Ir para conteúdo

Bruna Chieco

Membros
  • Postagens

    565
  • Registro em

  • Última visita

Tudo que Bruna Chieco postou

  1. Pesquisadores da Universidade de Chicago desenvolveram um estudo sobre uma tecnologia capaz de enganar as técnicas de reconhecimento facial. O Fawkes é um sistema que ajuda indivíduos a "inocular" suas imagens contra modelos de reconhecimento facial não autorizados. Segundo artigo publicado pelo grupo de pesquisadores (em inglês), isso é possível pois os usuários adicionam alterações imperceptíveis aos olhos humanos no nível de pixel (as chamadas "capas") às suas próprias fotos antes de liberá-las. As imagens "camufladas" produzem modelos funcionais que fazem com que as imagens normais do usuário sejam identificadas incorretamente ao serem usadas para treinar modelos de reconhecimento facial. Segundo amostra colhida pelos pesquisadores, o Fawkes oferece proteção de mais de 95% contra o reconhecimento do usuário, independentemente de como os rastreadores treinam seus modelos. "Alcançamos 100% de sucesso em experimentos com os serviços de reconhecimento facial de ponta da atualidade. Finalmente, mostramos que o Fawkes é robusto contra uma variedade de contramedidas que tentam detectar ou interromper capas de imagens", diz o artigo. A partir desse sistema, é possível usar essas fotos "camufladas" para compartilhamento nas redes sociais, ou enviá-las a amigos, da mesma forma que é feita com qualquer outra foto. No entanto, se alguém tentar usar essas fotos para criar um modelo de reconhecimento facial, as imagens "camufladas" ensinarão ao modelo uma versão distorcida daquela imagem. Assim, se alguém tentar identificar essa pessoa usando uma imagem inalterada, esse reconhecimento falha. Contudo, esse sistema ainda não parece ser a solução mais eficiente para proteger as pessoas do reconhecimento facial, já que há dezenas ou centenas de fotos publicadas on-line que os sistemas já podem ter extraído e treinado para fazer esse reconhecimento.
  2. Um relatório de tendências de vulnerabilidades e ameaças para 2020 da Skybox Security diz que novas amostras de ransomware tiveram um aumento de 72% no primeiro semestre deste ano. De acordo com o ZDNet, que teve acesso à pesquisa, o aumento nos ataques de ransomware ocorreu ao mesmo tempo em que um grande número de organizações mudou para o trabalho remoto, devido à pandemia do novo coronavírus (COVID-19). As vulnerabilidades de segurança nos protocolos da área de trabalho remota - combinadas com o uso de senhas fracas pela equipe - proporcionaram aos cibercriminosos uma maneira adicional de entrar nas redes, diz a reportagem. Além disso, alguns trabalhadores domésticos não receberam treinamento claro sobre segurança da informação, o que aumentou a possibilidade de ataques. Várias campanhas de ransomware têm como alvo ativo empresas do setor de assistência médica e farmacêutica, em um esforço para extorquir resgates de organizações diretamente envolvidas no tratamento e pesquisa relacionados ao novo coronavírus. "Observamos 77 campanhas de ransomware durante os primeiros meses da pandemia – incluindo várias em laboratórios de pesquisa de missão crítica e empresas de assistência médica", disse Sivan Nir, líder da equipe de inteligência de ameaças da Skybox Security. "O foco e a capacidade dos atacantes são claros: eles têm os meios para transmitir sérios danos financeiros e à reputação das organizações", acrescentou. O especialista destaca que para se proteger contra ataques de ransomware, é preciso ter uma visão completa de todos os ativos corporativos na rede e analisar como os ativos críticos podem ser acessados movendo-se lateralmente pela rede, com ou sem as credenciais corretas. Além disso, VPNs, firewalls e outros sistemas devem ser configurados corretamente com os patches de segurança apropriados. Ele reforça que há uma grande necessidade por estratégias de correção focadas, informadas pela visibilidade total da rede e inteligência rica em dados.
  3. A Microsoft divulgou recentemente que não oferecerá suporte ao PHP 8.0. Na semana passada, o gerente de projetos do PHP dentro da companhia, Dale Hirt, enviou comunicado interno informando que atualmente, a Microsoft suporta o PHP 7.3 e 7.4. além de ajudar com o PHP 7.2 no Windows quando são necessárias correções de segurança. "No entanto, não ofereceremos suporte ao PHP para Windows em qualquer capacidade para a versão 8.0 e posterior", diz o comunicado. Ele explica que a cadência atual é de dois anos após o lançamento para correções de bugs e um ano depois para correções de segurança. "Isso significa que o PHP 7.2 estará fora de suporte em novembro. O PHP 7.3 entrará no modo de correção de segurança somente em novembro. O PHP 7.4 continuará a ter outro ano de correção de bugs e, depois, um ano de correções de segurança. Estamos comprometidos em manter o desenvolvimento e a criação do PHP no Windows para 7.2, 7.3 e 7.4, desde que sejam oficialmente suportados", destaca Dale Hirt. Sara Golemon, que faz inúmeras contribuições à linguagem PHP, postou no Reddit explicando que isso não significa que o PHP 8.0 não será suportado no Windows, mas a Microsoft não será a única a construí-lo e suportá-lo.
