Fique atento aos ciberataques do Adylkuzz

cyber-attack2.jpg18/05/2017 - Enquanto o mundo discute o alcance dos ataques do ransomware WannaCry, que atingiu milhares computadores no dia 12 de maio de 2017, uma nova ameaça está se espalhando silenciosa e, por isso, agressivamente. O Adylkuzz explora a mesma vulnerabilidade de segurança do sistema operacional Windows que fizeram o WannaCry ganhar notoriedade.

O alcance do Adylkuzz ainda é desconhecido, mas considera-se que ele possa estar se proliferando desde final de abril de 2017. Diferente do WannaCry, este malware não bloqueia o acesso do usuário ao computador e cria danos, às vezes imperceptíveis, ao sistema operacional.

Por isso é maior a dificuldade de identificá-lo. Milhares de computadores podem estar infectados e sendo usados pelo Adylkuzz como botnets (uma rede de computadores infectados sob controle de cibercriminosos) para atacar novos usuários. E esse é um grande problema, pois uma vez infectado, o computador pode ser utilizado para outros fins, como, por exemplo, para prática de crimes virtuais.

“Esta ameaça é ainda mais perigosa por não deixar vestígios de que o usuário está infectado. Quanto mais integrada for a abordagem de segurança com ferramentas para o rastreamento de novas vulnerabilidades, identificação de intrusos, firewall avançado, controle da Web 2.0 e outras funções, mais seguros estarão os usuários do Windows”, comenta Edison Figueira, diretor de R&D da Blockbit.

Alguns sintomas da infecção pelo Adylkuzz são a perda de acesso a pastas compartilhadas do Windows e degradação do desempenho do computador. Isso acontece pois ao infectar um computador, o malware finaliza qualquer instância dele mesmo que esteja rodando e bloqueia o tráfego SMB para prevenir novas invasões (inclusive do WannaCry).

Este ataque também busca lucros em moeda digital, embora de forma diferente do WannaCry. O Adylkuzz está sendo usado para “minar” a moeda virtual Monero. O processo busca validar transações financeiras na rede desta moeda usando os computadores infectados, que “ajudam” os criminosos a ganhar dinheiro sem que precisem roubar dados ou cobrar resgate da vítima.

Além de recomendar a atualização do sistema Windows em todos os computadores, Figueira sugere que os usuários sigam as já conhecidas boas práticas de segurança relativas ao comportamento do usuário: não visitar links ou baixar arquivos de origem desconhecida, avaliar todos os e-mails recebidos, manter backups atualizados e usar toda ferramenta de segurança ao seu alcance.

 

 

 

Comentário (0) Hits: 410

Que lições podemos aprender com o WannaCry?

cyber_cold_war2.jpg*Por Leonardo Carissimi
15/05/2017 - Nestes últimos dias, uma nova ameaça cibernética ganhou notoriedade, o WannaCry. Trata-se de um tipo de código malicioso classificado como ransomware, daqueles que "sequestram" dados de computadores para exigir um dinheiro em troca de devolver o acesso ao seu dono. Ou seja, uma vez infectada a máquina, ele encripta os arquivos e mostra uma tela na qual exige um resgate em dinheiro, tipicamente na moeda eletrônica bitcoins que, assim como o dinheiro vivo, não deixa rastros quando se movimenta e permite circulação de valores entre criminosos.

Interessante é que o WannaCry explora uma vulnerabilidade do sistema operacional Windows conhecida há pelo menos dois meses e que permite execução remota de um código através de uma vulnerabilidade no serviço SMB (Service Message Block).

Aprenda a se proteger do WannaCry com essas 7 lições:

Crescimento das ameaças cibernéticas: as ameaças crescem em termos de magnitude e agressividade. Com a crescente conectividade, cada nova ameaça tem o potencial de infectar mais equipamentos.

O cibercrime está crescendo: essa nova ameaça também nos recorda que o cibercrime está crescendo, pois cada vez mais as ameaças tem motivação financeira. Elas se tornam mais perigosas, porque as organizações criminosas que as orquestram têm cada vez mais recursos. Podem desenvolver "armas" sofisticadas e agir globalmente com elas.

