Bruna Chieco

A semana mal começou e uma série de violações de dados foi divulgada, atingindo diferentes empresas. Uma delas foi o registrador de domínios GoDaddy, que possui 19 milhões de clientes, gerencia 77 milhões de domínios, e informou sobre uma violação que afeta credenciais de conta de hospedagem na web. De acordo com o Bleeping Computer, a GoDaddy notificou alguns de seus clientes sobre o vazamento de credenciais, que atingiu cerca de 28 mil contas de hospedagem de clientes. O incidente de segurança ocorreu em 19 de outubro de 2019 e foi descoberto apenas em 23 de abril de 2020, depois que a equipe de segurança da empresa descobriu um arquivo SSH alterado no ambiente de hospedagem da GoDaddy, além de identificar atividade suspeita em um subconjunto dos servidores. A empresa destacou não ter encontrado evidências dos invasores adicionando ou modificando algum arquivo na hospedagem das contas afetadas, e garantiu aos usuários afetados que apenas as contas de hospedagem foram afetadas como parte do incidente, enquanto a conta principal da GoDaddy não estava acessível aos atacantes. "Redefinimos proativamente as informações de login da sua conta de hospedagem para ajudar a impedir qualquer acesso não autorizado", acrescentou. O site o CAM4 também foi atingido pelo vazamento de dados. A empresa opera um serviço de transmissão ao vivo para adultos, com dados que compreendem 7 terabytes de nomes, orientações sexuais, registros de pagamento e transcrições de e-mail e bate-papo. Segundo o Wired, são 10,88 bilhões de registros detidos pela empresa. O site de análise de segurança Safety Detectives descobriu que o CAM4 configurou incorretamente um banco de dados de produção do ElasticSearch, facilitando a localização e exibição de informações de identificação pessoal, além de detalhes corporativos, como fraude e logs de detecção de spam. Não há evidências de que o CAM4 tenha sido hackeado ou que o banco de dados tenha sido acessado por cibercriminosos, mas a lista de dados que vazou é abrangente, com registros de produção detectados pela Safety Detectives datando de 16 de março deste ano. Os registros também incluem o país de origem, as datas de inscrição, as informações do dispositivo, as preferências de idioma, os nomes de usuários, hash de senhas e a troca de e-mail entre os usuários e a empresa. A análise dos pesquisadores de segurança sugere que cerca de 6,6 milhões de usuários do CAM4 nos Estados Unidos fizeram parte do vazamento, 5,4 milhões no Brasil, 4,9 milhões na Itália e 4,2 milhões na França. Na Europa, as autoridades policiais polacas e suíças, apoiadas pela Europol e Eurojust, desmantelaram um grupo de cibercriminosos chamado InfinityBlack, envolvido na distribuição de credenciais roubadas de usuários, na criação e distribuição de malware e ferramentas de hackers e fraude. Em 29 de abril, a Polícia Nacional Polonesa (Policja) revistou seis locais em cinco regiões do país e prendeu cinco indivíduos que podem ser membros do grupo. Também foram apreendidos equipamentos eletrônicos, discos rígidos externos e carteiras de criptomoedas de hardware, todos no valor de 100 mil euros. Duas plataformas com bancos de dados contendo mais de 170 milhões de entradas foram fechadas pela polícia. O grupo criou plataformas on-line para vender credenciais de login de usuário conhecidas como "combos". Eles criaram ferramentas para testar a qualidade dos bancos de dados roubados, enquanto testadores analisaram a adequação dos dados de autorização, e os gerentes de projeto distribuíram assinaturas para pagamentos em criptomoeda. Os cibercriminosos criaram ainda um script sofisticado para obter acesso a um grande número de contas de clientes suíças, e as perdas estão estimadas em 50 mil euros.

A Trend Micro detectou no início de abril um malware que se passa pelo instalador do Zoom para espalhar um minerador de criptomoedas. O ataque utiliza a RAT (Remote Access Tool)RevCode WebMonitor. Os que vêm com o malware não são de fontes oficiais do aplicativo Zoom, como o próprio centro de downloads do Zoom ou lojas de aplicativos legítimas, como a Apple App Store e o Google Play Store. Segundo a Trend Micro, muitas variantes de malware se apresentam como aplicativos legítimos, e o Zoom não é o único aplicativo usado para esse tipo de ameaça. "Nesse caso específico, os cibercriminosos podem ter 'reembalado' os instaladores legítimos com o WebMonitor RAT e lançado esses instaladores em sites maliciosos", diz a empresa. Quando o usuário baixa o arquivo ZoomIntsaller.exe de fontes maliciosas, ele contém a combinação de um instalador não-malicioso do Zoom e a RAT RevCode WebMonitor. Ao executar o ZoomInstaller.exe, ele solta uma cópia de si mesmo chamada Zoom.exe. A backdoor se conecta ao URL dabmaster[.]wm01[.]to e executa comandos do atacante remotamente. Entre os comandos executados estão adicionar, excluir e alterar arquivos e informações do registro; fechar conexões; obter informações de software e hardware; obter drivers/captura da webcam; gravar áudio e logar o que a vítima digita; iniciar, suspender e encerrar processos e serviços; iniciar/parar um stream da tela; iniciar/parar um AP wifi. O malware também cria o arquivo Zoom.vbs na pasta Inicialização do usuário do Windows, permitindo assim a execução automática em cada inicialização do sistema. No entanto, esses processos não poderão ser concluídos caso haja debuggers ou segurança instaladas. Veja aqui quais são as ferramentas. Lembrando que o Zoom lançou, recentemente, a versão 5.0, corrigindo uma série de falhas de segurança.

