 2023
      Fixed cannot delete a variable using "vardel x" Clean up XMM formatting; Fix build error with QMutex not found 10 Março de 2023
      Add support for enumerating a range of symbols Em termos de novos recursos, não veio nenhum novo dessa vez, mas tem correções de bugs importantes na apresentação dos valores dos registradores XMM (existem oito na arquitetura IA-32 da Intel, introduzidos com as extensões SSE). Além disso, o diretório de plugins (release\x32\plugins ou release\x64\plugins) foi adicionado na busca padrão de dependências. Imagino que isso facilite quando um plugin for necessário no processo de boot do x64dbg, mas vamos esperar para ver se esse recurso será utilizado por algum plugin, afinal, os desenvolvedores devem ter um bom motivo para empenharem tempo nisso.
      Happy Hacking. 🤠

    • Que o número de malwares feitos para Linux vem aumentando todo mundo sabe. Passamos por botnets IoT, ransowmare alvejando VMware ESXi e ambientes de nuvem. Sem falar em rootkits ring 3, ring 0, ring o caramba a quatro. Não tá fácil. 😷
      Para ajudar na busca por samples de malware similares, em abril de 2020 eu tornei público o Telfhash, uma espécie de imphash com anabolizantes para executáveis ELF. As principais diferenças são:
      Telfhash usa TLSH, um hash de similaridade, enquanto o imphash usa MD5. Telfhash não requer que o binário tenha símbolos. Telfhash é desenhado para ter o hash mais próximo possível entre versões do mesmo executável compiladas para diferentes arquiteturas. Deixarei os detalhes de implementação do Telfhash para um futuro artigo, mas se tiver curiosidade pode ler o artigo que escrevi em inglês. De qualquer forma, para minha felicidade, o algoritmo foi bem aceito pela comunidade. Além de pesquisadores, cataloguei os seguintes projetos/empresas usando o Telfhash:
      Trend Micro MISP McAfee FileInsight Plugin VirusTotal Malware Bazaar VMware AlienVault Por este motivo, eu considero o Telfhash a minha principal contribuição de âmbito técnico para a comunidade anti-malware. 💚
      No entanto, há algum tempo me sinto um pouco triste de não ter tempo para fazer alterações de código no projeto. Originalmente em Python, eu queria reescrever em C para possibilitar a adição no YARA, dentre outras coisas. Para minha surpresa, no entanto, graças à mágica do software livre (tanto o Telfhash quanto a TLSH usam a Apache License), o pesquisador Karel Hájek, da Avast, reimplementou tanto o TLSH quanto o Telfhash em C e adicionou a função telfhash() na última versão do módulo elf do YARA. Portanto, a partir da versão 4.3.0 do YARA, você e o resto do mundo podem fazer:
      import “elf” rule minha_regra { condition: elf.telfhash() == "t166a00284751084526486df8b5df5b2fccb3f511dbc188c37156f5e714a11bc5d71014d" } Legal né? Tá na documentação oficial do YARA já.
      Fiquei feliz com essa notícia por dois motivos:
      Por ser de código aberto, outra pessoa fez o que eu queria ter tempo pra fazer: reimplementou o bagulho em C e subiu no YARA. Vai ajudar muito a comunidade mundial na luta contra malware Linux. Indiretamente, essa é minha segunda contribuição para o YARA. A primeira foi quando adicionei nele a capacidade de ler os overlays de arquivos PE em 2016.
      Espero que a comunidade ache a função telfhash() útil e que ela ajude a caçar uns elfos. 🧝‍♂️
      Sem palavras para agradecer o trabalho do Karel! 🙂
       

    • Atualização: Inscrições esgotadas, pessoal. Obrigado a todos pelo interesse!
      Entender o contexto racial no Brasil não é simples, mas nem por isso deixamos de tentar. No ano passado lançamos o programa Do Zero Ao Um, que formou pessoas pretas para trabalharem em computação com foco em programação. Foram seis meses de aulas diárias pela internet, uma turma maravilhosa, professores voluntários empenhados, mentores incríveis e uma parceria sem igual com empresas que ingressaram nossos alunos em seus processos seletivos. E os contrataram.
      Acertamos, erramos, mas mais importante, aprendemos. Este ano queremos aprender mais. Abrimos hoje a pré-inscrição para a turma 2023.1 do programa, que desta vez será mais enxuto em sua duração (quatro meses) e terá foco em formar futuros profissionais de segurança da informação, tendo em vista nossa relevância na área e a carência de profissionais qualificados.
      Tivemos que fazer escolhas, pois a experiência com turmas muito heterogêneas nos mostrou que precisamos focar. Por isso, estabelecemos um limite de idade para estar turma, mas planejamos beneficiar outras faixas etárias em programas futuros.
      O Do Zero Ao Um é uma das formas que encontramos de tentar ajudar na devida reparação histórica com o povo preto no Brasil. Infelizmente, nosso trabalho é para que o óbvio aconteça: que pessoas pretas ocupem o espaço que queiram e desejam estar. E se quiserem estar na computação ou na segurança da informação, não mediremos esforços para abrir estes lugares. Estamos dispostos a absorver as críticas e aprender com elas. Só não estamos dispostos a parar de tentar.
      Se você se considera uma pessoa preta e tem interesse em migrar para a área de segurança da informação, leia mais sobre o programa aqui. Compartilhe nas suas redes, pois o programa é online e gratuito e falantes de português do mundo todo podem participar. Assim como a vida profissional dos formados na turma 2022.1 mudou para melhor, queremos transformar a carreira dos alunos deste ano também. Contamos com o seu apoio para tal. Por um Brasil mais justo, mais igualitário, mais como deve ser. 💚

