Ir para conteúdo
    • Tempest Security Intelligence
      Introdução: o que é a migração para a nuvem e por que você
      deve migrar?

      Os avanços tecnológicos dos últimos anos, aliados à aceleração digital e às mudanças nos processos corporativos trazidos pela pandemia, criaram um cenário no qual muitas empresas viram a necessidade de migrar parte ou a totalidade dos seus dados, aplicações e outros processos de negócios para plataformas de computação em nuvem.
      Seja para tornar seus negócios mais ágeis, seja para garantir a própria sobrevivência do negócio em um cenário de digitalização acelerada, a migração para a nuvem pode trazer inúmeros benefícios que incluem a escalabilidade, a redução de custos, maior flexibilidade e desempenho e, potencialmente, segurança aprimorada.
      Segundo o Gartner, “A adoção da nuvem foi acelerada durante a pandemia, e deve acelerar ainda mais nos próximos anos”. “Serviços em nuvem permitem a líderes de negócios responder rapidamente a oportunidades - ou ameaças. Empresas que forem bem-sucedidas em explorar a computação em nuvem terão uma vantagem competitiva. Isso pode mesmo ser preponderante para sua sobrevivência”

      Mas, para realizar a migração para estas plataformas utilizando todo o seu potencial e, principalmente, com o máximo de segurança, uma série de ações devem ser tomadas.
      Neste artigo, elencamos algumas destas ações.
       
      Clique aqui e baixe o Datasheet Serviços de Consultoria de Segurança naNuvem, e conheça as soluções da Tempest para ambientes em nuvem
       
      Potencializando uma migração eficaz
      Cada negócio possui sua particularidade, por isso, como em toda tomada de decisão, uma migração para a nuvem deve ser encarada como um processo que envolve todo o negócio.

      Porém, um equívoco comum a muitas empresas durante o processo de migração para estruturas em nuvem é considerar este processo uma mera decisão tecnológica, de responsabilidade apenas das áreas de TI e de operações.

      De acordo com o Gartner, estes times estarão mais focados em aspectos técnicos em detrimento de fatores cruciais para o negócio como “entregar o máximo valor no menor tempo possível”.

      Por isso, é essencial enxergar esse processo como uma oportunidade para resolver problemas do negócio e de inovação dos processos, ou seja, preferencialmente todos os tomadores de decisão devem estar envolvidos no projeto de migração.

      As lideranças devem ser “educadas” sobre o que é a nuvem e o que ela pode fazer pelo negócio, não para que se tornem especialistas na tecnologia, mas sobre como ela pode impactar o negócio, sua eficiência e competitividade.

      São essas lideranças que, mais do que diretrizes técnicas, darão a “motivação” para migrar (e é importantíssimo destacar que esta “motivação” varia de mercado para mercado, de empresa para empresa).

      Há inúmeras variáveis a serem consideradas: o tamanho da empresa, o mercado no qual ela está inserida, sua relação com parceiros e fornecedores, os valores e diferenciais a serem entregues para clientes…
       
      Pilares para guiar um projeto de migração segundo o Gartner:
      Estratégia e Informação: considerar como a nuvem pode ajudar a resolver problemas do negócio e estabelecer uma postura de inovação Governança e Segurança: buscar frameworks de governança que sejam adaptáveis para diferentes perfis de demanda e risco Mobilização e migração: colocar este processo como algo crucial para apoiar a transformação da empresa como um todo  
      Mas, dentre os aspectos mais sensíveis da migração para um ambiente em nuvem está a segurança dos dados e aplicativos que serão migrados, independentemente da realidade e dos modelos de negócio.

      Neste quesito há uma série de fatores a serem considerados, por isso elencamos algumas boas práticas que devem ser observadas desde o planejamento do processo de migração.

      Boas práticas de proteção da nuvem
      Proteger este ambiente é uma tarefa que exige uma postura proativa de segurança que considere pessoas, processos e tecnologias.
      A seguir, confira algumas boas práticas de proteção de dados na nuvem:
      Compreender o modelo de responsabilidade compartilhada: em linhas gerais, provedores de serviço em nuvem e seus clientes são co-responsáveis pela segurança do ambiente em nuvem e dos dados e aplicativos nele armazenados. É importante conhecer as responsabilidades de cada lado.  
      Implementar gerenciamento de identidades e acesso: não se trata apenas de usar senhas seguras (o que já é importantíssimo), mas também ter mapeados os privilégios de acesso de cada credencial.  
      Considerar a proteção aos endpoints como algo vital: mapear e monitorar endpoints que acessam o ambiente, além de protegê-los contra malwares e outras ameaças que possam comprometer o próprio endpoint e a nuvem como um todo.  
      Educar os colaboradores para uma postura de segurança: oferecer treinamentos e conscientização aos colaboradores para que possam identificar ameaças e potenciais ataques.  
      Monitorar as atividades na nuvem: monitorar acessos e atividades a fim de identificar potenciais ameaças.  
      Contar com um plano de backups: na eventualidade de um incidente de vazamento ou roubo de dados, é de suma importância contar com um plano de backups a fim de recuperar o quanto antes os dados comprometidos.  
      Estas são orientações básicas. Fortalecer um ambiente em nuvem, adotando as melhores práticas do mercado, e manter-se adequado às regras de compliance e regulações é uma tarefa complexa.

