Jump to content

Bruna Chieco

Mente Binária
  • Content Count

    49
  • Joined

  • Last visited

Everything posted by Bruna Chieco

  1. O exército francês está formando uma equipe de escritores de ficção científica para prever possíveis ameaças do futuro. A notícia divulgada pela BBC conta que a Defense Innovation Agency (DIA), agência do governo da França focada em inovação em defesas, vai reunir visionários que devem propor cenários de disrupção que estrategistas militares não conseguiriam pensar sozinhos. A França tem investido em uma abordagem mais inovadora em termos de defesa, e o trabalho altamente confidencial da equipe ajudará as Forças Armadas do país a lutar contra elementos maliciosos. A equipe denominada "red team" será composta por apenas quatro ou cinco escritores de ficção científica. Esse grupo deverá pensar de forma mais criativa do que os membros mais tradicionais do exército, ou seja, através de dramatizações e outras técnicas, a equipe tentará imaginar como organizações terroristas ou Estados estrangeiros poderiam usar tecnologia avançada para atacar. 🎇 Além dessa abordagem "futurista", a França investiu recentemente e outro aparatos tecnológicos na defesa do país. Foi exibido nas comemorações da Queda da Bastilha, em 14 de julho, o aparelho de microondas Nerod F5, uma arma em forma de rifle, de aparência futurista, projetada para atacar drones bloqueando os sinais do piloto. Há ainda a ideia de colocar robôs como apoio às tropas francesas no Mali, e aparentemente já há experimentos desse tipo em andamento.
  2. O grupo de cibercriminosos conhecido por "Magecart" está colocando skimmers de cartões de crédito digitais em sites de e-commerce, e o número de fornecedores afetados é muito maior do que o previsto. A empresa de segurança americana RiskIQ identificou as atividades em maio, e descobriu que sete fornecedores terceirizados de e-commerce foram infectados com códigos skimmers, afetando milhares de outros sites que utilizam seus serviços. Contudo, o alcance dessa campanha é ainda maior, pois o atacantes automatizaram o processo de comprometimento dos websites ao buscar ativamente por buckets do Amazon S3 mal configurados. Ou seja, isso permite que uma conta da Amazon Web Services seja afetada. 😬 Funciona assim: os atacantes verificam automaticamente se os buckets estão configurados incorretamente, e ao identificá-los, o examinam em busca de qualquer arquivo JavaScript que termine em .js. Em seguida, eles fazem o download desses arquivos, anexam o código skimming e sobrescrevem o script, o que é possível de ser feito devido às permissões mal configuradas do bucket, que concedem a qualquer pessoa a permissão para edição. Os atacantes usam um skimmer para extrair dados de pagamento para seus próprios servidores. Um roubo de informações foi bem-sucedido quando os dados roubados são enviados na forma de uma imagem falsa que é incluída numa URL no padrão <domínio>/img. Esses atacantes começaram a comprometer os buckets não protegidos do Amazon S3 no início de abril e, de acordo com dados do RiskIQ, o grupo conseguiu impactar mais de 17 mil domínios, incluindo 2 mil dos melhores sites rankeados pela Alexa. Há uma possibilidade, porém, dos cibercriminosos não conseguirem nada com isso. Como eles usaram essa técnica para alcançar uma rede mais ampla possível, muitos dos scripts comprometidos não são carregados nas páginas de pagamento. Ou seja, se o skimming script não for carregado, os atores não conseguem coletar dados de pagamento da vítima. 💳 O recomendável é que os administradores monitorem seus controles de acesso a conteúdo, limitem as permissões dos buckets e bloqueiem o acesso público para impedir que qualquer pessoa abra um bucket, independentemente da política do Amazon S3.