  4. Dezenas de contas de perfis importantes no Twitter foram utilizadas na última quarta-feira, 15 de julho, como parte de um golpe para roubo de criptomoedas. Segundo o Business Insider, entre as contas afetadas estão a de Bill Gates, Jeff Bezos, Elon Musk, Mike Bloomberg, Warren Buffett, do ex-presidente e atual vice-presidente dos Estados Unidos, Barack Obama e Joe Biden, respectivamente, além de startups de tecnologia e sites relacionados a criptomoedas. As contas da Apple e do próprio time de suporte do Twitter também foram vítimas. O golpe aconteceu através de postagens realizadas no perfil oficial dessas personalidades e empresas, que pediam aos seguidores o envio de US$ 1.000 em bitcoin para um endereço específico, prometendo dobrar as contribuições em troca dessa doação. Vários tweets fraudulentos foram excluídos logo após serem publicados. Mais tarde, o Twitter disse que o ataque de engenharia social foi coordenado por pessoas que conseguiram acesso a ferramentas e sistemas internos de funcionários da rede social. Os funcionários do Twitter que possuem acesso a essas ferramentas podem redefinir os endereços de e-mail associados às contas. "Nossa investigação continua e esperamos ter mais para compartilhar em breve", disse um porta-voz do Twitter ao Business Insider. Já essa reportagem da Vice indica que o vazamento pode ter ocorrido internamente, de forma intencional. Supostamente, um funcionário do próprio Twitter fez todo o trabalho e foi pago para isso. O incidente também está relatado no Wikipedia, que indica que no dia 16 de julho, mais de 12 bitcoins haviam sido enviados para um dos endereços envolvidos, valor equivalente a mais de US$ 110 mil. Segundo o Wikipedia, minutos após a publicação dos tweets, mais de 320 transações já haviam ocorrido. Um porta-voz do Twitter disse que a empresa ainda está investigando se foi um funcionário sequestrou as contas ou deu acesso à ferramenta para os criminosos. Em uma série de postagens feitas no dia 15 de julho, o Twitter declarou que estava ciente do incidente e tomou medidas significativas para limitar o acesso a sistemas e ferramentas internos enquanto a investigação está em andamento. "Com muita cautela, e como parte de nossa resposta a incidentes para proteger a segurança das pessoas, tomamos a decisão de bloquear todas as contas que tentaram alterado sua senha nos últimos 30 dias", disse. Veja a thread completa:
  5. Uma nova linhagem de malware para Android surgiu equipado com uma ampla gama de recursos de roubo de dados. Segundo o ZDNet, o malware, nomeado BlackRock, atinge 337 aplicativos do sistema operacional. A nova ameaça surgiu em maio deste ano e foi descoberta pela empresa de segurança móvel ThreatFabric. Os pesquisadores dizem que o BlackRock foi baseado no código-fonte vazado de outra linhagem de malware (Xerxes, também baseada em outras linhagens de malware), mas aprimorado com recursos adicionais, especialmente ao lidar com o roubo de senhas de usuários e informações de cartão de crédito. O malware atua como a maioria dos cavalos de Tróia de Android, roubando as credenciais de login e solicitando que a vítima insira os detalhes do cartão de pagamento, caso os apps suportem transações financeiras, mas ele atinge mais aplicativos do que a maioria de seus antecessores. A coleta de dados ocorre por meio de uma técnica chamada "sobreposições", que consiste em detectar quando um usuário tenta interagir com um aplicativo legítimo e mostrar uma janela falsa na parte superior, coletando os detalhes de login da vítima e os dados do cartão antes de permitir que o usuário para entrar no aplicativo legítimo pretendido. Os pesquisadores do ThreatFabric dizem ainda que a grande maioria das sobreposições do BlackRock é voltada para phishing em aplicativos de mídias sociais/comunicação e financeiros. No entanto, também existem sobreposições para dados de phishing de aplicativos de namoro, notícias, compras, estilo de vida e produtividade. A lista completa de aplicativos direcionados está incluída em relatório (em inglês).