A MBConf@Home v2 aconteceu no último sábado, 2 de maio, transmitida ao vivo pelo canal Mente Binária. Com quatro palestrantes especialistas na área de segurança da informação, o evento on-line durou cerca de 4 horas e reuniu mais de 2,8 mil participantes. A conferência nasceu de uma iniciativa de levar conteúdo para o público da área em meio à fase de isolamento social decorrente da pandemia do novo coronavírus (COVID-19). "A gente achou que eventos deveriam rolar durante a fase de quarentena. É mais um gesto da comunidade de segurança da informação, onde a galera fica muito próxima, muito junta", disse Fernando Mercês na abertura do evento. O objetivo da MBConf@Home é oferecer oportunidade de estudo desse conteúdo para quem atua ou quer atuar na área de segurança da informação. "Se a área de segurança, a área de educação do Brasil, e de outros países, não têm condição de formar os profissionais de segurança da informação que o mercado já exige, a gente quer suprir. Não é substituir, mas sim juntar a formação que a pessoa tem com os treinamentos que a gente propõe, e possivelmente outros, fazendo com que o profissional se consolide", destacou Mercês. Por isso, após a conferência, todo o conteúdo das palestras ficam disponíveis no canal do Mente Binária. Você pode conferir também o que rolou na MBConf@Home v1, reassistir, além de mandar perguntas para os palestrantes no fórum. Aqui nós traremos um resumo de tudo o que rolou na v2! Conhecendo InfoSec jogando CTF's Rafael Ch0k0 foi o primeiro palestrante do dia com uma apresentação sobre como aproveitar as competições de Capture The Flag (CTF) para estudar e aprender segurança. Membro do time de CTF brasileiro RTFM, Ch0k0 é também pentester num grande banco. "CTF é uma ferramenta onde você pode testar seu conhecimento, se desafiando, saindo da zona de conforto", disse. "Quando você participa de eventos da área de segurança, você economiza três anos de estudo. Tem muita gente boa no Brasil fazendo pesquisa e temos que nos ajudar a fomentar mais isso", complementou. Ele explicou que todo CTF é uma competição on-line e tem uma classificatória. "O CTF nem sempre foi parte da minha vida profissional, mas em 2016 fui contratado para trabalhar em um banco por meio do CTF. Também ganhei em segundo lugar no H4ckaflag; em primeiro lugar o Deloitte Hackazon CTF 2016; em primeiro lugar o Bsides SP CTF 2015; e fiz parte do time campeão do PacketWars 2016 no H2HC". Antes de falar sobre CTF, Ch0k0 fez uma apresentação sobre a importância dos sistemas de segurança da informação nas organizações. "Muitas organizações dependem de sistemas de segurança para ter sucesso nos negócios. Em segurança, temos que proteger a confidencialidade, integridade e disponibilidade dos sistemas, e ainda a privacidade de seus indivíduos contra diversas ameaças". Entre as ameaças possíveis estão falhas de equipamentos, erros humanos ou sistêmicos, catástrofes naturais, ataques propositais que podem ser sofisticados, disciplinados, bem-organizados, patrocinados ou bem-pagos. "Nas estratégias de proteção, trabalhamos com o mínimo de informação para a atividade". Em seguida, ele começou a falar sobre as competições Capture The Flag, que iniciaram em 1996 na DEF CON, uma das maiores convenções hacker do mundo. "Antigamente, os participantes levavam softwares, mas a partir de 2000, as competições começaram a ter regras mais específicas. As CTFs envolvem diversas competências em segurança da informação e até em tecnologia, com profissionais e estudantes entusiastas", explicou. As flags são os objetivos, uma palavra/frase que as equipes precisam pra completar o desafio. "A equipe submete a flag para obter pontos referentes ao desafio", disse Ch0k0. Há três principais formatos de CTF: jeopardy (perguntas e respostas); ataque e defesa; e híbrido. Já as categorias são normalmente divididas em criptografia; forense; exploração de máquinas; diversos; aplicativos móveis (iOS e Android); networking; pwnable (exploração de binários; pegar um programa e fazer engenharia reversa, encontrar falhas e escrever um programa que explora as falhas); reversing; trivia; e web hacking. "É preciso estudar, conhecer os fundamentos por trás, a tecnologia; conhecer as coisas a fundo. O hacking é isso: procurar conhecer como funcionam as coisas e como fazer funcionar de outro jeito", complementou. Ele explicou alguns formatos de CTF e mostrou alguns desafios. "Os desafios de ataque e defesa são mais dinâmicos, mais próximos do mundo real com um conjunto de máquinas com serviços vulneráveis. Ou as equipes se atacam, ou atacam a infraestrutura dos organizadores. O objetivo é capturar as bandeiras alheias e proteger as do seu time aplicando patches". Ch0k0 deu ainda um exemplo de um CTF da DEF CON. "É muito dinâmico, você tem que corrigir os seus serviços". Além de conquistar conhecimento na área na prática, Ch0k0 ressaltou que as competições são oportunidade para o networking. Entre os principais times de CTF estão 0x8layer; B.R.A.V.O; Deadlock Team; Epic Leet team; PPP; Fireshell; ganesh; GRIS; imesec1337; RAFT CTF Team; RTFM; e GS2W. "Recomendo muito, pois você faz muitas amizades, conhece um pessoal saudável, do bem. Mesmo que você não conheça nada, você vai fazer amizades, conhecer gente nova. Minha recomendação é participar de CTF, nao deixar pra depois, tem vários acontecendo". Ele disse ainda que há CTFs introdutórios para quem nunca participou. No final de sua apresentação, Ch0k0 fez um desafio ao vivo e mostrou uma técnica de CRLF Injection. Abusando de fuzzing no Windows O doutorando em Ciência da Computação Otavio Silva realizou uma apresentação sobre sua experiência com fuzzing no kernel do Windows. Ele iniciou falando sobre o Windows 10 e deu um overview sobre os mecanismos de segurança. "O device guard é uma feature de segurança do kernel, mas o mais importante é que ele provê integridade de código", disse. Segundo ele, o ponto do Windows 10 que mais se distancia dos outros é a camada de virtualização. "Alguns ataques bem comuns no Windows não tem a ver com falhas específicas, e sim um comportamento do centro operacional. A Microsoft lança patch para parar o vetor de ataque, mas a falha em si é um comportamento do centro operacional", explicou. Ele disse ainda que a elevação de privilégios no Windows não é uma tão softicada. "Se você quiser interferir no kernel, o próprio administrador não tem grandes poderes contra ele. Para fazer debug, tem que habilitar a flag, não dá pra manipular o kernel em tempo de execução", explicou. Ele contou como funciona o Kernel Patch Protection, chamado Patch Guard, adicionado na versão x64. "Ele monitora uma série de estruturas, tabelas, e espaços de memória onde o kernel utiliza leitura escrita. Ele checa, mantém o que não será alterado. Existem ataques, mas são raros e eles ficam alguns anos escondidos", disse Otavio falou ainda sobre o Direct Kernel Object Manipulation (DKOM). "A construção de um centro operacional, em tese, deveria levar uma cascata de chamada onde qualquer processo não interaja diretamente com qualquer outro objeto do kernel. Mas no windows isso não acontece", destacou. Segundo ele, os Windows drivers são importantes interfaces com user level e os IPPs são enviados para um dirver quando uma operação particular ocorre no objeto device do driver. Em sua experiência, ele destacou que conseguiu dois CVEs, mas só queria gerar casos de testes. Ele mostrou as CVEs que encontrou e reportou. Otavio mostrou ainda o fuzzer de kernel que ele construiu para facilitar achar falhas. "Você informa o device, a lista e os IOCTLs, e ele consegue metralhar o device para ver se alguma coisa quebra", disse. Escalação de privilégios no Linux Victor Mello, também conhecido como m0nad, é Senior Security Engineer na Blacklane, na Alemanha, programador das antigas, e fez uma apresentação sobre escalação de privilégios no Linux, desde o básico. "Esse é um tema interessante para quem faz pen test, quer entrar na área, quem joga CTF, ou até para certificações e entrevistas de emprego", disse m0nad. Ele explicou como funciona a escalação em Linux. "Um atacante, quando pega uma falha no sistema, provavelmente ele quer o controle total do sistema. É interessante para ele conseguir acesso de root. No caso do Linux, a forma mais comum dos atacantes escalarem privilégios é através da exploração do kernel", disse. Ele disse ainda que enumerar os processos rodando é de extrema importância. "Se você tem um processo rodando como root, consegue escalar privilégio. É muito comum o pessoal colocar senhas em variáveis de ambiente. Sempre que falarem em senhas, os admin conseguem acessar, então lembrem disso e tentem logar como root", ressaltou. Ele destacou que é importante saber qual a rede e quais portas estão abertas. "Se tiver um módulo de kernel não muito padrão (customizado), geralmente ele tende a ter vulnerabilidades triviais para explorar". Em seguida, é possível procurar arquivos de configuração no sistema e verificar se algum está com alguma configuração estranha. "Gosto muito de procurar chaves privadas perdidas, e tentar logar com qualquer chave que eu encontrar, como root ou outro usuário. Outra coisa muito comum e clássica na escalação de privilégio é procurar arquivos que possuam SUID, que é a maneira de rodar programas como se fosse outro usuário. Algumas são SUID root, aí é possível rodar ele como se fosse root. Mas se você não for um usuário privilegiado, precisa escrever o shadow na nova senha". M0nad mostrou estudos de caso para diversas falhas como de SUID; SUDO; SSH Keys; Readable backups; e Cron. Ao final, ele utilizou ferramentas open source para fazer a escalação de privilégios. Hacking em dispositivos hospitalares A última apresentação do dia foi do consultor de segurança na Morphus Victor Pasknel Ribeiro. Ele também é doutorando em Ciência da Computação e contou como obteve acesso privilegiado a dispositivos eletrônicos hospitalares! "Sobre essa pesquisa, tenho agradecimentos a fazer a duas pessoas que me ajudaram muito: Tadeu Leandro e Lenine Matos, que me ajudaram a construir a pesquisa, tirar dúvidas técnicas tanto em segurança na área de saúde, quanto da própria área da radiologia", disse. Pasknel contou que a pesquisa nasceu de uma experiência pessoal, enquanto esperava sua esposa fazer um raio-X há alguns anos. Ele reparou na quantidade de aparelhos que havia no hospital - incluindo alguns com acesso à rede. "Enquanto eu estava na enfermaria esperando por ela, dei uma olhada no ambiente e vi vários equipamentos. Tirei foto e depois comecei a pesquisar pelo fabricante dos equipamentos, pois a maioria era do mesmo". Ele entrou no site do fabricante, e as dúvidas iniciais giravam em torno dos tipos de equipamento. "Vi que era possível controlar a máquina de ultrassom pelo celular. Isso chamou minha atenção. Fui atrás das aplicações mobile para entender como funcionava a interação com a máquina", disse. Ao olhar a configuração, Pasknel notou que tinha opção de rede e verificou qual era a porta de comunicação do DICOM. A pesquisa iniciou a partir daí. "Digital Imaging and Communications in Medicine (DICOM), mais conhecido por ser um formato de arquivo, especialmente de imagem, é também um protocolo de rede", explicou. "Ele faz parte de um cenário maior, o PACS (Picture Archiving Communication Systems). Os equipamentos hospitalares geram as imagens. As imagens ficam armazenadas no PACS, um servidor central onde elas podem ser visualizadas", contou. "Comecei a tentar entender exatamente o que era o DICOM, como o protocolo funcionava". Pasknel reiterou que o protocolo tem uma especificação longa, mas mostrou o mínimo que é necessário saber para entender como funciona. "O DICOM foi desenvolvido por duas organizações da área de radiologia (ACR e NEMA). É um padrão antigo, a primeira versão é de 1985. Sua documentação é grande, com mais de 20 volumes sobre como ele funciona", disse. As principais características do DICOM é que ele é bem famoso pelo volume de metadados presentes em cada imagem. "A lista de atributos supera 2 mil. Isso inclui dados dos pacientes: nome, idade, peso, quem atendeu o paciente, etc.", disse. Há ainda uma hierarquia de dados e como as informações são organizadas. "No topo tem o paciente, que pode estar atrelado a um ou mais estudos. O DICOM ainda tem modalidades de acordo como o tipo de equipamento que criou uma imagem. Cada modalidade tem uma sigla e sua descrição", disse Pasknel. Em seguida, ele explicou um pouco sobre a application entity, que é qualquer dispositivo ou software que executa o DICOM. Ele falou também sobre o serviço object pairs, que associa tipos de serviço com atributos específicos. "Há uma série de serviços. Para ter uma interação inicial, é necessário ter o endereço IP, o número de portas onde o serviço vai executar, o padrão, e o nome do cliente. Toda conexão, quando é iniciada no DICOM, tem um processo de associação e terá um retorno em relação ao pedido. Uma vez que a associação é concluída, é possível enviar mensagens para chamar serviços do PACS". Pasknel explicou que o DICOM em si não é criptografado, e citou alguns serviços que se pode utilizar para obter acesso às imagens: C-Find; C-Get; e C-Move. Ele demonstrou a utilização dos três, como buscar a imagem, e como obter através do Get e do Move. "Para construir um Lab para realização de testes e ataques, é possível criar containers", complementou. Na hora da demo, Pasknel mostrou como faz para acessar os metadados do DICOM. Ele usou as seguintes ferramentas: Pydicom; Pynetdicom; Hotos; Weasis; Radamsa. Em uma pesquisa, ele verificou que hoje há quase 2,7 mil equipamentos expostos, sendo que no Brasil são 235. "Na extração de dados, um servidor é encontrado, é obtido um serviço, e aí é possível executar um script para ter acesso. Para obter as imagens, no caso do Linux, é possível usar o Weasis. O Horos também é outra ferramenta para fazer pesquisa, selecionar estudos e obter as imagens", disse. Ele fez um pouco de fuzzing no começo a pesquisa, pois é um processo fácil, segundo ele. "É possível usar o Pynetdicom para gerar tráfego, o Scapy para selecionar pacotes, o Radamsa para geração de mutação e o Sockets para enviar mutações". Conclusões da pesquisa: vazamento de dados, alteração de dados, falta de autenticação, tráfego não criptografado, gestão de atualização e falta de segmentação de redes, que é a mesma entre visitantes e funcionários, conseguindo ter acesso direto aos equipamentos. Importante ressaltar a frágil segurança desses dispositivos para que ela aumente, especialmente nesse momento de pandemia. Encerramento Para encerrar o evento, Yumi Ambriola, matemática, programadora, cientista, e membro do CGI.br, contou sobre o projeto do Garoa Hacker Clube para construir máscaras de proteção e ajudar a combater a COVID-19. O Garoa HC é um hackerspace localizado na cidade de São Paulo, um espaço comunitário, aberto e colaborativo que disponibiliza sua infraestrutura para projetos em diversas áreas relacionadas à tecnologia. Ela explicou como contribuir para o projeto e como são feitas as máscaras com impressora 3D, desde o material utilizado para criação de máscaras, até o espaço utilizado, com toda segurança que esse momento exige. "As máscaras são doadas para hospitais de diversas regiões de São Paulo. As máscaras não protegem apenas o profissional de saúde, mas também a própria população, diminuindo a exposição de quem está sendo atendido", disse Yumi. Todo o dinheiro doado durante a MBConf@Home pelos espectadores do evento foram transferidos ao projeto do Garoa HC. No total, mais de R$ 5 mil reais foram arrecadados durante a v1 e v2! Se você quiser rever tudo com mais detalhes, pode conferir todas as palestras aqui. E o Mente Binária já está preparando a MBConf@Home v3, mas dessa vez nossa comunidade ajudará a construir o evento. Para isso, basta responder a esse questionário, é rapidinho!

