Jump to content

Bruna Chieco

Mente Binária
  • Content Count

    295
  • Joined

  • Last visited

  • Country

    Brazil

Community Reputation

0 Neutral

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. A fabricante de chips Intel está investigando uma violação de segurança depois de mais de 20GB de documentos internos, sendo alguns marcados como "confidenciais" ou "secretos restritos", serem divulgados on-line em um site de compartilhamento de arquivos chamado MEGA. Notícia do ZDNet conta que os dados foram publicados por um engenheiro de software suíço que afirmou ter recebido os arquivos de um hacker anônimo. O suposto hacker alega ter atacado a Intel no início deste ano. Aparentemente, o vazamento representa a primeira parte de uma série de vazamentos relacionados à Intel. O ZDNet revisou o conteúdo dos arquivos com pesquisadores de segurança que analisaram as CPUs Intel em trabalhos anteriores, e eles consideraram o vazamento autêntico. Aparentemente, os arquivos vazados contém propriedade intelectual da Intel para o design interno de vários chipsets, com especificações técnicas, guias de produtos e manuais de CPUs datadas de 2016. Nenhum dos arquivos vazados contém dados confidenciais sobre clientes ou funcionários da Intel, segundo o ZDNet. No entanto, não se sabe a que mais o suposto hacker teve acesso. Em uma declaração enviada ao site, a Intel negou ser "hackeada" e diz que um indivíduo com acesso ao seu Centro de Recursos e Design pode ter baixado os dados confidenciais sem autorização, compartilhando-os com o pesquisador suíço. "Estamos investigando essa situação. As informações parecem vir do Intel Resource and Design Center, que hospeda informações para uso de nossos clientes, parceiros e outras partes externas registradas. Acreditamos que um indivíduo com acesso baixou e compartilhou os dados", diz a nota.
  2. A Canon sofreu um ataque de ransomware afetando serviços como seu e-mail, o Microsoft Teams, o site dos Estados Unidos e outros aplicativos internos. Uma fonte entrou em contato com o BleepingComputer e compartilhou a imagem de uma notificação enviada pela empresa intitulada "Mensagem do Centro de Serviços de TI". A notificação declara que a Canon está enfrentando "problemas amplos no sistema que afetam vários aplicativos, Teams, e-mail, e outros sistemas podem não estar disponíveis no momento". O site da Canon EUA está em manutenção, e há ainda uma lista de domínios que parecem ser afetados por essa interrupção. O BleepingComputer obteve também uma captura de tela parcial da suposta nota de resgate da Canon, identificada como sendo do ransomware Maze. Depois de entrar em contato com os operadores de ransomware, o Maze informou ao BleepingComputer que o ataque foi realizado e eles roubaram "10 terabytes de dados, bancos de dados privados, etc.". O Maze é um ransomware direcionado a empresas e que compromete e se espalha lateralmente através de uma rede até obter acesso a uma conta de administrador e ao controlador de domínio do sistema Windows. Durante esse processo, o Maze rouba arquivos não criptografados de servidores e backups, e os carrega nos servidores do atacante. Assim, o Maze implanta o ransomware em toda a rede para criptografar os dispositivo, e se uma vítima não pagar o resgate, o Maze pode distribuir publicamente os arquivos roubados em um site de vazamento de dados. Em comunicado ao BleepingComputer, a Canon diz que "está, atualmente, investigando a situação".