  6. A Kaspersky identificou que quatro grandes famílias de cavalos de Troia (Trojan) bancários criadas, desenvolvidas e espalhadas por criminosos brasileiros estão atuando em nível global. Segundo a companhia de segurança, os ataques cibernéticos do Brasil por muito tempo se limitaram a clientes de bancos locais. O Tetrade é a designação para esses novos ataques que devem chegar a alvos globais. Segundo a Kaspersky, os trojans bancários brasileiros evoluíram bastante, com cibercriminosos adotando técnicas para contornar a detecção, criando malwares altamentes modulares e ofuscados, usando um fluxo de execução muito complexo, o que torna a análise um processo penoso e complicado. "Pelo menos desde o ano 2000, os bancos brasileiros operam em um ambiente on-line muito hostil e cheio de fraudes. Apesar da adoção antecipada de tecnologias destinadas a proteger o cliente, e a implantação de plug-ins, tokens, e-tokens, autenticação por dois fatores, cartões de crédito com chip e pin, entre outros, a fraude está aumentando, enquanto o país ainda carece de legislação adequada para punir os cibercriminosos", diz a companhia. O artigo (em inglês) faz uma análise pretendendo ter a compreensão completa das quatro famílias de cavalos de Troia bancários identificados. São eles: Guildma, Javali, Melcoz e Grandoreiro. "À medida que se expandem para o exterior, visam usuários não apenas no Brasil, mas também na América Latina e na Europa", diz a Kaspersky. Isso reforça a importância de empresas e instituições contratarem e prepararem seus analistas de sistema financeiro e profissionais de segurança para lidar com essa avalanche persistente. Aqui falamos um pouco sobre o gap entre a demanda do mercado de segurança por esse profissionais e a disponibilidade de pessoas altamente qualificadas para esses postos. Além disso, mundialmente, há muitos casos de cibercriminosos que foram investigados e punidos por atuações como essa, o que indica que trabalhos de investigação comandados por autoridades internacionais vêm desmantelando esse tipo de operação.
  7. A ferramenta de auditoria de segurança Lynis foi atualizada para a versão 3.0.0 há pouco tempo e já receberá novas funcionalidades na versão 3.0.1. O programa é voltado a sistemas baseados em UNIX como Linux, macOS, BSD e outros e executa uma verificação de segurança detalhada, sendo executado no próprio sistema. O objetivo principal é testar as defesas de segurança e fornecer dicas para proteção adicional do sistema. O Lynis também procura informações gerais do sistema, pacotes de software vulneráveis e possíveis problemas de configuração. Os criadores do programa acreditam que o software deve ser simples, atualizado regularmente e aberto, e por isso novas funcionalidades foram adicionadas recentemente. Na versão 3.0.0, lançada em 18 de junho, essas foram as atualizações feitas no Lynis: Modo não interativo por padrão, que é mais a cara de programas que seguem a filosofia Unix. ? Novos modos de operação: DevOps, Forense e Pentest. Dezenas de novos testes! Veja alguns: New: DevOps, Forensics, and pentesting mode New test: AUTH-9229 - check used password hashing methods New test: AUTH-9230 - check group password hashing rounds New test: BOOT-5109 - test presence rEFInd boot loader New test: BOOT-5264 - run systemd-analyze security New test: CRYP-7930 - test for LUKS encryption New test: CRYP-7931 - determine if system uses encrypted swap New test: CRYP-8004 - presence of hardware random number generator New test: CRYP-8005 - presence of software random number generator New test: DBS-1828 - PostgreSQL configuration files New test: FILE-6394 - test virtual memory swappiness (Linux) New test: FINT-4316 - presence of AIDE database and size test New test: FINT-4340 - check dm-integrity status (Linux) New test: FINT-4341 - verify status of dm-verity (Linux) New test: INSE-8314 - test for NIS client New test: INSE-8316 - test for NIS server New test: NETW-2400 - test hostname for valid characters and length New test: NETW-2706 - check DNSSEC (systemd) New test: NETW-3200 - determine enabled network protocols New test: PHP-2382 - detect listen option in PHP (FPM) New test: PROC-3802 - check presence of prelink tooling New test: TIME-3180 - report if ntpctl cannot communicate with OpenNTPD New test: TIME-3181 - check status of OpenNTPD time synchronisation New test: TIME-3182 - check OpenNTPD has working peers A versão 3.0.1, que ainda não foi lançada, traz ainda outras atualizações como suporte ao Kali Linux, Mint e outros. Veja o changelog completo. No fórum do Mente Binária, já tivemos um tópico abordando referências sobre defesa, incluindo defesa em web e servidores Linux. Dá uma olhada:
  8. Linus Torvalds, criador do Linux, apresentou uma avaliação negativa sobre o conjunto de instruções do Advanced Vector Extensions 512 (AVX-512) da Intel. Segundo ele, as extensões são um "vírus de energia" criado apenas para fazer com que o hardware da CPU da empresa tenha um bom desempenho nos benchmarks. Torvalds enfatiza que, na sua opinião, a Intel poderia "consertar problemas reais em vez de tentar criar instruções mágicas para criar benchmarks nos quais eles possam ficar bem". Partes do texto foram publicadas pelo PC Gamer, mas ele pode ser lido na íntegra aqui. Segundo o PC Gamer, a Intel lançou o AVX-512 em 2013 como parte de suas linhas de processadores Xeon Phi x200 e Skylake-X. Ele também entrou nas arquiteturas de CPU mais atuais, incluindo Ice Lake. O conjunto de instruções foi projetado para melhorar o desempenho em vários tipos mais "pesados" de cálculos, como simulações científicas, análises financeiras, inteligência artificial, compactação de dados e outras tarefas que podem se beneficiar de operações de ponto flutuante mais robustas. No entanto, Torvalds não acredita que o AVX-512 cumpre o que propõe. "Só acho que o AVX-512 é exatamente a coisa errada a se fazer. É uma irritação minha. É um excelente exemplo de algo que a Intel fez de errado, em parte apenas por ter aumentado a fragmentação do mercado", disse Torvalds. Apesar das críticas de Torvalds, a Intel segue criando novos conjuntos de instruções como o manual para futuras funcionalidades de seus processadores. Leia mais.