A Check Point publicou uma pesquisa esta semana envolvendo três plugins populares do WordPress: o LearnPress, o LearnDash e o LifterLMS. São sistemas de gerenciamento de aprendizagem (LMS) amplamente usados para fins educacionais, com um aumento no uso devido à maior adoção de ensino à distância (e-learning) diante da pandemia do novo coronavírus (COVID-19). Foram encontradas quatro vulnerabilidades nos plugins – CVE-2020-6008, CVE-2020-6009, CVE-2020-6010 e CVE-2020-6011 – que variavam de escalonamento de privilégios a execução remota de código. Segundo o ZDNet, as plataformas LMS podem ser usadas para gerenciar cursos on-line, gratuitos e pagos, hospedar recursos dos alunos, atribuir tarefas de emissão e marcação e facilitar a discussão entre os alunos. Já o LearnPress, desenvolvido pela ThimPress, é um plugin para criar e publicar cursos com mais de 80 mil, enquanto o LearnDash é outra ferramenta de criação de cursos LMS usada por universidades e empresas da Fortune 500, totalizando aproximadamente 33 mil sites no total, e o LifterLMS é um plugin de criação de sites de cursos e associações com pelo menos 10 mil instalações ativas. Estudantes ou atacantes não autenticados remotos podem explorar as falhas de segurança para roubar plataformas de e-learning, dados confidenciais, alterar notas, alterar tarefas, violar atribuições, falsificar certificados e potencialmente desviar dinheiro das plataformas LMS, que oferecem cursos pagos. Os fornecedores foram contatados pela Check Point e versões atualizadas e corrigidas foram lançadas desde então. Portanto, é possível fazer a atualização e garantir que os plugins estejam atualizados para permanecerem protegidos.