  3. Desde sua descoberta, em 2016, o malware TrickBot continua afetando ativamente as contas de milhões de pessoas. De acordo com a empresa americana Deep Instinct, a família de malware, focada no roubo de informações de dados financeiros, pode agora ter também uma nova variante - além da adição recente de um módulo de roubo de cookies, foi criado um módulo malicioso de infecção e distribuição de e-mail que compartilha certificados de assinatura digital. Esse novo módulo coleta credenciais de e-mails e contatos do catálogo de endereços, caixa de entrada e caixa de saída da vítima, enviando spams maliciosos por meio da conta comprometida pelo malware. Posteriormente, essas mensagens são deletadas sem deixar rastros ao usuário. A Deep Instinct identificou uma base de dados contendo 250 milhões de contas de e-mail coletadas por operadores do TrickBot. Essas contas provavelmente foram empregadas como listas-alvos de infecções maliciosas, incluindo milhões de endereços de e-mail de departamentos e agências governamentais nos Estados Unidos e no Reino Unido. A base de e-mails recuperada contém quantidades massivas de endereços de provedores comumente usados, como Gmail, Yahoo, Hotmail, entre outros, não se limitando a apenas estes. A empresa de segurança explica o passo a passo de como a infecção ocorre no texto original, em inglês. Eles destacam a sofisticação do TrickBot como muito bem-sucedida pelo aumento da capacidade de distribuir seu próprio malware, além de encobrir seus rastros, o que faz com que ele seja ignorado por quase todos os fornecedores de varredura. 😱
  4. A analista de malware polonesa hasherezade, que desenvolveu uma ferramenta para engenharia reversa/análise de malware chamada PE-Sieve, adicionou uma opção para reconstruir a IAT (Import Address Table) de executáveis PE na última versão da ferramenta, mas ao testar o recurso com um executável comprimido com UPX, ela percebeu que não estava funcionando muito bem. Ela descobriu, porém, que a importação de uma função da USER32.DLL não se dava diretamente. Ao invés disso, o loader do Windows resolveu uma chamada intermediária (processo conhecido como shimming) e isso impedia que a importação fosse reconstruída na IAT pelo PE-Sieve ou qualquer outro programa que tentasse a reconstrução. No texto, em inglês, ela mostra como resolveu esse problema mexendo na estrutura do arquivo PE (olha aí a importância de conhecer a estrutura destes executáveis), o que alterou a forma como o loader o interpretou. Em sua explicação, hasherezade descreve todos os testes que fez. Vai lá dar uma olhada nesse passo a passo incrível e explicativo! 🏃‍♀️
  5. Recentemente, os cibercriminosos por trás do conhecido ransomware GrandCrab anunciaram que estão encerrando suas atividades após, supostamente, faturar mais de $ 2 bilhões em pagamentos de vítimas que foram extorquidas. O GrandCrab é uma ameaça de computador que leva a corrupção ou perda de dados invadindo secretamente um dispositivo e exibindo anúncios ao mesmo tempo que rouba informações e dados sensíveis das vítimas. Apesar do comunicado de que terminaram as invasões com essa ameaça, os mesmos cibercriminosos podem ter migrado para outro ransomware mais exclusivo e avançado chamado de Revil, também conhecido como Sodin e Sodinokibi. Em abril, o Talos Security Intelligence and Research Group, grupo de pesquisa da Cisco, divulgou que uma nova família de ransomware estaria usando vulnerabilidades do Oracle WebLogic para infectar computadores. Um mês depois, o GrandCrab anunciou seu encerramento. Em meados de maio, conforme aponta o site KrebsOnSecurity, um indivíduo utilizando o nickname "Unknow" começou a fazer depósitos de mais de US$ 130 mil em moedas virtuais em dois fóruns de cibercrime, o que seria uma oferta para contratar pessoas em um novo programa de ransomware, ainda sem nome. Na oferta, cinco afiliados poderiam participar do programa, mas não foram divulgados seus detalhes técnicos. Uma das evidências de que o REvil/Sodinokibi e o GrandCrab vieram da mesma equipe é que ambos incluíram a Síria na lista de países que devem ser evitados de infectar. Após um ataque específico no país e que chamou a atenção da mídia e dos desenvolvedores do ransomware, uma chave de descriptografia foi desenvolvida permitindo que todas as vítimas do GrandCrab na Síria abrissem seus arquivos gratuitamente. Outra semelhança entre as ameaças está na forma como o GandCrab e o REvil geram as URLs usadas como parte do processo de infecção. Esses são alguns indicativos de que a equipe do GandCrab não se aposentou, mas talvez tenha se reagrupado e mudou de marca para evitar investigações, já que o ransomware chamava muita atenção de pesquisadores de segurança e investigadores da lei. 🧐
  6. Mas calma, o recurso é opcional e só funciona se o arquivo/diretório em questão estiver dentro de um diretório que tenha uma opção específica habilitada. Isso significa que no ext4 os nomes de diretório e arquivos serão reconhecidos independente de conter letras maiúsculas ou minúsculas, se a opção for habilidada. Por exemplo, antes um DIRETORIO era diferente de diretorio ou Diretorio. Agora não há mais essa diferenciação se você habilitar o suporte. 🔠🔡 A mudança está disponível para o Linux 5.2, de acordo com o Phoronix, e vem sendo desenvolvida há muito tempo para suportar nomes de arquivos sem distinção entre caixa alta e baixa e ter suporte à codificação UTF-8. A implementação é válida apenas para Ext4, não afetando outros sistemas de arquivos. Há apenas uma limitação dos diretórios e nomes de arquivos que não diferenciam letras maiúsculas de minúsculas: eles não suportam a codificação e a criptografia por diretório no mesmo sistema de arquivos ao mesmo tempo. Eventualmente, o suporte a ambos os recursos concomitantemente deve ser oferecido.