  9. O Conti Ransomware é uma ameaça futura que tem como alvo redes corporativas. O ransomware possui novos recursos que permitem realizar ataques mais rápidos e direcionados. Segundo o BleepingComputer, há também indícios de que esse ransomware compartilha o mesmo código de malware que o Ryuk. O BleepingComputer começou a rastrear o Conti no início de junho de 2020. De acordo com o ZDNet, o Conti está usando até 32 threads de CPU simultâneos para criptografar arquivos em computadores infectados, com velocidades de criptografia extremamente rápidas. O ransomware foi visto pela primeira vez distribuído em ataques isolados no final de dezembro de 2019. Ao longo do tempo, os ataques aumentaram lentamente até o final de junho deste ano, quando houve um aumento de vítimas no site de identificação de ransomware ID Ransomware. Os operadores da Conti violam as redes corporativas e se espalham lateralmente até conseguirem obter credenciais de administrador de domínio. Depois que os privilégios administrativos são alcançados, os agentes da ameaça implantam o ransomware e criptografam os dispositivos. No momento, não se sabe se os atacantes também roubam arquivos das redes de suas vítimas antes de criptografá-los. Embora não esteja 100% claro se o Conti é sucessor do Ryuk, os gráficos de envio no ID Ransomware mostram que os ataques do Conti aumentaram, enquanto os do Ryuk foram diminuindo. Em agosto de 2017, o Hermes Ransomware estava sendo vendido em um fórum, e pesquisadores acreditam que cibercriminosos podem ter comprado esse construtor de ransomware e o transformado no Ryuk. Em algum momento, os atacantes que usam o Ryuk se fragmentaram, renomearam ou decidiram fazer a transição para o nome “Conti”, que parece basear-se no código da versão 2 do Ryuk. Além das semelhanças no código do malware, foi observada uma nota de resgate mais descritiva do Conti com o mesmo template utilizado pelo Ryuk em ataques anteriores. Além disso, a mesma infra-estrutura do TrickBot é usada pelos agentes de ameaças Ryuk e Conti como parte dos ataques de ransomware. Por isso, é possível que o Conti esteja vinculado ao mesmo grupo de desenvolvedores do Ryuk.
  10. Uma pesquisa da empresa de segurança Sophos aponta que 70% das organizações que hospedam dados ou cargas de trabalho na nuvem pública sofreram um incidente de segurança no ano passado. De acordo com o levantamento, organizações com vários serviços de computação e armazenamento em nuvem relataram até duas vezes mais incidentes do que adotantes de plataforma única. Em todo o mundo, 96% das organizações estão preocupadas com o nível atual de segurança em nuvem pública, de acordo com o relatório. A pesquisa foi realizada com 3.521 gerentes de TI em 26 países. As organizações europeias sofreram as menores taxas de ataque de todas as regiões. O estudo aponta ainda que 44% das organizações afirmaram que a perda ou vazamento de dados era uma de suas três principais preocupações de segurança. Já 66% das organizações deixam backdoors abertos por meio de serviços em nuvem mal configurados. Contudo, apenas uma em cada quatro organizações vê a falta de conhecimento da equipe como a principal preocupação. A Sophos observa que a atual situação das empresas refletem uma falta de higiene cibernética abrangente, o que resulta em fragilidades nas configurações de segurança da nuvem e deixa as organizações vulneráveis a ataques.
  11. Pesquisadores alertam que o grupo de ameaças Keeper lançará ataques cada vez mais sofisticados contra comerciantes on-line em todo o mundo nos próximos meses. O grupo, lançado há três anos, já comprometeu mais de 570 sites de e-commerce em 55 países, segundo o ThreatPost, incluindo lojas de bebidas on-line e revendedores de produtos da Apple. O grupo Keeper é uma facção do guarda-chuva Magecart e consiste em uma rede interconectada de 64 domínios atacantes e 73 domínios de exfiltração. Pesquisadores descobriram recentemente um registro de acesso não seguro no painel de controle do Keeper, que abrigava 184 mil cartões de pagamento comprometidos, com carimbos de data e hora, variando de julho de 2018 a abril de 2019. Com base nesses dados, o grupo provavelmente gerou mais de US$ 7 milhões de dólares com a venda de pagamentos comprometidos cartões, diz pesquisa recente da Gemini Advisory. Os atacantes do Keeper invadem o back-end de lojas on-line, alterando seu código-fonte e inserindo scripts maliciosos que registram os detalhes do cartão de pagamento preenchidos pelos compradores nos formulários de pagamento. Os domínios de exfiltração do Keeper usam painéis de login idênticos e estão todos vinculados ao mesmo servidor, que hospeda tanto a carga maliciosa quanto os dados roubados dos sites das vítimas. Os pesquisadores alertaram ainda que o Keeper parece estar atualizando continuamente suas táticas e técnicas para evitar a detecção. Por exemplo, um dos ataques iniciais lançados em abril de 2017 contra um varejista utilizou métodos de ofuscação públicos, o que simplificou a decodificação. A partir de 2018, no entanto, os ciberatacantes começaram a usar métodos personalizados de ofuscação.
