Bruna Chieco

A Finlândia é o primeiro país europeu a certificar dispositivos seguros. A Agência Finlandesa de Transporte e Comunicações – Traficom lançou um selo de segurança cibernética que tem como objetivo garantir aos consumidores que os dispositivos rotulados possuem recursos básicos de segurança da informação. O rótulo Cybersecurity pode ser concedido a dispositivos inteligentes em rede. Para isso, eles precisam atender a determinados critérios de certificação. A iniciativa é resultado de uma pesquisa feita pela agência com consumidores em relação à compra e uso de dispositivos inteligentes. Uma das principais conclusões da pesquisa foi que todas os finlandeses estão preocupadas com a segurança da informação em dispositivos inteligentes e consideram muito importante que haja informações fáceis de entender sobre a segurança desses aparelhos. O desenvolvimento do rótulo Cybersecurity começou no final de 2018, em um projeto piloto liderado pelo NCSC-FI em colaboração com outras empresas, que já receberam os primeiros rótulos de segurança cibernética. A Cozify Hub recebeu o selo por residências inteligentes; a DNA Plc pelo sistema de aquecimento inteligente Wattinen, e a Polar Electro Oy pelo seu smartwatch fitness. ✅

Uma pesquisa da empresa de segurança RiskIQ identificou quase 1.000 aplicativos maliciosos usando termos relacionados a feriados e mais de 6 mil aplicativos usando nomes e slogans de varejistas populares para atrair vítimas. Além disso, 65 sites maliciosos usam de maneira fraudulenta a marca de varejistas populares para tentar enganar consumidores e levá-los fornecerem informações pessoais. Esses dados são um alerta, publicado pelo CNet, e que vale também para todos os brasileiros que também vão aproveitar a Black Friday. Esquemas de phishing, por exemplo, podem ser muitos comuns nessa data. Uma pesquisa da empresa de segurança cibernética McAfee relata que 41% dos americanos foram vítimas desses ataques em 2019, e normalmente as vítimas não verificam a autenticidade dos remetentes de e-mail ou sites de revendedores antes de fornecer suas informações pessoais. Foram relatadas perdas de mais de US$ 500 por 30% dos entrevistados. Nos Estados Unidos, Amazon, Best Buy, Walmart, Target e outros grandes varejistas são os principais focos dos falsos e-mails. Criminosos utilizam essas marcas para solicitar atualização do método de pagamento ou outras informações pessoais. O ideal é sempre entrar em contato com o suporte técnico da empresa para verificar que o e-mail seja legítimo. Skimmers de cartão de crédito também são ataques comuns. Atacantes inserem códigos maliciosos diretamente no site de e-commerce para roubar informações de pagamento online. Por isso, é importante não salvar as informações do cartão de crédito nesses sites e sempre que possível, utilizar um método de pagamento de terceiros, como Apple Pay, Google Wallet ou PayPal. Esses são alguns dos golpes relatados pelo site. Portanto, se você for aproveitar as promoções nesta sexta-feira, se proteja desses golpes e faça boas compras! ?️

Duas empresas de música nos Estados Unidos tiveram suas contas em nuvem invadidas por um homem, que acabou roubando músicas inéditas e as publicou em fóruns na Internet. O suspeito, segundo o ZDNet, é Christian Erazo, de Austin, Texas. As autoridades americanas afirmam que Erazo trabalhou com três outros co-conspiradores em uma série de ciberataques que ocorreram entre o final de 2016 e abril de 2017. Os atacantes usaram credenciais de funcionários para acessar as contas de armazenamento em nuvem das empresas, de onde baixaram mais de 100 músicas não lançadas. A maioria dos dados veio de uma gravadora musical de Nova York. Aparentemente, 50 GBs de música foram roubados. Erazo foi acusado dos crimes em um tribunal de Nova York. As acusações incluem conspiração para cometer fraude eletrônica, que acarreta uma sentença máxima de 20 anos; conspiração para cometer invasão de computador, que acarreta uma sentença máxima de cinco anos; e roubo de identidade, que acarreta um prazo mínimo obrigatório de prisão de dois anos.

Uma pesquisa divulgada pela Risk Based Security e divulgada pelo site DarkReading informou que as organizações que dependem apenas dos sistemas Common Vulnerabilities and Exposures (CVE) e National Vulnerability Database (NVD) provavelmente perdem 33% de todas as vulnerabilidades divulgadas, em média. De acordo com a publicação, esses sistemas incluem apenas vulnerabilidades que fornecedores e pesquisadores de segurança reportam diretamente a eles. Até agora, foram identificadas 5.970 vulnerabilidades a mais do que as relatadas no CVE e no NVD. As falhas não listadas incluem produtos de grandes fornecedores, como Oracle, Microsoft e Google. Pesquisadores podem divulgar vulnerabilidades de diferentes maneiras e lugares, como blogs próprios, ou no GitHub, que atualmente possui mais de 100 milhões de repositórios. BitBucket, SourceForge, GitLab e outros sites também divulgam vulnerabilidades.

Um ataque de ransomware a uma empresa de TI em Wisconsin afetou mais de 100 casas de repouso nos Estados Unidos. De acordo com o KrebsOnSecurity, a empresa atacada, Virtual Care Provider Inc. (VCPI), oferece consultoria em TI, acesso à Internet, hospedagem de dados e serviços de segurança a essas casas, e o ataque impede que esses centros de atendimento acessem registros médicos cruciais dos pacientes. ? No total, a VCPI é responsável por manter aproximadamente 80 mil computadores e servidores que auxiliam as instalações médicas. O ataque ocorreu no dia 17 de novembro. A variação do ransomware utilizada para o crime foi a Ryuk. Todos os dados que a empresa hospeda para seus clientes foram criptografados, e o resgate solicitado foi de US$ 14 milhões para desbloquear os arquivos. As instalações de atendimento que a VCPI atende acessam seus registros e outros sistemas terceirizados por meio de uma plataforma de rede virtual privada (VPN) baseada no sistema Citrix. Restaurar o acesso do cliente a essa funcionalidade é a principal prioridade da empresa no momento. A VCPI declarou, contudo, que não pode pagar o valor do resgate exigido e disse que alguns clientes correm o risco de ter que fechar as portas se a empresa não conseguir se recuperar do ataque. ?