  7. Os desenvolvedores do aplicativo de videoconferência Zoom corrigiram, na semana passada, uma falha que deixava o app vulnerável a ataques para quem o utilizava em dispositivos Mac, da Apple. De acordo com comunicado do fundador e CEO da empresa, Eric S. Yuan, a falha foi divulgada por um um pesquisador de segurança no início da semana passada. Yuan destaca que sua equipe está fazendo várias alterações para evitar esses riscos, entre elas uma atualização para o aplicativo disponível para Mac. Também em comunicado, o diretor de segurança da informação da empresa, Richard Farley, explica que a vulnerabilidade encontrada é de negação de serviço para dispositivos Mac, o que permitiria a um atacante ter como alvo um usuário do Mac que já tenha o Zoom instalado com um loop infinito de solicitações de reunião de videoconferência, o que travaria o sistema. "Não temos evidência de que isso tenha ocorrido. Lançamos uma correção para o problema em maio de 2019, embora não tenhamos forçado nossos usuários a atualizar por ser, empiricamente, uma vulnerabilidade de baixo risco", diz Farley. Foi inserida ainda uma nova opção que permite a desinstalação do Zoom pelo próprio aplicativo, incluindo o servidor Web local. Além disso, a Apple divulgou uma atualização para garantir que o servidor da Web do Zoom seja removido de todos os Macs mesmo que o usuário não tenha atualizado o aplicativo ou o tenha excluído antes do patch (correção) divulgado em 9 de julho. Outra atualização realizada no dia 14 se estende a aplicativos Zoom em execução em Mac, Windows, Linux, Chrome OS, iOS (com aprovação pendente da App Store) e Android. O Zoom implementou um recurso de visualização de vídeo que aparece antes que qualquer participante inicie uma reunião. O participante pode optar por participar com ou sem vídeo, ou recusar a solicitação. Além disso, o participante também pode marcar uma caixa para sempre ter a pré-visualização do vídeo ao participar de uma videoconferência. O Zoom também pretende implantar um programa de divulgação de vulnerabilidades públicas nas próximas semanas, complementando o programa privado de recompensas de bugs. Mas se você é usuário do aplicativo, o importante para o momento é: faça suas atualizações! ⬆️
  8. A corrida presidencial dos Estados Unidos começou, bem como a preocupação com vazamento de informações confidenciais durante a campanha eleitoral. Nas eleições de 2016, a disputa entre Donald Trump e Hillary Clinton foi marcada pelo suposto vazamento de emails da conta profissional de John Podesta, chefe de campanha de Hillary, publicados no Wikileaks. Para 2020, a segurança cibernética nas eleições evoluiu e há uma preocupação maior de empresas e governos para proteger informações confidenciais durante as campanhas. Em meio a um cenário de novas advertências das agências de inteligência norte-americanas sobre ataques cibernéticos iminentes contra candidatos na preparação para a corrida presidencial, a Comissão Federal Eleitoral dos EUA (FEC) permitiu que as campanhas políticas aceitem serviços de segurança cibernética de empresas sem entrar em conflito com as leis de financiamento de campanhas existentes, que proíbem contribuições corporativas. A FEC entendeu que tal assistência não constitui contribuição desde que a empresa de segurança cibernética já ofereça soluções para organizações não-políticas similares, como organizações sem fins lucrativos. A decisão vem na onda de uma série de comunicados da FEC relacionados a ofertas de segurança cibernética destinadas a candidatos federais e comitês políticos. Mais recentemente, a comissão permitiu que a organização sem fins lucrativos Defending Digital Campaigns ofereça serviços gratuitos de segurança cibernética a candidatos, mas essa decisão se aplica apenas a grupos não partidários e sem fins lucrativos que oferecem os mesmos serviços a todas as campanhas. A Area 1 Security também teve aval da FEC para fornecer esse tipo de serviço, cobrando dos candidatos federais qualificados e comitês políticos o mesmo que cobra de seus clientes não-políticos, o que não caracteriza uma contribuição proibida a tais candidatos e comitês.
