Jump to content
    • Bruna Chieco
      Quatro falhas de segurança separadas afetam cerca de 30 milhões de endpoints individuais da Dell em todo o mundo. Segundo o ThreatPost, as vulnerabilidades dariam aos invasores controle e persistência quase completos sobre os dispositivos visados.
      Os bugs de alta gravidade foram encontrados pelos pesquisadores da Eclypsium, e podem permitir que atacantes remotos obtenham execução arbitrária de código no ambiente de pré-inicialização dos dispositivos Dell. De acordo com uma análise da empresa de segurança, os bugs afetam 129 modelos de laptops, tablets e desktops, incluindo dispositivos corporativos e de consumo, protegidos pelo Secure Boot, padrão de segurança que visa garantir que um dispositivo seja inicializado usando apenas software confiável para o fabricante do equipamento original.
      As falhas permitem que adversários de rede privilegiados contornem as proteções de inicialização segura, controlem o processo de inicialização do dispositivo e subvertam o sistema operacional e os controles de segurança de camadas superiores, dizem os pesquisadores.
      Os problemas afetam o recurso BIOSConnect do Dell SupportAssist, uma solução de suporte técnico pré-instalada na maioria das máquinas Dell baseadas em Windows e utilizada para realizar recuperações remotas do sistema operacional ou para atualizar o firmware no dispositivo. O relatório da Eclypsium observou que as vulnerabilidades específicas permitem que um invasor explore remotamente o firmware UEFI de um host e obtenha controle sobre o código mais privilegiado do dispositivo.
      A primeira vulnerabilidade, CVE-2021-21571, é o início de uma cadeia que pode levar à execução arbitrária de código. As outras três vulnerabilidades distintas e independentes (CVE-2021-21572, CVE-2021-21573, CVE-2021-21574) ajudam os atacantes a obter a execução arbitrária de código no ambiente de pré-inicialização no dispositivo de destino, disseram os pesquisadores.

    • Atuando na área de segurança há cerca de 10 anos, Fernando Pinheiro (@n3k00n3) possui uma trajetória admirável de alguém que começou a se interessar sozinho por hackear e a partir disso desenvolveu uma carreira que o levou ao cargo de pentester. Mas sua história tem outro fator ainda mais relevante. Se considerando uma pessoa não-binária, Fernando não se identifica com o gênero feminino ou masculino. Esse é um fato que, dentro de sua caminhada profissional, nunca passou a ser relevante ou participar do seu dia a dia. Mas na sua visão, existem poucas oportunidades de conversar sobre o tema na área por ser um ambiente predominantemente masculino e machista.
      Fernando conta que esse assunto ainda é considerado um tabu na profissão, apesar de nunca ter interferido na sua carreira, que iniciou em Salvador (BA), onde nasceu. Fernando sempre consumiu muito conteúdo da comunidade de segurança da informação, mas o que despertou isso não foi um desejo pela profissão em si. "Meu interesse na área começou logo depois de ver uns jogos na lan house. Tinha que pagar para poder jogar e eu não tinha dinheiro. Eu via meus amigos aumentando de level e eu não conseguia evoluir tanto quanto eles, uma vez que não conseguia pagar as horas. No início foi estranho, mas me deu esse start. Foi aí que eu achei uma vulnerabilidade no aplicativo de gerência da lan house e consegui administrar as horas de todas as pessoas, tendo hora o suficiente para jogar o dia todo", conta em entrevista ao Mente Binária.
      Depois de um tempo, o administrador da lan house descobriu e criou uma nova versão do aplicativo. Mas Fernando insistiu no hacking até ser expulso da lan house. "Eu já tinha visto em filmes, entendia a ideia dos hackers, mas meu objetivo não era ser hacker, era só jogar. Foi o início de tudo, que chamou minha atenção", diz.
      E foi mesmo a vontade de jogar que despertou mais a sua curiosidade sobre hacking. Em casa, Fernando pesquisava sobre computação para tentar melhorar seu próprio computador, e acabou encontrando blogs com bastante informação sobre o tema. "Comecei a estudar mais, buscar conhecimento sobre, por exemplo, como funcionavam as vulnerabilidades de aplicações web".
      Na época com aproximadamente 15 anos, Fernando lia revistas para entender a parte de sistemas operacionais, mas ainda assim não levava tão a sério a história de virar hacker. "Aprendi umas coisas básicas do sistema que ajudaram mais tarde. Meu pai foi um dos maiores apoiadores na época, trazia revistas com CD de computação ou com vários jogos e uma revista digital que ensinava algo. Isso me levou a estudar mais sobre computador em si. Meu pai gostava e me influenciou", destaca.
      "Só consegui emprego nesse setor quando fui morar em São Paulo"
      Carreira – Fernando não sabia que dava para trabalhar na área de segurança, mas tinha conhecimento sobre a atividade de programação ou no suporte. "Eu tinha de 19 para 20 anos quando descobri a área de pentest como profissão e que as pessoas pagavam para alguém encontrar falhas. Eu falava para meus amigos 'como assim estavam pagando por isso e a gente fazia de graça?'", lembra. 
      Mesmo depois de descobrir que existia essa profissão, Fernando ainda passou por uma trajetória até virar pentester. "Eu trabalhei com suporte de Linux e como designer ligado à computação. Era legal enquanto não aparecia nada para trabalhar com segurança em si. Apesar de saber que existia a profissão e empresas que contratavam, parecia um mundo distante", diz Fernando, afirmando que em Salvador não tinha empresas na área, e que até hoje dificilmente se encontra uma empresa de segurança ofensiva na região. "Só consegui emprego nesse setor quando fui morar em São Paulo", conta.
      Mas enquanto ainda trabalhava com suporte de Linux, Fernando estudou e fez cursos sobre manutenção de computadores e redes. "Esse estágio foi em uma cooperativa de software livre, e foi onde eu me encontrei usando Linux, que era algo que eu gostava, pois era uma das base de segurança e estava no meio de uma comunidade ainda maior, com a filosofia hacker vivendo dentro desse ambiente", disse.
      Fernando ficou nessa empresa/cooperativa durante um pouco mais de 1 ano e depois conseguiu uma vaga como voluntário na Universidade Federal da Bahia (UFBA) para trabalhar como pentester. "Foi meu primeiro trabalho nessa área, mas não era só pentester, eram vários tipos de trabalho. Um deles era resposta a incidentes na automatização de tarefas. A Universidade era muito grande, não era o maior foco achar falha de segurança, mas esse foi o pontapé para a área", conta.