Mais de 28 mil nomes de domínios .uk foram suspensos o último ano após denúncias de atividades criminosas. Segundo o ZDNet, a responsável por manter a infraestrutura de internet .uk segura, Nominet, pode suspender domínios após notificação da polícia ou de outras agências de que o domínio está sendo usado para atividades criminosas. A Nominet afirmou ter recebido os pedidos de cinco agências diferentes: a Unidade de Crime de Propriedade Intelectual da Polícia (PIPCU), que coordena os pedidos relacionados a violações de propriedade intelectual, o National Fraud Intelligence Bureau, a Trading Standards, a Autoridade de Conduta Financeira e a Agência Reguladora de Medicamentos e Produtos de Saúde. A iniciativa anti-phishing da Nominet suspendeu outros 2.668 domínios. Os nomes de domínio bloqueados incluem aqueles que usaram de maneira maliciosa os nomes de grandes bancos, autoridades fiscais e grandes empresas de tecnologia. ?

Contas do serviço de streaming Disney Plus foram roubadas e oferecidas para venda em fóruns clandestinos. De acordo com a Variety, a plataforma possui mais de 10 milhões de usuários cadastrados, mas a Disney informou que apenas uma pequena porcentagem foi atingida. Os nomes de usuário e senhas foram comprometidos, mas a Disney alega que seus sistemas não sofreram ataques. O serviço de streaming da Disney estreou em novembro nos Estados Unidos, no Canadá e na Holanda, indo posteriormente para Austrália, Nova Zelândia e Porto Rico. No Brasil, a assinatura só estará disponível em novembro de 2020. "Auditamos continuamente nossos sistemas de segurança e, quando encontramos uma tentativa de login suspeito, bloqueamos proativamente a conta de usuário associada e orientamos o usuário a selecionar uma nova senha", disse um representante da Disney em comunicado à Variety. Aparentemente, milhares de contas do Disney Plus estavam sendo oferecidas gratuitamente em fóruns por US$ 3 a US$ 11 por conta. Não está claro como as credenciais foram roubadas, mas os atacantes podem ter obtido acesso usando e-mails e senhas vazados em outros sites ou através de malware. A Variety disse ainda que quase 80 mil contas da Netflix, concorrente da Disney Plus, estão à venda em um único mercado, oferecidas por um pagamento médio de US$ 6 por conta. Uma suspeita é que essas ofertas ocorrem para que os cibercriminosos utilizem os detalhes de login dos usuários desses serviços para tentar atacar outros serviços, já que os usuários geralmente utilizam as mesmas senhas para vários sites. ?

Um ataque de ransomware à petroleira estatal mexicana Petroleos Mexicanos (Pemex) interrompeu os sistemas de cobrança da empresa. De acordo com a Bloomberg, a Pemex teve que recorrer ao faturamento manual de pagamento de funcionários e fornecedores após o ataque. No setor de refino, alguns funcionários não conseguiram acessar e-mails ou a Internet na semana passada, e os computadores estavam operando mais devagar. A Pemex disse em um post no Twitter que os terminais de armazenamento de combustível estavam operando regularmente e o fornecimento de gasolina estava garantido. Há indicações de que o malware implantado no Pemex pode ser o DoppelPaymer, de acordo com a empresa de segurança cibernética Crowdstrike Inc. Esse ransomware foi visto pela primeira vez em ataques ocorridos em junho e que são tipicamente executados contra “alvos de alto valor”, como uma organização de assistência médica, distrito escolar ou gráfica. Normalmente, os alvos são companhias que estão "em alta", se sentindo compelidas a pagar um resgate.

Os ciberataques direcionados a empresas da área da saúde aumentaram 60% este ano em relação a 2018, segundo dados da Malwarebytes publicados pelo site DarkReading. Os principais alvos dos atacantes são consultórios médicos e outras organizações de assistência médica, e os ataques mais utilizados são via Trojan, que aumentaram 82% entre o segundo e o terceiro trimestre deste ano. Os criminosos têm como alvo organizações que possuem programas flexíveis que comprometem os sistemas e permitem que os invasores os infectem com mais códigos maliciosos. O software da Malwarebytes detectou e bloqueou mais de 12 mil tentativas de instalação do software Trojan no terceiro trimestre. O ransomware é a segunda maior ameaça para o setor, sendo responsável por quase 2,5 mil tentativas de instalação durante o mesmo período. O Trickbot, um Trojan que visa comprometer contas bancárias e roubar credenciais, tem sido mais utilizado para os ataques. Segundo o DarkReading, ele se tornou a principal ameaça para as organizações de saúde. O Emotet, outro Trojan, também é usado contra essas empresas, e possui uma estrutura modular que pode ser personalizada para diferentes ataques. Durante a H2HC, uma palestra da pesquisadora de segurança da informação da área da saúde, Nina Alli, mostrou como esse setor ainda possui muitos riscos em termos de cibersegurança — e as dificuldades que o setor enfrenta para mitigar esses riscos. Leia!

O autor da Orcus RAT foi acusado esta semana de orquestrar um esquema internacional de ataques de malware usando essa ferramenta. Na segunda-feira, a Royal Canadian Mounted Police (RCMP) anunciou que havia acusado John "Armada" Revesz de operar um esquema internacional de distribuição de malware sob o nome de empresa "Orcus Technologies". Segundo o KrebsOnSecurity, "Armada" sustentou que o Orcus é uma "Ferramenta de Administração Remota" (Remote Administration Tool — RAT) legítima, destinada a ajudar os administradores de sistema a gerenciar remotamente seus computadores, mas esse software foi usado em diversos ataques como Trojan de acesso remoto. O próprio Brian Krebs, autor do KrebsOnSecurity, escreveu um artigo em 2016 citando fontes que observaram que "Armada" e sua equipe forneciam suporte técnico contínuo e ajuda aos clientes que compraram o Orcus, mas estavam tendo problemas para descobrir como infectar novas máquinas ou ocultar suas atividades online, o que denota colaboração com atividade criminosa Os relatórios de acompanhamento revelaram que a lista de recursos e plugins vão além de uma ferramenta de administração remota tradicional, como recursos de DDoS por locação e a capacidade de desativar o LED de webcams para não alertar o alvo que a RAT está ativa. Inclusive, ex-clientes do autor foram à fórums para reclamar sobre serem invadidos por investigadores que estão tentando rastrear indivíduos suspeitos de usar o Orcus para infectar computadores com malware.

Uma falha encontrada no aplicativo do Facebook faz com que as câmeras de usuários de iPhone liguem em segundo plano enquanto observam o feed. Os próprios usuários reportaram o bug via Twitter, segundo o CNet. A falha ocorre quando as pessoas abrem um vídeo em tela cheia no Facebook, e ao retorná-lo ao normal, o layout móvel do app é ligeiramente deslocado para a direita, sendo possível ver a câmera do telefone ativada em segundo plano. Veja alguns relatos: O vice-presidente de Integridade do Facebook, Guy Rosen, respondeu hoje mesmo a um dos usuários dizendo que o problema seria verificado. Logo depois, ele se pronunciou dizendo que o Facebook enviará uma correção para a App Store ainda nesta terça-feira. O bug parece afetar apenas as versões mais recentes do iOS, e não houve relatos nos dispositivos Android.

