Ir para conteúdo

  • Notícias

    Mostrar todas categorias
    • Bruna Chieco
      A Everis, provedora de software espanhola que pertence ao grupo NTT Data, sofreu um ataque do ransomware BitPaymer nesta segunda-feira e teve seus sistemas criptografados. Segundo o site BleepingComputer, após o início do ataque, a companhia enviou um comunicado interno informando que estava sob um "ataque massivo de vírus em sua rede" e orientou os funcionários a manterem suas máquinas desligadas. As redes foram desconectadas dos clientes e entre os escritórios. 
      O ransomware criptografou os arquivos dos sistemas da empresa usando a extensão .3v3r1s. Os atacantes enviaram nota à Everis informando sobre o ataque e solicitando 750 mil euros para desbloquear os arquivos, segundo o bitcoin.es. ?
      Além da Everis, a rede de estações de rádio espanhola Cadena SER também sofreu um ataque de ransomware hoje, dessa vez, com variação desconhecida. A rede divulgou nota oficial informando sobre o ataque. Todos os computadores foram desconectados, mas suas atividades continuam por meio de um auxiliar da sede em Madri. O INCIBE, Instituto Nacional de Ciberseguridad da Espanha, está ajudando a estação de rádio a restaurar seus dados criptografados e a colocar seus sistemas online novamente.
      Há uma suspeita de que os ataques exploram o BlueKeep (CVE- 2019-0708), vulnerabilidade descoberta na implementação do Remote Desktop Protocol da Microsoft, mas não há evidências para apoiar essa teoria, apesar de, supostamente, a Everis ter centenas de servidores diretamente expostos a conexões com a Internet. 
    • O time de desenvolvimento do Ghidra anunciou a versão 9.1 do software, agora com suporte aos processadores SH1/2/2a, Tricore,  HCS12X, HCS08, SH4 e MCS-48. Podem parecer muito exóticos, mas SH4 por exemplo é uma das plataformas alvejadas por malwares para IoT como Mirai e outras botnets.
      Dentre os novos recursos, tem o suporte à edição de estruturas (structs) e uniões (unions) nos Data Types, assunto que cobrimos na aula 08 do treinamento de Ghidra aqui do Mente Binária. ?
      Lista completa das alterações e links para download no site oficial.
       