      No entanto, essa tarefa pode se tornar mais ágil ao contar com um parceiro que conheça os desafios do mercado e possa oferecer os produtos e serviços de segurança voltados especificamente para estes ambientes, considerando as particularidades de cada negócio.
       
      Sobre a Tempest:  

      A Tempest Security Intelligence conta com um portfólio completo de soluções de consultoriade segurança na Nuvem para ajudar sua empresa a manter dados e aplicações mais seguros.
       
      Atualmente é uma empresa brasileira com atuação global, e a maior companhia brasileira especializada em cibersegurança e prevenção a fraudes digitais.
       
      Sediada no Recife, a Tempest conta também com escritórios em São Paulo e Londres, com mais de 500 colaboradores. Ao longo de seus quase 22 anos, a Tempest ajudou a proteger mais de 500 empresas de todos os portes e setores, dentre elas companhias do setor financeiro, varejo, e-commerce, indústria e healthcare, atuando em clientes nacionais e
      internacionais atendidos tanto pelo time no Brasil quanto no Reino Unido.
      Em 2020, a Tempest conquistou um parceiro de peso para continuar na vanguarda da cibersegurança, recebendo um grande aporte da Embraer, companhia brasileira de engenharia aeroespacial, o qual resultou em um dos maiores investimentos já realizados na história do setor de cibersegurança na América Latina. 
      Acesse o site.