A CTI League, uma comunidade de especialistas em segurança cibernética formada em março deste ano, lançou seu Relatório Inaugural com informações sobre seus esforços para desmantelar a infraestrutura de crimes cibernéticos que exploram a pandemia do novo coronavírus (COVID-19). O objetivo é proteger as organizações de saúde contra ataques cibernéticos. Desde a sua criação, a comunidade ajudou legalmente a derrubar 2.833 ativos de cibercriminosos na Internet, incluindo 17 projetados para imitar organizações governamentais, a Organização das Nações Unidas (ONU) e a Organização Mundial da Saúde (OMS). A comunidade identificou mais de 2 mil vulnerabilidades em instituições de saúde em mais de 80 países. Essas organizações foram notificadas diretamente, ou por meio de encaminhamento aos órgãos governamentais ou do setor, para que os problemas pudessem ser corrigidos antes de serem explorados por atacantes. A CTI League investiga ainda arquivos e mensagens identificados por várias fontes públicas externas, e esses itens maliciosos passam por uma triagem. Um total de 587 arquivos supostamente maliciosos foi relatado à comunidade. Além disso, mais de 20 mil domínios de phishing foram identificados e relatados, e 2.584 mensagens de phishing foram confirmadas. Veja o relatório completo, em inglês. Sobre o projeto – A CTI League foi fundada em 14 de março de 2020 e cresceu de dois usuários para mais de 100 voluntários em apenas uma semana. Em 20 dias, mais de mil novos voluntários ingressaram na liga, e hoje são cerca de 1,7 mil especialistas de 80 países que atuam no projeto para neutralizar as ameaças cibernéticas que procuram explorar a pandemia atual. "Identificamos, analisamos e neutralizamos todas as ameaças, mas neste momento mais delicado estamos priorizando os recursos médicos da linha de frente e a infraestrutura crítica", diz comunicado da CTI League. Para neutralizar as ameaças cibernéticas, os especialistas podem solicitar a remoção de um site, página da web ou arquivo da Internet; ajudar o setor médico com indicadores de triagem; e escalar ataques cibernéticos, atividades maliciosas ou vulnerabilidades críticas relevantes às agências policiais e CERTs nacionais.

O Cofense Phishing Defense Center descobriu uma nova campanha de phishing que utiliza o Skype para tentar enganar vítimas. A plataforma de videochamadas foi mais uma que teve um pico recente de uso em meio à crise do novo coronavírus (COVID-19) e à necessidade de manter os funcionários em trabalho remoto, se tornando também alvo de cibercriminosos. O ataque foi encontrado em ambientes de e-mail protegidos pelo Proofpoint e pelo Microsoft 365 EOP. Segundo a Cofense, os cibercriminosos criaram um e-mail "assustadoramente semelhante a uma notificação pendente legítima vinda do Skype", com a falsificação de um número de telefone e endereço de e-mail do Skype convincente. Porém, o remetente real pode ser encontrado no caminho de retorno exibido como "enviado de". E-mails sobre notificações pendentes são comuns em algumas plataformas, o que facilita que a vítima acabe acessando o e-mail infectado. O ataque foi hospedado em um domínio de nível superior .app, exibindo um ícone confiável, enganando os usuários. Ao clicar no link do e-mail, o usuário recebe uma representação da página de login do Skype, mas se inspecionar a URL, verá que contém a palavra Skype para adicionar ainda mais senso de autenticidade. Os cibercriminosos adicionaram ainda o logotipo da empresa do destinatário à caixa de login, bem como um aviso na parte inferior informando que a página é para "uso autorizado" dos usuários da empresa. O nome de usuário também é preenchido automaticamente, devido à URL que contém a base64 do endereço de e-mail de destino, levando o usuário a digitar sua senha. ?

O Zoom realizou atualizações de segurança na nova versão 5.0. Segundo a empresa, o lançamento da nova versão faz parte do plano de 90 dias para identificar, abordar e aprimorar os recursos de segurança e privacidade da plataforma de videoconferência, que teve um grande aumento no uso devido ao isolamento social que a maioria dos países está passando para conter a pandemia do novo coronavírus (COVID-19). O Zoom 5.0 está previsto para ser lançado esta semana. A nova versão do Zoom contém suporte à criptografia GCES AES de 256 bits que, segundo a empresa, oferece maior proteção dos dados da reunião e resistência a violações, com garantias de confidencialidade e integridade nos dados do Zoom Meeting, Zoom Video Webinar e Zoom Phone. Esse padrão entrará em vigor quando todas as contas forem ativadas com o GCM, o que deve ocorrer em 30 de maio. A nova versão possui ainda controle de roteamento de dados, permitindo que o administrador da conta escolha quais regiões do datacenter são usadas nas reuniões e webinars hospedados na conta usam para tráfego em tempo real. Além disso, os recursos de segurança do Zoom, que haviam sido acessados anteriormente nos menus da reunião, agora podem ser encontrados no ícone Segurança, na barra de menus da reunião na interface do anfitrião (host). Os hosts poderão ainda denunciar um usuário para o Zoom através desse ícone ou desativar a capacidade dos participantes renomearem a si mesmos. Para clientes educacionais, o compartilhamento de tela será padronizado apenas para o host. A sala de espera, recurso que permite que um host mantenha os participantes em salas virtuais individuais antes de serem admitidos em uma reunião, será ativada por padrão nas contas educacional, básica e Pro. Todos os hosts também poderão ativar a sala de espera enquanto a reunião já está em andamento. As senhas da reunião agora estão ativadas por padrão para a maioria dos clientes. Por conta do grande aumento do uso da plataforma, muitos usuários ficaram em dúvida sobre a sua segurança, e o Mente Binária lançou um vídeo com a visão do Fernando Mercês sobre o uso do Zoom. Use-o para tirar suas próprias conclusões. ?

Durante o isolamento social decorrente da pandemia do novo coronavírus (COVID-19), muitos artistas estão promovendo transmissões ao vivo de shows e suas redes sociais ou canais oficiais. As lives ficaram tão populares que alguns criminosos começaram a se aproveitar da situação para tentar arrecadar dinheiro de fãs. Segundo o G1, desde a primeira live do cantor Gusttavo Lima, realizada em 28 de março, começaram a surgir lives fakes em canais do YouTube que reproduzem o sinal ao vivo da live oficial. Os canais fakes inicialmente apenas roubavam audiência dos artistas, mas depois começaram a divulgar dados falsos para receber doações que supostamente seriam destinadas a famílias afetadas pela pandemia. O G1 procurou os artistas, as gravadoras e o YouTube para entender se havia alguma forma de coibir a ação dos criminosos e, segundo eles, as lives piratas já começaram a desaparecer. O YouTube disse que reivindicações relacionadas a direitos autorais cabem aos proprietários do material e o YouTube oferece diversas ferramentas para tentar coibir esse tipo de ação. Segundo relato do YouTube ao G1, há um trabalho em conjunto com artistas e gravadoras para explicar o uso desses recursos e dar agilidade a denúncias relacionadas a retransmissões não autorizadas.

O Departamento de Justiça (DOJ) do Estados Unidos anunciou a interrupção de centenas de golpes relacionados ao novo coronavírus (COVID-19) que ocorriam on-line. Segundo comunicado, centenas de domínios foram interrompidos por esforços cooperativos entre os setores público e privado. O Internet Crime Complaint Center (IC3) do FBI recebeu e analisou mais de 3,6 mil reclamações relacionadas a golpes de COVID-19, muitas das quais eram operadas a partir de sites que anunciavam vacinas e curas falsas. Esse sites operavam como unidades de caridade fraudulentas, disseminando malwares ou hospedando outros tipos de fraudes. Segundo o DOJ, eles costumavam utilizar nomes de domínio que continham palavras como "covid19" ou "coronavírus" e, em alguns casos, eram supostamente administrados ou afiliados a organizações ou agências de saúde pública. Entre os sites interrompidos está um que solicitava e supostamente coletava doações à Cruz Vermelha Americana para os esforços de socorro da COVID-19. Alguns sites fraudulentos também falsificaram programas e organizações governamentais para induzir os cidadãos americanos a inserirem suas informações pessoais, incluindo dados bancários. Sites de empresas e serviços legítimos também foram usados para facilitar a distribuição ou controle de malwares. O Departamento de Justiça também está trabalhando para fornecer treinamento e assistência técnica relacionados à pandemia em outros países por meio do programa International Computer Hacking and Intellectual Property (ICHIP). Inclusive, em uma ação apoiada pelo DOJ, um promotor estadual no Brasil derrubou um site falso que fingia pertencer a uma importante cervejaria brasileira. "O departamento continuará a colaborar com nossos parceiros da aplicação da lei e do setor privado para combater crimes relacionados à COVID-19 on-line", disse o procurador-geral assistente Brian A. Benczkowski, da Divisão Criminal do Departamento de Justiça. "Elogiamos empresas responsáveis estão adotando medidas rápidas para impedir que seus recursos sejam usados para explorar essa pandemia".