    • Como estimular a comunidade de segurança da informação a ir além das pesquisas em segurança ofensiva e desenvolver também o lado defensivo? Foi o que perguntamos ao Stefano Zanero em entrevista concedida ao Mente Binária. Palestrante na H2HC este ano, Zanero é PhD e professor na Politecnico di Milano, na Itália. É também parte do comitê da Black Hat, uma das principais conferências da área, e destaca que hoje o principal problema da indústria é que os profissionais de segurança preferem ser conhecidos por seus ataques e investem pouco em construir técnicas de defesa em prol de solucionar problemas que a área revela.
      Leia a entrevista completa:
      Mente Binária — Em suas apresentações, você fala que participa de conferências da área de segurança já há um tempo e vê muitas palestras com pesquisadores mostrando o lado ofensivo, de como eles invadem, burlam sistemas, etc. Muita coisa acontece no lado de ataque. Mas seria muito bom se tivesse mais pesquisadores do lado defensivo. Por que você acredita que isso é tão importante?
      Stefano Zanero — De maneira geral, a maioria dos pesquisadores de segurança deveria estar objetivamente melhorando a segurança, e melhorar a segurança através de ataques é típico, já que a segurança defensiva é filha da ofensiva. Você nunca tem uma técnica defensiva que vem primeiro, ela vem da observação de técnicas ofensivas. Mas nós, por sermos interessados e por ser fascinante, ficamos cavando as técnicas ofensivas, que são complexas, elaboradas e quase mágicas, às vezes. Técnicas defensivas não funcionam no mesmo ritmo e temos vários problemas. O lado ofensivo não é interessante de ser mais explorado, são problemas velhos, mas que não estão resolvidos, evidentemente. 
      Tomemos por exemplo, o problema básico da autenticação. Nós estudamos isso na Universidade e parece um problema resolvido. Temos a teoria e a prática, as ferramentas, mas ainda, a maioria dos ataques atuais se baseia no comprometimento da autenticação, então, evidentemente, não resolvemos isso corretamente. Nós temos o conhecimento e essas coisas parecem velhas, mas temos muito espaço para fazer isso como pesquisadores, como empresas, startups...
      Pense na Duo Security. Eles não fizeram nada extraordinário, mas trouxeram para a perfeição um subconjunto específico do problema da autenticação, e criaram uma empresa muito grande e bem-sucedida que foi comprada depois disso. Então, pesquisar no lado defensivo, mesmo que os problemas pareçam velhos, eles estão lá e ainda precisamos descobrir um jeito de se livrar de senhas completamente. Precisamos encontrar maneiras de fazer desenvolvedores que não são experts em segurança escreverem códigos mais seguros.
      MB — Se pegarmos o caso de ransomware, que ainda é um grande problema que causa prejuízos financeiros. Você acredita que essa é uma das áreas em que as pessoas deveriam investir mais no lado defensivo? E se sim, será possível encontrar uma solução para isso?
      SZ — Há soluções promissoras ao nível de pesquisa, talvez não ao nível da indústria. É uma área importante, pois nós somos engenheiros de computação e sabemos a importância de fazer backup dos nossos dados, aí vemos alguém que está perdendo seu dados por causa de um ransomware a gente tira sarro, porque dizemos que era só elas terem feito backup. Mas se temos pessoas perdendo seus dados, isso significa que as soluções para backup dos dados provavelmente não são tão boas quanto deveriam.
      Por exemplo, pense no problema de aplicar patches em software. Pense em quão automática, consistente, difundida é a aplicação de patches em smartphones, no ecossistema iOS, por exemplo. Se você comparar o problema de patching nos casos recentes dos worms para Windows, em que pessoas ficaram sem patches em seus computadores por 6 ou 7 meses, mesmo depois que estes foram publicados... Não melhoramos a confiabilidade dos patches, sua distribuição automática, a maneira como podem ser testados, etc. Portanto, há muito trabalho para fazer nesta área. E precisamos melhorar isso. Não é sexy melhorar gestão de patches, mas...
      MB — Você usou a palavra "sexy". Você acredita que num evento o público vai admirar um pesquisador que apresentar algo do lado defensivo tanto quanto admira quando alguém invade algo? Isso influenciaria jovens pesquisadores a irem para o lado ofensivo, porque eles serão mais admirados pela comunidade do que se fossem defensivos?
      SZ — O maior problema é a definição do valor da pesquisa. Na Black Hat tentamos começar uma trilha para segurança aplicada que apresentaria pesquisas que podem ser aplicadas em nível de produção, e não somente o lado teórico delas. Seriam pesquisas que mostram uma ferramenta e ao aplicar essa ferramenta, você obterá estes resultados. Uma entrega prática. Mas há poucos pesquisadores que se qualificam para isso. Não acredito que essas pesquisas vão acabar nos jornais, na TV, então se seu objetivo é se tornar famoso, se você fizer pesquisa ofensiva é mais fácil. Mas mesmo nela, é preciso fazer pesquisa ofensiva em áreas atraentes.
      Os estudos defensivos não vão te levar às capas dos jornais, mas vão ser mais interessantes e úteis para legiões de administradores de sistemas e profissionais de segurança que não vão às nossas conferências, ou se forem, é para ir para festas e fazer networking, mas quando voltam, talvez não tenham adquirido coisas que ajudem eles no dia a dia do trabalho, e isso é algo que precisa mudar. Não tirando o lado ofensivo, mas fazendo o lado defensivo e a pesquisa defensiva mais sexy, mais atraente.
      MB — Quem é o responsável por essa mudança? Você acredita que pesquisadores experientes os que são experts no lado ofensivo, deveriam mudar ou fazer um esforço para inspirar pessoas a irem para o lado defensivo?
      SZ — Eu achei fascinante o que aconteceu com Charlie Miller e Chris Valasek quando começaram a trabalhar no lado defensivo. Eles não puderam, de fato, publicar sobre o que estavam trabalhando, e mesmo se pudessem, as pessoas ficariam mais felizes em assistir palestras deles falando sobre como hackearam carros ao invés de estudos sobre tudo o que precisamos nos preocupar quando conectamos dispositivos num carro. Ainda assim, provavelmente essas experiências em defender são mais úteis para a nossa indústria. É um problema largamente difundido, e não acho que alguém seja responsável. É um problema da comunidade, é nossa comunidade que deveria mudar a abordagem. Nessas conferências conversamos entre nós e nossas apresentações são voltadas a nós mesmos. As outras pessoas ao redor, mesmo que a gente desenhe uma apresentação que eles entendam, não fizemos isso por eles, e sim por nós, enquanto comunidade, porque achamos interessante e queremos mostrar aos nossos amigos que fizemos algo legal. Isso é legítimo e faz parte do espírito hacker, mas precisamos elevar o nível de importância das apresentações que resolvem ou abordam um problema.
      MB — Você deu boas recomendações à comunidade de segurança, no geral. Há algo que as empresas ou a indústria precisa fazer para ajudar esse objetivo a ser alcançado?
      SZ — Eu acredito que a indústria é grande parte do problema. A maioria dos desafios de segurança que temos não é resolvida por uma única "bala de prata", por um único produto, por uma único mecanismos ou uma única abordagem. E a maioria dessas abordagens, se você olhar cuidadosamente, elas caem, porque não temos nada muito robusto. Então, acredito que a indústria deveria dar dois passos. O primeiro é tentar vender seus produtos com um pouco mais de humildade. Há diferentes jeitos de se vender um produto. E há companhias que estão fazendo isso certo, mostram o produto, mostram o que ele faz e suas limitações e dizem que estão trabalhando para melhorá-lo. É um caminho mais difícil, mas é um caminho mais honesto. O segundo passo é tomar conhecimento dos problemas que estão supostamente resolvidos, mas não estão, e do motivo pelo qual não estão.
      No momento, se você disser que quer fazer uma pesquisa, por exemplo, sobre como fazer gerenciamento de chaves em sistemas embarcados distribuídos, um dos grandes problemas que ninguém fala sobre é como enviar chaves para sistemas embarcados de um ponto de vista de engenharia que possa ser feito em escala. É um problema interessante e tem muito dinheiro para pesquisa, mas a indústria fecha os olhos, porque se admitir que isso existe, você tem que admitir imediatamente que todo ecossistema em questão está vulnerável e as soluções não são suficientes. 
      MB — E para os iniciantes, há um caminho mais fácil ou recomendável que devem seguir para se tornarem pesquisadores defensivos?
      SZ — Do lado dos iniciantes, eu diria que segurança ofensiva pode ser mais fácil de levar alguém para a área de pesquisa. Mesmo que pareça que somos heróis, não somos. Heróis são aqueles que conseguem manter tudo funcionando. Isso exige habilidades mais complexas. Pesquisa ofensiva pode ser feita às cegas às vezes, mas pesquisa defensiva é feita em empresas específicas e é necessário ter muito mais experiência para construir do que para destruir. Então, meu conselho é para que sejam construtores e vão além de serem invasores, e isso é uma mudança de mindset. Construir corretamente leva muito mais tempo e mais experiência do que invadir. Para chegar lá, é preciso estudar muito sobre os fundamentos da computação. Em segurança holística ou defensiva, entender como a engenharia da computação funciona é uma habilidade muito importante.
    • O pesquisador Fermín J. Serna, keynote speaker na H2HC este ano, iniciou sua palestra intitulada OSS Security: Here be dragons falando sobre a lendária edição da H2HC em Cancún realizada há 10 anos. "Eram umas 25 pessoas, sendo que 10 eram palestrantes", brincou. ?
      Fermín foi o principal desenvolvedor do já descontinuado EMET e sua paixão por segurança defensiva é notória. Hoje, CSO na Semmle, empresa agora parte do Github, ele afirmou que o software livre venceu e hoje 90% dos softwares utilizam outros, de código aberto. Fermín lembra que software livre é gratuito do ponto de vista monetário, mas não vem com segurança grátis. "Software livre de segurança vem com desafios. Você consome, mas precisa investir".
      Vários exemplos de vulnerabilidades foram mostrados durante a palestra, inclusive uma tentativa de se colocar uma backdoor no kernel Linux que aconteceu em 2003. Tudo isso antes de apresentar o projeto CodeQL, que consiste num esforço de criar uma linguagem de query para encontrar bugs (principalmente de segurança, mas expansível a quaisquer outros tipos) em códigos-fonte. O projeto já encontrou vulnerabilidades em softwares de código aberto, incluindo o U-Boot e o próprio kernel Linux.
      "Dá trabalho confirmar as vulnerabilidades, mas só de atribuições indevidas, já encontramos umas 1300 no kernel Linux", contou. Apesar de tantos bugs, Fermín fez questão de dizer que isso não é culpa dos programadores: "software de código aberto é ótimo e está aqui pra ficar. Não devemos culpar os desenvolverdes. Devemos nos culpar, porque não os ajudamos", reiterou.
      Parabéns, Fermín! ?
    • Vocês conhecem os eventos de segurança que acontecem no Nordeste? A região possui um circuito reconhecido de conferências e palestras que visam levar pessoas de todas as cidades e estados para iniciar e se aprofundar nos temas de segurança da informação, e  esse cenário está crescendo! Os organizadores dos eventos se reuniram durante a H2HC para trocar ideias sobre os eventos e deram uma entrevista ao Mente Binária com o intuito de divulgar esse circuito, que visa atrair pessoas do Brasil inteiro.
      Na Bahia, por exemplo, são realizados os seguintes eventos: HackBahia, EnSI e NullByte, cada um com uma temática diferente. O HackBahia é mais introdutório, para quem ainda não conhece segurança, ou seja, estudantes, e até profissionais de outras áreas. O EnSi é mais voltado para um público de entrada e intermediário, em um movimento para conscientização, enquanto o NullByte é mais técnico, com intuito de movimentar a cena e fazer com que pessoas pesquisem e procurem se aprofundar na área de segurança.