  12. Um grupo de phishing, recentemente descoberto por pesquisadores de segurança cibernética da Agari, tem como alvo grandes empresas em todo o mundo. Segundo o ZDNet, a campanha mira organizações em 46 países, reunindo informações aprofundadas sobre seus alvos antes de aplicar os golpes. Os pesquisadores chamaram a campanha de Cosmic Lynx. Os ataques de comprometimento de email comercial (BEC) podem atingir empresas fazendo com que centenas de milhões de dólares por mês sejam perdidos após as vítimas serem enganadas no envio de dinheiro para contas pertencentes a criminosos. A campanha atua ainda com duas cadeias de e-mails falsos enviados às vítimas abordando temas atuais, incluindo a pandemia do novo coronavírus (COVID-19). O principal alvo das campanhas são pessoas com o cargo de vice-presidente, gerente geral ou diretor-gerente, e o ataque começa com um e-mail falsificado que parece vir do CEO da empresa visada. Em quase todos os casos, os e-mails iniciais detalham uma suposta aquisição de uma empresa asiática que não deve ser discutida com mais ninguém. As mensagens são bem escritas e completas, com termos comerciais e financeiros usados no contexto apropriado. Os pesquisadores dizem ainda que a infraestrutura por trás da operação de e-mail está ligada às campanhas Trickbot e Emotet. Contudo, o Cosmic Lynx demonstrou a capacidade de desenvolver ataques muito mais complexos e criativos que os diferencia de outros ataques BEC mais genéricos. Eles acreditam que o grupo atua há pelo menos um ano, e não é possível dizer quantas organizações foram vítimas dos ataques ou quanto dinheiro os criminosos fizeram, mas a campanha ainda está ativa.
  13. A Intel lançou um conjunto de referência de instruções para funcionalidades futuras que estão sendo adicionadas em sua próxima geração de processadores. O manual Intel Architecture Instruction Set Extensions and Future Features Programming Reference é direcionado a programadores e antecipa o lançamento dos novos processadores. O destaque vai para o conjunto de instruções para o Advanced Matrix Extensions (AMX). O Intel AMX Instruction Set é um novo paradigma de programação de 64 bits que consiste em dois componentes: um conjunto de registros bidimensionais representando sub-matrizes de uma imagem de memória bidimensional maior; e um acelerador capaz de operar em blocos. Acesse o manual completo aqui.
  14. O Twitter baniu a conta de um grupo que supostamente vazou registro de 200 departamentos policiais. Segundo o The Verge, o grupo chamado Distributed Denial of Secrets (DDoSecrets) publicou recentemente quase 270 gigabytes de dados sob o título "BlueLeaks". O Twitter também adicionou uma página de aviso que aparece caso um usuário clique em um link existente direcionando ao conjunto de dados, alertando que o conteúdo foi identificado como "potencialmente prejudicial". O vazamento ocorreu após uma brecha na Netsential, uma empresa de desenvolvimento web que trabalhava com agências governamentais. O Twitter disse ao The Verge que o DDoSecrets violou as regras contra a publicação de materiais invadidos e foi suspenso permanentemente da rede. De acordo com um relatório obtido por Brian Krebs, o conjunto de dados do BlueLeaks continha algumas "informações altamente confidenciais", e-mails e outros materiais de departamentos de polícia de vários países. Aparentemente, os dados foram fornecidos por um suposto membro do Anonymous e, antes de divulgar, o DDoSecrets alega ter removido cerca de 50 gigabytes de dados, incluindo detalhes sobre vítimas de crimes e informações sobre saúde.
  15. Após mais de um ano desde sua última atualização, saiu o hashcat 6.0.0 no último dia 16 de junho. A ferramenta de recuperação de senhas é de código aberto e contou com 1,8 mil commits desde o último lançamento (5.1.0). A nova versão vem com melhorias de desempenho (muito importante para uma ferramenta de quebra de hashes, né?), novos recursos e documentação detalhadas para usuários e desenvolvedores. Entre as principais funcionalidades da versão 6.0.0 estão: Nova interface para plug-ins - para modos de hash modulares Nova API para computação back-end - para adicionar APIs diferentes da OpenCL Inclusão do CUDA como uma nova API de computação back-end Guia abrangente para desenvolvedores de plug-ins Modo de emulação de GPU - para usar o código do kernel no host Melhor gerenciamento de memória de GPU e threads Tuning automático aprimorado com base nos recursos disponíveis Como se não bastasse, foi adicionado suporte a 51 novos algoritmos, incluindo os utilizados por ferramentas como Telegram e DiskCrypt. Já são 320 hashes suportados pelo hashcat! Acesse o changelog completo aqui. ?