      Fernando participando do Nullbyte, encontro da comunidade hacker, em 2015
       
      Experiência na área de segurança – Depois da Universidade, onde ficou por uns 6 meses, Fernando participou de um projeto de verão chamado Rails Girls Summer of Code. Lá, aprendeu a desenvolver a linguagem de programação chamada Ruby on Rails para ajudar na segurança da aplicação. "Esse projeto durou cerca de 3 meses, e aí fui para uma empresa de segurança defensiva para implementar soluções de segurança como firewall, antivírus e WAFs. Era o outro lado da moeda", conta. 
      A partir dessa experiência, Fernando conseguiu ver como eram implementadas as soluções de segurança para impedir ataques e como esses ambientes eram gerenciados. "Isso chamou minha atenção sobre como explorar de forma melhor. Eu passei por vários clientes, principalmente de governo, e dava para entender como estavam as falhas e por que existiam. Isso me ajudou bastante a entender uma aplicação ou uma infraestrutura". 
      Depois disso, Fernando foi para São Paulo trabalhar na Cipher, onde atua até hoje. No meio disso, ainda passou por uma empresa de consultoria. "Basicamente, meu dia a dia é encontrar falhas de segurança em aplicações web, aplicações mobile, API, e infraestrutura. Cada semana tem um projeto novo, com linguagens de programação diferentes e desenvolvidas por pessoas diferentes". Dá uma olhada nas publicações que Fernando faz com base em pesquisas que também realiza no tempo livre em seu Blog.