      Palestra do Otávio Silva na NullByte 2018
      Em Recife, há a BWCon. O organizador do evento, Toronto Garcez, explica que a ideia do evento é fazer uma junção da galera mais jovem e de quem já tem um conteúdo técnico. "Pretendemos fazer palestras técnicas boas para atrair pessoas que estão entrando na área. Esse evento rolou durante três anos, parou por um tempo e ano que vem volta". Nos anos anteriores, um valor simbólico foi cobrado na entrada, e em 2020 será completamente gratuito. A BWCon deve ocorrer em outubro, e quem fizer parte da comunidade do Mente Binária terá prioridade para se inscrever!
      Paraíba e Rio Grande do Norte
      Humberto Junior conta sobre o JampaSec, que acontece em João Pessoa (PB) e começou em 2015 com Magno Logan, que não conseguiu dar continuidade no ano seguinte mas ainda continua colaborando junto com toda a equipe. "A partir de 2016, assumi a organização realizando o evento totalmente gratuito e logo no ano seguinte (2017) a equipe aumentou com Ícaro Torres, Luan, Thiago, Victor Hugo (punx), Eduardo Santos e por último Jessé, a comunidade cresceu e o evento se tornou grandioso. Esse ano, o evento bateu recorde do público, com mais de 300 pessoas de diversas cidades. Uma taxa simbólica é cobrada para viabilizar", destaca Humberto, que inclusive, é nosso colaborador no Mente Binária. Nos próximo anos, a ideia é trabalhar cada vez mais para que o evento melhore. "Vimos pessoas de diversas cidades indo participar, incluindo caravanas do interior da Paraíba". Ainda na Paraíba ocorre o OWASP Paraíba Day, no dia 16 de novembro, que vai também abrir essa trilha de eventos no estado.
      Eduardo Santos conta que em Natal (RN) acontece o DarkWaves, evento voltado para segurança em redes sem fio como Bluetooth e Wi-Fi, e possui atividades como o Capture The Wave (CTW), onde os participantes devem capturar uma rede sem fio, com desafios como interceptar áudio via código morse. Ele aconteceu em maio. Também em Natal acontece, no dia 30 de novembro, o Qualitek Security Day. Alyson Nakamura, conta que nos dois últimos anos o idealizador do evento, Rodrigo Jorge, se afastou, mas junto com a organização do DarkWaves eles estão estudando alavancar novamente esse evento na cidade. "O Nordeste é bem carente da parte de segurança, então esses movimentos abrem os olhos dos estudantes e empresários para essa área", diz.