O Google anunciou na semana passada parceria com empresas de segurança móvel no que eles estão chamando de Aliança de Defesa de Aplicativos (App Defense Alliance, em inglês). Fazem parte da aliança Google, ESET, Lookout e Zimperium. Segundo comunicado da empresa, a ideia é trabalhar para barrar aplicativos maliciosos antes que eles atinjam os dispositivos dos usuários. Dados da ESET, revelados em setembro, mostraram que 172 aplicativos maliciosos estavam disponíveis na Google Play Store, e eles foram instalados mais de 335,9 milhões de vezes. No ano, foram 2,5 mil apps maliciosos identificados e quase 3,8 bilhões de instalações. ? Para evitar que o problema continue, o objetivo número da aliança será garantir a segurança da Google Play Store encontrando rapidamente aplicativos potencialmente perigosos e impedindo que eles sejam lançados na loja. Para isso, os sistemas de detecção do Google Play Protect serão integrados aos mecanismos de verificação de cada parceiro, o que o Google diz que gerará uma nova inteligência de risco de aplicativos que estiverem na fila para lançamento. Os parceiros de segurança do Google já trabalham com proteção de terminais e oferecem produtos específicos para proteger dispositivos do ecossistema móvel. É possível acompanhar, pelo site da App Defense Alliance, os trabalhos feitos para essa proteção.

A primeira campanha explorando em grande escala a grave falha no Windows, conhecida como BlueKeep (CVE-2019-0708) e que foi revelada pela Microsoft em maio, ocorreu - mas ficou aquém do pior cenário. Segundo a Wired, pesquisadores de segurança descobriram evidências de que os chamados honeypots - máquinas de isca projetadas para ajudar a detectar e analisar surtos de malware - estão sendo comprometidos em massa usando essa vulnerabilidade, que é uma falha no Remote Desktop Protocol da Microsoft que permite que um atacante obtenha a execução remota completa de código em máquinas sem patch. Aparentemente, até agora, o amplo ataque simplesmente instala um minerador de criptomoedas, sugando o poder de processamento da vítima para gerar criptomoeda. E, em vez de um worm, os invasores buscaram na Internet máquinas vulneráveis para explorar. Isso significa que os atacantes ainda não estão buscando alvos, e sim escaneando a Internet e pulverizando explorações. ? Ainda não se sabe qual moeda os invasores estão tentando extrair e também não está claro quantos dispositivos foram afetados, mas o atual surto do BlueKeep parece estar longe da pandemia que muitos temiam. Mas a ameaça ainda não passou. Em agosto, foi estimado que 735 mil computadores Windows permaneciam vulneráveis ao BlueKeep, e essas máquinas ainda podem ser atingidas com um malware mais sério que explora a vulnerabilidade RDP da Microsoft. ?

Por conta de uma provável fraqueza na política de segurança, usuários do Airbnb podem estar sujeitos a fraudes. Um artigo publicado pela colaboradora da Vice, Allie Conti, detalha como ela caiu em um golpe. Ela diz que no dia em que ia fazer o check-in em um apartamento reservado, recebeu uma ligação de uma pessoa dizendo que sua reserva não poderia ser atendida por conta de um problema no encanamento da unidade, localizada em Chicago. Sua suspeita começou quando ela percebeu que o código da área da ligação era de Los Angeles. A pessoa do outro lado da linha ofereceu uma nova hospedagem enquanto o problema no encanamento fosse resolvido, e ainda insistiu para que ela confirmasse rapidamente se queria alterar sua reserva. Ela concordou com a troca, mas solicitou uma confirmação por escrito, e ainda pediu direito de reembolso caso o problema não fosse resolvido. Ao chegar no novo endereço, Allie e seus amigos perceberam que o mesmo não existia. Após alguma tentativas, eles até encontraram o local, mas não era o que foi oferecido nas fotos. Em resumo, o problema no encanamento da reserva original não foi resolvido, e o grupo arcou com a hospedagem de um hotel na última hora, esperando o reembolso prometido pela reserva do Airbnb, o que não ocorreu. Ela conseguiu apenas que uma pequena parte fosse reembolsada, via reclamação na plataforma, após muitas trocas de mensagens. Ao decidir investigar o que ocorreu em Chicago, ela descobriu que o número que havia ligado para ela na ocasião não poderia ser rastreado e que reclamações de outros inquilinos sobre o mesmo tipo de experiência com os mesmos anfitriões foram feitas anteriormente. Ela percebeu que o golpe era grande e aparentemente uma mesma pessoa ou grupo criou inúmeras contas falsas para executar o mesmo esquema no Airbnb. O golpe, segundo Allie, abrange oito cidades e quase 100 propriedades listadas no Airbnb. Aparentemente, quem comete a fraude descobriu que é fácil explorar as regras da plataforma para aplicar os golpes, recebendo o dinheiro da reserva sem possuir o apartamento ofertado, ou não entregando o que consta nas fotos e descrição do imóvel ? O Airbnb demorou para responder a Allie e não desativou as contas falsas após as reclamações. A política de reembolso do Airbnb não diz que os hóspedes precisam de provas escritas para obter um reembolso total, mas observa que a empresa tem a palavra final em todas as disputas, facilitando a vida dos golpistas. Por exemplo, se um hóspede fica até uma noite em um aluguel, é difícil obter um reembolso total, de acordo com as regras da empresa. E se um host (anfitrião) solicitar a um hóspede que fique em uma propriedade diferente da que ele alugou, o Airbnb aconselha o hóspede a solicitar um cancelamento se "não concordar com a troca". Além disso, o Airbnb disse que os anfitriões têm o direito de responder às reclamações feitas, e a empresa ainda usa um sistema de classificação no qual o host e o inquilino podem fornecer feedbacks publicamente uns aos outros — e o que acontece é que os anfitriões podem criticar os inquilinos e não recomendá-los após denúncias como essas, abalando também a credibilidade dos inquilinos perante usuários da plataforma. ?‍♀️ Na publicação, em inglês, Allie dá detalhes de sua e outras experiência com o mesmo host.