    • Enquanto 2021 se encerrava, na Tempest, nós escrevíamos o relatório “5 ameaças que pautaram a cibersegurança em 2021 e as tendências para 2022“, e acompanhávamos as tensões que se avolumavam entre Rússia, Ucrânia e a OTAN; naquele momento antecipamos que os ataques cibernéticos no âmbito dos interesses geopolíticos seriam um tema determinante para traduzir o que seria a cibersegurança em 2022.
      Dias após a nossa publicação, a guerra foi iniciada e os ataques cibernéticos foram centrais na criação de um cenário de desestabilização que permitisse a inserção de outras peças no teatro de operações do conflito, da mesma forma que, durante o século XX, os bombardeios aéreos foram usados como método para abrir o caminho para as tropas em solo.
      Ocorre que, assim como nos conflitos cinéticos, os ataques cibernéticos possuem o potencial de causar impactos em negócios legítimos, com o agravante no caso cibernético de que as vítimas podem estar em qualquer lugar do mundo, por isso este assunto é relevante para tomadores de decisão em organizações de todo tipo e que dependem do ciberespaço para operar.
      Mais uma guerra
      Os primeiros movimentos no ciberespaço que desembocaram na atual guerra foram documentados pela Microsoft em meados de janeiro, em ataques com ameaças destrutivas, ou seja, malwares que apagam de forma irrecuperável o conteúdo dos sistemas. Estes incidentes afetaram alvos na Ucrânia entre os dias 13 e 14 daquele mês; entre estes alvos estavam os sistemas de organizações governamentais, entidades sem fins lucrativos e de tecnologia da informação sediadas no país.
      O Centro de Resposta a Emergências de Computadores da Ucrânia (CERT-UA) emitiu um relatório poucos dias depois afirmando que o vetor de ataque mais provável teria sido a exploração de falhas na cadeia de suprimentos dessas empresas, mas não descartava também a exploração de vulnerabilidades de conhecimento público, como a Log4Shell, recém descoberta à época.
      Estes incidentes, somados a defacements e a ataques de DDoS documentados originalmente em meados de fevereiro, eram somente os primeiros movimentos dos peões no tabuleiro. O jogo se tornou verdadeiramente global entre os dias 23 e 24 de fevereiro, véspera e primeiro dia da guerra, com a disseminação do wiper Cyclops Blink, desenvolvido pelo grupo de adversários Sandworm para destruir o firmware de modems de acesso à Internet, sobretudo dispositivos usados em ambientes domésticos ou em pequenos escritórios.
      O objetivo era causar um apagão no acesso à Internet sem derrubar os links do país; assim seria possível desorientar o governo e a população ucraniana, desabilitando  um meio importante para a coordenação das atividades de resposta e proteção das pessoas mas, ao mesmo tempo, preservando a infraestrutura tecnológica do país, a qual seria usada pela Rússia em uma eventual ocupação.
      O caminho para o ataque aconteceu por meio da infraestrutura da Viasat, empresa de telecomunicações americana que intermedeia o acesso à Internet via satélite com diversos provedores pelo mundo. Em nota publicada em março, a Viasat afirma que os atacantes acessaram seu ambiente com o objetivo de usá-lo como ponte para alcançar o provedor de acesso local Skylogic e, a partir da rede desta empresa, ter acesso aos modems.
      Nos meses que se seguiram, à medida que o combate cinético escalava, várias hostilidades foram desencadeadas também no domínio cibernético. Elas contaram, claro, com as operações militares e de inteligência dos países envolvidos no conflito e também de seus aliados, mas também com ações de grupos hacktivistas motivados ideologicamente.
      No hacktivismo não é possível saber quem está por trás da máscara, então não podemos classificar todos os seus ataques como ideológicos; pelo contrário, temos que considerar as operações hostis nesse campo também como possíveis atos de países com interesses na guerra e que usam o hacktivismo como uma forma de conduzir atividades ofensivas de forma anônima.
      Até o momento, os ataques causaram danos a entidades nos dois principais países envolvidos na guerra e também a organizações operando em países sem vínculo direto com o conflito, com múltiplas campanhas baseadas em, pelo menos, oito famílias de malware[1] usadas em ataques destrutivos contra mais de 40 organizações na Ucrânia e hostilidades variadas contra entidades russas. Destaque para a intrusão seguida do vazamento de dados da Roskomnadzor, a agência de censura do Kremlin.
      Reveses em adversários significativos
      Até a quadrilha de ransomware Conti foi diretamente afetada pela guerra, após um de seus operadores declarar apoio incondicional à Rússia assim que o conflito começou.
      Em resposta ao pronunciamento, um (ou mais) membros com acesso a dados importantes da quadrilha vazou mensagens de seus grupos privados, bem como dados sensíveis sobre o dia a dia da gangue e o código-fonte do seu ransomware, o qual foi posteriormente adaptado por um coletivo autodenominado Network Battalion 65′ em ataques contra entidades russas.
      Os APTs russos Sandworm e APT28, que possuem longo histórico de ataques notáveis, também sofreram reveses em meio ao conflito.
      O Sandworm (cuja atividade é documentada desde 2007, com destaque para os ataques que deixaram a Ucrânia no escuro em 2015 e 2016), tentou, sem sucesso, repetir o feito com uma variante do malware usado no blackout de 2016, a Industroyer2. Em abril, autoridades dos Estados Unidos tomaram o controle de uma de suas botnets, a Cyclops Blink, neutralizando a ameaça.
      Já o APT28, também chamado de Fancy Bear (cujo ataque de maior relevância talvez seja a intrusão seguida do vazamento de dados do Comitê do Partido Democrata dos Estados Unidos, em meio à campanha presidencial de 2016), teve o controle de sua infraestrutura tomado pela Microsoft, a qual, após obter as devidas autorizações legais, neutralizou os ataques do APT28 em curso naquele momento.
      Desinformação
      Uma batalha pelo imaginário das pessoas, sejam elas diretamente ligadas ao conflito, ou não, também se intensificou em meio à guerra. Interceptadores de sinal de celular, conhecidos como IMSI-catchers, foram usados no envio de mensagens SMS cujo objetivo era afetar o moral das tropas Ucranianas. Estações improvisadas também foram usadas para enviar mensagens dizendo que os caixas eletrônicos do país estariam indisponíveis, visando causar pânico na população.
      Mas é nas redes sociais que este tipo de tática tem se concentrado. A Meta afirmou, em setembro, ter derrubado uma grande rede de desinformação com origem na Rússia e foco em pessoas na Alemanha, França, Itália, Ucrânia e Reino Unido com narrativas focadas na guerra na Ucrânia. Estas campanhas, partiram de duas empresas registradas na Rússia como Structura National Technologies, uma empresa de tecnologia da informação e Агентство Социального Проектирования (Agência de Design Social, em tradução livre), uma empresa de consultoria de marketing e política.
      Sinais adiante
      Fez parte da retórica de muita gente uma suposta escassez de eventos de “ciberguerra” relevantes no atual conflito entre Rússia e Ucrânia. Como se os incidentes ocorridos até o momento não estivessem à altura das expectativas para se considerar que houve um conflito cibernético.
      O assunto foi inclusive objeto de um artigo na Foreign Affairs assinado por David Cattler e Daniel Black, respectivamente, o Secretário-Geral Adjunto para Informações e Segurança e o Analista Principal na Divisão de Análise de Ameaças Cibernéticas na OTAN. Nele, os especialistas argumentam que sim, há um conflito cibernético em curso e ele tem sido, por sinal, bastante intenso.
      É importante considerar que, embora seja farta a documentação sobre muitos dos ataques que têm ocorrido, sua incidência não é frequente na grande imprensa. Em muitos casos, devido a documentação ser hermeticamente técnica, mas também porque os ataques cibernéticos, sobretudo aqueles conduzidos por grupos experientes, deixam um rastro maior de dúvidas do que de certezas sobre a identidade do adversário, sendo que alguns deles podem permanecer silenciosos por anos no ambiente das vítimas.  
      É possível dizer que a atual fase da Guerra Russo-Ucraniana foi responsável por elevar o patamar sobre o que até então conhecíamos sobre o conflito cibernético, de modo que tanto operações ofensivas quanto defensivas (e até hacktivistas) passaram por um aperfeiçoamento em suas técnicas, acelerando uma evolução que já era fartamente documentada, gerando vitórias e derrotas entre os mais variados atores e tornando o acúmulo de poder cibernético algo menos assimétrico.
      Ou seja, quem acompanhou o tema no decorrer do ano testemunhou forças, que até então eram tratadas como se tivessem uma aura de invencibilidade, perderem o controle de parte de seus ativos, desmistificando a imagem, muitas vezes artificial, de que só um país dominaria o espaço cibernético.
      Não é possível afirmar que esse “gênio um dia voltará para a garrafa”. Pelo contrário, o acúmulo de saberes e ferramentas, bem como seu uso, tende a se intensificar. Sobretudo porque outros atores do cibercrime têm cada vez mais se profissionalizado e tanto criminosos, quanto as forças de inteligência e de segurança usam as mesmas ferramentas e adotam técnicas semelhantes, de modo que uma atividade retroalimenta a outra e ambas seguem progredindo.
      Às organizações que precisam defender seus ambientes é muito importante considerar o movimento das forças geopolíticas em sua estratégia, para além das medidas tradicionais de segurança. Isso porque, no âmbito cibernético, dois ou mais Estados-Nação lutando podem causar danos que transbordam quaisquer limites políticos, pois no ciberespaço as fronteiras não são nada sólidas e, em meio a hostilidades como estas, os atores do conflito podem usar quaisquer recursos disponíveis, inclusive os de sua empresa, de modo a obter vantagem para si.
      Ter o apoio de um time de threat intelligence que saiba traduzir estes eventos em insumos técnicos para sua proteção pode ser de grande ajuda, bem como a adoção da disciplina de Threat Hunting para identificar possíveis indícios de que sua rede está, de algum modo, envolvida em um conflito.
      Principais eventos de cibersegurança ocorridos em 2022 no contexto da guerra
      15/01 – Microsoft reporta a existência de malware afetando o governo ucraniano e várias organizações sem fins lucrativos e de tecnologia. 14/02 – Adversários exibem a mensagem “Esperem pelo pior” em sites de 70 entidades governamentais. 15/02 – Ataques de DDoS indisponibilizam serviços do governo ucrâniano, bancos, rádios, e outros websites por várias horas. 23/02 – Ataques contra websites do governo e com o malware HermeticWiper impactam organizações dos setores financeiro, de tecnologia e de aviação civil. 24/02 – Ataque contra a rede de satélite KA-SAT (operada pela Viasat) de modo a facilitar os primeiros movimentos das tropas russas. 25/02 – Ataques com o malware IsaacWiper contra sites do governo ucraniano. 26/02 – Sites do Kremlin e de outras agências russas sofrem ataques de DDoS. 28/02 – São documentados ataques com as ameaças FoxBlade.A, um trojan com capacidades para disparar ataques de DDoS e FoxBlade.B, um downloader, contra o governo ucraniano. 1/03 – Grupo de ransomware Conti posta comentário em apoio à Rússia e sofre vazamento de sua comunicação, do código-fonte da ameaça e de outros arquivos. 1/03 – Documentada a ocorrência de diversos ataques do grupo Ukrainian Cyber Guerrilla  contra sistemas de energia e de transporte na Rússia. 3/03 – Conti desativa infraestrutura após vazamento dos seus dados. 9/03 – UE discute fundo para aumentar resiliência da Ucrânia em telecomunicações e cibersegurança. 11/03 – Agências de inteligência ocidentais colaboram com a investigação do ataque contra a Viasat. 11/03 – Anonymous ataca a agência de censura russa Roskomnadzor e vazam e-mails e arquivos. 13/03 – Ataque atinge filial alemã da empresa de energia russa Rosneft.  28/03 – A empresa estatal de telecomunicações Ukrtelecom da Ucrânia sofre interrupção no serviço de internet após um ataque cibernético. 30/03 – Campanha de phishing do APT russo Gamaredon afeta alvos na OTAN, militares do Leste Europeu, além de ONGs americanas, um empreiteiro de defesa ucraniano e um militar de um país da região dos Balcãs. 31/03 -Malware usado no ataque contra a Viasat é documentado. 6/04 – Autoridades dos Estados Unidos tomam o controle da infraestrutura da botnet Cyclops Blink e neutralizam a ameaça. 7/04 – Microsoft toma o controle da infraestrutura do APT28 e neutraliza boa parte de seus ataques. 8/04 – Ataques cibernéticos com origem na Rússia afetam a Finlândia. O incidente ocorreu em meio a uma suspeita de violação do espaço aéreo por aeronaves russas. 12/04 – Sandworm tenta colocar a Ucrânia em situação de blackout, mas falha. 27/04 – Microsoft contabiliza aproximadamente 40 ataques cibernéticos contra a Ucrânia desde o início do conflito. 30/04 – Meta afirma ter removido 46 páginas, 91 contas no Facebook, 2 grupos e 1 conta no Instagram ligadas a operações de desinformação russas. 19/05 – Mandiant detalha extensa campanha de desinformação visando manipular a opinião pública sobre o conflito. 9/06 – Rússia adverte o Ocidente de que os ataques cibernéticos contra sua infra-estrutura corriam o risco de levar a um confronto militar direto. 29/06 – A Noruega é atacada pelo grupo hacktivista de orientação russa Killnet e acusa o país de conduzir o ataque. 7/09 – Google identifica que adversário com histórico de ataques motivados financeiramente também atuou em incidentes alinhados com o governo da Rússia. 27/09 – Meta afirma ter derrubado uma grande rede de desinformação com origem na Rússia e atividade na Alemanha, França, Itália, Ucrânia e Reino Unido com narrativas focadas na guerra na Ucrânia. 6/12 – Banco russo VTB é alvo de ataque de DDoS massivo. Grupo IT Army of Ukraine assume autoria. 15/12 – Meta atualiza post sobre campanha de desinformação publicado em setembro com a informação de que as operações de desinformação russas anteriormente citadas são baseadas em duas empresas no país. [1] A Microsoft cataloga essas famílias como 1-WhisperGate ou WhisperKill
      [2]FoxBlade, também chamado de Hermetic Wiper
      [3]SonicVote também chamado de HermeticRansom
      [4] CaddyWiper
      [5]DesertBlade
      [6]Industroyer2
      [7]Lasainraw também chamado de IssacWiper
      [8]FiberLake, também chamado de DoubleZero.
      Texto originalmente publicado no blog Tempest Trends. Reprodução autorizada.
       