      @ncaio e os participantes da DarkWaves 2019
      Engajamento
      Os eventos, no geral, possuem uma intenção de engajar pessoas, estimulando quem não é da área a participar e começar a estudar para, inclusive, submeter palestras nos próximos anos.  O grande problema, contudo, é engajar empresas. Os organizadores contam que é difícil encontrar patrocínio para a realização desses eventos e mostrar que o Nordeste também tem um potencial econômico. Empresas locais não investem, e as de fora investem, mas tem mais dificuldade, eles dizem.
      Eles falam ainda que as empresas locais precisam dar mais visibilidade para levar estudantes, pois falta interesse em produzir. "Não vejo que existe uma cena em si, quem faz a cena somos nós. Falta gente nova começar a produzir, pesquisar, criar ferramentas, estar presente nos eventos. Não temos submissões de talks, por exemplo, cada vez tem menos e com baixa qualidade. As pessoas não estão pesquisando. A gente quer que pessoas se mostrem e estamos procurando palestrantes", dizem. 
      Eles criticam que no momento em que a área de segurança está em alta, as pessoas não melhoram suas técnicas nem produzem. "O intuito da NullByte é fomentar conhecimento local, e hoje podemos dizer que se não houver pessoas de fora para palestrar, vai ficar defasado", diz o organizador do evento, Alexos. 
      Isso é difícil em qualquer evento, eles contam, mas no Nordeste, onde o mercado é ainda menor, é comum que não consigam completar uma grade somente com palestrantes da área, o que os obriga a buscar outras alternativas.. "Vale frisar que a galera nova quer resultado e não se aperfeiçoar e aprofundar mais, e nós não olhamos só resultado, olhamos a dedicação", diz Humberto. 
      Eles convidam todos a se inscreverem nos eventos e frisam que está aberta a submissão de palestras. A maioria dos eventos é gratuita ou possuem um valor reduzido justamente para estimular a participação. 
      O circuito do Nordeste e o Mente Binária formam uma grande parceria, então você pode enviar perguntas no Fórum para que a gente entre em contato e passe mais informações! ?
       