  9. O governo de duas cidades dos Estados Unidos decidiram pagar pelo resgate de seus dados após sofrer ataques de ransomware. Os casos citados ocorreram em Lake City e Riviera Beach, ambos na Flórida. As prefeituras das cidades pagaram um total combinado de US$ 1 milhão em Bitcoins. Já a cidade de Baltimore, no estado de Maryland, passou pelo mesmo tipo de ataque que dominou o sistema local por duas semanas, e o prefeito da cidade se recusou a pagar pelo resgate, embora a recuperação do ataque possa chegar a custar US$ 10 milhões à prefeitura. Ataques como esse também ocorreram recentemente em cidade brasileiras. O sistema interno da Prefeitura de São João da Barra, no Rio de Janeiro, ficou fora do ar após ter seus dados criptografados e o resgate solicitado foi de 5 mil Bitcoins. A Prefeitura de Santa Terezinha, em Mato Grosso, também teve seu sistema de bancos de dados sequestrado, e os atacantes exigiram US$ 4 mil a serem convertidos em Bitcoins. A pergunta que fica é: nesses casos, o governo deve ou não abrir mão aos atacantes e pagar pelo resgate dos dados? 💸 Especialistas do Talos Security Intelligence and Research Group, grupo de pesquisa da Cisco, em geral, são contra o pagamento. Segundo eles, o pagamento deve ser o último recurso de qualquer vítima de extorsão de cibercriminosos - até porque não dá para saber se os dados serão devolvidos em sua integridade, sem alterações pelo autor do ransomware. "Outro impacto negativo em torno de pagar o resgate é que você está literalmente financiando o orçamento para as pessoas que tentam comprometê-lo", diz Craig Williams, diretor da Talos Global Outreach. Joel Esler, gerente sênior da Talos Communities Division, também concorda que pagar resgate é ajudar o inimigo. "Você está financiando os bandidos com absolutamente nenhuma garantia de que obterá seus arquivos de volta". Os atacantes podem até devolver os dados após o pagamento, mas não é possível saber se deixaram alguma brecha aberta para realizar um novo ataque, alerta o especialista. A decisão de pagar pelo resgate só deve ser considerada nos casos mais extremos e vista como um fluxo de trabalho de continuidade de negócios ou recuperação de desastres. Alguns especialistas defendem que, ao optar pelo pagamento, isso deve ser considerado como uma decisão de negócios, e outras medidas devem ser tomadas posteriormente. Ataques de ransomware têm evoluído cada vez mais, principalmente em municípios e governos locais, por isso é importante adotar outras medidas para se proteger, e não financiar os atacantes com o pagamento de resgates. 👍
  10. O malware que afeta Android, Anubis, foi identificado novamente em janeiro deste ano em dois servidores, contendo cerca de 17,5 mil amostras. De acordo com a Trend Micro, o malware fez parte do cenário de ameaças móveis de 2018, em que trojans bancários diversificaram suas táticas e técnicas para evitar sua detecção e ganhar dinheiro com ataques. O Anubis passou por várias mudanças desde sua primeira aparição, sendo usado para ciberespionagem e como um malware bancário, combinando roubo de informação e ataques de ransomware. A empresa de segurança identificou a nova versão do malware em meados de janeiro de 2019, utilizando uma infinidade de técnicas, incluindo o uso de sensores baseados em movimento para evitar análises de sandbox e sobreposições de telas para roubar informações pessoais. Entre os recursos de roubo de informações do Anubis está a captura de tela do dispositivo infectado; controle remoto do dispositivo via VNC; gravação de áudio; envio, recebimento e exclusão de SMS; ativação ou configuração de administração de dispositivos; obtenção das tarefas em execução do dispositivo; roubo da lista de contatos; execução de uma URL especificada; desligamento do Google Play Protect e bloqueio da tela do dispositivo. Os atacantes também podem criptografar arquivos, incluindo aqueles armazenados no cartão SD, encontrar ou localizar arquivos, obter a localização do dispositivo e recuperar comandos de controle remoto de mídias sociais. O Anubis também tem uma lista de aplicativos dos quais ele rouba dados pessoais e financeiros, sendo que o alvo do malware são 188 aplicativos relacionados a bancos e finanças, a maioria na Polônia, Austrália, Turquia, Alemanha, França, Itália, Espanha, EUA e Índia. Mesmo que o Brasil não esteja na lista, é recomendável verificar a segurança de qualquer aplicativo que for baixado no seu dispositivo móvel. 😉
  11. O Pentágono, sede do Departamento de Defesa dos Estados Unidos, adquiriu uma nova ferramenta para reconhecimento de pessoas à distância: um laser que identifica alguém pelo batimento cardíaco. ❤️ De acordo com o MIT Technology Review, o protótipo Jetson, desenvolvido a pedido das Forças Especiais dos EUA, pode identificar uma assinatura cardíaca exclusiva a 200 metros de distância, mesmo através de roupas. A ferramenta de identificação pode alcançar uma distância ainda maior, mas para isso, o laser deve passar por melhorias. O batimento cardíaco é igual a uma impressão digital - cada um tem o seu e pode ser utilizado para diferenciar as pessoas. Esse tipo de identificação de segurança já é utilizada em outros países, mas de maneira diferente. A empresa canadense Nymi desenvolveu um sensor de pulso como alternativa às impressões digitais, tecnologia que foi testada no Halifax, banco do Reino Unido. A diferença é que o Jeston é "invisível". Ele adapta um dispositivo geralmente usado para verificar a vibração à distância em estruturas como turbinas eólicas, e um ponto de laser invisível é mantido em um alvo. Demora cerca de 30 segundos para o laser obter um bom retorno, por isso o dispositivo só é eficaz quando o alvo de identificação está sentado ou em pé. Além disso, o Jetson pode alcançar mais de 95% de precisão se estiver em boas condições de medição, e isso pode ser melhorado, mas é provável que a ferramenta seja utilizada em conjunto com o reconhecimento facial ou outros métodos de identificação.