    • Enquanto os anúncios de cortes em massa seguem pipocando no noticiário, empresas de DNA nacional contam que têm dificuldade de preencher vagas abertas e dão dicas para quem está em busca de uma nova posição.
      2023 mal começou e a onda de demissões já está perto de 130 mil pessoas no mundo todo. Nesses dois meses, o número já corresponde a 80% das demissões de 2022 inteiro (161 mil), segundo o Layoffs FYI. No Brasil, de janeiro pra cá, mais de 7.200 profissionais foram demitidos, somando os números divulgados pela Layoffs Brasil
      Leia nesta matéria:
      Empresas estão procurando profissionais de segurança no Brasil; Capacitar os próprios funcionários acaba sendo uma saída para suprir demanda; Onda de cortes pode deixar profissionais "espertos" na hora de escolher onde irão trabalhar; Multinacionais brasileiras contam por que não estão demitindo; Dicas para quem quer ser contratado. A Stefanini, por exemplo, anunciou 500 vagas no Brasil no final do ano passado e as contratações seguem acontecendo. Rodrigo Pádua, que é o VP Global de Gente e Cultura do grupo, conta que desde o anúncio 200 pessoas já foram contratadas e, mesmo assim, o número de vagas abertas se mantém: "Novos contratos vêm sendo fechados e novas demandas têm surgido", ele explica, e avisa que o núcleo de Cyber Security da empresa será um ponto quente neste ano, com necessidade de profissionais no mundo todo: "Nossa percepção é de que a demanda de cibersegurança está só no começo e com o crescimento de analytics, a segurança é essencial, por isso a formação dos hackers do bem é fundamental".
      Na mesma linha, a Tivit, que tem sua divisão de segurança ativa desde 2018, aponta pra cima quando o assunto é crescimento do time. "Vivemos um momento super legal e bom. Não tivemos cortes, mas contratações. Aumentamos o time em quase 30%", comenta Thiago Tanaka, diretor de Cybersecurity e head lob de CyberSec na Tivit. A área dele teve crescimento de 167% no ano passado.
      Luciano Ramos, country manager da IDC Brasil, também reflete sobre essa contradição das demissões em massa globais se contrapondo a um espaço vazio que custa ser preenchido por profissionais de TI aqui no Brasil. "É importante considerar que o Brasil tem uma carência muito grande de profissionais de TI. Há segmentos que estão buscando esses profissionais: segurança, dados, desenvolvimento. Ainda há uma lacuna grande".
      Capacitar os próprios funcionários acaba sendo uma saída para suprir demanda
      Na dificuldade de encontrar pessoas no mercado, o que as empresas têm feito para suprir suas necessidades técnicas mais específicas é procurar dentro de casa, usufruindo de pessoas já conectadas com a empresa, como Thiago, da Tivit, explica: "Em segurança, prezamos quem está dentro da companhia, com treinamentos que abrimos para todas as áreas! As pessoas podem se capacitar e avaliar uma transição de área". O executivo cita um número que costuma ouvir: 40% do número ideal de profissionais de segurança necessários nas empresas simplesmente não existe. Daí a necessidade de partir para a formação interna de equipes. "Nosso turnover é baixo, mas contratamos 1 a 2 pessoas todo mês. E como é difícil contratar gente de segurança, justamente porque não existe, estamos investindo em academy (programas de ensino dentro da empresa) para incentivar", conta Thiago.
      O mesmo movimento acontece também na Stefanini, que favorece o upskilling (aprimoramento de habilidades) de quem já está no time. "Isso gera, muitas vezes, a migração de uma área para outra, desenvolvendo pessoas da própria Stefanini", diz Rodrigo, que lidera globalmente a área de pessoas da empresa. Assim como Thiago, da Tivit, ele aponta programas próprios internos da companhia para driblar essa dificuldade.
      Onda de cortes pode deixar profissionais "espertos" na hora de escolher onde irão trabalhar
      "Tinha um exagero de pessoas pulando de empresa em empresa, às vezes até três empresas em um ano. Como essa onda de cortes pegou as big techs, isso levou reflexões para o mundo de TI", observa Rodrigo, da Stefanini, ao contar sobre o que tem ouvido pelos corredores do mundo corporativo. "Será que não é interessante estar numa empresa consolidada?”, provoca. Ele acredita que o choque entre o boom de contratações e as ondas de demissões pode adicionar esse alerta na mente dos profissionais que, agora, vão se reposicionar em novas empresas.
      E no quesito solidez, as multinacionais brasileiras se vêem destacadas. O diretor de cybersecurity da Tivit conta que a empresa pode demorar até quatro rodadas de entrevistas para fechar a admissão de um profissional, justamente para ter certeza de que aquela contratação vai ser duradoura e que vai fazer sentido para ambas as partes. "Aqui, somos muito pé no chão. Até porque, se eu estou chamando uma pessoa para vir para a Tivit, ela provavelmente vai ter que sair de uma empresa e escolher vir pra cá. Essa pessoa pode ser a única fonte de renda de uma família, sustentar uma casa. Você precisa ser consciente da real necessidade da contratação e também contratar a pessoa certa para a vaga", diz Thiago.
      Multinacionais brasileiras contam por que não estão demitindo
      "Disciplina financeira, foco em gestão muito forte, com gente muito boa". Esse é o mix que Rodrigo Pádua, da Stefanini, enxerga como responsável pela empresa estar contratando, ao invés de demitindo."Vemos que as demissões têm acontecido por busca por produtividade por parte de algumas empresas e um grupo que está economizando caixa. Sempre fomos uma empresa saudável, sem dívidas. Nunca acreditamos no crescimento por crescimento, só crescimento sustentável".
      Sob os mesmos argumentos, a Totvs respondeu à reportagem por email. Nas palavras de Izabel Branco, vice-presidente de Relações Humanas, "a Totvs é uma empresa muito sólida, com um caixa robusto, e uma atuação consistente em todo o território nacional", destacando a condição de ter um planejamento eficiente como base para a estabilidade do quadro de equipes da companhia.
      No geral, as empresas com maiores cortes de pessoal estão sofrendo com uma pressão inflacionária atípica para a maioria dos países, além das consequências da guerra da Rússia/Ucrânia - que já registra um ano inteiro de conflito - o estabelecimento de um novo mundo pós-covid, com as pessoas de volta às ruas e certa retomada de normalidade nas demandas por tecnologia dentro das empresas. Esses argumentos compõem a base comum que sustenta os bruscos movimentos que temos assistido. Por outro lado, como lembra Luciano Ramos, da IDC, apesar do volume de demissões que assusta, esses números são apenas frações das contratações intermináveis que essas organizações foram fazendo ao longo dos últimos três anos, principalmente em função da pandemia, impondo novas e urgentes demandas tecnológicas.
      Dicas para quem busca novas oportunidades
      As fontes ouvidas para essa reportagem gentilmente contribuíram para a criação de um pequeno guia de condutas preciosas para quem está à procura de uma boa posição de trabalho. Elas valem para quem foi pego pelos cortes e também para quem está em uma transição de empregos planejada:
      Manter a calma, para evitar emoções que atrapalham a vida, o sono, a alimentação, o humor e a sanidade mental. Estudar bem a vaga desejada. Será que ela bate mesmo com seu skill? Se fizer sentido, enderece o currículo ressaltando os pontos que farão a pessoa recrutadora perceber que existe match. Apresentar-se da melhor forma para a vaga, com uma carta que fale sobre você e suas aspirações profissionais e até um pouco do lado pessoal. Manter o currículo atualizado e revisado. Manter-se com a moral alta, afinal, as empresas buscam talento, mas também querem por perto pessoas que tenham garra e disposição. Buscar um método de se atualizar de forma constante, mesmo que seja a partir de cursos curtos e conteúdos gratuitos. Manter o networking aquecido. Ao longo da jornada profissional, estabelecer boas conexões torna mais fácil descobrir novas oportunidades contando com os relacionamentos conquistados. Dica bônus para quem é de segurança
      Ao longo da entrevista para esta matéria, Thiago Tanaka, da Tivit, quando refletia sobre os pontos mais importantes para quem quer se colocar ou recolocar no mercado, fez um alerta para o pessoal de segurança: Em segurança, você precisa tirar uma hora do seu dia e estudar todos os dias. Todos os dias vão surgir novas ameaças. Eu, que estudo há 15 anos, se eu não continuar estudando diariamente, logo, já estou desatualizado. Tem que continuar aprendendo todo dia".
      Nesse sentido, não deixe de consultar a lista de treinamentos Mente Binária, voltados para educação contínua.
      Na nossa newsletter, trazemos sempre um conteúdo interessante, novo ou curioso desse universo da segurança, feito por quem vive imerso nesse ambiente. Vale a pena assinar! É só se cadastrar no portal aqui. 🤗