  16. O Google removeu 25 aplicativos Android da Google Play Store. Segundo o ZDNet, os apps foram pegos roubando credenciais do Facebook. Antes de serem retirados a loja, os aplicativos foram baixados mais de 2,34 milhões de vezes. Os aplicativos maliciosos foram desenvolvidos pelo mesmo grupo de cibercriminosos e, apesar de oferecerem recursos diferentes, todos funcionavam da mesma maneira. De acordo com um relatório da empresa francesa de cibersegurança Evina compartilhado com o ZDNet, os apps se apresentaram como contadores de passos, editores de imagem, editores de vídeo, aplicativos de papel de parede, aplicativos de lanterna, gerenciadores de arquivos e jogos para celular. Apesar de funcionalidade legítima, eles continham um código malicioso que, segundo os pesquisadores da Evina, detecta que o usuário abriu recentemente e possuía em primeiro plano. Se o aplicativo em primeiro plano do usuário fosse o Facebook, o app malicioso colocaria uma janela do navegador da Web em cima do aplicativo oficial do Facebook e carregaria uma página de login falsa da rede social. A lista completa de 25 aplicativos, seus nomes e o ID do pacote estão listados no site do ZDNet.
  17. Linus Torvalds lançou o primeiro release candidate (uma versão pronta, com grandes chances de se tornar um lançamento) do Linux kernel 5.8 há duas semanas. Durante a janela de mesclagem de duas semanas para o próximo Linux kernel 5.8, ele recebeu um dos maiores números de contribuições, segundo o FossBytes. Com a versão 5.8-rc1, o Linux 5.8 possui 14.000 commits, 800.000 novas linhas de código e 14.000 mudanças em arquivos de código-fonte (cerca de 20% de todos os arquivos fonte na estrutura do kernel). A v5.8 inclui ainda limpezas de código, documentação e muito trabalho de desenvolvimento nos sistemas de arquivos. Além disso, há melhorias no suporte ao processador, novo suporte de hardware, aprimoramento de segurança e avanço do driver gráfico Intel/Radeon de código aberto. Veja as principais alterações feitas durante a janela de mesclagem do kernel 5.8 do Linux: Melhoria no driver gráfico AMD Radeon Otimizações do SELinux Fila geral de notificação Atualizações de gerenciamento de energia Suporte melhorado aos teclados da Apple (teclas Fn e Ctrl). Suporte para Intel Tiger Lake Thunderbolt Suporte do acelerador Habana Labs Gaudi Várias melhorias no sistema de arquivos Btrfs Limpeza e correção do sistema de arquivos EXT4 e exFAT Suporte inicial a processadores POWER10 Veja mais atualizações no blog Phoronix. Falando em Linux, já viu nossas dicas de shell? Esse vídeo é a primeira parte de uma sequência de dicas para trabalhar melhor no shell do Linux – com foco em Bash:
  18. O Ministério Público do Rio Grande do Sul cumpriu, na última quinta-feira, 25 de junho, 13 mandados de busca e apreensão para desarticular uma organização criminosa que burlou esquema de segurança digital de banco. A Operação Criptoshow apurou que os criminosos desviaram R$ 35 milhões de uma grande indústria e da bolsa de valores, fazendo lavagem de dinheiro com bitcoins. Os mandados estão sendo cumpridos na região metropolitana de Porto Alegre. Segundo apurado na investigação, nos dias 15 e 16 de abril foram desviados R$ 30 milhões da conta bancária de uma grande indústria por meio de 11 transferências eletrônicas. As TEDs foram feitas para seis empresas, localizadas em Porto Alegre, Cachoeirinha, São Paulo e Porto Velho. Conforme a investigação realizada pela Promotoria de Justiça Especializada Criminal e parceiros, o dinheiro foi desviado com auxílio de uma técnica sofisticada realizada por uma empresa com sede em Cachoeirinha, correntista do mesmo banco. Inicialmente, os criminosos tinham acesso normal à conta bancária, pelo Internet Banking. Eles programaram 11 transferências bancárias para seis destinatários, também pessoas jurídicas. Ao final da operação, por meio de uma manipulação fraudulenta da codificação do canal do Internet Banking, a conta indicada ao sistema para a efetuação do débito de R$ 30 milhões não foi a logada inicialmente, mas sim a conta da grande indústria. O promotor responsável pela investigação destaca que a fraude funcionou como se uma conta bancária corporativa tivesse invadido outra conta similar para emitir ordem de débito ao banco em favor de terceiros. Uma empresa de Porto Alegre recebeu o maior montante do furto, R$ 14 milhões. Três empresas sediadas no estado de Rondônia receberam juntas outros R$ 14 milhões. Além disso, uma empresa de São Paulo obteve R$ 1 milhão, mesmo valor recebido pela empresa de Cachoeirinha, que efetuou o desvio. O texto do MPRS ainda conta que uma nova operação de lavagem de capitais foi revelada durante as investigações. O vídeo abaixo também explica um pouco mais sobre como foi realizada a fraude:
  19. Dois meses após o Centro Nacional de Segurança Cibernética (NCSC) lançar o Suspicious Email Reporting Service (Serviço de Denúncia de E-mail Suspeito), 1 milhão de alertas sobre phishing foram recebidos. Segundo o NCSC, falsas iscas de investimento em criptomoeda representam mais da metade de todos os golpes on-line detectados como resultado de denúncias do público. O serviço, lançado como parte da campanha Cyber Aware do governo do Reino Unido, recebeu uma resposta maciça do público, com uma média diária de 16,5 mil e-mails, agora alcançando a marca de 1 milhão. O influxo de golpes de investimento em criptomoeda está entre uma série de ameaças on-line que foram bloqueadas como resultado dos e-mails suspeitos sendo relatados pelo público em apenas dois meses, diz o NCSC. Embora os golpes de criptomoeda tenham sido os principais detectados, também houve vários exemplos de falsas lojas on-line envolvendo algumas marcas. "Mesmo que seja certo celebrarmos o alcance desse marco, é importante que todos permaneçam em guarda e encaminhe todos os e-mails que não parecem adequados para report@phishing.gov.uk", disse o CEO da NCSC, Ciaran Martin, em comunicado. Para usar o serviço, as pessoas são solicitadas a encaminhar os e-mails suspeitos e, se for encontrado um link para conteúdo malicioso, ele será retirado ou bloqueado, ajudando a evitar futuras vítimas de crime. Os números mais recentes mostram que 10% dos golpes foram removidos dentro de uma hora após a notificação de um e-mail, e 40% foram derrubados dentro de um dia após a denúncia. Além disso, 10,2 mil URLs maliciosas vinculadas a 3.485 sites individuais foram removidos graças aos alertas recebidos.
  20. A Microsoft lançou esta semana o Safe Documents (Documentos Seguros), um novo recurso do Microsoft 365 Apps que visa manter usuários corporativos seguros, verificando arquivos não confiáveis destinados a eles. O recurso aprimora a experiência já existente com o Protected View (Modo de Exibição Protegido). O Protected View ajuda a proteger documentos originados fora da organização, mas as pessoas frequentemente saem da área da empresa, restrita à proteção, sem considerar se o documento é seguro, o que deixa as organizações vulneráveis. Com a ampliação do home office, a Microsoft decidiu melhorar essa experiência. O Safe Documents elimina as suposições do usuários sobre a segurança de uma arquivo, verificando automaticamente o documento com relação aos mais recentes riscos e perfis de ameaças conhecidos antes de permitir que os usuários saiam da área do Protected View. O recurso aproveita ainda o poder do Microsoft Intelligent Security Graph para a área de trabalho. Quando um administrador habilita o Safe Documents, os arquivos não confiáveis abertos no Protected View passam por um fluxo adicional no qual o documento é carregado e verificado pelo Microsoft Defender ATP. Enquanto uma verificação estiver em andamento, os usuários não podem sair do Protected View, mas conseguem acessar e ler o documento durante esse processo, sem fazer nenhuma edição até que a digitalização seja concluída. Caso um arquivo malicioso seja detectado, os usuários serão impedidos de deixar o Protected View. Apenas os administradores podem configurar se os usuários devem ignorar o alerta e "ativar edição" para casos de documentos maliciosos.
  21. O GEF é um plugin para o GDB (GNU Debugger) que adiciona vários comandos úteis para debugar binários x86/64, ARM, MIPS, PowerPC e SPARC. O objetivo é dar suporte na análise de malware e engenharia reversa utilizando o GDB. Ele ainda provê funcionalidades adicionais através da API em Pythonpara auxiliar durante o processo de análise dinâmica e desenvolvimento de exploits. Os desenvolvedores também se beneficiam do GEF para eliminar grande parte da obscuridade regular do GDB, evitando a repetição de comandos tradicionais ou trazendo as informações relevantes do tempo de execução da depuração. Na última versão (2020.06 - Incomparable Evil), foram feitas as seguintes atualizações: Suporte ao head safe linking na glibc 2.32. O comando pcustom agora suporta estruturas (structs) recursivas. O plugin para o Binary Ninga (gef-ninja) foi reescrito e agora está também disponível na Binary Ninja Plugin Store. Também foram feitas correções. Veja o changelog completo. E se quiser saber mais, já tivemos um debate no nosso fórum sobre técnicas para depuração com GDB e binário stripped. Dá uma olhada que tem bastante informação por lá:
  22. Durante a edição 2020 de sua Worldwide Developers Conference (WWDC), a Apple anunciou novos recursos de privacidade e segurança para usuários de iOS e macOS. A conferência foi realizada de maneira totalmente virtual, e segundo o ZDNet, o tema deste ano foi o aprimoramento da privacidade do usuário, com foco especial no setor de publicidade on-line. Este ano, a Apple anunciou alguns recursos que tornarão mais difícil para os anunciantes on-line rastrearem usuários, além de outras funcionalidades relacionadas à maior privacidade: Novos avisos de divulgação de privacidade de aplicativos. Permissões para rastreamento em aplicativos. Localização do proxy. Novo indicador de câmera e microfone. Novo botão de privacidade em Safari. Segundo a Apple, o novo sistema de interface do usuário deixará visível aos usuários que tipo de dados cada aplicativo coleta sobre eles. Além disso, agora os apps também precisam divulgar com precisão os dados que eles usam para rastrear usuários na Internet. A Apple disse que os aplicativos de rastreamento precisam solicitar uma permissão especial dos usuários daqui para frente. Haverá ainda a possibilidade de diminuir o compartilhamento de local. A partir do final deste ano, os usuários poderão compartilhar "localização do proxy" em vez de coordenadas precisas. A Apple também adicionou um novo recurso para combater aplicativos que acessam secretamente a câmera e o microfone de um dispositivo iOS. No Mac, o Safari deve receber uma atualização com um botão "Privacidade" na barra de ferramentas que, semelhante aos recursos anti-rastreamento já presentes no Chrome, Firefox e Edge, mostrará aos usuários informações sobre todos os scripts do rastreador carregados/bloqueados nos sites visitados.