Uma nova versão da botnet Gafgyt foi descoberta pela Palo Alto Networks. Segundo o Security Affairs, os pesquisadores da empresa de segurança encontraram a versão direcionada a roteadores sem fio domésticos e de pequenos escritórios, incluindo Zyxel e Huawei, além de dispositivos com chipset Realtek RTL81xx. Aparentemente, os atacantes estão utilizando a botnet para ataques de negação de serviço (DoS) contra servidores que executam a ferramenta Valve Source. Essa botnet é comumente utilizada para ataques DoS de grande escala desde 2014, e essa nova versão explora três vulnerabilidades conhecidas de execução remota de código que afetam os dispositivos-alvo. A variante do Gafgyt é concorrente da botnet JenX, que também usa explorações de execução remota de código para obter acesso a roteadores em e atacar servidores de jogos. Os pesquisadores da Palo Alto Networks apontaram que duas das três explorações incluídas na nova variante do Gafgyt também estavam presentes no JenX. São elas: CVE-2017-18368 - ZYXEL P660HN-T1A - novo em Gafgyt CVE-2017-17215 - Huawei HG532 - também usado por JenX CVE-2014-8361 - Chipset Realtek RTL81XX - também usado por JenX Todas as falhas são antigas, ou seja, os atacantes visam infectar dispositivos IoT não corrigidos. Isso nos lembra a palestra do Fermín Serna na H2HC, que apresentou sua linguagem para encontrar vulnerabilidades de código antes que este entre em produção. Leia! ?

A Everis, provedora de software espanhola que pertence ao grupo NTT Data, sofreu um ataque do ransomware BitPaymer nesta segunda-feira e teve seus sistemas criptografados. Segundo o site BleepingComputer, após o início do ataque, a companhia enviou um comunicado interno informando que estava sob um "ataque massivo de vírus em sua rede" e orientou os funcionários a manterem suas máquinas desligadas. As redes foram desconectadas dos clientes e entre os escritórios. O ransomware criptografou os arquivos dos sistemas da empresa usando a extensão .3v3r1s. Os atacantes enviaram nota à Everis informando sobre o ataque e solicitando 750 mil euros para desbloquear os arquivos, segundo o bitcoin.es. ? Além da Everis, a rede de estações de rádio espanhola Cadena SER também sofreu um ataque de ransomware hoje, dessa vez, com variação desconhecida. A rede divulgou nota oficial informando sobre o ataque. Todos os computadores foram desconectados, mas suas atividades continuam por meio de um auxiliar da sede em Madri. O INCIBE, Instituto Nacional de Ciberseguridad da Espanha, está ajudando a estação de rádio a restaurar seus dados criptografados e a colocar seus sistemas online novamente. Há uma suspeita de que os ataques exploram o BlueKeep (CVE- 2019-0708), vulnerabilidade descoberta na implementação do Remote Desktop Protocol da Microsoft, mas não há evidências para apoiar essa teoria, apesar de, supostamente, a Everis ter centenas de servidores diretamente expostos a conexões com a Internet.