    • Introdução: o que é a migração para a nuvem e por que você
      deve migrar?

      Os avanços tecnológicos dos últimos anos, aliados à aceleração digital e às mudanças nos processos corporativos trazidos pela pandemia, criaram um cenário no qual muitas empresas viram a necessidade de migrar parte ou a totalidade dos seus dados, aplicações e outros processos de negócios para plataformas de computação em nuvem.
      Seja para tornar seus negócios mais ágeis, seja para garantir a própria sobrevivência do negócio em um cenário de digitalização acelerada, a migração para a nuvem pode trazer inúmeros benefícios que incluem a escalabilidade, a redução de custos, maior flexibilidade e desempenho e, potencialmente, segurança aprimorada.
      Segundo o Gartner, “A adoção da nuvem foi acelerada durante a pandemia, e deve acelerar ainda mais nos próximos anos”. “Serviços em nuvem permitem a líderes de negócios responder rapidamente a oportunidades - ou ameaças. Empresas que forem bem-sucedidas em explorar a computação em nuvem terão uma vantagem competitiva. Isso pode mesmo ser preponderante para sua sobrevivência”

      Mas, para realizar a migração para estas plataformas utilizando todo o seu potencial e, principalmente, com o máximo de segurança, uma série de ações devem ser tomadas.
      Neste artigo, elencamos algumas destas ações.
       
      Clique aqui e baixe o Datasheet Serviços de Consultoria de Segurança naNuvem, e conheça as soluções da Tempest para ambientes em nuvem
       
      Potencializando uma migração eficaz
      Cada negócio possui sua particularidade, por isso, como em toda tomada de decisão, uma migração para a nuvem deve ser encarada como um processo que envolve todo o negócio.

      Porém, um equívoco comum a muitas empresas durante o processo de migração para estruturas em nuvem é considerar este processo uma mera decisão tecnológica, de responsabilidade apenas das áreas de TI e de operações.

      De acordo com o Gartner, estes times estarão mais focados em aspectos técnicos em detrimento de fatores cruciais para o negócio como “entregar o máximo valor no menor tempo possível”.

      Por isso, é essencial enxergar esse processo como uma oportunidade para resolver problemas do negócio e de inovação dos processos, ou seja, preferencialmente todos os tomadores de decisão devem estar envolvidos no projeto de migração.

      As lideranças devem ser “educadas” sobre o que é a nuvem e o que ela pode fazer pelo negócio, não para que se tornem especialistas na tecnologia, mas sobre como ela pode impactar o negócio, sua eficiência e competitividade.

      São essas lideranças que, mais do que diretrizes técnicas, darão a “motivação” para migrar (e é importantíssimo destacar que esta “motivação” varia de mercado para mercado, de empresa para empresa).

      Há inúmeras variáveis a serem consideradas: o tamanho da empresa, o mercado no qual ela está inserida, sua relação com parceiros e fornecedores, os valores e diferenciais a serem entregues para clientes…
       
      Pilares para guiar um projeto de migração segundo o Gartner:
      Estratégia e Informação: considerar como a nuvem pode ajudar a resolver problemas do negócio e estabelecer uma postura de inovação Governança e Segurança: buscar frameworks de governança que sejam adaptáveis para diferentes perfis de demanda e risco Mobilização e migração: colocar este processo como algo crucial para apoiar a transformação da empresa como um todo  
      Mas, dentre os aspectos mais sensíveis da migração para um ambiente em nuvem está a segurança dos dados e aplicativos que serão migrados, independentemente da realidade e dos modelos de negócio.

      Neste quesito há uma série de fatores a serem considerados, por isso elencamos algumas boas práticas que devem ser observadas desde o planejamento do processo de migração.

      Boas práticas de proteção da nuvem
      Proteger este ambiente é uma tarefa que exige uma postura proativa de segurança que considere pessoas, processos e tecnologias.
      A seguir, confira algumas boas práticas de proteção de dados na nuvem:
      Compreender o modelo de responsabilidade compartilhada: em linhas gerais, provedores de serviço em nuvem e seus clientes são co-responsáveis pela segurança do ambiente em nuvem e dos dados e aplicativos nele armazenados. É importante conhecer as responsabilidades de cada lado.  
      Implementar gerenciamento de identidades e acesso: não se trata apenas de usar senhas seguras (o que já é importantíssimo), mas também ter mapeados os privilégios de acesso de cada credencial.  
      Considerar a proteção aos endpoints como algo vital: mapear e monitorar endpoints que acessam o ambiente, além de protegê-los contra malwares e outras ameaças que possam comprometer o próprio endpoint e a nuvem como um todo.  
      Educar os colaboradores para uma postura de segurança: oferecer treinamentos e conscientização aos colaboradores para que possam identificar ameaças e potenciais ataques.  
      Monitorar as atividades na nuvem: monitorar acessos e atividades a fim de identificar potenciais ameaças.  
      Contar com um plano de backups: na eventualidade de um incidente de vazamento ou roubo de dados, é de suma importância contar com um plano de backups a fim de recuperar o quanto antes os dados comprometidos.  
      Estas são orientações básicas. Fortalecer um ambiente em nuvem, adotando as melhores práticas do mercado, e manter-se adequado às regras de compliance e regulações é uma tarefa complexa.