      Fernando esteve entre os finalistas do Hackaflag em 2014
       
      Quebrando tabus – Fernando destaca que o fato de não se pronunciar muito sobre seu posicionamento de gênero dentro da comunidade LGBTQIA+ talvez seja um dos motivos que fizeram com que esse tema nunca tenha interferido em toda a sua trajetória. "Eu já vi algumas situações em que isso interferiu na vida de outras pessoas, como se isso fosse um demérito ou influenciasse na questão técnica de alguém. Isso é bem diferente do que a comunidade em si e a história do hacking diz", afirma. 
      Citando o Manifesto Hacker, Fernando diz que o que importa é o conhecimento técnico, e não a identidade de gênero ou a sexualidade de alguém. "Isso não quer dizer nada para a comunidade, e sim seu conhecimento científico/técnico e como isso ajuda a comunidade. Esse manifesto fala sobre isso, mas em muitas situações eu vi o oposto", lamenta.
      Por ainda ser um tema delicado diante de um universo com a mentalidade mais fechada, Fernando não costuma levantar esse assunto com receio da reação da comunidade, de como as pessoas veriam e como isso afetaria sua vida profissional. Contudo, conta uma experiência em que pôde falar mais abertamente sobre o assunto em um hacker space – Raul Hacker Club – em Salvador, onde várias pessoas da área de hacking, TI e desenvolvimento falavam sobre a pauta. 
      "Hacking é liberdade, é quebrar padrões"
      O verdadeiro hacking – Nas redes sociais, Fernando se classifica abertamente como não-binário, mas ainda assim acredita que falta um debate em si na área de segurança que aborde a comunidade LGBTQIA+. "Se pessoas da comunidade colocam isso em seus perfis, acho que chama atenção para um debate. E publicar sobre isso chama atenção para o assunto, já que são pessoas que estão na área há um tempo e isso não influencia em nada na vida profissional em termos de conteúdo técnico. Isso não deixou ninguém menos hacker, menos desenvolvedor", pontua.
      Fernando observa que nesse último ano houve uma mudança no cenário, e neste mês de junho, no qual é celebrado o Orgulho LGBTQIA+, o número de pessoas que publicaram sobre o assunto em suas redes aumentou. "Pessoas técnicas, que geralmente postam algo técnico, publicaram sobre o orgulho LGBTQIA+. Existem mais pessoas trans na área falando sobre isso e ajudando outras pessoas a entrarem na área", diz, citando ainda que houve uma recente visibilidade e reconhecimento de mulheres trans na comunidade hacker.
      Para Fernando, falar sobre o tema é se auto afirmar, lembrar que existe, e faz parte da filosofia dos hackers. "Hacking é liberdade, é quebrar padrões, é achar maneiras de subverter algo. Essas pessoas estão hackeando um padrão estabelecido há muito tempo. Somos hackers, por que não exercer isso na área de segurança? Por que não falar sobre o assunto?", questiona.
      Fernando incentiva a todos a abordarem esse assunto sem medo. "Seja seu melhor, independente de sua crença, de sua orientação. Falar sobre isso vai ser bom, e não influencia no seu quesito técnico. Falem sobre isso, hackeiem!". 🏳️‍🌈

    • O Google está trabalhando para permitir que código Rust seja utilizado no kernel Linux, o que se trata de uma grande mudança tecnológica e cultural após décadas usando apenas a linguagem C. Para isso, a empresa financiará o projeto com o objetivo aumentar a segurança do sistema operacional, conforme publicou o CNet.
      A empresa já financia um projeto do Internet Security Research Group para deixar toda a Internet mais segura. Trata-se de um módulo para o Apache HTTP web server (ou simplesmente httpd), que é um software livre, sendo o servidor web mais utilizado no mundo, também escrito em linguagem C, utilizando a linguagem chamada Rust.
      Agora, o projeto permite possível adicionar novos elementos escritos em Rust no coração do Linux, chamados de kernel, o que tornaria os sistemas operacionais Android e Chrome do Google mais seguros. Miguel Ojeda está sendo contratado para escrever software em Rust para o kernel Linux. O Google está pagando pelo contrato, que será estendido por meio do Internet Security Research Group. 
      A melhor segurança para o Linux é uma boa notícia para todos, exceto para os atacantes. Além dos sistemas operacionais Android e Chrome, os serviços do Google, como YouTube e Gmail, contam com servidores que executam Linux. Ele também capacita a Amazon e o Facebook, e é um acessório nos serviços de computação em nuvem.
      Não está claro se os líderes do kernel do Linux irão acomodar o Rust. Segundo o CNet, Linus Torvalds, o fundador do Linux, disse que está aberto a mudanças se o Rust para Linux provar seu valor. 

    • Spammers estão colocando links não seguros dentro de imagens de perfil do Tinder. A tendência recente foi observada pelo BleepingComputer, com um número notável de perfis de namoro falsos inundando o aplicativo de namoro.
      Vários perfis de spam do Tinder revisados pelo BleepingComputer compartilham algumas características comuns. Por exemplo, quase todos tinham a imagem de uma pessoa seguida por outra mostrando um domínio NSFW (Not Safe for Work ou Não seguro para o trabalho) escrito à mão em um cartaz.
      Essa técnica abusa de imagens de perfil para colocar imagens de domínios escritos à mão dentro deles. A finalidade dos perfis é exclusivamente atrair os usuários para visitar links de spam – levando a sites de namoro de terceiros ou links não seguros. 
      O que faz essa tendência continuar é que as imagens personalizadas contém versões manuscritas de links muito mais difíceis de detectar ou remover automaticamente em massa. Por isso, o BleepingComputer recomenda que os usuários de aplicativos de namoro evitem visitar links duvidosos e, idealmente, relatem perfis de spam para manter as comunidades de namoro online seguras para todos.