Como estimular a comunidade de segurança da informação a ir além das pesquisas em segurança ofensiva e desenvolver também o lado defensivo? Foi o que perguntamos ao Stefano Zanero em entrevista concedida ao Mente Binária. Palestrante na H2HC este ano, Zanero é PhD e professor na Politecnico di Milano, na Itália. É também parte do comitê da Black Hat, uma das principais conferências da área, e destaca que hoje o principal problema da indústria é que os profissionais de segurança preferem ser conhecidos por seus ataques e investem pouco em construir técnicas de defesa em prol de solucionar problemas que a área revela. Leia a entrevista completa: Mente Binária — Em suas apresentações, você fala que participa de conferências da área de segurança já há um tempo e vê muitas palestras com pesquisadores mostrando o lado ofensivo, de como eles invadem, burlam sistemas, etc. Muita coisa acontece no lado de ataque. Mas seria muito bom se tivesse mais pesquisadores do lado defensivo. Por que você acredita que isso é tão importante? Stefano Zanero — De maneira geral, a maioria dos pesquisadores de segurança deveria estar objetivamente melhorando a segurança, e melhorar a segurança através de ataques é típico, já que a segurança defensiva é filha da ofensiva. Você nunca tem uma técnica defensiva que vem primeiro, ela vem da observação de técnicas ofensivas. Mas nós, por sermos interessados e por ser fascinante, ficamos cavando as técnicas ofensivas, que são complexas, elaboradas e quase mágicas, às vezes. Técnicas defensivas não funcionam no mesmo ritmo e temos vários problemas. O lado ofensivo não é interessante de ser mais explorado, são problemas velhos, mas que não estão resolvidos, evidentemente. Tomemos por exemplo, o problema básico da autenticação. Nós estudamos isso na Universidade e parece um problema resolvido. Temos a teoria e a prática, as ferramentas, mas ainda, a maioria dos ataques atuais se baseia no comprometimento da autenticação, então, evidentemente, não resolvemos isso corretamente. Nós temos o conhecimento e essas coisas parecem velhas, mas temos muito espaço para fazer isso como pesquisadores, como empresas, startups... Pense na Duo Security. Eles não fizeram nada extraordinário, mas trouxeram para a perfeição um subconjunto específico do problema da autenticação, e criaram uma empresa muito grande e bem-sucedida que foi comprada depois disso. Então, pesquisar no lado defensivo, mesmo que os problemas pareçam velhos, eles estão lá e ainda precisamos descobrir um jeito de se livrar de senhas completamente. Precisamos encontrar maneiras de fazer desenvolvedores que não são experts em segurança escreverem códigos mais seguros. MB — Se pegarmos o caso de ransomware, que ainda é um grande problema que causa prejuízos financeiros. Você acredita que essa é uma das áreas em que as pessoas deveriam investir mais no lado defensivo? E se sim, será possível encontrar uma solução para isso? SZ — Há soluções promissoras ao nível de pesquisa, talvez não ao nível da indústria. É uma área importante, pois nós somos engenheiros de computação e sabemos a importância de fazer backup dos nossos dados, aí vemos alguém que está perdendo seu dados por causa de um ransomware a gente tira sarro, porque dizemos que era só elas terem feito backup. Mas se temos pessoas perdendo seus dados, isso significa que as soluções para backup dos dados provavelmente não são tão boas quanto deveriam. Por exemplo, pense no problema de aplicar patches em software. Pense em quão automática, consistente, difundida é a aplicação de patches em smartphones, no ecossistema iOS, por exemplo. Se você comparar o problema de patching nos casos recentes dos worms para Windows, em que pessoas ficaram sem patches em seus computadores por 6 ou 7 meses, mesmo depois que estes foram publicados... Não melhoramos a confiabilidade dos patches, sua distribuição automática, a maneira como podem ser testados, etc. Portanto, há muito trabalho para fazer nesta área. E precisamos melhorar isso. Não é sexy melhorar gestão de patches, mas... MB — Você usou a palavra "sexy". Você acredita que num evento o público vai admirar um pesquisador que apresentar algo do lado defensivo tanto quanto admira quando alguém invade algo? Isso influenciaria jovens pesquisadores a irem para o lado ofensivo, porque eles serão mais admirados pela comunidade do que se fossem defensivos? SZ — O maior problema é a definição do valor da pesquisa. Na Black Hat tentamos começar uma trilha para segurança aplicada que apresentaria pesquisas que podem ser aplicadas em nível de produção, e não somente o lado teórico delas. Seriam pesquisas que mostram uma ferramenta e ao aplicar essa ferramenta, você obterá estes resultados. Uma entrega prática. Mas há poucos pesquisadores que se qualificam para isso. Não acredito que essas pesquisas vão acabar nos jornais, na TV, então se seu objetivo é se tornar famoso, se você fizer pesquisa ofensiva é mais fácil. Mas mesmo nela, é preciso fazer pesquisa ofensiva em áreas atraentes. Os estudos defensivos não vão te levar às capas dos jornais, mas vão ser mais interessantes e úteis para legiões de administradores de sistemas e profissionais de segurança que não vão às nossas conferências, ou se forem, é para ir para festas e fazer networking, mas quando voltam, talvez não tenham adquirido coisas que ajudem eles no dia a dia do trabalho, e isso é algo que precisa mudar. Não tirando o lado ofensivo, mas fazendo o lado defensivo e a pesquisa defensiva mais sexy, mais atraente. MB — Quem é o responsável por essa mudança? Você acredita que pesquisadores experientes os que são experts no lado ofensivo, deveriam mudar ou fazer um esforço para inspirar pessoas a irem para o lado defensivo? SZ — Eu achei fascinante o que aconteceu com Charlie Miller e Chris Valasek quando começaram a trabalhar no lado defensivo. Eles não puderam, de fato, publicar sobre o que estavam trabalhando, e mesmo se pudessem, as pessoas ficariam mais felizes em assistir palestras deles falando sobre como hackearam carros ao invés de estudos sobre tudo o que precisamos nos preocupar quando conectamos dispositivos num carro. Ainda assim, provavelmente essas experiências em defender são mais úteis para a nossa indústria. É um problema largamente difundido, e não acho que alguém seja responsável. É um problema da comunidade, é nossa comunidade que deveria mudar a abordagem. Nessas conferências conversamos entre nós e nossas apresentações são voltadas a nós mesmos. As outras pessoas ao redor, mesmo que a gente desenhe uma apresentação que eles entendam, não fizemos isso por eles, e sim por nós, enquanto comunidade, porque achamos interessante e queremos mostrar aos nossos amigos que fizemos algo legal. Isso é legítimo e faz parte do espírito hacker, mas precisamos elevar o nível de importância das apresentações que resolvem ou abordam um problema. MB — Você deu boas recomendações à comunidade de segurança, no geral. Há algo que as empresas ou a indústria precisa fazer para ajudar esse objetivo a ser alcançado? SZ — Eu acredito que a indústria é grande parte do problema. A maioria dos desafios de segurança que temos não é resolvida por uma única "bala de prata", por um único produto, por uma único mecanismos ou uma única abordagem. E a maioria dessas abordagens, se você olhar cuidadosamente, elas caem, porque não temos nada muito robusto. Então, acredito que a indústria deveria dar dois passos. O primeiro é tentar vender seus produtos com um pouco mais de humildade. Há diferentes jeitos de se vender um produto. E há companhias que estão fazendo isso certo, mostram o produto, mostram o que ele faz e suas limitações e dizem que estão trabalhando para melhorá-lo. É um caminho mais difícil, mas é um caminho mais honesto. O segundo passo é tomar conhecimento dos problemas que estão supostamente resolvidos, mas não estão, e do motivo pelo qual não estão. No momento, se você disser que quer fazer uma pesquisa, por exemplo, sobre como fazer gerenciamento de chaves em sistemas embarcados distribuídos, um dos grandes problemas que ninguém fala sobre é como enviar chaves para sistemas embarcados de um ponto de vista de engenharia que possa ser feito em escala. É um problema interessante e tem muito dinheiro para pesquisa, mas a indústria fecha os olhos, porque se admitir que isso existe, você tem que admitir imediatamente que todo ecossistema em questão está vulnerável e as soluções não são suficientes. MB — E para os iniciantes, há um caminho mais fácil ou recomendável que devem seguir para se tornarem pesquisadores defensivos? SZ — Do lado dos iniciantes, eu diria que segurança ofensiva pode ser mais fácil de levar alguém para a área de pesquisa. Mesmo que pareça que somos heróis, não somos. Heróis são aqueles que conseguem manter tudo funcionando. Isso exige habilidades mais complexas. Pesquisa ofensiva pode ser feita às cegas às vezes, mas pesquisa defensiva é feita em empresas específicas e é necessário ter muito mais experiência para construir do que para destruir. Então, meu conselho é para que sejam construtores e vão além de serem invasores, e isso é uma mudança de mindset. Construir corretamente leva muito mais tempo e mais experiência do que invadir. Para chegar lá, é preciso estudar muito sobre os fundamentos da computação. Em segurança holística ou defensiva, entender como a engenharia da computação funciona é uma habilidade muito importante.