      No entanto, essa tarefa pode se tornar mais ágil ao contar com um parceiro que conheça os desafios do mercado e possa oferecer os produtos e serviços de segurança voltados especificamente para estes ambientes, considerando as particularidades de cada negócio.
       
      Sobre a Tempest:  

      A Tempest Security Intelligence conta com um portfólio completo de soluções de consultoriade segurança na Nuvem para ajudar sua empresa a manter dados e aplicações mais seguros.
       
      Atualmente é uma empresa brasileira com atuação global, e a maior companhia brasileira especializada em cibersegurança e prevenção a fraudes digitais.
       
      Sediada no Recife, a Tempest conta também com escritórios em São Paulo e Londres, com mais de 500 colaboradores. Ao longo de seus quase 22 anos, a Tempest ajudou a proteger mais de 500 empresas de todos os portes e setores, dentre elas companhias do setor financeiro, varejo, e-commerce, indústria e healthcare, atuando em clientes nacionais e
      internacionais atendidos tanto pelo time no Brasil quanto no Reino Unido.
      Em 2020, a Tempest conquistou um parceiro de peso para continuar na vanguarda da cibersegurança, recebendo um grande aporte da Embraer, companhia brasileira de engenharia aeroespacial, o qual resultou em um dos maiores investimentos já realizados na história do setor de cibersegurança na América Latina. 
      Acesse o site.