  3. A versão 3.00 do Detect It Easy (DIE) foi lançada no início do mês e nós já testamos. O DIE é um programa para determinar tipos de arquivos, multiplataforma (C++/Qt), com versões para Windows, Linux e macOS. Ele possui uma arquitetura totalmente aberta de assinaturas e permite adicionar facilmente seus próprios algoritmos de detecção ou modificar os que já existem usando scripts. A linguagem de script é muito semelhante ao JavaScript e qualquer pessoa que entenda o básico da programação saberá facilmente como ela funciona. O DIE possui três versões: Versão básica ("DIE"), versão Lite ("DIEL") e versão do console ("DIEC"). Todas usam as mesmas assinaturas, localizadas na pasta "db". Esta pasta contém subpastas como "Binary" e "PE". Os nomes das subpastas correspondem aos tipos de arquivos. O DIE determina o tipo de arquivo e, em seguida, carrega sequencialmente todas as assinaturas que estão na pasta correspondente. Atualmente, o programa suporta os seguintes tipos de arquivos: Arquivos executáveis MS-DOS Arquivos executáveis PE Arquivos executáveis ELF Arquivos executáveis Mach-O Arquivos binários em geral Na versão 3.00, a interface foi remodelada. As mudanças que percebemos foram: Novo botão Hash que calcula diferentes hashes, incluindo MD5, SHA1 e SHA-256 de partes do binário (seções, cabeçalhos, etc.) e também dele todo. Remoção do engine do Yara, que não se popularizou muito já que as assinaturas do DIE já são muito boas. Voltamos a ter duas opções: DIE e Nauz File Detector. Novo botão Memory map que mostra uma visualização integrada das seções e disassembla seu conteúdo também. Disassembler com suporte a labels. Achamos tudo muito legal, no entanto sentimos falta do suporte a scripts e a função de encontrar constantes que sugerem implementações criptográficas, recurso acessado na opção Search -> Crypto (Botão S) nas versões anteriores à 3.00. Por enquanto, recomendamos ter ambas as versões instaladas. 🙂 Na nossa Aula 02 do curso de Análise de Malware Online – AMO, mostramos a diferença da análise estática de arquivos suspeitos com o pestudio e o DIE. Dá uma olhada:
  4. Um adolescente de Tampa está preso acusado de ser o “mentor” por trás do golpe envolvendo conta de personalidades no Twitter. Segundo o WFLA, portal de notícia da Flórida, um procurador de Hillsborough, nos Estados Unidos, apresentou 30 acusações criminais contra o adolescente, o conectando com o golpe ocorrido em 15 de julho que utilizou dezenas de contas de perfis importantes para roubo de criptomoedas. Entre as contas afetadas estão a de Bill Gates, Jeff Bezos, Elon Musk, Mike Bloomberg, Warren Buffett, de Barack Obama e de Joe Biden, além de startups de tecnologia e sites relacionados a criptomoedas (leia mais). As acusações que ele enfrenta incluem inúmeras de fraudes organizadas, 17 acusações de fraude de comunicação, uso fraudulento de informações pessoais com mais com 30 ou mais vítimas, uso fraudulento de informações pessoais e acesso a computadores ou dispositivos eletrônicos sem autorização. O esquema de fraude roubou a identidade de pessoas proeminentes e postou mensagens em seus nomes induzindo as vítimas a enviarem Bitcoin para contas associadas ao adolescente. Segundo o advogado do estado, o esquema colheu mais de US$ 100 mil em Bitcoin em apenas um dia. De acordo com a Procuradoria dos EUA no Distrito Norte da Califórnia, o adolescente é uma das três pessoas acusadas de participar do golpe. O FBI e o Departamento de Justiça dos EUA fizeram a investigação em todo o país até chegar aos suspeitos, diz a reportagem.
  5. A DEF CON 2020, uma das maiores conferências hacker do mundo, inicia nesta quinta-feira, dia 6 de agosto, e vai até domingo, dia 9 de agosto, totalmente on-line. Toda a programação do evento, batizado de DEF CON Safe Mode, está neste link. No novo formato, uma série de workshops gratuitos serão realizados ao longo desses dias, tantos de defesa (Blue Team) quanto de ataque (Red Team). Na Blue Team Village, serão 18 workshops que abordarão desde introdução ao OpenSOC até monitoramento de segurança em nuvem. Já a Red Team Village terá uma série de treinamentos durante três dias (7, 8 e 9 de agosto) , passando por exploração, hacking, e até metodologias para caçadores de bugs. Todos os workshops serão em inglês. As vagas estão concorridas e já esgotando, então corre lá e garanta sua inscrição: Blue Team Village Red Team Village