Pesquisadores da ZecOps anunciaram que clientes foram alvo de dois exploits 0-day para iOS no ano passado. Segundo relatório da empresa, as vulnerabilidades encontradas em iPhones permitem execução remota de código e um invasor pode infectar remotamente um dispositivo enviando e-mails que consomem uma quantidade significativa de memória. O escopo do ataque consiste em enviar um e-mail especialmente criado (ou seja, falso) para a caixa de correio da vítima, permitindo que ela ative a vulnerabilidade por meio do aplicativo Mail (nativo) no iOS 12 ou no iOS 13. A vulnerabilidade não requer necessariamente um e-mail grande para consumir RAM. Segundo a ZecOps, a vulnerabilidade de estouro na heap também está sendo explorada. Além disso, a falha pode ser acionada antes do download de todo o e-mail, portanto, o conteúdo não permanece necessariamente no dispositivo. Os ataques no iOS 13 são não assistidos (ou seja, requerem zero cliques) quando o aplicativo Mail é aberto em segundo plano. Já no iOS 12, o ataque requer um clique no e-mail e será acionado antes da renderização do conteúdo, fazendo com que o usuário não note nada de anormal no próprio e-mail. Ataques não assistidos no iOS 12 podem ser acionados se o invasor controlar o servidor de e-mail. A ZecOps diz ainda que as vulnerabilidades existem pelo menos desde o iOS 6. Segundo a ZecOps, os alvos desse ataque foram indivíduos de uma organização da Fortune 500 na América do Norte; um executivo de uma transportadora no Japão; um VIP da Alemanha; MSSPs da Arábia Saudita e Israel; um jornalista na Europa; e há ainda um possível ataque a um executivo de uma empresa suíça. A empresa informa ainda que todas as versões testadas do iOS são vulneráveis, incluindo o iOS 13.4.1. "Com base em nossos dados, esses erros foram verificados no iOS 11.2.2 e, potencialmente, em versões anteriores. Os sistemas iOS 6 para cima também são vulneráveis. As versões anteriores ao iOS 6 podem estar vulneráveis, mas não foram verificadas", disse a ZecOps. A Apple corrigiu as vulnerabilidades no iOS 13.4.5 beta.