    • Enquanto 2021 se encerrava, na Tempest, nós escrevíamos o relatório “5 ameaças que pautaram a cibersegurança em 2021 e as tendências para 2022“, e acompanhávamos as tensões que se avolumavam entre Rússia, Ucrânia e a OTAN; naquele momento antecipamos que os ataques cibernéticos no âmbito dos interesses geopolíticos seriam um tema determinante para traduzir o que seria a cibersegurança em 2022.
      Dias após a nossa publicação, a guerra foi iniciada e os ataques cibernéticos foram centrais na criação de um cenário de desestabilização que permitisse a inserção de outras peças no teatro de operações do conflito, da mesma forma que, durante o século XX, os bombardeios aéreos foram usados como método para abrir o caminho para as tropas em solo.
      Ocorre que, assim como nos conflitos cinéticos, os ataques cibernéticos possuem o potencial de causar impactos em negócios legítimos, com o agravante no caso cibernético de que as vítimas podem estar em qualquer lugar do mundo, por isso este assunto é relevante para tomadores de decisão em organizações de todo tipo e que dependem do ciberespaço para operar.
      Mais uma guerra
      Os primeiros movimentos no ciberespaço que desembocaram na atual guerra foram documentados pela Microsoft em meados de janeiro, em ataques com ameaças destrutivas, ou seja, malwares que apagam de forma irrecuperável o conteúdo dos sistemas. Estes incidentes afetaram alvos na Ucrânia entre os dias 13 e 14 daquele mês; entre estes alvos estavam os sistemas de organizações governamentais, entidades sem fins lucrativos e de tecnologia da informação sediadas no país.
      O Centro de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) emitiu um relatório poucos dias depois afirmando que o vetor de ataque mais provável teria sido a exploração de falhas na cadeia de suprimentos dessas empresas, mas não descartava também a exploração de vulnerabilidades de conhecimento público, como a Log4Shell, recém descoberta à época.
      Estes incidentes, somados a defacements e a ataques de DDoS documentados originalmente em meados de fevereiro, eram somente os primeiros movimentos dos peões no tabuleiro. O jogo se tornou verdadeiramente global entre os dias 23 e 24 de fevereiro, véspera e primeiro dia da guerra, com a disseminação do wiper Cyclops Blink, desenvolvido pelo grupo de adversários Sandworm para destruir o firmware de modems de acesso à Internet, sobretudo dispositivos usados em ambientes domésticos ou em pequenos escritórios.
      O objetivo era causar um apagão no acesso à Internet sem derrubar os links do país; assim seria possível desorientar o governo e a população ucraniana, desabilitando  um meio importante para a coordenação das atividades de resposta e proteção das pessoas mas, ao mesmo tempo, preservando a infraestrutura tecnológica do país, a qual seria usada pela Rússia em uma eventual ocupação.
      O caminho para o ataque aconteceu por meio da infraestrutura da Viasat, empresa de telecomunicações americana que intermedeia o acesso à Internet via satélite com diversos provedores pelo mundo. Em nota publicada em março, a Viasat afirma que os atacantes acessaram seu ambiente com o objetivo de usá-lo como ponte para alcançar o provedor de acesso local Skylogic e, a partir da rede desta empresa, ter acesso aos modems.
      Nos meses que se seguiram, à medida que o combate cinético escalava, várias hostilidades foram desencadeadas também no domínio cibernético. Elas contaram, claro, com as operações militares e de inteligência dos países envolvidos no conflito e também de seus aliados, mas também com ações de grupos hacktivistas motivados ideologicamente.
      No hacktivismo não é possível saber quem está por trás da máscara, então não podemos classificar todos os seus ataques como ideológicos; pelo contrário, temos que considerar as operações hostis nesse campo também como possíveis atos de países com interesses na guerra e que usam o hacktivismo como uma forma de conduzir atividades ofensivas de forma anônima.
      Até o momento, os ataques causaram danos a entidades nos dois principais países envolvidos na guerra e também a organizações operando em países sem vínculo direto com o conflito, com múltiplas campanhas baseadas em, pelo menos, oito famílias de malware[1] usadas em ataques destrutivos contra mais de 40 organizações na Ucrânia e hostilidades variadas contra entidades russas. Destaque para a intrusão seguida do vazamento de dados da Roskomnadzor, a agência de censura do Kremlin.
      Reveses em adversários significativos
      Até a quadrilha de ransomware Conti foi diretamente afetada pela guerra, após um de seus operadores declarar apoio incondicional à Rússia assim que o conflito começou.
      Em resposta ao pronunciamento, um (ou mais) membros com acesso a dados importantes da quadrilha vazou mensagens de seus grupos privados, bem como dados sensíveis sobre o dia a dia da gangue e o código-fonte do seu ransomware, o qual foi posteriormente adaptado por um coletivo autodenominado Network Battalion 65′ em ataques contra entidades russas.
      Os APTs russos Sandworm e APT28, que possuem longo histórico de ataques notáveis, também sofreram reveses em meio ao conflito.
      O Sandworm (cuja atividade é documentada desde 2007, com destaque para os ataques que deixaram a Ucrânia no escuro em 2015 e 2016), tentou, sem sucesso, repetir o feito com uma variante do malware usado no blackout de 2016, a Industroyer2. Em abril, autoridades dos Estados Unidos tomaram o controle de uma de suas botnets, a Cyclops Blink, neutralizando a ameaça.
      Já o APT28, também chamado de Fancy Bear (cujo ataque de maior relevância talvez seja a intrusão seguida do vazamento de dados do Comitê do Partido Democrata dos Estados Unidos, em meio à campanha presidencial de 2016), teve o controle de sua infraestrutura tomado pela Microsoft, a qual, após obter as devidas autorizações legais, neutralizou os ataques do APT28 em curso naquele momento.
      Desinformação
      Uma batalha pelo imaginário das pessoas, sejam elas diretamente ligadas ao conflito, ou não, também se intensificou em meio à guerra. Interceptadores de sinal de celular, conhecidos como IMSI-catchers, foram usados no envio de mensagens SMS cujo objetivo era afetar o moral das tropas Ucranianas. Estações improvisadas também foram usadas para enviar mensagens dizendo que os caixas eletrônicos do país estariam indisponíveis, visando causar pânico na população.
      Mas é nas redes sociais que este tipo de tática tem se concentrado. A Meta afirmou, em setembro, ter derrubado uma grande rede de desinformação com origem na Rússia e foco em pessoas na Alemanha, França, Itália, Ucrânia e Reino Unido com narrativas focadas na guerra na Ucrânia. Estas campanhas, partiram de duas empresas registradas na Rússia como Structura National Technologies, uma empresa de tecnologia da informação e Агентство Социального Проектирования (Agência de Design Social, em tradução livre), uma empresa de consultoria de marketing e política.
      Sinais adiante
      Fez parte da retórica de muita gente uma suposta escassez de eventos de “ciberguerra” relevantes no atual conflito entre Rússia e Ucrânia. Como se os incidentes ocorridos até o momento não estivessem à altura das expectativas para se considerar que houve um conflito cibernético.