    • A polícia ucraniana prendeu membros do grupo de ransomware conhecido como Cl0p, de acordo com um comunicado enviado à imprensa. A ação foi realizada em colaboração com a Interpol e agências de aplicação da lei da Coreia do Sul e dos Estados Unidos.
      Segundo reportagem da Vice, o Departamento de Polícia Cibernética da Polícia Nacional da Ucrânia disse que realizou 21 buscas nas casas dos supostos cibercriminosos e em seus carros em Kiev e nos arredores. Os policiais dizem ter confiscado 500 milhões de hryvnia ucraniana (cerca de US$ 180 mil), computadores e carros.
      Não está claro quantas pessoas foram presas e se as prisões atingiram os principais desenvolvedores e hackers por trás da gangue. A Vice apurou ainda que na manhã de quarta-feira, quando as prisões ocorreram, o site do Cl0p ainda estava online.
      A polícia cibernética da Ucrânia disse à Vice que identificou seis criminosos, mas não pode citar o nome das pessoas envolvidas e outros detalhes para não prejudicar a investigação.
      Nos últimos meses, o Cl0p atingiu dezenas de vítimas, criptografando seus arquivos e exigindo resgate. Mais recentemente, os cibercriminosos tentaram extorquir suas vítimas ameaçando vazar seus arquivos publicamente em seu site. Segundo a Vice, as vítimas incluem a gigante do petróleo Shell, a empresa de segurança Qualys, o banco norte-americano Flagstar, o escritório de advocacia global Jones Day, a Universidade de Stanford e a Universidade da Califórnia, entre outros. 
      Os atacantes conseguiram hackear algumas dessas vítimas tirando proveito de uma falha no Accellion File Transfer Appliance (FTA), um serviço de compartilhamento de arquivos usado por diversas empresas mundialmente.

    • Analistas da Avanan descobriram recentemente um vetor de exploração no Google Docs que está sendo utilizado por invasores para disseminar sites de phishing às vítimas. Segundo os pesquisadores, esse não é um tipo de ataque comum, mas é bastante simples de executar, principalmente porque o Google faz a maior parte do trabalho para os invasores.
      O ataque começa com um e-mail que inclui uma mensagem que pode ser relevante para usuários comerciais que costumam usar o Google Docs em seu ambiente corporativo. Se um usuário clicar no link, a página parecerá familiar para qualquer pessoa que use o Google Docs para compartilhar documentos fora da organização.
      Esta, no entanto, não é aquela página, e sim uma página HTML personalizada feita para se parecer com a familiar página de compartilhamento do Google Docs. Uma vez redirecionadas, as vítimas em potencial são solicitadas a “clicar aqui” para baixar o documento. Se um usuário clicar, a página redireciona para o site de phishing malicioso real, que rouba as credenciais da vítima usando outra página da web feita para se parecer com o portal de login do Google, mas que na verdade é hospedada a partir de um URL não afiliado ao Google.
      Ao hospedar ataques dessa forma, os invasores podem contornar os scanners de link e evitar a detecção de proteções de segurança comuns que visam verificar se os links enviados por e-mail são legítimos. 

    • Os operadores do SolarMarker estão usando envenenamento de Search Engine Optimization (SEO) para encher milhares de PDFs com dezenas de milhares de páginas cheias de palavras-chave e links que visam fazer redirecionamentos que levam ao malware. O SolarMarker é um malware de backdoor que rouba dados e credenciais dos navegadores.
      Segundo a Microsoft Security Intelligence, o ataque funciona usando documentos PDF projetados para classificação nos resultados da pesquisa. Para conseguir isso, os invasores preencheram esses documentos com mais de 10 páginas de palavras-chave em uma ampla variedade de tópicos, desde “formulário de seguro” e “aceitação de contrato” a “como ingressar no SQL” e “respostas matemáticas”.
      Os pesquisadores observaram que esses invasores usaram o Google Sites para hospedar esses documentos. Em campanhas recentes, os atacantes passaram a usar principalmente o Amazon Web Services e o Strikingly. 
      Quando abertos, os PDFs solicitam que os usuários baixem um arquivo .doc ou uma versão .pdf das informações desejadas. Os usuários que clicam nos links são redirecionados por 5 a 7 sites com TLDs como .site, .tk e .ga.
      Os pesquisadores dizem ainda que após vários redirecionamentos, os usuários chegam a um site controlado pelo invasor, que imita o Google Drive, e são solicitados a baixar o arquivo, que normalmente é o malware SolarMarker/Jupyter. Também foram vistos arquivos aleatórios sendo baixados em uma tática de evasão de detecção/análise.

×
×
  • Create New...