  6. Um hacker vigilante desconhecido vem sabotando as operações da botnet Emotet. Segundo o ZDNet, o malware foi recentemente revivido, mas o hacker está substituindo suas cargas úteis por GIFs animados, impedindo efetivamente as vítimas de serem infectadas. A botnet funciona enviando aos alvos um spam, via e-mail, com um documento mal-intencionado do office ou um link para um arquivo mal-intencionado que os usuários precisam baixar. Quando os usuários abrem um desses arquivos ou clicam nos links dentro do arquivo e ativam o recurso "Ativar edição" para permitir a execução de macros (scripts automatizados), eles baixam o malware Emotet e vários de seus componentes da Internet. Os componentes de malwares ficam em "sites WordPress invadidos" controlados via web shells. Mas a gangue Emotet usa scripts de código-fonte aberto e também emprega a mesma senha para todos os seus shells da web, expondo sua infraestrutura a ataques fáceis, se alguém adivinhar a senha. Assim, após mais de cinco meses em silêncio, o Emotet voltou à vida na semana passada, e um vigilante desconhecido parece ter descoberto essa senha comum e sabotado o retorno. Quando as vítimas do Emotet abrem os arquivos maliciosos do Office, elas não são infectadas, pois o malware não será baixado e executado em seus sistemas, mas sim um GIF animado. Cerca de um quarto de todos os links diários de carga útil do Emotet estão sendo substituídos por GIFs. Veja alguns exemplos:
  7. Pesquisadores do CCDCOE Technology Branch da OTAN lançaram um manual com uma visão geral sobre como analisar malwares direcionados à plataforma Windows. No manual, são apresentadas as técnicas mais comuns usadas na investigação de malware, incluindo a configuração do ambiente do LAB, análise de rede, análise comportamental, e análise de código estático e dinâmico. O leitor se familiarizará ainda com as ferramentas de desmontagem, depuração, sandbox, sistema e monitoramento de rede. Também são apresentadas ferramentas de resposta a incidentes e colaboração. "O malware é uma ameaça crescente que causa um custo considerável para indivíduos, empresas e instituições. Como as defesas antivírus básicas baseadas em assinaturas não são muito eficientes contra ameaças de malware recentes ou ataques APT, é essencial que um investigador tenha as habilidades fundamentais definidas para analisar e mitigar essas ameaças", diz a introdução ao manual Já técnicas avançadas estão fora do escopo do manual, pois podem ser consideradas as primeiras etapas na investigação e tratamento de malware. O material, em inglês, pode ser acessado por meio deste link. Lembrando que temos também o nosso livro sobre os fundamentos de engenharia reversa completo em português: http://menteb.in/livro
  8. Dois cursos de cibersegurança serão oferecidos gratuitamente e on-line pelo projeto Nave do Conhecimento do Rio de Janeiro. Apesar do projeto ser no Rio, qualquer pessoa de qualquer lugar pode participar, inclusive estrangeiros falantes de língua portuguesa. O primeiro é Introdução à Cibersegurança, que ocorre do dia 2 de agosto até o dia 4 de agosto, das 13h às 18h, totalizando 20 horas de curso. Já o Fundamentos em Cibersegurança inicia no dia 5 de agosto e encerra no dia 25 de agosto, das 9h às 12h, com carga horária de 30 horas. O programa é dividido em fases e visa oferecer formação profissional a estudantes, bem como ofertas de estágio e trabalho. A primeira fase é o Learn-A-Thon, uma maratona de treinamento que tem como objetivo estimular e capacitar alunos nos cursos exploratórios NetAcad “Introdução à Cibersegurança” e “Fundamentos em Cibersegurança”. Os alunos que passarem por essa fase, além de receber certificados e distintos digitais, poderão concorrer a bolsas de estudo para as próximas fases do programa. Para participar da maratona, é preciso se inscrever nos dois cursos. O primeiro curso já começa no próximo domingo, então corre para se inscrever nos links abaixo! Na hora de fazer o cadastro, selecione a unidade Engenhão: Introdução à Cibersegurança Fundamentos em Cibersegurança O projeto Nave do Conhecimento busca aumentar a inclusão digital para pessoas em situação de exclusão social, mas esses curso, por serem on-line, são para todos também. Compartilhe o link dessa notícia para quem precisa. 💚
  9. O Bloatbox permite aos usuários remover aplicativos pré-instalados indesejados no Windows 10. O sistema operacional vêm com vários aplicativos universais e não há uma maneira fácil de removê-los usando as Configurações ou o Painel de Controle. Segundo o Bleeping Computer, o Bloatbox é um novo aplicativo que deveria ser voltado para a privacidade do Windows 10, mas foi lançado como um programa independente. No Github, os criadores contam que o Bloatbox pretendia ser uma pequena extensão para o Spydish desinstalar aplicativos específicos. Mas para não inchar o Spydish desnecessariamente, ele se tornou um aplicativo independente. Contudo, já com a próxima versão do Spydish, o Bloatbox poderá ser iniciado. O Bloatbox alcança todos os aplicativos instalados no Windows 10, mesmo aqueles que normalmente não podem ser desinstalados. Basta selecionar os aplicativos que deseja desinstalar e clique no botão "Desinstalar". No geral, o Bloatbox é uma ferramenta útil e simples para remover rapidamente aplicativos primários, além de ser fácil de usar.