No último sábado, 18 de abril, aconteceu a primeira conferência realizada pelo Mente Binária, totalmente on-line. A MBConf@home reuniu uma média de 471 espectadores durante 5 horas de palestras de especialistas em segurança da informação. O principal objetivo da MBConf@home foi levar ao público um conteúdo sobre segurança da informação diante do fato de que vários eventos da área tiveram de ser cancelados por conta da pandemia do novo coronavírus (COVID-29). Não podíamos, diante desta situação, ficar parados, deixando o primeiro semestre do ano sem conferências de segurança no Brasil. Logo na abertura do evento, Fernando Mercês lembrou de grandes eventos que foram realizados durante esse período através de transmissões ao vivo nas redes sociais. "Tem uma galera investindo em fazer lives, eventos on-line, e é um momento de aprendizado e estudo". Ele explicou ainda sobre o projeto Mente Binária, que nasceu em 2007 a partir de uma vontade de compartilhar, como blog pessoal do Mercês, as situações do dia a dia da área de segurança. "Passando por diversas transformações, nos tornamos uma instituição sem fins lucrativos que busca ajudar quem está entrando na carreira de segurança da informação uma base sólida para que não caia num buraco de estudos sem base. O mercado tem um gap claro na área de segurança e o ensino brasileiro não é o suficiente para que as pessoas tenham essa base sólida. A gente tenta suprir esse gap", disse. "No final queremos cumprir essa missão de trabalhar no conhecimento de base dos futuros profissionais de segurança, e os atuais também, através desses projetos". E uma das formas de compartilhar esse conhecimento foi justamente a realização da MBConf@home. O evento continua disponível no canal Papo Binário e vale muito a pena ver, rever e estudar o conteúdo compartilhado por esses profissionais. A gente fez uma cobertura e traz aqui alguns highlights do que foi compartilhado durante a conferência. Análise de uma botnet P2P transiente O primeiro palestrante do dia foi Renato Marinho, Chief Research Officer da MorphusLabs e Incident Handler na SANS Internet Storm Center. Renato fez uma apresentação sobre a análise de uma Botnet P2P, explicando desde o comprometimento de um honeypot até enumeração dos nós da rede. "Diferente de uma Botnet concentrada, a P2P distribui o comando dentro da rede, e isso dificulta ações de takedown, que derrubam a Botnet", explicou. Ele explicou como fez análise do honeypot através do Raspberry Pi 3. "Comecei a ver muitas tentativas de login, e algumas pessoas deram comandos. As primeiras tentativas que eu vi não eram maliciosas, curiosamente, parece que faziam alguma análise da máquina e saiam. Mas não demorou muito para ter um arquivo malicioso". Ele explicou ainda sobre a execução do malware, e como bloqueou as saídas de execução para não infectar ninguém e nem participar de ações maliciosa, pois queria apenas estudar. "Fiquei curioso para saber o que estava sendo trafegado pela Botnet, e aí entra a análise do C&C. Usei a estratégia man-in-the-middle. Dentro da Botnet tinha um controle de segurança para que somente os nós infectados conseguissem acesso à rede, evitando que pesquisadores entendessem o que ocorria na rede". Dentro de seus estudos ele viu que o Brasil aparece em sétimo lugar, com aproximadamente mil nós infectados. Além disso, o Raspberry aparece como maior parte de dispositivos infectados, mas há outros também. Ele usou ainda a geolocalização para tentar identificar a origem dos nós, que o levou à Ucrânia. "Foi uma curiosidade, pois não é possível ter esse nível de precisão". A pesquisa demorou um mês e meio para ser realizada, entre ter a ideia de examinar a Botnet até os resultados finais. Introdução ao Hardware Hacking Sergio Prado, criador do embarcados.com.br e fundador da Embedded Labworks, fez uma apresentação sobre hardware hacking e segurança de dispositivos eletrônicos. Na palestra, foram abordadas diversas técnicas de engenharia reversa em hardware, incluindo extração e análise de firmware, side-channel attacks, glitch attacks, entre outros. Sérgio disse que apesar de não ser um profissional da área de segurança, acabou atuando diretamente na área. "Como faço design de produtos eletrônico, conheço o que pode dar errado. O foco dessa palestra é falar um pouco sobre técnicas e ferramentas para explorar vulnerabilidade em hardware", disse. Ele tem mais de 20 anos de experiência em desenvolvimento de software para sistemas embarcados e atua com consultoria, treinamento e desenvolvimento de software para sistemas embarcados. "Qual processo seguir para explorar a vulnerabilidade em hardware? As técnicas são parecidas com a exploração em software, o que muda são as ferramentas. Primeiro temos que identificar o objetivo, o que você quer fazer. Depois, identificar os vetores de ataque, e depois as vulnerabilidades. O último passo é explorar a vulnerabilidade", explicou. O foco da palestra foi na exploração da vulnerabilidade no hardware em si, e não no que ele expõe em interface externa. "Entender e focar o objetivo é importante", disse Sergio. Definido isso, ele indica coletar informações sobre o dispositivo na Internet e depois, em suas palavras, "abrir o dispositivo e perder a garantia!. Cuidado que alguns dispositivos devem ter mecanismo anti-tampering responsável por apagar a memória flash do dispositivo se ele for aberto. Às vezes é bom ter dois dispositivos, pois o primeiro dificilmente vai voltar a funcionar", aconselhou. Ele mostrou ainda quais são as ferramentas necessárias para a etapa de coletar informações do hardware e como analisar vetores de ataque. Debugging tricks O engenheiro reverso Thiago Queiroz, programador há mais de 20 anos em diversas linguagens, mostrou na sequência o processo de debugging utilizando a ferramenta x64dbg com o objetivo de mostrar vários truques interessantes para uma análise, dentre eles a utilização de gráficos, breakpoints condicionais, tracing e até mesmo como encontrar o ponto mágico em programas escritos em Visual Basic 6. "Fiz uns dois programas para a gente testar alguns cenários. Criei um ransomware que conversa com uma central comando de controle e vamos usar as técnicas das dicas que vou passar para analisar o malware". Ele fez todo o processo ao vivo, durante a apresentação. Durante a apresentação, Thiago também comprovou o quão importante é o entendimento da base de computação, pois ela se aplica em todos os cenários, independente da linguagem, versão, sistema operacional ou ferramenta utilizada. Bluetooth shell Noilson Caio, pesquisador de segurança com foco em redes sem fio, apresentou um projeto de segurança ofensiva utilizando um chip bluetooth. Através desse chip, ele conseguiu ter shell em dispositivos que possuem porta serial, permitindo uma conexão persistente com proximidade física. "Tenho a filosofia da segurança da informação como um hobbie". O especialista em defesa cibernética da Neoway tem experiência desde 2003, atuando por seis anos com provedores de Internet, e hoje trabalha diretamente com segurança da informação. Ele citou ainda seu trabalho na Darkwaves, comunidade virtual que tem como objetivo debater assuntos referentes a segurança da informação em redes sem fio e que realiza conferências, palestras e uma vasta gama de atividades, atuando no RoadSec, JampaSec, H2HC, e outros eventos. Durante sua apresentação, Noilson analisou o chip, a interface serial, e o Wart – circuito integrado utilizado para comunicação serial. "Essa comunicação geralmente é utilizada para debugar e realizar testes. Ter acesso a esta porta é bastante importante para que você seja capaz de acompanhar um processo de boot, ter acesso a um terminal, a comunicação entre dispositivos em rede, etc. Poder ser um circuito integrado separado ou já vir implementado em um chip". Ele ainda explicou como fez os plugs por meio de um access point, que pode ser um roteador ou qualquer coisa que tenha interface serial, com cuidado de saber que cada pino está mapeado com a função correta. Debugging com WinDbg O programador de drivers Wanderley Caloni mostrou como usar o WinDbg, um debugger extremamente poderoso da Microsoft que pode ser utilizado para debugar aplicações tanto em nível de usuário quanto de kernel. "O WinDbg continua sendo linha de frente. Para fazer engenharia reversa você não vai ter o código fonte, então é muito mais rápido e prático rodar os comandos que você precisa, diretamente da linha de comando, de forma scriptável". Caloni começa explicando sobre como o WinDbg funciona por trás dos panos, seguido de como preparar o ambiente para debugar em nível de usuário e de kernel. A apresentação seguiu com uma overview sobre como você pode analisar seu código com a IDE Visual Studio, seguido de diversas dicas de comandos do WinDbg que podem ser úteis na hora de se fazer uma análise e sua vantagem em comparação às outras ferramentas. Engenharia Reversa em Android Maycon Vitali, Security Exorcist na PRIDE Security, e fundador do projeto Hack N' Roll, fez uma apresentação sobre engenharia reversa em aplicativos Android. Ele disponibiliza muito conteúdos em seu canal Hack N' Roll Academy, que tem o objetivo de oferecer temáticas técnicas de qualidade, falando da teoria e da prática. Em seu canal, ele começou a série Reversing Android Application, que apresentou no MBConf@home. "A primeira etapa é analisar os componentes de uma aplicação Android tem. São basicamente quatro: activities; services; content providers e broadcast receivers". Dentre as ferramentas utilizadas para engenharia reversa de aplicação estão adb, unzip, dex2jar, apktool, keytool, jarsigner; jd-gui, jadx, ByteCode Viewer e Frida. Maycon explicou como utilizar as ferramentas da melhor forma para se fazer uma análise. Um dos temas abordados foi como analisar aplicações utilizando o Smali. Além disso, Maycon mostrou também como instrumentar/automatizar sua análise utilizando o Frida para fazer hooking de funções, debugging customizado e tracing de código. Encerramento Ao final do evento, Anchises Moraes, grande apoiador do projeto há muitos anos, que faz parte da organização do Garoa HC e da BSides e atua como Cyber Prevenger no C6 Bank, parabenizou a organização e os palestrantes, dando alguns recados importantes para quem acompanha a área de segurança da informação. "Queria lembrar a todos de termos essas ações como comunidade, compartilhando conhecimento de qualidade, onde você agrega mais informações, ajuda na carreira, ajuda a todos a crescerem juntos. O Mente Binária, desde o começo, sempre teve esse foco", disse. Ele ressaltou o momento difícil que todos vivem com a pandemia. "Temos uma sorte grande de trabalhar na área de tecnologia, que tem uma vasta demanda por profissionais, e mesmo com a crise acontecendo, muitas empresas continuam contratando nessa área. E também temos a responsabilidade de fazer o que podemos para colaborar com todo mundo". Ele deu dicas ainda sobre manter o discernimento em relação a notícias sobre a crise e ajudar a conscientizar sobre os riscos das ameaças que existem, principalmente agora que grupos de cibercrimes estão aproveitando o momento para compartilhar phishing direcionados. "Nós, como profissionais de segurança, temos a capacidade de orientar as pessoas sobre segurança da informação e compartilhar isso em rede". E a MBConf@home v2 já tem data e hora marcada! Dia 2 de maio, às 10h, também através do canal do Mente Binária no YouTube. Marque na sua agenda!

O Google e a Apple estão trabalhando juntos para adicionar rastreamento de casos de novo coronavírus (COVID-19) em Android e iOS. A informação é do MIT Technology Review. Segundo a reportagem, a ideia é fazer o rastreamento de contatos, buscando quem tem a doença e quem está por perto dessa pessoa para limitar a propagação de um surto por meio do Bluetooth. O rastreamento funciona de maneira anônima. Caso o usuário opte pelo sistema, o aparelho identifica quando estiver perto de outras pessoas diagnosticadas com COVID-19, desde que elas também usem o mesmo sistema. Não será divulgada, contudo, a identidade das pessoas. Segundo o MIT, os primeiros lançamentos devem ocorrer em meados de maio, mas as informações até agora sugerem que o sistema Apple-Google é inteligente e escalável. Há ainda uma preocupação com privacidade e confiança. "As pessoas farão o download dos aplicativos criados por meio da colaboração da Apple e do Google com agências de saúde pública? As pessoas confiarão que os aplicativos são precisos? Elas vão acreditar que seus dados serão protegidos? Elas vão ficar preocupadas que esse sistema de vigilância – afinal, o rastreamento de contatos é uma forma de vigilância – volte para assombrá-las?", questiona a reportagem. Google e Apple afirmaram à reportagem que estão ajudando agências governamentais de saúde pública na América do Norte, Europa e Ásia a criarem seus próprios aplicativos que utilizam a mesma tecnologia. "Esses governos terão suas próprias regras, mas o aplicativo exigirá o consentimento explícito do usuário para iniciar o rastreamento, e o usuário sempre poderá desativá-lo". Ainda segundo o MIT, a preocupação com vigilância é constante. Na China, os cidadãos usam um aplicativo que determina se eles ficam em quarentena ou deixarão circular livremente, e os dados da população são compartilhados com a polícia. Na Coréia do Sul, um sistema de vigilância pandêmica permitiu ao governo acessar a localização de smartphones, históricos de cartões de crédito, registros de imigração e imagens de câmeras de segurança de todo o país. Além disso, Taiwan construiu "cercas eletrônicas” que rastreiam a localização das pessoas para garantir que elas permaneçam isoladas durante a quarentena.