    • Quem segue o nosso fórum de releases já viu que o projeto GNU liberou a versão 3.40 do Binutils no último sábado. Baixei e compilei para ver o que tinha de diferente. Seguem os novos recursos direto do repositório oficial:
      Changes in 2.40: * Objdump has a new command line option --show-all-symbols which will make it display all symbols that match a given address when disassembling. (Normally only the first symbol that matches an address is shown). * Add --enable-colored-disassembly configure time option to enable colored disassembly output by default, if the output device is a terminal. Note, this configure option is disabled by default. * DCO signed contributions are now accepted. * objcopy --decompress-debug-sections now supports zstd compressed debug sections. The new option --compress-debug-sections=zstd compresses debug sections with zstd. * addr2line and objdump --dwarf now support zstd compressed debug sections. * The dlltool program now accepts --deterministic-libraries and --non-deterministic-libraries as command line options to control whether or not it generates deterministic output libraries. If neither of these options are used the default is whatever was set when the binutils were configured. * readelf and objdump now have a newly added option --sframe which dumps the SFrame section. A opção --show-all-symbols parece interessante de deixar sempre ativada, para o caso de qualquer endereço na saída do objdump coincidir com mais de um símbolo no binário. Não é comum, mas se acontecer, vale a pena saber. 🙂
      Habilitar o output colorido em tempo de configuração me parece uma boa ideia e vai servir para os mantenedores de pacotes das distribuições deixarem o output do objdump colorido por padrão. Veja a diferença:

      Disassembly normal

      Disassembly colorido
      Lembrando que o objdump passou a suportar esse destaque de sintaxe em cores na versão 2.39 do Binutils. O que acontece agora é que existe uma opção em tempo de configuração (leia-se: ./configure) para deixá-la ativada por padrão. 😉
      Outro destaque é o suporte ao dump de seções SFrame tanto no readelf quanto no objdump. Como a opção --gsframe já havia sido adicionada no as, o GNU Assembler, dá pra usá-la com a opção -Xassembler do gcc assim:
      gcc -Xassembler --gsframe -o binario.elf hello.c E com o readelf (ou objdump), usar a nova opção:
      $ objdump --sframe binario.elf binario.elf: file format elf64-x86-64 Contents of the SFrame section .sframe: Header : Version: SFRAME_VERSION_1 Flags: SFRAME_F_FDE_SORTED Num FDEs: 3 Num FREs: 8 Function Index : func idx [0]: pc = 0x1020, size = 16 bytes STARTPC CFA FP RA 0000000000001020 sp+16 u u 0000000000001026 sp+24 u u func idx [1]: pc = 0x1030, size = 16 bytes STARTPC[m] CFA FP RA 0000000000000000 sp+8 u u 000000000000000b sp+16 u u func idx [2]: pc = 0x1139, size = 59 bytes STARTPC CFA FP RA 0000000000001139 sp+8 u u 000000000000113a sp+16 c-16 u 000000000000113d fp+16 c-16 u 0000000000001173 sp+8 c-16 u As distros levam um tempinho até subir o novo pacote pra você atualizar no seu Linux. Se não quiser esperar, baixa do repositório oficial e compila. Seguem as instruções:
      $ wget https://ftp.gnu.org/gnu/binutils/binutils-2.40.tar.xz $ sudo apt install texinfo flex bison libgmp-dev libmpfr-dev gcc make $ tar xf binutils-2.40.tar.xz $ cd binutils-2.40 $ ./configure --enable-colored-disassembly # já testa a nova opção ;-) $ make $ ./binutils/objdump --version GNU objdump (GNU Binutils) 2.40 Copyright (C) 2023 Free Software Foundation, Inc. This program is free software; you may redistribute it under the terms of the GNU General Public License version 3 or (at your option) any later version. This program has absolutely no warranty.  