Vocês conhecem os eventos de segurança que acontecem no Nordeste? A região possui um circuito reconhecido de conferências e palestras que visam levar pessoas de todas as cidades e estados para iniciar e se aprofundar nos temas de segurança da informação, e esse cenário está crescendo! Os organizadores dos eventos se reuniram durante a H2HC para trocar ideias sobre os eventos e deram uma entrevista ao Mente Binária com o intuito de divulgar esse circuito, que visa atrair pessoas do Brasil inteiro. Na Bahia, por exemplo, são realizados os seguintes eventos: HackBahia, EnSI e NullByte, cada um com uma temática diferente. O HackBahia é mais introdutório, para quem ainda não conhece segurança, ou seja, estudantes, e até profissionais de outras áreas. O EnSi é mais voltado para um público de entrada e intermediário, em um movimento para conscientização, enquanto o NullByte é mais técnico, com intuito de movimentar a cena e fazer com que pessoas pesquisem e procurem se aprofundar na área de segurança. Palestra do Otávio Silva na NullByte 2018 Em Recife, há a BWCon. O organizador do evento, Toronto Garcez, explica que a ideia do evento é fazer uma junção da galera mais jovem e de quem já tem um conteúdo técnico. "Pretendemos fazer palestras técnicas boas para atrair pessoas que estão entrando na área. Esse evento rolou durante três anos, parou por um tempo e ano que vem volta". Nos anos anteriores, um valor simbólico foi cobrado na entrada, e em 2020 será completamente gratuito. A BWCon deve ocorrer em outubro, e quem fizer parte da comunidade do Mente Binária terá prioridade para se inscrever! Paraíba e Rio Grande do Norte Humberto Junior conta sobre o JampaSec, que acontece em João Pessoa (PB) e começou em 2015 com Magno Logan, que não conseguiu dar continuidade no ano seguinte mas ainda continua colaborando junto com toda a equipe. "A partir de 2016, assumi a organização realizando o evento totalmente gratuito e logo no ano seguinte (2017) a equipe aumentou com Ícaro Torres, Luan, Thiago, Victor Hugo (punx), Eduardo Santos e por último Jessé, a comunidade cresceu e o evento se tornou grandioso. Esse ano, o evento bateu recorde do público, com mais de 300 pessoas de diversas cidades. Uma taxa simbólica é cobrada para viabilizar", destaca Humberto, que inclusive, é nosso colaborador no Mente Binária. Nos próximo anos, a ideia é trabalhar cada vez mais para que o evento melhore. "Vimos pessoas de diversas cidades indo participar, incluindo caravanas do interior da Paraíba". Ainda na Paraíba ocorre o OWASP Paraíba Day, no dia 16 de novembro, que vai também abrir essa trilha de eventos no estado. Eduardo Santos conta que em Natal (RN) acontece o DarkWaves, evento voltado para segurança em redes sem fio como Bluetooth e Wi-Fi, e possui atividades como o Capture The Wave (CTW), onde os participantes devem capturar uma rede sem fio, com desafios como interceptar áudio via código morse. Ele aconteceu em maio. Também em Natal acontece, no dia 30 de novembro, o Qualitek Security Day. Alyson Nakamura, conta que nos dois últimos anos o idealizador do evento, Rodrigo Jorge, se afastou, mas junto com a organização do DarkWaves eles estão estudando alavancar novamente esse evento na cidade. "O Nordeste é bem carente da parte de segurança, então esses movimentos abrem os olhos dos estudantes e empresários para essa área", diz. @ncaio e os participantes da DarkWaves 2019 Engajamento Os eventos, no geral, possuem uma intenção de engajar pessoas, estimulando quem não é da área a participar e começar a estudar para, inclusive, submeter palestras nos próximos anos. O grande problema, contudo, é engajar empresas. Os organizadores contam que é difícil encontrar patrocínio para a realização desses eventos e mostrar que o Nordeste também tem um potencial econômico. Empresas locais não investem, e as de fora investem, mas tem mais dificuldade, eles dizem. Eles falam ainda que as empresas locais precisam dar mais visibilidade para levar estudantes, pois falta interesse em produzir. "Não vejo que existe uma cena em si, quem faz a cena somos nós. Falta gente nova começar a produzir, pesquisar, criar ferramentas, estar presente nos eventos. Não temos submissões de talks, por exemplo, cada vez tem menos e com baixa qualidade. As pessoas não estão pesquisando. A gente quer que pessoas se mostrem e estamos procurando palestrantes", dizem. Eles criticam que no momento em que a área de segurança está em alta, as pessoas não melhoram suas técnicas nem produzem. "O intuito da NullByte é fomentar conhecimento local, e hoje podemos dizer que se não houver pessoas de fora para palestrar, vai ficar defasado", diz o organizador do evento, Alexos. Isso é difícil em qualquer evento, eles contam, mas no Nordeste, onde o mercado é ainda menor, é comum que não consigam completar uma grade somente com palestrantes da área, o que os obriga a buscar outras alternativas.. "Vale frisar que a galera nova quer resultado e não se aperfeiçoar e aprofundar mais, e nós não olhamos só resultado, olhamos a dedicação", diz Humberto. Eles convidam todos a se inscreverem nos eventos e frisam que está aberta a submissão de palestras. A maioria dos eventos é gratuita ou possuem um valor reduzido justamente para estimular a participação. O circuito do Nordeste e o Mente Binária formam uma grande parceria, então você pode enviar perguntas no Fórum para que a gente entre em contato e passe mais informações! ? Eduardo, Ícaro, Alyson, Fernando, Alexos, Toronto e Humberto Veja a lista completa dos eventos (esquecemos algum? Comenta aí!): Aracaju/SE CAJUSec Fortaleza/CE Roadsec ROOT@RSI João Pessoa/PB JampaSec OWASP Paraíba Day Sectalks João Pessoa Roadsec Natal/RN DarkWaves OWASP Day Natal Qualitek Security Day Recife/PE AlligatorConBR BWCon Salvador/BA HackBahia EnSI NullByte

A pesquisadora de segurança da informação da área de saúde, Nina Alli, apresentou uma palestra no segundo dia de H2HC mostrando como esse setor ainda possui muitos riscos em termos de cibersegurança, já que os dados de pacientes são extremamente sensíveis e o uso de dispositivos nos tratamentos e exames não são tão seguros para proteger esses dados. "Os dados médicos têm tudo: nome completo, endereço, número de telefone, carteira de motorista… se seu cartão de crédito for roubado, os danos são menores, mas e se esses dados forem roubados?", questionou. Algumas soluções são buscadas para tentar trazer mais segurança a uma área onde muita tecnologia é usada mas ninguém sabe direito como e nem a procedência desses dispositivos e seus riscos. Uma delas são formulários que visam estimular os hospitais a contarem como os registos médicos são utilizados por meio de um questionário massivo sobre os dispositivos e softwares que eles usam. "Isso nos ajuda a saber o que está sendo feito com os dados", disse Nina. Mas ela complementou dizendo que isso ainda não é o suficiente, e é preciso buscar novas formas de solucionar os riscos que a área de saúde carrega com a detenção de dados sensíveis de pacientes. Aí que entram os hackers. Nina destacou o trabalho realizado na DEF CON no espaço Biohacking Village que estimula participantes a buscar soluções para esses dispositivos inseguros por meio de competições. Uma das atividades é o Medical Device CTF (Capture The Flag), na qual hackers trabalham para defender um hospital em uma corrida contra o relógio, num cenário técnico em um ambiente hospitalar imersivo. Outra iniciativa dentro da Biohacking Village é a Research Competition, onde novas ideias na área de biotecnologia e segurança são destacadas e os vencedores recebem financiamento para continuar suas pesquisas na área biomédica.