      O assunto foi inclusive objeto de um artigo na Foreign Affairs assinado por David Cattler e Daniel Black, respectivamente, o Secretário-Geral Adjunto para Informações e Segurança e o Analista Principal na Divisão de Análise de Ameaças Cibernéticas na OTAN. Nele, os especialistas argumentam que sim, há um conflito cibernético em curso e ele tem sido, por sinal, bastante intenso.
      É importante considerar que, embora seja farta a documentação sobre muitos dos ataques que têm ocorrido, sua incidência não é frequente na grande imprensa. Em muitos casos, devido a documentação ser hermeticamente técnica, mas também porque os ataques cibernéticos, sobretudo aqueles conduzidos por grupos experientes, deixam um rastro maior de dúvidas do que de certezas sobre a identidade do adversário, sendo que alguns deles podem permanecer silenciosos por anos no ambiente das vítimas.  
      É possível dizer que a atual fase da Guerra Russo-Ucraniana foi responsável por elevar o patamar sobre o que até então conhecíamos sobre o conflito cibernético, de modo que tanto operações ofensivas quanto defensivas (e até hacktivistas) passaram por um aperfeiçoamento em suas técnicas, acelerando uma evolução que já era fartamente documentada, gerando vitórias e derrotas entre os mais variados atores e tornando o acúmulo de poder cibernético algo menos assimétrico.
      Ou seja, quem acompanhou o tema no decorrer do ano testemunhou forças, que até então eram tratadas como se tivessem uma aura de invencibilidade, perderem o controle de parte de seus ativos, desmistificando a imagem, muitas vezes artificial, de que só um país dominaria o espaço cibernético.
      Não é possível afirmar que esse “gênio um dia voltará para a garrafa”. Pelo contrário, o acúmulo de saberes e ferramentas, bem como seu uso, tende a se intensificar. Sobretudo porque outros atores do cibercrime têm cada vez mais se profissionalizado e tanto criminosos, quanto as forças de inteligência e de segurança usam as mesmas ferramentas e adotam técnicas semelhantes, de modo que uma atividade retroalimenta a outra e ambas seguem progredindo.
      Às organizações que precisam defender seus ambientes é muito importante considerar o movimento das forças geopolíticas em sua estratégia, para além das medidas tradicionais de segurança. Isso porque, no âmbito cibernético, dois ou mais Estados-Nação lutando podem causar danos que transbordam quaisquer limites políticos, pois no ciberespaço as fronteiras não são nada sólidas e, em meio a hostilidades como estas, os atores do conflito podem usar quaisquer recursos disponíveis, inclusive os de sua empresa, de modo a obter vantagem para si.
      Ter o apoio de um time de threat intelligence que saiba traduzir estes eventos em insumos técnicos para sua proteção pode ser de grande ajuda, bem como a adoção da disciplina de Threat Hunting para identificar possíveis indícios de que sua rede está, de algum modo, envolvida em um conflito.
      Principais eventos de cibersegurança ocorridos em 2022 no contexto da guerra
      15/01 – Microsoft reporta a existência de malware afetando o governo ucraniano e várias organizações sem fins lucrativos e de tecnologia. 14/02 – Adversários exibem a mensagem “Esperem pelo pior” em sites de 70 entidades governamentais. 15/02 – Ataques de DDoS indisponibilizam serviços do governo ucrâniano, bancos, rádios, e outros websites por várias horas. 23/02 – Ataques contra websites do governo e com o malware HermeticWiper impactam organizações dos setores financeiro, de tecnologia e de aviação civil. 24/02 – Ataque contra a rede de satélite KA-SAT (operada pela Viasat) de modo a facilitar os primeiros movimentos das tropas russas. 25/02 – Ataques com o malware IsaacWiper contra sites do governo ucraniano. 26/02 – Sites do Kremlin e de outras agências russas sofrem ataques de DDoS. 28/02 – São documentados ataques com as ameaças FoxBlade.A, um trojan com capacidades para disparar ataques de DDoS e FoxBlade.B, um downloader, contra o governo ucraniano. 1/03 – Grupo de ransomware Conti posta comentário em apoio à Rússia e sofre vazamento de sua comunicação, do código-fonte da ameaça e de outros arquivos. 1/03 – Documentada a ocorrência de diversos ataques do grupo Ukrainian Cyber Guerrilla  contra sistemas de energia e de transporte na Rússia. 3/03 – Conti desativa infraestrutura após vazamento dos seus dados. 9/03 – UE discute fundo para aumentar resiliência da Ucrânia em telecomunicações e cibersegurança. 11/03 – Agências de inteligência ocidentais colaboram com a investigação do ataque contra a Viasat. 11/03 – Anonymous ataca a agência de censura russa Roskomnadzor e vazam e-mails e arquivos. 13/03 – Ataque atinge filial alemã da empresa de energia russa Rosneft.  28/03 – A empresa estatal de telecomunicações Ukrtelecom da Ucrânia sofre interrupção no serviço de internet após um ataque cibernético. 30/03 – Campanha de phishing do APT russo Gamaredon afeta alvos na OTAN, militares do Leste Europeu, além de ONGs americanas, um empreiteiro de defesa ucraniano e um militar de um país da região dos Balcãs. 31/03 -Malware usado no ataque contra a Viasat é documentado. 6/04 – Autoridades dos Estados Unidos tomam o controle da infraestrutura da botnet Cyclops Blink e neutralizam a ameaça. 7/04 – Microsoft toma o controle da infraestrutura do APT28 e neutraliza boa parte de seus ataques. 8/04 – Ataques cibernéticos com origem na Rússia afetam a Finlândia. O incidente ocorreu em meio a uma suspeita de violação do espaço aéreo por aeronaves russas. 12/04 – Sandworm tenta colocar a Ucrânia em situação de blackout, mas falha. 27/04 – Microsoft contabiliza aproximadamente 40 ataques cibernéticos contra a Ucrânia desde o início do conflito. 30/04 – Meta afirma ter removido 46 páginas, 91 contas no Facebook, 2 grupos e 1 conta no Instagram ligadas a operações de desinformação russas. 19/05 – Mandiant detalha extensa campanha de desinformação visando manipular a opinião pública sobre o conflito. 9/06 – Rússia adverte o Ocidente de que os ataques cibernéticos contra sua infra-estrutura corriam o risco de levar a um confronto militar direto. 29/06 – A Noruega é atacada pelo grupo hacktivista de orientação russa Killnet e acusa o país de conduzir o ataque. 7/09 – Google identifica que adversário com histórico de ataques motivados financeiramente também atuou em incidentes alinhados com o governo da Rússia. 27/09 – Meta afirma ter derrubado uma grande rede de desinformação com origem na Rússia e atividade na Alemanha, França, Itália, Ucrânia e Reino Unido com narrativas focadas na guerra na Ucrânia. 6/12 – Banco russo VTB é alvo de ataque de DDoS massivo. Grupo IT Army of Ukraine assume autoria. 15/12 – Meta atualiza post sobre campanha de desinformação publicado em setembro com a informação de que as operações de desinformação russas anteriormente citadas são baseadas em duas empresas no país. [1] A Microsoft cataloga essas famílias como 1-WhisperGate ou WhisperKill
      [2]FoxBlade, também chamado de Hermetic Wiper
      [3]SonicVote também chamado de HermeticRansom
      [4] CaddyWiper
      [5]DesertBlade
      [6]Industroyer2
      [7]Lasainraw também chamado de IssacWiper
      [8]FiberLake, também chamado de DoubleZero.
      Texto originalmente publicado no blog Tempest Trends. Reprodução autorizada.
       