Impacto real nos negócios: tornaram-se comuns nos últimos dias notícias de empresas que foram contaminadas e tiveram que sujeitar-se a pagar pelo resgate. Outras decidiram por desligar computadores. Nos dois casos, torna-se claro o impacto em termos de custo (seja pelo pagamento pelo resgate ou, pior, pela perda de produtividade).

Prevenção é fundamental e começa com pequenas coisas: a vulnerabilidade é conhecida há pelo menos dois meses, quando a Microsoft publicou um boletim recomendando atualização dos sistemas Windows para corrigi-las. Um trabalho de Gerenciamento de Patchs, complementado de Gerenciamento de Vulnerabilidades, teria evitado a dor de cabeça. Realizar cópias de segurança frequentemente é outra prática bastante corriqueira que ajuda em situações de ransomware. São conceitos simples, mas que precisam ser realizados de forma consistente, com processo, ferramentas e pessoal treinado.

Microssegmentar a rede: a utilização de ferramentas para microssegmentação reduz o estrago. Ao isolar sistemas por microssegmentos, a movimentação lateral realizada pelo malware é contida e ele não contamina uma grande quantidade de equipamentos na rede. Opte pela microssegmentação por software, focando inicialmente em sistemas mais críticos. Isso vai permitir adoção rápida, sem impacto na arquitetura da rede e com custo reduzido. Em médio e longo prazo a técnica vai aumentar a segurança e permitir a simplificação da rede ao reduzir complexidade de firewalls internos e segmentação via VLANs.

Monitoração de Comportamento de Malware: a cada momento surgirão novas ameaças, as quais serão desconhecidas por ferramentas tradicionais de segurança que trabalham com assinaturas e padrões de malware conhecidos. A utilização de ferramentas de correção de eventos é controle necessário, mas não suficiente. Preparar-se para o malware novo requer um SOC (Centro de Operações de Segurança) mais inteligente, que identifique comportamentos anômalos mesmo quando for um ataque novo com assinatura desconhecida. No caso do WannaCry, a comunicação pela porta do SMB, o comportamento de movimentar-se lateralmente dentro da rede, e o endereço de seu "mestre" que tenta contatar, são indícios típicos de algo estranho está acontecendo e que permitiram um SOC inteligente detectar a nova ameaça a tempo.

Resposta a incidentes: Uma vez detectada a nova ameaça, requer-se pronta resposta. Respostas automáticas ou manuais poderiam bloquear tráfego suspeito e eliminar da rede equipamentos contaminados. A utilização de uma Arquitetura de Segurança Adaptativa é recomendada para responder de modo dinâmico, mudando a arquitetura de subredes à medida que contaminações são identificadas. Um exemplo é colocar em quarentena os equipamentos contaminados e evitar que os mesmos contaminem outros.

*Leonardo Carissimi é Diretor de Soluções de Segurança da Unisys na América Latina.

Comentário (0) Hits: 428

Que é deep web, darknet e como se proteger

cibercrime.jpg*Por Michal Salat
09/05/2017 - É frequente o noticiário sobre ataques e invasões de cibercriminosos fazerem referência a material encontrado na deep web ou na darknet. Essas expressões são os nomes de dois ambientes digitais diferentes, embora eles contenham várias semelhanças. Na verdade, há uma linha muito fina entre a deep e a dark web. Michal Salat, diretor de Inteligência de Ameaças da Avast, explica as principais diferenças entre a deep web e a dark web, também chamada de darknet:

“A expressão deep web descreve basicamente todas as páginas, fóruns e lojas de e-commerce que estão escondidos e inacessíveis para os motores de busca como o Google ou o Bing. Esses endereços usam o protocolo web padrão HTTP / HTTPS, para que você possa encontrá-los usando um navegador comum como Chrome, Edge ou Firefox”, diz o diretor da Avast.