  23. A Light, companhia de energia elétrica do Rio de Janeiro, informou que sofreu um ataque cibernético esta semana. Segundo comunicado da empresa, uma ação imediata ocorreu para conter o ataque, mas informações da Veja Rio dizem que os atacantes pedem um resgate de US$ 7 milhões para liberar os dados criptografados da companhia. Os ciberatacantes provavelmente invadiram o sistema da Light e infectaram o computador com um ransomware, criptografando todos os arquivos do sistema da empresa. A companhia, contudo, não confirmou as informações. "Estamos trabalhando de forma intensiva na resposta ao incidente", diz a Light no Twitter. Já demos aqui inúmeras notícias sobre esse tipo de ataque, que tem crescido cada vez mais ao redor do mundo, se tornando sofisticados e exigindo grande volume de resgates. Dá uma olhada na variedade de conteúdos que já abordamos com esse tema, entre casos, maneiras de se proteger e até análise de alguns ransomwares.
  24. Um hub criado em 2017 pelo Centro Nacional de Segurança Cibernética (NCSC) do Reino Unido tem como objetivo ampliar o número e a diversidade de alunos que cursam diferentes níveis de ciência da computação. O Cyber Schools Hub piloto iniciou efetivamente em fevereiro de 2018 e, quase três anos depois, as escolas participantes do hub mostraram um aumento de 43% no número de estudantes que cursaram GCSE Computer Science. Em uma escola, um Cyber Club semanal começou com 20 alunos homens e agora se expandiu para mais de 70 participantes, sendo 60% deles mulheres. Além disso, no ano passado em uma das escolas 16% dos alunos de um determinado nível (Sixth Form) estudaram segurança cibernética ou ciência da computação na universidade. Essa se tornou, inclusive, a opção de curso preferida entre os alunos. Agora, o NCSC pretende encontrar uma maneira de replicar esse sucesso em outras regiões do Reino Unido, precisando contar com o apoio de outros players do setor, do governo ou acadêmicos. Os aprendizados adquiridos com o projeto piloto foram incorporados ao programa CyberFirst, que oferece cursos e competições gratuitos para milhares de estudantes em todo o Reino Unido, além de centenas de bolsas de graduação e estágios. O CyberFirst é um programa já estabelecido e conta com o apoio de mais de 130 organizações.
  25. Se você analisa malware, certamente já buscou pelas strings de texto dentro dos binários, pois elas podem dar indícios de onde o malware se conecta, podem conter os caminhos e nomes de arquivos que criam, etc. À parte de ferramentas como o comando strings e o pestr (do nosso toolkit do pev), gostaria de te convidar pra conhecer mais uma! O FLOSS (FireEye Labs Obfuscated String Solver) é um extrator de texto feito especialmente para extrair strings ofuscadas de arquivos suspeitos e samples de malware. O solucionador de strings do FireEye Labs usa técnicas avançadas de análise estática para tal. O software é livre, gratuito e multiplataforma, rodando em Windows, Linux e macOS. No dia 10 de junho de 2020, o FireEye Labs divulgou a versão 2020 Twizzler, que contém algumas correções e adiciona funcionalidades, como: Scripts para o IDA e o Binary Ninja, fazendo com que eles trabalhem juntos. Opção para configurar o máximo de instruções que você quer emular. Saída em JSON (JavaScript Object Notation). No mesmo dia, eles ainda liberaram a versão 1.6.1 com mais algumas correções. Veja o changelog completo e faça o download da ferramenta aqui. E para entender como uma string fica dentro de um binário, recomendamos que assista à aula 4 do nosso CERO – Curso de Engenharia Reversa Online:
×
×
  • Criar Novo...