    • Dentre os movimentos de adoção acelerada de tecnologia observados nos últimos anos se destaca a migração para a nuvem. 
      Empresas buscaram a migração de estruturas de dados e aplicativos de ambientes on premises para ambientes cloud com diferentes objetivos, dentre os quais estão desde a necessidade de tornar processos mais eficientes até a própria manutenção do negócio. 
      No cenário atual, é possível afirmar que a nuvem está entre as principais tecnologias que possibilitam a inovação corporativa, o que justifica o aumento nos investimentos na contratação de serviços e fornecedores ligados a essa tecnologia.
      Ao mesmo tempo, no entanto, esse movimento colaborou para ampliar drasticamente o ambiente corporativo para além das fronteiras da empresa, aumentando a possibilidade de existirem brechas de segurança.
      Segundo o documento Top Security and Risk Management Trends for 2022, do Gartner, migrar para a nuvem faz parte de uma série de movimentos que desafiaram os CISOs a “proteger empresas progressivamente distribuídas”, ao mesmo tempo em que passaram a lidar com a falta de mão de obra qualificada para lidar com os desafios de segurança trazidos por esse movimento. 
      Ou seja, ambientes em nuvem representam - ao mesmo tempo - uma ferramenta de suma importância para os negócios, e um dos principais desafios dos CISOs e dos times de segurança nos últimos anos. 
      Esta realidade inspirou a publicação do novo ebook da Tempest “Segurança na nuvem: desafios, práticas recomendadas e soluções para proteção de ambientes cloud”, que já está disponível:
      Clique aqui e faça o download
      Neste ebook abordamos:
      O processo de migração para a nuvem e a evolução da maturidade nestes ambientes durante e após a pandemia: dois anos após o início da pandemia foi possível observar um movimento gradual de investimentos em práticas de segurança que indicam maturidade nos ambientes cloud corporativos.
      As principais ameaças aos dados e à computação em nuvem: quase a metade dos vazamentos de 2022 tiveram suas origem em ambientes cloud. 
      Algumas das melhores práticas: No material, apresentamos as melhores práticas recomendadas para operações seguras na nuvem. 
      Serviços que podem ajudar na proteção do seu ambiente cloud: proteger sua nuvem pode se tornar mais fácil ao contar com produtos e serviços de segurança voltados especialmente para este ambiente.
       

    • A BHack Conference 2022 vai deixar saudade. Voltando ao presencial depois da pandemia, a décima primeira edição da conferência foi a maior realizada até então, com mais de 500 inscritos.
      O que começou com um propósito de trazer para a capital mineira um pouco mais de conhecimento e troca de experiências sobre segurança da informação, se consolidou como um espaço relevante no circuito de segurança. “Para gente é sucesso. E o que a gente quer é crescer cada vez mais e proporcionar uma experiência bacana para o público”, assinala Everson Guimarães, fundador do evento.
      Além do conteúdo relevante, do clima de curtição e muita conversa interessante nesses dois dias, o evento também contou com um CTF promovido pela equipe do FireShell Security Team.  A competição contou com 25 desafios e uma premiação de R$ 3 mil para a equipe vencedora, R$ 2 mil para a segunda colocada, e R$ 1 mil para o terceiro lugar. 42 competidores, divididos em 16 times, competiram por esses prêmios. 
      Os vencedores foram a equipe Cinquenta Tons de Vermelho, formada por uma galera muito massa. Segue o bate-papo que a gente teve com eles:

      De onde veio o nome? 
      Ninguém sabe e essa é a magia da coisa 😄
       
      Qual o perfil dos participantes?
      - Luca (regne), 21 anos, de BH, trabalha na área de cibersegurança há 3 anos, atualmente AppSec;
      - Daniel (celesian), 19 anos, de Campinas-SP, trabalha na área de ciber segurança há 3 anos, atualmente offsec/Red Team;
      - José (ricard0x), 18 anos, de Palmeira-PR, trabalha na área de ciber segurança há 1 ano, atualmente offsec;
      - Rafael (waid), 25 anos, de Ribeirão Preto-SP, trabalha na área de cibers egurança há 3 anos, atualmente offsec;
       
      Vocês participam sempre desse tipo de campeonato? Se sim, quais? E já ganharam?
      regne: Embora tenha começado na área com o CTF, não venho jogando muito ultimamente, pretendo jogar mais principalmente com a volta dos eventos presenciais. Já peguei posições relevantes, mas esse foi o primeiro em que participei de um time vitorioso.
      celesian: Tento participar sempre, já joguei muitos CTFs virtuais, porém o CTF da BHack 2022 foi o primeiro presencial que participei.
      ricard0x: Sim, já participei de alguns campeonatos de CTF, porém, esse foi o primeiro presencial. Nunca ganhei um campeonato "grande".
      waid: Participo sempre que possível. O aprendizado, a emoção e a experiência valem muito a pena. Assim como o pessoal do time, já participei virtualmente de diversos CTFs nacionais e internacionais nos últimos anos, principalmente no estilo jeopardy.
       
      O que curtem nesse tipo de competição?
      regne: Acho que o melhor é se sentir desafiado e ter que pensar fora da caixa e aprender coisas novas para resolver o challenge. Além da adrenalina de pegar a flag, é uma sensação muito boa quando dá certo.
      celesian: A energia durante os campeonatos de CTF é incrível, são vários momentos de felicidade que acontecem depois de horas de sofrimento. É uma atividade muito recompensadora com certeza.
      ricard0x: O desafio e a emoção de competir no geral já me atrai muito, se desafiar e ter a pressão de resolver mais rápido do que os outros competidores é muito legal. Além disso, em campeonatos presenciais, existe uma interação muito maior entre seu time e outros competidores, essa experiência agrega muito.
      waid: A própria natureza da competição, de exigir foco total para a solução dos desafios reconstruindo a forma de pensar dos criadores. A emoção ao conseguir uma flag é nitidamente maior presencialmente, compartilhada com o time. Além disso, a ansiedade pelo resultado e as comuns viradas no placar nos últimos minutos eleva muito as comemorações como hoje
       
      O que foi mais desafiador nesse CTF?
      regne: Acho que lidar com pouco tempo para tantos challenges diferentes. Além do fato do nosso time ser inteiro focado em web e o campeonato ter diversos outros tipos como crypto, forense, reversing, entres outros desafios que nenhum de nós estava 100% confortável.
      celesian: Algumas challenges levaram bastante tempo para ser feitas, outras não conseguimos nem fazer hehe.
      ricard0x: Creio que a diversidade de desafios de diferentes categorias foi o mais desafiante, pois isso força o competidor a pesquisar e aprender várias coisas novas que podem estar fora da "zona de conforto".
      waid: A diversidade de desafios força muito a saída da zona de conforto. Mesmo os desafios “simples” desse CTF foram bem pensados e exigiram a concentração e reestruturação do pensamento diversas vezes
       
      E sobre o BHack? Vocês gostam do evento? Acompanham sempre?
      regne: Eu sou suspeito para falar, foi meu primeiro evento de segurança. Vou desde 2019 sendo que esse foi meu segundo presencial. Sou um grande fã da conferência.
      celesian: Já tive a oportunidade de conhecer a BHack em suas edições virtuais que aconteceram em 2020 e 2021. É um evento divertido e com certeza vou frequentar as outras vezes.
      ricard0x: Esse foi meu primeiro ano na BHack e curti bastante. Confesso que não acompanhava muito, pois quando teve o último evento presencial eu ainda não estava na área de segurança, mas valeu a experiência, além de ter a oportunidade de conhecer pessoalmente outros colegas da área.
      waid: Acompanho há pouco tempo, mas já fui bem influenciado pelo time e pela experiência do evento a voltar mais vezes; os conteúdos apresentados são ótimos e o clima amistoso e sempre acolhedor de MG dá um toque especial.
       
      Se houver algo mais que queiram compartilhar, e não perguntei, fiquem à vontade!
      regne: Gosto demais da Mente Binária e acompanho o projeto em diversos lugares: site, YouTube, GitHub, Twitter. Já aprendi muito com o conteúdo que a comunidade posta, além dos vídeos e palestras que o Mercês faz. É uma honra estar aqui tendo esse papo .🙂
      ricard0x: Queria primeiramente agradecer aos meus colegas do time, são todos MUITO bons e que aprendi muito com eles! E obviamente, agradecer à organização da BHack e também do pessoal FireShell Security, pela organização de um CTF sensacional!
      waid: Gostaria de agradecer muito à produção do evento e especialmente à FireShell pelo CTF, foi uma experiência muito boa e a troca de conhecimento. Valeu muito a viagem!
       