Como a deep web, a darknet também contém todas as páginas, fóruns e e-commerce que estão escondidos e também são inacessíveis para os motores de busca, ele acrescenta. Mas ao contrário da deep web, é preciso um tipo específico de software, como o Tor browser, para fazer acesso a ela:

“Tanto a deep web como a darknet são freqüentemente abusadas por atividades ilegais, por exemplo para distribuir bens e serviços ilegais. Pode-se comprar drogas, armas e malware na deep web e na darknet, e infelizmente, serviços de assassinos também”, diz Michal Salat. “A darknet, no entanto, proporciona mais anonimato do que a deep web, provavel razão pela qual é mais popular entre os cibercriminosos. A darknet é coberta pela rede Tor, com muitos nós (pontos) de acesso e tráfego criptografado, mas há informações de que a agência de inteligência norte-americana NSA pode ter métodos para rastrear usuários do Tor”, ele observa.

Explorando a darknet

A primeira impressão que se tem quando se visita a darknet pela primeira vez é de que é mais difícil navegar do que na web à qual estamos todos acostumados, porque ela não é indexada, e os endereços são muito mais difíceis de lembrar:

“Na darknet você não pode simplesmente digitar um endereço como "MailScanner detectou uma poss�vel tentativa de fraude de "enviaemm.com" google.com". Em vez disso, você deve se lembrar e digitar uma URL muito mais longa e complicada para acessar o site que deseja visitar. Por exemplo, se você quiser visitar o Darknet "Hidden Wiki" você tem que digitar manualmente "kpvz7ki2v5agwt35.onion" para visitar a página. Se você se lembra dos primeiros dias da internet, antes de as páginas serem indexadas, a experiência é semelhante”.

Ele acrescenta que é possível “encontrar na darknet vários mecanismos de busca que darão a você resultados mais ou menos relevantes para o que você estiver procurando, mas esses resultados não são nada em comparação com o que se obteria pesquisando algo no Google ou no Bing. O serviço "HiddenWiki", por exemplo, é útil, na medida em que categoriza alguns dos serviços que estão disponíveis”.

Legal ou ilegal?

Embora se possa encontrar muitas coisas ilegais na darknet, tais como armas, pornografia, software pirata e drogas, nem tudo ali é ilegal, destaca o Diretor da Avast: “A ideia por trás da darknet foi proporcionar acesso à informação, ao mesmo tempo garantindo a privacidade e contornando a censura. Você pode encontrar conteúdo legal como arte, livros, fotos e vídeos, que são censurados ou proibidos para certas pessoas devido a regulamentações e restrições governamentais. A darknet também proporciona comunicação segura para dissidentes, denunciantes e jornalistas”.

Ao explorar a darknet, ele lembra que é importante ter em mente que ela é um lugar ‘selvagem’, sem quaisquer regulamentos. Não há garantia de que aquilo que você compra ou faz download é seguro ou será realmente entregue: “O número de fraudes e falsificações é muito alto. Você também pode facilmente baixar conteúdo ou comprar bens que podem ser proibidos em seu país e assim violar a lei. Também há muito malware na darknet, assim como na internet comum que todos usamos, mas um antivírus pode proteger você. A darknet pode ser comparada a um bairro ‘da pesada’ da vida real, onde criminosos aparecem com frequência. Pode haver pessoas boas no bairro, mas também há maior chance de você se envolver em atividades perigosas ao explorar a darknet. Então, se decidir mergulhar, por favor, tenha cuidado.”

*Michal Salat é diretor de Inteligência de Ameaças da Avast.

Comentário (0) Hits: 1130

Cuidado ao ativar o geolocalizador em smartphones

mobilidade.jpg09/05/2017 - Diariamente, nos deparamos com o compartilhamento de localização e de fotos quando pessoas viajam ou vão a algum lugar interessante. Essas informações, além de valiosas, podem trazer problemas ao caírem em mãos de pessoas mal-intencionadas.​

Segundo dados divulgados pelo Facebook em 2016, a rede já conta com mais de 100 milhões de usuários brasileiros. “Com o crescimento cada vez mais frequente de adeptos às redes sociais, os criminosos encontram boas oportunidades por meio da facilidade de obtenção de informações e se beneficiam da ingenuidade dos usuários para agir”, destaca Robert Wagner dos Santos, especialista em segurança da ADT, maior empresa de monitoramento de alarme do Brasil. Desta forma, a ADT alerta para riscos ao fazer postagens e publicar fotos com o geolocalizador ativado no seu smartphone. Confira algumas dicas.