Em um ambiente maior, este ano a H2HC abriu espaço para mais exposições, aumentando o número de atividades nas villages. Uma delas é o espaço Kids, onde as crianças puderam jogar um jogo de controle via eletroencefalograma, montar um computador com feltro, brincar de programação e pintar desenhos ligados a tecnologia. Também teve a exposição Meu Primeiro Videogame, com diversos consoles antigos e os participantes puderam jogar e ter uma lembrança dos jogos mais clássicos de consoles como Tele Jogo, Atari, Odyssey, Mega Drive, Master System, NES, Neo Geo, entre outros diversos. Teve ainda o Car Hacking, com demonstrações e ensinamentos sobre segurança do barramento CAN bus, utilizado nos computadores embarcados em veículos modernos. Por fim, nas lightning talks, houve o espaço Cybersecurity Girls, com uma palestras de sobre a área de cibersegurança. Essa foi uma das pequenas talks de 15 a 20 minutos que ocorreram em horários diferentes, paralelamente à programação do evento. Inclusive, ainda dá tempo de se inscerver para a mentoria de Paula Papis através do site www.cybersecuritygirls.io!

Dos usuários de Internet, 45% não sabem o que é phishing. Como se proteger? “Os ataques de phishing enganam nosso cérebro para tomar decisões. Todos nós estamos suscetíveis a esses ataques”, disse Daniela Oliveira, professora da área de Segurança na Flórida, durante palestra no H2HC. Ela fez uma pesquisa junto ao Google para identificar como mitigar esse tipo de ataque. Na pesquisa, eles demonstram que todos os dias o Gmail bloqueia mais de 100 milhões de e-mails de phishing. “O que as páginas de phishing imitam? Provedores de e-mail são replicados em 42% dos casos; 25% são serviços na nuvem; 13%, instituições financeiras; 5% e-commerce; e 3,9% empresas de delivery”, disse Daniela. Ela explicou como as decisões do cérebro acontecem e que há uma motivação cognitiva para clicar em determinado link, caindo, assim, nos ataques. A pesquisa aponta ainda os phishers são especialistas em persuasão e utilizam técnicas de persuasão, saliência emocional e enquadramento de ganhos ou perdas para induzir os usuários a reagirem a e-mails maliciosos. Durante a apresentação, Daniela demonstrou e-mails personalizados com links maliciosos. Um estudo de comportamento apontou que jovens e adultos mais velhos têm um nível alto de suscetibilidade, principalmente se a mensagem diz respeito a possíveis perdas. Um dos exemplos de e-mails com phishing é da Amazon, dizendo sobre a iminência de perda de um reembolso. “As mensagens, positivas ou negativas, nos engaja. Um dos maiores desafios do phishing é que a frustração é irreparável”, destacou. Ainda assim, ela ressaltou que é possível mitigar esses ataques, e uma das [principais formas é via autenticação de dois fatores (2FA). Educação e detecção automática de avisos também são outras maneiras de mitigação. “Um estudo da Google Research mostra que a 2FA ajuda e é bem efetiva. Senhas de segurança também são muito boas em mitigar phishing. Mas 2FA é o caminho!”, enfatizou Daniela. “Juntos, enquanto comunidade, podemos parar phishing, educando usuários sobre esse tipo de ataque, suas táticas e riscos”, finalizou.

Durante a agenda de palestras da H2HC, a pesquisadora argentina Veronica Valeros, apresentou um trabalho de investigação que realizou, junto a colegas, sobre o malware Machete. A pesquisa foi em cima de nove anos de atuação do malware, que foi definido como uma campanha de espionagem direcionadas a países da América Latina. Durante sua apresentação, Veronica explicou que a ciberespionagem é entendida como o ato de obter informações restritas sem permissão de lugares, governos, organizações, e na maioria, de pessoas por meio de malwares. “Esse tipo de campanha não é tão comum na América Latina, mas a primeira publicação sobre o Machete ocorreu em 2014, e depois não ouvimos mais nada sobre esse malware. Em 2017, vimos que o Machete ainda está vivo e pessoas não prestavam atenção nele”. Ela contou que a partir daí, a investigação começou com o intuito de responder algumas perguntas básicas: o ator do malware estava ativo? O Machete ainda estava operando? Há um grupo ou um individuo por trás disso? Quem são os alvos? Quais os interesses dos atacantes? O Machete está em desenvolvimento contínuo? Durante três anos, Veronica e seus colegas buscaram responder a essas perguntas com ajuda de outras pessoas, entre eles o Malware Hunter Team, e outros colaboradores. “Fizemos uma análise e estudo da atividade de ciberespionagem de nove anos do Machete. E descobrimos que ele é uma ferramenta operada por um grupo, que até o momento não tem um nome”, disse. O time de pesquisadores realizou ainda a engenharia reversa do Machete e identificou 176 campanhas feitas em nove anos de atividade, o que é considerado bastante, além de 342 módulos do Machete e dois estágios. “As amostras mais velhas são de dezembro 2010 e as mais recentes são de janeiro deste ano”, explicou Veronica. “Construímos uma linha do tempo e descobrimos que o Machete opera via entregas maliciosas em anexos, URLs e injeções Web, elas exigem interação do usuário, ou seja, um click no documento infectado”. Ela destacou que o Machete possui características de um trojan, mas está atrás de informações específicas. “Tem muita gente por trás disso”, alertou. Depois de coletar os dados, eles descobriram que a estrutura do malware não modificou nos últimos anos, e ele ainda é operado pelo mesmo grupo. “Não sabemos quantas pessoas tiveram acesso aos dados das pessoas”. Analisando as campanhas, para identificar o tipo de documento enviado, a linguagem, o tema e o principal país mencionado. Os tópicos mais comuns eram política, área militar, e área legal. “Os países que identificamos, em sua maioria, mais mencionados são Venezuela, Colômbia, Brasil, Chile”, contou. Conclusões — O Machete ainda está ativo na América Latina, o que indica que os países estão sob investigação. “O malware evoluiu continuamente e silenciosamente. O grupo por trás do Machete é grande, mais de 50 pessoas. Sofisticação da Ameaça persistente avançada (APT) está diretamente ligada à situação socioeconômica das regiões-alvo. É importante que a gente investigue e nos engajamentos a trazer luz para essas situações e outras que existem”, complementou Veronica.