      Eduardo, Ícaro, Alyson, Fernando, Alexos, Toronto e Humberto
      Veja a lista completa dos eventos (esquecemos algum? Comenta aí!):
      Aracaju/SE
      CAJUSec Fortaleza/CE
      Roadsec ROOT@RSI João Pessoa/PB
      JampaSec OWASP Paraíba Day Sectalks João Pessoa Roadsec Natal/RN
      DarkWaves OWASP Day Natal Qualitek Security Day Recife/PE
      AlligatorConBR BWCon Salvador/BA
      HackBahia EnSI NullByte
    • A pesquisadora de segurança da informação da área de saúde, Nina Alli, apresentou uma palestra no segundo dia de H2HC mostrando como esse setor ainda possui muitos riscos em termos de cibersegurança, já que os dados de pacientes são extremamente sensíveis e o uso de dispositivos nos tratamentos e exames não são tão seguros para proteger esses dados. "Os dados médicos têm tudo: nome completo, endereço, número de telefone, carteira de motorista… se seu cartão de crédito for roubado, os danos são menores, mas e se esses dados forem roubados?", questionou.
      Algumas soluções são buscadas para tentar trazer mais segurança a uma área onde muita tecnologia é usada mas ninguém sabe direito como e nem a procedência desses dispositivos e seus riscos. Uma delas são formulários que visam estimular os hospitais a contarem como os registos médicos são utilizados por meio de um questionário massivo sobre os dispositivos e softwares que eles usam. "Isso nos ajuda a saber o que está sendo feito com os dados", disse Nina. Mas ela complementou dizendo que isso ainda não é o suficiente, e é preciso buscar novas formas de solucionar os riscos que a área de saúde carrega com a detenção de dados sensíveis de pacientes.
      Aí que entram os hackers. Nina destacou o trabalho realizado na DEF CON no espaço Biohacking Village que estimula participantes a buscar soluções para esses dispositivos inseguros por meio de competições. Uma das atividades é o Medical Device CTF (Capture The Flag), na qual hackers trabalham para defender um hospital em uma corrida contra o relógio, num cenário técnico em um ambiente hospitalar imersivo. Outra iniciativa dentro da Biohacking Village é a Research Competition, onde novas ideias na área de biotecnologia e segurança são destacadas e os vencedores recebem financiamento para continuar suas pesquisas na área biomédica.
    • Em um ambiente maior, este ano a H2HC abriu espaço para mais exposições, aumentando o número de atividades nas villages. Uma delas é o espaço Kids, onde as crianças puderam jogar um jogo de controle via eletroencefalograma, montar um computador com feltro, brincar de programação e pintar desenhos ligados a tecnologia.

       
      Também teve a exposição Meu Primeiro Videogame, com diversos consoles antigos e os participantes puderam jogar e ter uma lembrança dos jogos mais clássicos de consoles como Tele Jogo, Atari, Odyssey, Mega Drive, Master System, NES, Neo Geo, entre outros diversos.

       
      Teve ainda o Car Hacking, com demonstrações e ensinamentos sobre segurança do barramento CAN bus, utilizado nos computadores embarcados em veículos modernos.

       
      Por fim, nas lightning talks, houve o espaço Cybersecurity Girls, com uma palestras de sobre a área de cibersegurança. Essa foi uma das pequenas talks de 15 a 20 minutos que ocorreram em horários diferentes, paralelamente à programação do evento.

      Inclusive, ainda dá tempo de se inscerver para a mentoria de Paula Papis através do site www.cybersecuritygirls.io!
×
×
  • Criar Novo...