  12. Um famoso espetáculo do Cirque du Soleil, Toruk, encerrou suas apresentações em Londres no final de junho - bem como sua experiência digital. O aplicativo do show, nomeado TORUK - The First Flight, disponível tanto para Android quanto para iOS, não será mais comercializado aos espectadores após o encerramento da turnê - o que é positivo, pois a empresa de segurança ESET detectou algumas falhas no app que teve mais 100 mil instalações no Google Play, mas não é atualizado desde 2016. A ESET avisou o desenvolvedor do aplicativo sobre os problemas, encontrados em março de 2019, mas guardou as informações a divulgação pública até o encerramento da turnê para não prejudicar o espetáculo, já que os riscos de segurança são moderados e a publicação das falhas geraria um efeito negativo ao show. Fofos, não? 🤗 A ideia do aplicativo era que a plateia pudesse fazer parte da apresentação em uma experiência sincronizada com efeitos audiovisuais em seus dispositivos móveis. Contudo, o app não é muito seguro e, enquanto ele é executado, uma porta local é aberta permitindo que haja alterações remotas nas configurações de volume, além de descobrir dispositivos próximos com Bluetooth ativado, exibir animações, definir a posição do botão "Curtir" do Facebook no dispositivo e ler ou escrever algo para as preferências compartilhadas acessíveis ao aplicativo. A ESET publicou um vídeo demonstrando a execução remota possibilitada pelo bug. Isso significa que qualquer pessoa que esteja conectada à mesma rede de Wi-Fi que o usuário do aplicativo pode executar essas funções e enviar comandos ao dispositivo que carrega o app, permitindo que um invasor obtenha endereços IP de um aparelho com a porta aberta - neste caso, o aplicativo abre a porta 6161 no localhost. A porta é sempre a mesma. O recomendável é que os usuários desinstalem o aplicativo após a experiência no espetáculo - o que, aliás, é aconselhado para qualquer app que possui uma finalidade exclusiva! 😉
  13. A Trend Micro identificou uma campanha de adware, denominada AndroidOS_HiddenAd.HRXAA e AndroidOS_HiddenAd.GCLA, na qual 182 aplicativos de jogos e câmeras livres para download estavam infectados com adwares maliciosos. De acordo com a empresa de segurança, o adware pode esconder ícones de aplicativos infectados, exibindo anúncios de tela cheia e não permitindo que eles sejam imediatamente fechados, evitando a detecção do Sandbox. Dos 182 aplicativos carregados de adwares, 111 foram encontrados no Google Play Store. O restante está em lojas de aplicativos terceirizadas, incluindo 9Apps e PP Assistant. A Trend Micro identificou ainda que 43 dos 111 aplicativos hospedados no Google Play eram exclusivos ou tinham recursos distintos, enquanto os outros eram aplicativos duplicados. A campanha disfarçada de aplicativos de jogo e câmera foi detectada pela Trend Micro em meados de junho deste ano, e com base no comportamento dos aplicativos, foi feita uma análise sobre os nomes dos pacotes, rótulos, tempo de publicação, horários offline, estruturas de código, e estilos e recursos de código. Após essa análise, a Trend Micro concluiu que a campanha de adware está ativa desde 2018 e que os aplicativos são da mesma campanha, apesar de terem sido submetidos por diferentes desenvolvedores. Mas não se preocupe! Os aplicativos envolvendo a campanha de adware já foram removidos da plataforma Google Play 🙌 - mas antes de serem removidos, os apps tiveram mais de 9,3 milhões de downloads! 😱
  14. Algumas das redes sociais mais populares, WhatsApp, Facebook e Instagram, estão fora do ar nesta quarta-feira, 3 de julho, pelo menos parcialmente. No caso do WhatsApp, usuários reportaram dificuldade em carregar vídeos e imagens e enviar áudios. O Facebook e o Instagram também estão com falhas na exibição de imagens. De acordo com o site DownDetector, as primeiras reclamações sobre falhas nas redes começou por volta das 10 horas da manhã. 👎 Os problemas afetam usuários do mundo todo e o motivo das interrupções no carregamento de mídias das redes não foi esclarecido. O Facebook e o Instagram enviaram comunicado via Twitter informando que estão cientes de que algumas pessoas estão com problemas para enviar imagens, vídeos e outros arquivos. Já o WhatsApp não se manifestou oficialmente sobre as falhas. Não é a primeira vez que isso ocorre. O problema pode afetar de maneira maior as empresas que utilizam esses aplicativos como ferramentas profissionais. A queda dessas redes por tempo indeterminado pode apresentar risco aos negócios. Enquanto isso, há outras alternativas, principalmente para o Whatsapp, como o Telegram. Contudo, a ferramenta foi alvo de escândalos recentes sobre sua segurança principalmente após o vazamento de conversas entre o Ministro da Justiça, Sérgio Moro, e o procurador Deltan Dallagnol. Outras alternativas são o Threema e Signal. 📱