Caso seu smartphone esteja com o geolocalizador ativado automaticamente, ao postar uma foto, qualquer pessoa poderá ter acesso ao local em que você está. Muitos criminosos monitoram suas vítimas para saber quando irão viajar ou quando têm um compromisso programado. Depois de terem certeza de que a residência ficará vazia, eles não encontram dificuldades para invadir a casa; Opte por ativar seu geolocalizador apenas quando necessário - acesso ao GPS, por exemplo.

Se você realmente quiser compartilhar sua localização com seus amigos nas redes sociais, procure fazê-lo ao chegar em casa ou, ao menos, se distanciar do local.

Para ter certeza de que o geolocalizador de seu smartphone está inativo, siga as seguintes orientações: no aplicativo padrão de fotos do Android, escolha a opção ‘Configurações’ e desative a função ‘Salvar Localização. No iOS, vá em ‘Ajustes’, selecione ‘Privacidade’ e, em seguida, ‘Serviços de Localização’. Siga até o item ‘Câmera’ e desative a opção.

Comentário (0) Hits: 414

Novo golpe em arquivo do Google Docs é perigoso

05/05/2017 - Se você recebeu um convite para compartilhar um documento do Google que você não esperava, NÃO abra. Provavelmente é um ataque de phishing que poderá invadir sua conta.

Hackers estão usando o Google Docs para enviar convites via e-mail que, quando clicados, podem comprometer as informações da conta. Trata-se, na verdade, de um spam que permite tomar o controle do endereço de e-mail do usuário.

Apesar de parecer, à primeira vista, um ataque de phishing, o acontecimento se trata de uma violação de APIs do Google porque os e-mails vêm do Google e o usuário está fazendo login em uma página autêntica do Google. Os sistemas abertos que permitem a qualquer pessoa se inscrever e entrar como um desenvolvedor usando OAuth – um protocolo de contas no Google, Twitter, Facebook e outros serviços para conectar com aplicativos de terceiros – têm sido, há muito tempo, vulneráveis à ataques. Esse caso não é diferente da violação com malware na Play Store do Google e, por isso, é dever do Google intensificar o trabalho de segurança para examinar os desenvolvedores de apps, explica Chester Wisniewski, principal cientista de pesquisa da Sophos.

 Segundo Wisniewski, poucas pessoas suspeitam dos serviços prestados pelo Google, Twitter, Facebook e outros serviços online que utilizam OAuth com um programa de desenvolvedor de aplicativos não confiável. Os usuários do Twitter foram atacados por meio dessas técnicas há alguns anos. Infelizmente, o Google também foi vítima de um vetor de ataque semelhante. Quando os usuários se deparam com e-mails oficiais do Google e páginas de login oficial utilizadas em fraudes, os usuários podem ser potencialmente prejudicados. Todos os provedores de OAuth são responsáveis por policiar o uso de suas plataformas para impedir que os usuários sejam enganados por solicitações oficiais de serviços como o Google, Twitter e Facebook. Nós sugerimos fortemente que os usuários fiquem de olho nas redes sociais, que podem alertar os demais usuários em casos confirmados de novas tentativas de ataques e violações e reduzir o número de vítimas.

 Vale lembrar que os usuários devem verificar os aplicativos que aprovaram para acessar suas contas e remover tudo o que possa ser suspeito em todas as plataformas baseadas no OAuth. O caminho para verificar os aplicativos no Google é: Conta do Google -> Login e Segurança -> Aplicativos e sites conectados. No Twitter e Facebook o usuário deve ir em Configurações e Privacidade -> Aplicativos.

 Entenda como este tipo de ataque funcionou:

 1. Você recebe um e-mail real do Google dizendo que alguém quer compartilhar um arquivo com você.

 2. Você é direcionado para uma página autêntica de login do Google e faz o login.

 3. Você recebe um aviso de que um "add on" quer acesso ao seu e-mail e contatos. O nome do desenvolvedor está listado como "Google Docs", mas poderia ser qualquer coisa (este é o local onde o Google poderia fazer mais para evitar isso).