  10. Agências de cibersegurança do Reino Unido e dos Estados Unidos publicaram um alerta de segurança conjunto sobre o QSnatch, malware que está infectando dispositivos NAS (Network Attached Storage, ou dispositivo dedicado ao armazenamento de dados em rede) da fabricante de dispositivos taiwanesa QNAP. A informação foi divulgada pelo ZDNet. A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) e o Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido dizem que os ataques com o malware foram rastreados desde 2014, mas eles se intensificaram no último ano, quando o número de infecções relatadas aumentou de 7 mil dispositivos em outubro de 2019 para mais de 62 mil em meados de junho de 2020. Aproximadamente 7,6 mil dispositivos infectados estão localizados nos Estados Unidos e cerca de 3,9 mil no Reino Unido. A primeira campanha, dizem as agências, provavelmente começou no início de 2014 e continuou até meados de 2017, enquanto a segunda começou no final de 2018 e ainda estava ativa no final de 2019. Além disso, as duas campanhas usaram versões diferentes do malware QSnatch, também rastreadas sob o nome de Derek. O alerta conjunto concentra-se na campanha mais recente e essa nova versão do QSnatch vem com um conjunto amplo e aprimorado de recursos que inclui funcionalidades para módulos como: Logger de senha CGI (instala uma versão falsa da página de login do administrador do dispositivo, registrando autenticações bem-sucedidas e passando-as para a página de login legítima); raspador de credenciais; Backdoor SSH (permite que o ciberatacante execute código arbitrário em um dispositivo); Exfiltração (quando executado, o QSnatch rouba uma lista predeterminada de arquivos, que inclui configurações do sistema e arquivos de log, e eles são criptografados com uma chave pública e enviados por HTTPS); e Webshell para acesso remoto. No entanto, os especialistas ainda não sabem como o malware inicialmente infecta os dispositivos. Os atacantes podem estar explorando vulnerabilidades no firmware da QNAP ou usando senhas padrão para a conta de administrador, mas ainda não há informação sobre as suspeitas. As duas agências estão pedindo às empresas e usuários domésticos que usam dispositivos QNAP que sigam as etapas de correção e mitigação listadas na página de suporte do fornecedor de Taiwan para se livrar do QSnatch e prevenir infecções futuras.
  11. Autoridades de proteção de dados e privacidade da Austrália, Canadá, Gibraltar, Hong Kong, Suíça e Reino Unido enviaram uma carta aberta a empresas de videoconferência (VTC) pedindo que reavaliassem como salvaguardam os direitos e dados de privacidade de cidadãos de todo o mundo. Com o aumento do uso desses serviços, decorrente do isolamento social para conter a pandemia do novo coronavírus (COVID-19), houve um maior número de relato de problemas de segurança enfrentados por algumas das plataformas, bem como preocupações diretamente levantadas com os próprios órgãos reguladores. O WeLiveSecurity, portal de notícias da Eset, divulgou trechos da carta. “O objetivo desta carta aberta é expor nossas preocupações e esclarecer nossas expectativas e as medidas que você deve tomar como empresa de VTC para mitigar os riscos identificados e, finalmente, garantir que as informações pessoais de nossos cidadãos sejam protegidas de acordo com as expectativas do público, e de qualquer dano”, diz a carta assinada por comissários e reguladores de privacidade. A carta destaca como cinco princípios em que as empresas da VTC devem focar sua atenção a segurança, privacidade, conhecer seu público, transparência e justiça, e controle do usuário final. Apesar de destinar-se a todas as empresas que fornecem serviços de videoconferência, Microsoft, Cisco, Zoom, House Party e Google receberam a carta diretamente. Os reguladores esperam ainda que as empresas protejam os dados do usuário implementando certas garantias de segurança como padrão, como criptografia de ponta a ponta para todas as comunicações e autenticação por dois fatores para logins, além de pedir para que exijam que os usuários criem senhas fortes. Além disso, eles ressaltam a importância das pessoas atualizarem regularmente os programas para a versão mais recente, e que as empresas devem comunicar isso aos seus usuários. “Também deve ser dada atenção especial para garantir que as informações sejam adequadamente protegidas quando processadas por terceiros, inclusive em outros países”, diz a carta. Os signatários também reconhecem que a pandemia levou as plataformas a serem usadas de maneiras diferentes daquelas para as quais foram projetadas, o que pode abrir portas para ameaças imprevistas. Contudo, os reguladores incentivam as empresas a revisarem esses novos métodos de uso e a implementar as medidas necessárias de proteção de dados e privacidade. No que diz respeito à transparência e justiça, as empresas são solicitadas a estarem preparadas em relação aos dados que coletam e como lidam com eles. A carta avisa que não fazer isso pode levar a violações da lei e da confiança do usuário. Os reguladores de privacidade esperam receber respostas das empresas até 30 de setembro de 2020.