      Pelo visto a coisa bombou mesmo! Parabéns, BHack, FireShell, todos que competiram e aos ganhadores. Grande dia! 😎

    • Somente com persistência, Igor Souza conseguiu convencer a Microsoft de uma vulnerabilidade, e até conseguir uma CVE por parte deles. Mas isso exigiu trabalho e insistência, pois, num primeiro momento, a fabricante não reconhecia a vulnerabilidade.
      Tudo começou ao analisar o tráfego dos cards no Microsoft Teams. Igor percebeu que ao capturar uma requisição, era possível alterar os dados do card, e com isso colocar textso maliciosos e até mesmo links ali dentro. “Eu reportei a eles, mas eles falaram que como era um card adaptativo, aquilo não era vulnerabilidade. Eu dei uma pesquisada, e na própria documentação da Microsoft falava que possivelmente alguns bots poderiam vir com conteúdo malicioso, só que todos os bots estavam vulneráveis”, relata. 
      Igor continuou testando a vulnerabilidade, e notou que conseguia alterar todos os cards bots. E com o tempo notou que não precisava só usar o HTTP ou HTTPS. “Eu conseguia usar outras URI, tipo talk:qq, aquele mesmo da Microsoft que dá o blackscreen, e quando eu enviava para uma pessoa, já executava direto, sem pedir permissão”.

      Ao reportar novamente, a Microsoft aceitou como vulnerabilidade dessa vez, por ele conseguir executar códigos em outras máquinas. A partir desse aceite, o próximo passo foi testar em outros sistemas operacionais, como o macOS e Linux, onde testou no ambiente gráfico XFCE.
      “Só no XFCE quando eu clicava com URI com FTP, além de eu conseguir conectar no FTP, parecia que eu estava executando um ícone normal, com interface gráfica, no XFCE. Aí eu coloquei um ponto desktop no meu servidor FTP e cliquei lá, e enviei. Se eu não tivesse conectado no meu FTP, no meu primeiro clique eu ia conectar direto, e já no segundo clique ele ia executar o .desktop sem perguntar”, relatou. 
      Com essa detecção, houve um novo report, em que eles verificaram que estava faltando uma checagem para não executar .desktop via FTP, só localmente, o que rendeu uma CVE.
      A exploração não parou por aí! Nos highligths em @mentebinaria_, Igor conta sobre a experiência com outras vulnerabilidades! l33t!
       

         
       
       

    • No segundo dia da BHack também teve uma palestra bem divertida da Cybelle Oliveira, diretora da Casa Hacker, ativista e pesquisadora de ciber segurança, sobre um compilado dos malwares da América Latina, sob a ótica da Cyber Threat Intelligence (CTI). “Eu não analiso tecnicamente, mas faço uma leitura geral do que acontece, para poder gerar um relatório entendível e acionável para o C-Level das empresas”, brinca, ao explicar seu trabalho.
      Sua análise passou pela evolução histórica do ciber crime por aqui, desde o início dos anos 90, e como eles se caracterizam, sobretudo nos ataques a ambientes bancários.

      “O ciber crime cresceu a partir do ataque a bancos. Se antes os roubos a bancos eram físicos e cheios de risco, o ataque virtual passou a ser uma alternativa”, disse.
      Sobre as características dos malwares produzidos na América Latina, ela enfatiza que não se trata de malwares geniais, no sentido técnico, mas são, no geral, muito criativos e resilientes. “Graças a isso, nós, da área de segurança, temos trabalho pra sempre”, ironiza Cybelle.
      Outras características do malwares focados em ataques bancários, os trojans (nome curto para Trojan horse, ou cavalo de Tróia) bancários, no geral são muito parecidos: são voltados para desktops, escritos em Delphi, geralmente abusam de engenharia social, têm características de backdoor, e detectam continuamente janelas ativas no computador até identificar uma relacionada a sua instituição bancária de interesse. E eles têm múltiplas variantes, com pequenas modificações entre elas, geralmente disseminadas em caráter de teste antes da infecção em massa.
      Cybelle destacou também que muitos malwares latino-americanos compartilham código com strings encriptadas, mecanismos simples de persistência através do Registro do Windows; evasão de defesas com LOLBins e acesso de credenciais, com captura de dados dos usuários, sobretudo dos salvos no navegador. A cadeia de infecção geralmente se dá por meio de phishing, com algumas famílias chegando a "spammar" um milhão de e-mails por dia.
      De acordo com um levantamento feito pela Kaspersky, 60% dos trojans da América Latina são provenientes do Brasil. “Estamos bem colocados!”, brinca. 🫣
      Muito legal assistir tantas informações condensadas pela Cybelle! Por mais palestras com mulheres assim! 💚
         
       

×
×
  • Criar Novo...