  15. A Mozilla está adicionando ao navegador Firefox um gerador de senhas aleatórias. De acordo com o site ZDNet, a ferramenta deve estar disponível com o lançamento do Firefox 69, que deve ocorrer em setembro. O recurso é semelhante ao que o Google adicionou ao Chrome no ano passado, com o lançamento do Chrome/Chromium v69. Atualmente, apenas o Firefox Nightly - uma versão do navegador para testar novos recursos - possui o gerador de senhas aleatórias. Até que o recurso esteja totalmente disponível no Firefox 69, os usuários do Firefox Nightly podem ativá-lo, alterando as configurações mais do navegador através da URL about:config. Além dessa novidade, no início de junho a Mozilla lançou um gerenciador de senhas para dispositivos móveis. Chamado Firefox Lockwise, o projeto permite aos usuários acessar senhas que foram armazenadas dentro do Firefox a partir dos seus dispositivos móveis. 🔐
  16. A ferramenta V8 versão 7.3.492.17, presente no Google Chrome (e derivados), usada para interpretar JavaScript, possui uma vulnerabilidade de corrupção de memória que permite que um atacante execute um código arbitrário na máquina da vítima. O Talos Security Intelligence and Research Group, grupo de pesquisa da Cisco, trabalhou em conjunto com o Google para garantir que a falha fosse resolvida e uma atualização oferecida aos clientes. Segundo o Talos, a vulnerabilidade foi corrigida em março e liberaram o patch em abril, mas o Google apenas a incluiu na política de divulgação de vulnerabilidades no dia 26 de junho. O código dado à vulnerabilidade foi o CVE-2019-5831. Para acioná-la no Chrome, a vítima precisaria apenas visitar uma página web maliciosa. 😦
  17. O Microsoft Security Response Center (MSRC), divisão de segurança da Microsoft, confirmou a presença de um malware ativo no Linux que explorava uma vulnerabilidade crítica de Execução Remota de Código (RCE), sob o código CVE-2019-10149. A falha foi identificada nas versões 4.87 e 4.91 dos servidores de e-mail Exim. Apenas as instâncias de clientes que utilizam infraestrutura como serviço (IaaS) da Linux foram afetados pela vulnerabilidade. Os clientes Azure não são afetados. A Microsoft recomenda a atualização urgente dos sistemas afetados, independente se utilizam ou não o bloqueio de tráfego de rede por meio dos Network Security Groups (NSGs), que pode atenuar a disseminação do malware ou ameaças avançadas que podem explorar a vulnerabilidade. Os sistemas afetados ainda estarão vulneráveis à exploração do RCE se o endereço IP do invasor não for bloqueado pelo NSG.
  18. A desenvolvedora e distribuidora de jogos Electronic Arts (EA) corrigiu falhas em sua plataforma de distribuição digital Origin, identificadas pela Check Point Research, divisão de análise de ameaças da Check Point Software Technologies, e pela CyberInt, provedora de serviços de segurança cibernética. A cadeia de vulnerabilidades foi divulgada pelas empresas nesta quarta-feira, 26 de junho, e poderia ter afetado 300 milhões de jogadores ao redor do mundo, cujos dados de contas ficariam expostos para roubo. Após o alerta da Check Point Research e da CyberInt, as falhas foram rapidamente corrigidas pela EA, que é detentora de grandes jogos onlines como FIFA, Madden NFL, NBA Live, UFC, The Sims, Battlefield, Command and Conquer e Medal of Honor. As vulnerabilidades encontradas na plataforma Origin não exigiam que o usuário fornecesse nenhuma informação sobre seu login. A brecha, na verdade, aproveitava os subdomínios abandonados e o uso de tokens de autenticação da EA Games em conjunto com o mecanismo OAuth Single Sign-On (SSO) e TRUST embutidos no processo de login do usuário. A falha foi corrigida, mas a recomendação que fica é que os usuários habilitem a autenticação de dois fatores (2FA) e usem apenas o site oficial da EA para fazer o download ou comprar jogos. 🙌
  19. Uma falha dupla no macOS foi encontrada pela empresa de segurança Trend Micro, que divulgou na semana passada que a vulnerabilidade, causada por uma brecha no componente de memória da AMD, pode facilitar atacantes a executar códigos maliciosos em sistemas com privilégios administrativos. A falha recebeu o código CVE-2019-8635 e na verdade abrange duas vulnerabilidades: uma no método discard_StretchTex2Tex e outra no processamento de tokens de banda lateral em uma classe da AMD Radeon chamada AMDRadeonX400_AMDSIGLContext, que é usada para renderizar gráficos nos computadores com macOS. No primeiro caso, a vulnerabilidade permite que o atacante execute um código malicioso na área do usuário. Já no segundo, há uma vulnerabilidade double-free (liberar uma área de memória duas vezes) no processamento de sideband tokens na mesma classe de componentes AMD. A vulnerabilidade permite que atacantes locais executem código arbitrário em instalações afetadas do sistema operacional macOS. As duas falhas são semelhantes, e nos dois casos o invasor deve primeiro obter a capacidade de executar código com poucos privilégios no sistema-alvo. A única diferença entre as explorações é a função a ser aproveitada. No fim, a memória do dispositivo é compartilhada. Os atacantes podem usar a vulnerabilidade double-free para atacar sistemas macOS sem patches e comprometer máquinas com privilégios elevados. A Apple forneceu uma correção para o problema por meio de uma atualização de segurança disponível para o macOS Mojave 10.14.4. Atualizem seu macOS o mais rápido possível! 🏃‍♀️