  12. A empresa de segurança Core Security iniciou uma campanha no Crowon para arrecadar dinheiro e ajudar o programa Médicos Sem Fronteiras na recuperação da crise de saúde pelo novo coronavírus (COVID-19). A campanha parte da realização de um curso sem fins lucrativos, ministrado em espanhol por Ricardo Narvaja (galera de engenharia reversa das antigas vai lembrar dele!) e Daniel Kazimirow, ambos profissionais renomados na área. O curso de introdução à engenharia reversa terá 12 horas de duração no total e ocorrerá nos dias 6, 7 e 8 de agosto. "A Core Security oferece soluções avançadas de detecção de ameaças, gerenciamento de identidade e acesso e avaliação de risco. Nossos produtos ajudam as empresas a minimizarem os riscos de segurança e a manterem os regulamentos de conformidade", diz a empresa. O curso é destinado a quem sempre quis entrar no mundo da engenharia reversa e, devido à falta de conhecimento básico ou de tempo, não conseguiu estudar o tema. Além disso, qualquer pessoa interessada em engenharia reversa aplicada a algum setor pode participar. Os especialistas que ministrarão o curso destacam que uma grande porcentagem dos participantes tem falta de prática e conhecimento básico que precisam para entender bem os cursos mais avançados. Por isso, cursos básicos podem ajudar a tirar dúvidas básicas para se estabelecer a teoria e a prática dos exercícios e, depois, poder realizar novos cursos mais avançados no futuro. Lembrando que o objetivo principal é arrecadar dinheiro aos médicos que atuam no enfrentamento da pandemia de COVID-19, portanto, as 50 pessoas que doarem a maior quantia em dinheiro terão acesso privado ao curso, podendo fazer perguntas a qualquer momento das aulas. O restante dos colaboradores poderão assistir ao vivo e tirar suas dúvidas em uma sessão dedicada de perguntas, independentemente da quantia doada. A campanha arrecadou, até o momento, 2,8 mil euros. A meta é chegar a 30 mil euros. Confira o programa do curso, inscrições e mais informações neste link. 😉
  13. Pesquisadores da Universidade de Chicago desenvolveram um estudo sobre uma tecnologia capaz de enganar as técnicas de reconhecimento facial. O Fawkes é um sistema que ajuda indivíduos a "inocular" suas imagens contra modelos de reconhecimento facial não autorizados. Segundo artigo publicado pelo grupo de pesquisadores (em inglês), isso é possível pois os usuários adicionam alterações imperceptíveis aos olhos humanos no nível de pixel (as chamadas "capas") às suas próprias fotos antes de liberá-las. As imagens "camufladas" produzem modelos funcionais que fazem com que as imagens normais do usuário sejam identificadas incorretamente ao serem usadas para treinar modelos de reconhecimento facial. Segundo amostra colhida pelos pesquisadores, o Fawkes oferece proteção de mais de 95% contra o reconhecimento do usuário, independentemente de como os rastreadores treinam seus modelos. "Alcançamos 100% de sucesso em experimentos com os serviços de reconhecimento facial de ponta da atualidade. Finalmente, mostramos que o Fawkes é robusto contra uma variedade de contramedidas que tentam detectar ou interromper capas de imagens", diz o artigo. A partir desse sistema, é possível usar essas fotos "camufladas" para compartilhamento nas redes sociais, ou enviá-las a amigos, da mesma forma que é feita com qualquer outra foto. No entanto, se alguém tentar usar essas fotos para criar um modelo de reconhecimento facial, as imagens "camufladas" ensinarão ao modelo uma versão distorcida daquela imagem. Assim, se alguém tentar identificar essa pessoa usando uma imagem inalterada, esse reconhecimento falha. Contudo, esse sistema ainda não parece ser a solução mais eficiente para proteger as pessoas do reconhecimento facial, já que há dezenas ou centenas de fotos publicadas on-line que os sistemas já podem ter extraído e treinado para fazer esse reconhecimento.