Inicia hoje a principal conferência sobre pesquisa e desenvolvimento na área de segurança da informação do Brasil. A Hackers To Hackers Conference (H2HC) ocorre neste sábado e domingo (26 e 27), no Novotel Center Norte, em São Paulo, e este ano o evento promete trazer técnicas que nunca foram vistas ou discutidas com o público anteriormente. O evento é sem fins lucrativos, e o principal objetivo é permitir a disseminação, discussão e a troca de conhecimento sobre segurança da informação entre os participantes e também entre as empresas envolvidas no evento. Durante os dois dias de conferência, ocorrem palestras, oficinas, lightning talks, além dos treinamentos que acontecem nas semanas anteriores e posteriores ao evento. A abertura foi conduzida por um dos organizadores do evento, Rodrigo Branco, que apresentou o objetivo do H2HC. Ele contou que para a conferência a programação conta com dois direcionamentos; um deles é a trilha principal de pesquisa. "Esse é o estado da arte da área de segurança, e cujo maior diferencial do conteúdo está na inovação". O segundo é o H2HC University, onde as palestras também são técnicas, mas possuem um foco maior em ensiná-las ao público. Ele disse ainda que desde o ano passado o H2HC teve o Púlpito H2, com lightning talks, que são palestras de 15 a 20 minutos em um espaço a quem quiser se apresentar em uma parte do evento que é auto-organizada. Rodrigo apresentou ainda o Comitê Técnico, composto por organizadores que decidem as palestras apresentadas durante o evento, que inclui pesquisadores da Intel e até avaliadores da Black Hat. Este ano o evento ocorre em uma área comum maior e também conta com o Capture the Flag, dividido em três partes, sendo a primeira OffensiveWay, com desenvolvimento de exploits, engenharia reversa e automação para descobrimento de vulnerabilidades; a segunda PacketWars, com um plano de batalha e de análise forense de diferentes artefatos e imagens; e BlueWars, que é mais avançando na parte defensiva, e necessita de capacidade de detecção de comprometimentos via análise forense testados na etapa anterior, e de habilidades de análise de e correlacionamento de logs. Este ano, o jogo está com maiores prêmios concedidos pela Trend Micro e Crowdfense, patrocinadores do evento, e em cada etapa os participantes dos times ganhadores receberão diversos prêmios como itens do evento e livros. O time que conquistar mais pontos na conclusão de todas as etapas irá receber um prêmio especial da Trend Micro, que levará os vencedores da prova para disputar a final da Copa Raimund Genes – competição global de Capture The Flag da empresa em Tóquio, no Japão, que ocorre nos dias 23 e 24 de novembro. Conteúdo — "Esse é o 16º ano do evento, nunca deixamos de fazer em nenhum ano. O evento foi crescendo ao longo do tempo, sempre com foco técnico", Filipe Balestra, um dos organizadores do H2HC, contou ao Mente Binária. "Nosso foco é trazer conteúdo de qualidade. Abrimos para patrocinadores em 2008, pois até então acreditava-se que eles poderiam influenciar no conteúdo da palestra, mas mesmo abrindo, nosso objetivo continua sendo manter um nível técnico bom. Tentamos trazer palestras com conteúdo, pesquisas novas, sem coisas repetidas", destacou Balestra. O H2HC teve um crescimento nos últimos anos, incluindo no número de participantes, que subiu de 1,3 mil por dia no ano passado para 1,7 mil este ano, em cada dia de evento. "Nós últimos anos, realizamos a conferência em um outro local, mas já não cabia mais. Este ano, procuramos um ambiente maior para comportar esse crescimento, e a novidade é que foi possível ampliar a área de exposições", contou Balestra. Com mais espaço, a organizações colocou novas villages, incluindo car hacking, na área de exposições, trazendo, assim, mais atividades aos participantes do evento. O Mente Binária fará a cobertura da conferência e trará os principais highlights do que ocorrerá durante os dois dias de H2HC. ?

O Google atualizou suas solicitações de permissões em aplicativos Android e restringiu o acesso via SMS e Call Log (registro de chamadas). A empresa adicionou ainda requisitos para aplicativos não-padronizados entrarem em sua loja. A restrição visa prevenir que apps falsos ou maliciosos geram ataques, roubem informações pessoais de usuários ou cometam fraudes. De acordo com a TrendMicro, o cenário de ameaças móveis do último ano mostraram que fraudadores e cibercriminoso sempre tentam contornar as restrições ou até revertê-las para técnicas antigas. A empresa de segurança identificou que um aplicativo que estava disponível na Play Store chamado Yellow Camera, e que se apresenta como um app de edição ou embelezamento de foto, trazia contigo técnicas de de roubo de informações e de malware ou adware. Enquanto as funções funcionam como anunciadas, o app incorpora uma rotina que lê códigos de verificação SMS nas notificações do sistema e, por sua vez, ativa uma cobrança do WAP (Wireless Application Protocol). O aplicativo, juntamente com outros semelhantes que a TrendMicro identificou, não estão mais na Play Store. Ainda assim, os fraudadores enviaram apps semelhantes para a iOS App Store. ? Os serviços de cobrança WAP são utilizados como método de pagamento alternativo para usuários compram conteúdo de sites habilitados para WAP. Esses serviços cobram compras diretamente na conta telefônica ou nos créditos do usuário, sem precisar se registrar para serviços, digitar credenciais ou usar cartões de crédito ou débito. Alguns dos usuários já perderam créditos com o aplicativo. A TrendMicro disponibilizou detalhes adicionais da cadeia de infecção do Yellow Camera em sua publicação, em inglês.

A Mozilla, dona do Firefox, detalhou seus recentes esforços para proteger o navegador contra ataques de injeção de código. Segundo o ZDNet, esse trabalho de fortalecimento concentrou-se na remoção de "artefatos potencialmente perigosos" na base de código do Firefox. A remoção de scripts embutidos visa melhorar a proteção do protocolo 'about' do Firefox, mais conhecido como about: pages. A empresa estava receosa de que atacantes usassem injeção de código para invadir a página about: config, que expõe uma API para inspecionar e atualizar preferências e configurações, o que permite aos usuários do Firefox adaptar o navegador às suas necessidades específicas. As páginas about: são escritas em HTML e JavaScript e, portanto, compartilham o mesmo modelo de segurança que as páginas da Web normais, que também são vulneráveis a ataques de injeção de código. A Política de acesso remoto descreve diretrizes e processos para solicitar, obter, usar e encerrar o acesso remoto às redes, sistemas e dados da organização. A Mozilla reescreveu todos os manipuladores de eventos em linha e moveu todo o código JavaScript para "arquivos compactados" em todas as 45 páginas about:. A empresa também definiu uma Política de Segurança de Conteúdo reforçada para garantir que o código JavaScript injetado não seja executado.