 A única maneira confiável de não se tornar mais uma vítima é nunca aceitar aplicativos conectados à sua conta do Google e que solicitem permissão para acessar o seu e-mail e contatos, ou qualquer outra solicitação de acesso, a menos que você realmente queira conectar com algum novo serviço ainda não confiável. Quando ataques como esse acontecem, vale reforçar a mensagem de retornar e analisar suas contas nas redes sociais e rever os aplicativos que você deu permissão para acessar suas informações e revogar a permissão de aplicativos que você não confia ou não utiliza mais, adverte o cientista.

 

Comentário (0) Hits: 350

Como defender o consumidor na era da mobilidade

getschko2.jpg20/04/2017 - Quem fará uma palestra sobre o assunto é o perito Demi Getschko, o primeiro brasileiro a figurar no Hall da Fama da internet para a categoria “Conectores Globais” por seu papel chave no estabelecimento da primeira conexão de internet no Brasil. Getschko é diretor-presidente do NIC.br (Núcleo de Informação e Coordenação do Ponto br.

O especialista vai falar a um grupo de juízes, advogados, representantes de Procons, tribunais, além de secretarias e órgãos especializados na defesa do consumidor, sobre as facilidades e os riscos que envolvem as relações de consumo no ambiente digital, em um cenário no qual, segundo ele, o número de brasileiros que compram online mensalmente já superou o dos que consomem em lojas físicas.

“O fator determinante na preferência por compras online é justamente o menor preço em relação às lojas físicas. Mas este enorme horizonte de possibilidades traz consigo o inevitável aumento dos riscos, fraudes, ataques a privacidade, entre outros crimes”, alerta.

Getschko falará, em sua maneira única, com respostas na ponta da língua, puro dinamismo e espírito jovem, sobre os cuidados para os consumidores não virarem vítimas dos crimes virtuais. Para quem quiser conferir, o assunto será pauta no dia 27 de abril, às 16h, no simpósio A Era do Diálogo, que acontece no Hotel Royal Palm Plaza, em Campinas. (A Era do Diálogo vai acontecer nos dias 26, 27 e 28)

Demi Getschko, engenheiro mundialmente conhecido como ator fundamental na origem da internet brasileira, atual diretor-presidente do NIC.br (Núcleo de Informação e Coordenação do Ponto br), participará da 6ª edição do simpósio A Era do Diálogo que reúne anualmente juristas, órgãos de defesa do consumidor, agências reguladoras, autoridades e especialistas em direito do consumidor para discutir a defesa do consumidor nas relações de consumo. Neste ano, o encontro acontece no Hotel Royal Palm Plaza, em Campinas (nos dias 26, 27 e 28 de abril).

Em sua apresentação, Demi Getschko falará sobre as novas dimensões da defesa do consumidor na era da mobilidade e segurança de dados e como essa realidade afeta o Brasil.

Saiba mais sobre Getschko

Getschko é engenheiro eletricista formado pela POLI/USP, com mestrado e doutorado em Engenharia.
É Conselheiro do CGI.br (Comitê Gestor da Internet no Brasil).
Diretor-Presidente do NIC.br (Núcleo de Informação e Coordenação do Ponto br) e Professor Associado da PUC (Pontifícia Universidade Católica de São Paulo).
Foi membro da diretoria da ICANN (Internet Corporation for Assigned Names and Numbers) pela ccNSO (Country Code Names Support Organization).
Foi eleito para o Hall da Fama da Internet na categoria “Conectores Globais”, com cerimônia realizada em Hong Kong.

Hall da Fama da Internet

O prêmio anual foi criado pela ONG Internet Society em 2012 e homenageia personalidades importantes para a história mundial da internet. Nomes como Al Gore, ex vice-presidente dos EUA e Douglas Engelbart, criador do mouse, já foram homenageados.

Mais informações: https://www.aeradodialogo.com.br/.

Comentário (0) Hits: 338

newsletter buton