  14. Um relatório de tendências de vulnerabilidades e ameaças para 2020 da Skybox Security diz que novas amostras de ransomware tiveram um aumento de 72% no primeiro semestre deste ano. De acordo com o ZDNet, que teve acesso à pesquisa, o aumento nos ataques de ransomware ocorreu ao mesmo tempo em que um grande número de organizações mudou para o trabalho remoto, devido à pandemia do novo coronavírus (COVID-19). As vulnerabilidades de segurança nos protocolos da área de trabalho remota - combinadas com o uso de senhas fracas pela equipe - proporcionaram aos cibercriminosos uma maneira adicional de entrar nas redes, diz a reportagem. Além disso, alguns trabalhadores domésticos não receberam treinamento claro sobre segurança da informação, o que aumentou a possibilidade de ataques. Várias campanhas de ransomware têm como alvo ativo empresas do setor de assistência médica e farmacêutica, em um esforço para extorquir resgates de organizações diretamente envolvidas no tratamento e pesquisa relacionados ao novo coronavírus. "Observamos 77 campanhas de ransomware durante os primeiros meses da pandemia – incluindo várias em laboratórios de pesquisa de missão crítica e empresas de assistência médica", disse Sivan Nir, líder da equipe de inteligência de ameaças da Skybox Security. "O foco e a capacidade dos atacantes são claros: eles têm os meios para transmitir sérios danos financeiros e à reputação das organizações", acrescentou. O especialista destaca que para se proteger contra ataques de ransomware, é preciso ter uma visão completa de todos os ativos corporativos na rede e analisar como os ativos críticos podem ser acessados movendo-se lateralmente pela rede, com ou sem as credenciais corretas. Além disso, VPNs, firewalls e outros sistemas devem ser configurados corretamente com os patches de segurança apropriados. Ele reforça que há uma grande necessidade por estratégias de correção focadas, informadas pela visibilidade total da rede e inteligência rica em dados.
  15. A Microsoft divulgou recentemente que não oferecerá suporte ao PHP 8.0. Na semana passada, o gerente de projetos do PHP dentro da companhia, Dale Hirt, enviou comunicado interno informando que atualmente, a Microsoft suporta o PHP 7.3 e 7.4. além de ajudar com o PHP 7.2 no Windows quando são necessárias correções de segurança. "No entanto, não ofereceremos suporte ao PHP para Windows em qualquer capacidade para a versão 8.0 e posterior", diz o comunicado. Ele explica que a cadência atual é de dois anos após o lançamento para correções de bugs e um ano depois para correções de segurança. "Isso significa que o PHP 7.2 estará fora de suporte em novembro. O PHP 7.3 entrará no modo de correção de segurança somente em novembro. O PHP 7.4 continuará a ter outro ano de correção de bugs e, depois, um ano de correções de segurança. Estamos comprometidos em manter o desenvolvimento e a criação do PHP no Windows para 7.2, 7.3 e 7.4, desde que sejam oficialmente suportados", destaca Dale Hirt. Sara Golemon, que faz inúmeras contribuições à linguagem PHP, postou no Reddit explicando que isso não significa que o PHP 8.0 não será suportado no Windows, mas a Microsoft não será a única a construí-lo e suportá-lo.
×
×
  • Create New...