Duas falhas de segurança rastreadas como CVE-2019-14040 e CVE-2019-14041 foram identificadas e afetam dispositivos Android com chipsets da Qualcomm. Segundo o ZDNet, as falhas podem ser exploradas para fornecer aos aplicativos maliciosos recursos de raiz completos. A primeira vulnerabilidade é um problema proveniente de uma função de atualização de buffer. Já a segunda é uma falha de uso após liberação no mapeamento de memória do kernel. Os problemas foram relatados pela equipe de pesquisa do zLabs da Zimperium. Os problemas de segurança foram informados em julho de 2019 à Qualcomm, que enviou patches para os fornecedores de Android. O Zimperium também lançou o código de prova de conceito ao GitHub (aqui e aqui).

O Comitê Gestor da Internet (CGI) no Brasil, responsável por estabelecer diretrizes relacionadas ao uso da Internet no Brasil, criou uma página específica dentro do portal Internet Segura para dar dicas sobre como reforçar a segurança no período da pandemia do novo coronavírus (COVID-19). "Infelizmente, em momentos de incerteza e de busca por informações como os que estamos vivendo com a pandemia do coronavírus, algumas pessoas se aproveitam para aplicar golpes e espalhar notícias falsas. Por isso é importante que você adote na Internet a mesma postura preventiva que vem adotando para se proteger do coronavírus", diz a página. Como já noticiamos algumas vezes por aqui, muitos golpistas utilizam a situação para tentar obter dinheiro ou dados pessoais de vítimas. Por isso, o CGI alerta para o cuidado com mensagens solicitando doações para as vítimas da doença, pois pode se tratar de golpe. "Antes de doar, procure obter mais informações consultando os sites oficiais de campanhas". Também é importante ficar atento a mensagens que tentem induzir o fornecimento de informações pessoais e dados bancários. Além disso, cuidado ao instalar aplicativos que teoricamente contém informações sobre a pandemia, verificando a origem do app e sempre fazendo download em lojas oficiais do sistema operacional do seu aparelho. "Ao instalar aplicativos, evite fornecer dados e permissões quando não forem realmente necessários", diz o CGI. Já sabemos também que senhas não são suficientes para garantir a segurança de suas contas, então ative a verificação em duas etapas e use conexões seguras para acesso a sites web, e VPN para acesso remoto à empresa que você trabalha. O CGI indica ainda fazer o backups de arquivos para evitar perdas em caso de ataques de malware; manter os equipamentos atualizados com a última versão e mecanismos de segurança; e uma dica importante: verifique as notícias sobre o novo coronavírus que você recebe para evitar a divulgação de fake news. "Ao receber notícias, seja cuidadoso ao compartilhar, verifique a fonte da informação e, em caso de dúvidas, não compartilhe e ajude a tornar a Internet um ambiente mais saudável, seguro e confiável".

A versão Android do aplicativo Spod VPN foi lançada na semana passada. O app está disponível na Google Play, compatível com o sistema Android 7.0 Nougat para frente. Com o objetivo de bloquear rastreadores e ameaças, o que inclui tentativas de ataque de malware em geral e qualquer tipo de programa que te monitore no sentido de vigilância, o Spod combina uma VPN a um filtro web. O aplicativo Spod VPN já estava disponível para iOS. Na versão Android, as funcionalidades são as mesmas, com escolha entre servidores no Brasil (SP) ou nos EUA (Oregon); opção de manter VPN sempre ativa; contém a aba de 'Alertas', que mostra todo o trabalho do filtro web e ainda permite modificar seu comportamento, desbloqueando hostnames que foram bloqueados; e é possível configurar hostnames para serem bloqueados ou desbloqueados especificamente no dispositivo. Lançado em 2019, o aplicativo Spod VPN calcula uma média de 30 a 40 bloqueios de rastreadores num dia não muito intenso de uso de celular. Praticamente todos os sites que você acessa podem monitorar seu histórico de navegação. Quer entender melhor como são feitos os rastreamentos e para que serve o bloqueador de rastreadores? Rafael Cimatti, co-fundador da Spod, explicou tudo pra gente em uma entrevista de setembro do ano passado. Dá uma olhada!

A polícia holandesa divulgou que derrubou 15 ataques de negação de serviço (DDoS) de aluguel no período de uma semana. Segundo o ZDNet, foi umas de suas ações mais bem-sucedidas contra os provedores de serviços DDoS on-line. Os ataques de aluguel funcionavam com site inicializadores que DDoS que permitiam que atacantes se inscrevessem e iniciassem ataques de DDoS contra sites e outras infraestruturas da Internet. As autoridades holandesas disseram que as receberam apoio de empresas de hospedagem, registradores de domínios, da Europol, da Interpol e do FBI. Além de derrubar os 15 ataques DDoS, a polícia holandesa também prendeu um suspeito de lançar ataques DDoS contra dois sites do governo holandês em março deste ano. Em outubro do ano passado, as autoridades da Holanda já haviam derrubado uma empresa de hospedagem que fornecia serviços de hospedagem e infraestrutura de back-end para dezenas de botnets DDoS e serviços de booster. A polícia holandesa também participou de uma repressão internacional contra booters de DDoS em dezembro de 2018.

Uma equipe de cientistas da computação da França e dos Estados Unidos estabeleceu um novo recorde ao fatorar o maior número inteiro na criptografia RSA-250. No total, foram necessários 2.700 anos de execução de núcleos de computadores para realizar o cálculo, realizado em dezenas de milhares de máquinas em todo o mundo ao longo de alguns meses. Segundo o Phys.org, a chave quebrada neste cálculo de registro é menor do que as chaves que normalmente seriam usadas, na prática, por aplicativos criptográficos modernos. A criptografia RSA é uma das mais usadas no mundo, e o tamanho da chave é um dos segredos da sua força. Não é recomendável o uso de uma chave tão pequena, que neste caso em questão foi de 829 bits. O NIST recomenda utilizar chaves de 2048 bits, ou mesmo 3072 bits se for necessário manter o sigilo dos dados em questão até 2030. Os pesquisadores utilizam esses cálculos para escolher as principais recomendações de força que permanecerão seguras no futuro próximo. Para isso, é necessário obter registros computacionais regularmente, visando a atualização dos parâmetros de segurança criptográficos e recomendações dos tamanhos de chave.

A Microsoft informou que o malware Emotet conseguiu derrubar toda a rede de uma empresa ao maximizar as CPUs nos dispositivos Windows e reduzir a conexão da Internet. O ataque ocorreu após um funcionário ter sido induzido a abrir um anexo de e-mail de phishing. O Microsoft Detection and Response Team (DART) informou que o vírus polimórfico se propaga por compartilhamentos de rede e protocolos herdados. Após abertura do e-mail infectado, os principais serviços da organização foram encerrados, e o malware evitou a detecção por soluções antivírus por meio de atualizações regulares vindas de uma infraestrutura de comando e controle (C2) do invasor. "[O vírus] se espalhou pelos sistemas da empresa, causando interrupções na rede e desligando os serviços essenciais por quase uma semana", informou a Microsoft. O DART emitiu ainda um relatório com os detalhes do ataque e como foi a resposta a ele.