  20. As empresas de telecomunicação brasileiras têm até o início de julho para implementar uma lista nacional e única de consumidores que não querem receber chamadas de telemarketing. A exigência da Agência Nacional de Telecomunicações (Anatel), que divulgou comunicado no dia 13 de junho, se estende aos serviços de telefonia, TV por assinatura e internet oferecidos pela Algar, Claro/Net, Nextel, Oi, Sercomtel, Sky, TIM e Vivo. A medida é complementar à implementação de mecanismos que já haviam sido propostos pelas próprias prestadoras de serviço. Em março, as empresas se comprometeram a implementar, até setembro, um código de conduta e mecanismos de autorregulação das práticas de telemarketing, incluindo uma lista de “não perturbe”. O Procon também possui um sistema de cadastro para bloqueio do recebimento de ligações de telemarketing e pode impor sanções no caso de transgressão ou violação das regras por parte das empresas do setor. Além da lista, as companhias devem, dentro do mesmo prazo, criar e divulgar amplamente um canal por meio do qual o consumidor possa manifestar o seu desejo de não receber as ligações. A partir do momento que o consumidor optar pelo não recebimento das chamadas, as empresas em questão não poderão mais efetuar ligações telefônicas com o objetivo de oferecer seus pacotes ou serviços de telecom para os números registrados na lista nacional a ser criada. 👍
  21. A Huawei está se movimentando para registrar oficialmente a marca do seu sistema operacional próprio, o "Hongmeng", para substituir o Android. De acordo com o CNet, a gigante chinesa já iniciou o movimento no Peru e pretende estender para diversos países. A empresa também contesta o banimento dos Estados Unidos em relação ao uso do sistema operacional. Em maio, o Google bloqueou a Huawei de suas atualizações do Android, embora o Departamento de Comércio dos Estados Unidos tenha concedido uma licença geral de três meses para atualizar os dispositivos existentes. Os aparelhos da Huawei rodam atualmente com Android e a empresa declarou que não tinha planos imediatos de lançar um sistema operacional próprio, somente se o Android fosse permanentemente removido de seus dispositivos. A companhia chinesa enviou um memorando à Comissão Federal de Comunicações, órgão regulador de telecomunicações dos Estados Unidos, contestando o banimento. Os equipamentos de rede da Huawei foram colocados na lista negra pelo governo dos Estados Unidos sob alegações de preocupações com a segurança nacional. O governo americano afirma que a Huawei mantém relações estreitas com o governo chinês, o que a empresa negou. Segundo a carta da Huawei, forçar operadoras de redes a eliminar e substituir seus equipamentos existentes representaria uma ameaça maior à estabilidade e segurança da rede.
  22. A China pode estar desenvolvendo um sistema operacional customizado que virá para substituir o Windows em meio às tensões políticas que o país enfrenta contra os Estados Unidos. De acordo com o site ZDNet, a informação não foi confirmada pelos canais de imprensa oficiais do governo chinês, mas foi reportada pela revista militar Kanwa Asian Defence, baseada no Canadá. A reportagem diz que as autoridades militares chinesas não querem simplesmente migrar de Windows para Linux, e sim desenvolver um sistema operacional próprio. A iniciativa foi motivada principalmente pelas informações de que os Estados Unidos possuem um grande arsenal de ferramentas de hacking que pode afetar desde smart TVs até servidores Linux, roteadores e sistemas operacionais comuns como Windows e macOS. As informações foram reveladas nos vazamentos promovidos por Edward Snowden, Shadow Brokers, e o Vault7, que detalharam as atividades da Agência de Segurança Nacional dos Estados Unidos (NSA) e da CIA em relação a vigilância eletrônica e atividades cibernéticas. Desde esses vazamentos, a China planejaria adotar um sistema operacional personalizado que dificulta a espionagem dos agentes estrangeiros sobre as operações militares chinesas. Essa tarefa seria executada por um novo grupo chamado "Internet Security Information Leadership Group", que responderia diretamente ao Comitê Central do Partido Comunista Chinês, segundo as publicações.