    • Quem segue o nosso fórum de releases já viu que o projeto GNU liberou a versão 3.40 do Binutils no último sábado. Baixei e compilei para ver o que tinha de diferente. Seguem os novos recursos direto do repositório oficial:
      Changes in 2.40: * Objdump has a new command line option --show-all-symbols which will make it display all symbols that match a given address when disassembling. (Normally only the first symbol that matches an address is shown). * Add --enable-colored-disassembly configure time option to enable colored disassembly output by default, if the output device is a terminal. Note, this configure option is disabled by default. * DCO signed contributions are now accepted. * objcopy --decompress-debug-sections now supports zstd compressed debug sections. The new option --compress-debug-sections=zstd compresses debug sections with zstd. * addr2line and objdump --dwarf now support zstd compressed debug sections. * The dlltool program now accepts --deterministic-libraries and --non-deterministic-libraries as command line options to control whether or not it generates deterministic output libraries. If neither of these options are used the default is whatever was set when the binutils were configured. * readelf and objdump now have a newly added option --sframe which dumps the SFrame section. A opção --show-all-symbols parece interessante de deixar sempre ativada, para o caso de qualquer endereço na saída do objdump coincidir com mais de um símbolo no binário. Não é comum, mas se acontecer, vale a pena saber. 🙂
      Habilitar o output colorido em tempo de configuração me parece uma boa ideia e vai servir para os mantenedores de pacotes das distribuições deixarem o output do objdump colorido por padrão. Veja a diferença:

      Disassembly normal

      Disassembly colorido
      Lembrando que o objdump passou a suportar esse destaque de sintaxe em cores na versão 2.39 do Binutils. O que acontece agora é que existe uma opção em tempo de configuração (leia-se: ./configure) para deixá-la ativada por padrão. 😉
      Outro destaque é o suporte ao dump de seções SFrame tanto no readelf quanto no objdump. Como a opção --gsframe já havia sido adicionada no as, o GNU Assembler, dá pra usá-la com a opção -Xassembler do gcc assim:
      gcc -Xassembler --gsframe -o binario.elf hello.c E com o readelf (ou objdump), usar a nova opção:
      $ objdump --sframe binario.elf binario.elf: file format elf64-x86-64 Contents of the SFrame section .sframe: Header : Version: SFRAME_VERSION_1 Flags: SFRAME_F_FDE_SORTED Num FDEs: 3 Num FREs: 8 Function Index : func idx [0]: pc = 0x1020, size = 16 bytes STARTPC CFA FP RA 0000000000001020 sp+16 u u 0000000000001026 sp+24 u u func idx [1]: pc = 0x1030, size = 16 bytes STARTPC[m] CFA FP RA 0000000000000000 sp+8 u u 000000000000000b sp+16 u u func idx [2]: pc = 0x1139, size = 59 bytes STARTPC CFA FP RA 0000000000001139 sp+8 u u 000000000000113a sp+16 c-16 u 000000000000113d fp+16 c-16 u 0000000000001173 sp+8 c-16 u As distros levam um tempinho até subir o novo pacote pra você atualizar no seu Linux. Se não quiser esperar, baixa do repositório oficial e compila. Seguem as instruções:
      $ wget https://ftp.gnu.org/gnu/binutils/binutils-2.40.tar.xz $ sudo apt install texinfo flex bison libgmp-dev libmpfr-dev gcc make $ tar xf binutils-2.40.tar.xz $ cd binutils-2.40 $ ./configure --enable-colored-disassembly # já testa a nova opção ;-) $ make $ ./binutils/objdump --version GNU objdump (GNU Binutils) 2.40 Copyright (C) 2023 Free Software Foundation, Inc. This program is free software; you may redistribute it under the terms of the GNU General Public License version 3 or (at your option) any later version. This program has absolutely no warranty.  

×
×
  • Create New...