Em meio à crise de coronavírus (COVID-19), muitos profissionais estão perdendo seus empregos, e na área de TI isso não é diferente. Para ajudar esses profissionais a se recolocarem no mercado de trabalho, algumas iniciativas foram criadas. O profissional de segurança Magno Logan lançou o MeGuiaAi Mentoria, programa totalmente gratuito com um treinamento on-line, exclusivo e personalizado sobre como se aplicar para vagas de TI (Dev, DevOps, SRE, SI) dentro e fora do Brasil. "O MeGuiaAi Mentoria é uma forma que encontrei de ajudar aqueles profissionais de TI que foram afetados direta ou indiretamente pela COVID-19, com um conteúdo detalhado e orientações práticas de acordo com a sua experiência e o seu cargo dos sonhos", diz Logan. O programa inclui dicas de inglês; revisão do CV; melhoria do LinkedIn; entrevista simulada; e trabalho remoto. O número de vagas limitadas, e para participar, basta preencher este questionário. Já a agência Listra criou a plataforma JobViral com o objetivo de conectar pessoas que perderam seus empregos aos empreendedores que ainda estão contratando ou vão voltar a contratar em breve. A plataforma inclui vagas em diversos setores. "Sabemos que estamos vivendo tempos difíceis com a pandemia da COVID-19. Com o isolamento social, muitos profissionais competentes e dedicados estão perdendo seus empregos e gostaríamos de ajudar de alguma forma", diz o site. Confira!

Os ataques de phishing contra dispositivos móveis mais que dobraram em março no Brasil. Segundo o ZDNet, o aumento é decorrência do início da pandemia de coronavírus no país. Os dados são de um novo estudo da empresa de segurança Kaspersky. Durante os meses de fevereiro e março, a empresa de cibersegurança detectou um aumento de 124% nesse tipo de golpe. O crescimento está diretamente relacionado ao aumento de mensagens maliciosas enviadas pelo WhatsApp aproveitando o aumento da disseminação da COVID-19 no país. Para atingir as vítimas, os cibercriminosos enviam mensagens destinadas a roubar os dados pessoais, ou acabam induzindo as vítimas a baixarem aplicativos legítimos para que os invasores possam ser pagos por programas de afiliação. A adoção de trabalho remoto nas últimas semanas também aumentou a ação dos cibercriminosos, o que pode colocar em risco toda a infraestrutura de uma empresa se o dispositivo da vítima estiver conectado à rede corporativa. ?

A Polícia Federal emitiu alerta esta semana sobre o risco no uso de dispositivos de segurança domiciliar, como câmeras de segurança e até babás eletrônicas. Segundo o comunicado, há um grande número de invasões a estes dispositivos, realizadas por criminosos. O alerta sugere que os usuários verifiquem o modelo da câmera junto ao fabricante e sempre fique atento a atualizações de software que corrijam problemas de segurança. Também é indicado verificar se a câmera possui algum acesso externo. "É comum usuários domésticos configurarem câmeras para serem vistas fora de casa. Este tipo de configuração, se não tiver os devidos cuidados, pode expor a câmera para invasores", ressalta a PF. Também é possível se certificar sobre as credenciais de acesso da câmera, troca de senha e se existem outros usuários configurados. "Muitas câmeras possuem usuários de manutenção que podem ser acessados por invasores sem o conhecimento do usuário. Por fim, na dúvida, sugere-se desligar a câmera até que seja possível configurar de forma segura", complementa a comunicado.

A estudante brasileira de engenharia de software Clarissa Lima Borges venceu o Free Software Awards 2019, prêmio oferecido pela Free Software Foundation (FSF) a desenvolvedores e membros da comunidade que fizeram significativas contribuições para a liberdade de software. A cerimônia, que geralmente ocorre durante a conferência LibrePlanet, foi realizada virtualmente este ano, por conta da crise do novo coronavírus (COVID-19). Clarissa recebeu o prêmio de Melhor Colaborador de Software Livre pelo seu trabalho realizado no Outreachy, um programa de estágios remunerados com duração de três meses para desenvolvimento de projetos de software livre de código aberto. Ela se concentrou em testes de usabilidade para várias aplicações do GNOME. A FSF também premiou a categoria Projetos de Benefício Social, que homenageia um projeto ou equipe responsável pela aplicação de software livre para beneficiar intencional e significativamente a sociedade. O homenageado deste ano foi a Let's Encrypt, uma autoridade de certificação sem fins lucrativos que espera tornar o tráfego da web criptografado como algo padrão de toda a Internet. Quem recebeu o prêmio foi o engenheiro de confiabilidade do site, Phil Porada, em nome da equipe Let's Encrypt. O vencedor do prêmio pelo Avanço do Software Livre, concedido a um indivíduo que deu uma grande contribuição ao progresso e desenvolvimento do software livre por meio de atividades que concordam com esse espírito, foi Jim Meyering, um programador, mantenedor e escritor de software livre. Veja mais detalhes sobre os vencedores do Free Software Awards 2019!

Os golpes relacionadas à epidemia do novo coronavírus (COVID-19) já totalizaram em perdas de US$ 4,7 milhões, segundo informações da Federal Trade Comission dos Estados Unidos. A FTC destaca que houve um aumento nas reclamações relacionadas a esses golpes, que variam de reembolso de viagens a golpes de mensagens de texto para dispositivos móveis, com golpistas que se apresentam como governo. No total, foram feitas mais de 7,8 mil reclamações sobre esses esquemas para a FTC.

A rede de hotéis Marriott informou nesta terça-feira, 31 de março, sobre um incidente que ocasionou o vazamento de dados de seus clientes. Segundo o comunicado, os hotéis operados e franqueados pela marca usam um aplicativo para ajudar a fornecer serviços aos hóspedes dos hotéis, e no final de fevereiro de 2020, uma quantidade inesperada de informações de hóspedes pode ter sido acessada por meio de credenciais de login de dois funcionários em uma propriedade de franquia. "Acreditamos que essa atividade tenha começado em meados de janeiro de 2020. Após a descoberta, confirmamos que as credenciais de login foram desativadas, iniciamos imediatamente uma investigação, implementamos monitoramento aprimorado e organizamos recursos para informar e ajudar os hóspedes", informou a rede. As seguintes informações podem ter sido comprometidas: detalhes do contato, como nome, endereço para correspondência, endereço de e-mail e número de telefone; informações da conta do programa de fidelidade (número da conta e saldo de pontos, exceto senhas); detalhes pessoais adicionais como nome da empresa, gênero, dia e mês do aniversário; parcerias e afiliações a programas de fidelidade de companhias aéreas vinculadas; e preferências (por exemplo, preferências de estadia, de quarto ou preferência de idioma. Segundo o comunicado, atualmente não há indícios de que as informações envolvidas incluam senhas ou PINs da conta do programa de fidelidade da empresa, o Marriott Bonvoy, ou informações de cartão de crédito, passaporte, identidades ou números de carteira de motorista. A Marriott também enviou nesta data e-mails aos hóspedes envolvidos informando sobre o incidente. Mais informações podem ser acessadas pelo site da rede.

Um ataque que utiliza links que supostamente levam a sites de notícias foi descoberto pela Trend Micro. A campanha, que afeta usuários de iOS em Hong Kong, utiliza um iframe oculto para carregar e executar um código malicioso contendo explorações que miram vulnerabilidades presentes no iOS 12.1 e 12.2. Os usuários que clicam nos links correm risco de fazer o download de uma nova variante de malware do iOS chamada lightSpy. A variante de malware é um backdoor modular que permite a execução remota do comando do shell, acessando, assim, arquivos do dispositivo afetado. Com isso, um atacante pode espionar o dispositivo de um usuário e assumir o controle total dele. O malware contém módulos diferentes para a exfiltração de dados do dispositivo infectado, incluindo o histórico de Wi-Fi conectado; contatos; localização GPS; informações sobre hardware; iOS keychain; histórico de chamadas telefônicas; histórico do navegador Safari e Chrome; e mensagens SMS. As informações sobre o ambiente de rede do usuário também podem ser extraídas do dispositivo, incluindo a rede WiFi disponível e os endereços IP da rede local. Os aplicativos Telegram, QQ e WeChat também são direcionados especificamente para a exfiltração de dados.