  23. Cibercriminosos estão avançando nas suas técnicas de ataque a informações de organizações que, por outro lado, enfrentam dificuldades em encontrar profissionais qualificados para garantir a segurança de seus dados. Segundo informações compiladas pelo site DarkReading, phishing e engenharia social foram os métodos mais utilizados para comprometimento de informações de empresas em 2018, servindo como porta de entrada para atacantes em mais de 60% dos ciberataques realizados em ambientes de nuvem e pontos de venda, além de ter sido utilizada em 46% das violações de redes corporativas e internas. A publicação ainda mostra que as vulnerabilidades dentro das empresas aumentam conforme o volume de dados cresce exponencialmente e de maneira descentralizada, dificultando a garantia de uma proteção mais otimizada. Dados do IDC mostram que o volume de dados mundial deve crescer em dez vezes até 2025, chegando a 163 zettabytes, principalmente por meio da proliferação da inteligência artificial, Internet das Coisas e outras tecnologias machine-to-machine de empresas. Isso significa que haverá uma superfície de ataque maior, com novos vetores e mais pontos de vulnerabilidade para as organizações protegerem. Diante desses desafios, as empresas enfrentam ainda uma dificuldade que é comum no ambiente corporativo ao redor do mundo: encontrar profissionais de cibersegurança bem qualificados e reter esses talentos. Um estudo da (ISC)² Cybersecurity Workforce Study com dados de 2018 mostra que há escassez de quase 3 milhões de trabalhadores na área de segurança cibernética globalmente. Nos Estados Unidos, uma empresa leva de três a seis meses para preencher uma posição nessa área. Para tentar reduzir esse gap entre demanda das empresas e profissionais qualificados no mercado de segurança, é recomendável treinamentos para quem atua na área de segurança. O Mente Binária oferece treinamentos gratuitos para que todos possam acessar um conteúdo tão importante e atual, e que está sendo extremamente necessário em organizações mundialmente. Veja nossos treinamentos aqui!
  24. A Microsoft divulgou recentemente a versão final de seu baseline de segurança para o Windows 10 versão 1903 (também conhecido por "19H1") e Windows Server versão 1903. Entre as principais alterações está a remoção da necessidade do usuário redefinir suas senhas periodicamente. Segundo a própria Microsoft, apesar da segurança das senhas ser problemática, já que normalmente elas são muito fáceis de prever, quando usuários são obrigados a alterar essas senhas, as redefinições incluem pequenas alterações nas senhas já existentes - isso quando o usuário não esquece a senha. 😬 Eles detectaram que há alternativas melhores do que políticas de expiração de senhas para garantir maior segurança, como imposição de listas de senhas proibidas e autenticação de vários fatores, mas elas não podem ser expressas ou aplicadas nas bases de configuração de segurança recomendadas pela Microsoft. A empresa, então, decidiu remover essa configuração por verificar que não é uma estratégia de segurança completa para o gerenciamento de credenciais do usuário. "A expiração periódica de senha é uma mitigação antiga e obsoleta, de valor muito baixo, e não acreditamos que valha a pena para nossa baseline impor qualquer valor específico a isso. Ao removê-la de nossa baseline, as organizações podem escolher o que melhor atende às suas necessidades", diz a Microsoft no comunicado. A National Cyber Security Centre (NCSC), divisão de cibercrime do Governo do Reino Unido, apoiou a decisão da Microsoft e recomendou a usuários que desejam melhorar sua segurança a se concentrarem no uso de senhas fortes, diferentes, implementando a autenticação de dois fatores (2FA). Eles recomendam ainda o uso de um gerenciador de senhas para ajudar. Há dois anos, lançamos um vídeo no Papo Binário sobre a autenticação de dois fatores que você pode assistir aqui. 😉
  25. O FBI emitiu um alerta nesta semana dizendo que websites com certificado SSL, o famoso HTTPS (Hypertext Transfer Protocol Secure), podem não ser tão seguros quanto parecem - ou deveriam. Isso porque cibercriminosos encontraram um jeito de incorporar certificados de websites ao enviar e-mails que imitam empresas confiáveis ou contatos das próprias vítimas. Os atacantes fazem isso se aproveitando na confiança que as pessoas já desenvolveram na presença do "https" e do ícone do cadeado antes do endereço do website, que devem indicar que o tráfego da Internet está criptografado e os visitantes daquele site podem compartilhar dados com segurança. Os esquemas de phishing desenvolvidos pelos cibercriminosos são usados para adquirir logins sensíveis ou outras informações, atraindo as vítimas a sites maliciosos que parecem seguros. O FBI recomenda, portanto, não confiar apenas em um e-mail que contém um link com "https" na frente, e sim olhar atentamente ao conteúdo do e-mail e verificar se quem enviou foi mesmo aquele contato. Eles também incentivam a denúncia de atividades suspeitas por meio do link www.ic3.gov.
×
×
  • Create New...