The true sign of intelligence is not knowledge but imagination. Albert Einstein

The only source of knowledge is experience. Albert Einstein

Success is not final, failure is not fatal: it is the courage to continue that counts. Winston Churchill

Slider

Pesquisadores acreditam que outros atacantes vão começar a explorar a mesma falha explorada pelo ransomware

Milhares de organizações de todo o mundo foram pegas de surpresa pelo ataque de ransomware WannaCry lançado na última sexta-feira. À medida que essa ameaça se dissemina rapidamente, mais criminosos cibernéticos provavelmente tentarão lucrar com esta e outras vulnerabilidades semelhantes.

Como um programa de ransomware, o WannaCry em si não é tão especial ou sofisticado. De fato, uma versão anterior do programa foi distribuída em março e abril e, a julgar pela sua implementação, seus criadores não são muito hábeis.

A diferença entre os ataques anteriores do WannaCry e o último é um componente semelhante a um verme que infecta outros computadores explorando uma vulnerabilidade crítica de execução remota de código na implementação do protocolo Server Message Block 1.0 (SMBv1) do Windows.

A Microsoft lançou um patch para esta vulnerabilidade em março e, logo após o ataque de sexta-feira, tomou o passo incomum de liberar correções para versões mais antigas do Windows que não são mais suportadas, como Windows XP, Windows Server 2013 e Windows 8 .

Os atacantes do WannaCry não tiveram muito trabalho para construir o componente de infecção baseada em SMB, uma vez que simplesmente adaptaram uma exploração existente vazada em abril por um grupo chamado Shadow Brokers. 

Variantes já detectadas
A versão do WannaCry que se espalhou na sexta-feira teve uma peculiaridade: Tentava entrar em contato com um domínio não registrado e interrompia sua execução quando ao alcançá-lo, interrompendo a infecção. Um pesquisador que usa o alias online MalwareTech rapidamente percebeu que isso poderia ser usado como um interruptor  para retardar a propagação do ransomware.

Desde então, os pesquisadores descobriram algumas outras versões.

Uma variante do ransomware foi capaz de infectar alguns dos computadores remendados após a infecção com o malware original na semana passada, de acordo com um alto funcionário do Departamento de Segurança Interna (DHS) dos Estados Unidos.

"Estamos trabalhando em como lidar com essa variante e compartilhar como pudermos", disse o funcionário que pediu para não ser identificado. O funcionário não disse quantos computadores foram afetados pela variante.

O DHS trabalhou com o FBI e outras autoridades policiais durante o fim de semana para identificar vítimas do ataque e ajudá-los a recuperar sistemas sem pagar um resgate, principalmente instalando patches do Windows.

Isso indica que os ataques, tanto dos autores do WannaCry como de outros cibercriminosos, provavelmente continuarão e, apesar dos patches estarem disponíveis, muitos sistemas provavelmente permanecerão vulneráveis por algum tempo. Afinal, os fornecedores de segurança ainda estão vendo tentativas de exploração bem sucedidas hoje para o MS08-067, a vulnerabilidade do Windows que permitiu que o worm do computador Conficker se espalhasse há nove anos.

"Provavelmente vai piorar antes que melhore, uma vez que essa será uma das ameaças mais graves para os próximos 12 meses", disse Catalin Cosoi, estrategista-chefe de segurança da Bitdefender, em um post sobre a vulnerabilidade EternalBlue.

Ele acredita que os grupos de ciberespionagem patrocinados pelo Estado também podem aproveitar a falha de SMB para plantar backdoors furtivos em computadores enquanto os defensores estão ocupados lidando com o ataque de ransomware muito mais visível.

A empresa de segurança BinaryEdge, especializada em varreduras na Internet, detectou mais de 1 milhão de sistemas Windows que têm o serviço SMB exposto à Internet. O número é consideravelmente maior do que as 200 mil máquinas afetadas pelo WannaCry, por isso há potencial para mais ataques e vítimas.

O sucesso do WannaCry mostrou que um grande número de organizações estão ficando para trás em patches e que muitos têm sistemas legados que executam versões antigas do Windows. Até certo ponto, isso é compreensível porque a implantação de patches em ambientes com um grande número de sistemas não é uma tarefa fácil. As empresas precisam testar os patches antes de instalá-los para garantir que eles não têm problemas de compatibilidade com os aplicativos existentes e quebrar os fluxos de trabalho existentes.

Na lista de países abaixo, compilada pela Avast é possível ver a porcentagem dos computadores que ainda não atualizaram os sistemas operacionais com  o patch MS17-010 da Microsoft. Sem isso e sem uma solução de segurança com antivírus, os usuários continuarão vulneráveis aos ataques. Em termos globais, 15% dos usuários da Avast ainda não aplicaram a atualização. Os dados foram obtidos hoje, dia 15 de Maio de 2017, às 07h38 (hora de Brasília).

tabela

Em outros casos, as organizações podem estar presas a determinados sistemas que executam versões do Windows não suportadas sem recursos financeiros para atualizá-las ou substituí-las. É o caso dos caixas eletrônicos, dispositivos médicos, máquinas de bilhetagem, quiosques eletrônicos de autoatendimento como os dos aeroportos, e até mesmo os servidores que executam aplicativos legados que não podem ser facilmente reestruturados.

No entanto, existem medidas que podem ser tomadas para proteger esses sistemas, como isolá-los em segmentos de rede onde o acesso é estritamente controlado ou por desativar protocolos e serviços desnecessários. A Microsoft tentou convencer as empresas a parar de usar o SMBv1 por algum tempo, já que ele tem outros problemas além desta falha.

"Existem certas organizações ou setores - por exemplo, médicos - onde o patch não é uma questão simples", disse Carsten Eiram, diretor de pesquisa da empresa de inteligência de vulnerabilidade Risk Based Security, por e-mail. "Nesses casos, é imperativo que eles compreendam corretamente os riscos e procurem soluções alternativas para limitar a ameaça".

O sucesso do WannaCry, pelo menos na medida em que sua distribuição foi rápida, provou aos cibercriminosos que há muitos sistemas vulneráveis em redes empresariais que podem ser alvo de antigas explorações. É possível que eles tentem usar outras explorações da NSA vazadas pelos Shadow Brokers ou sejam mais rápidos aem adotar façanhas para falhas futuras que possibilitem ataques similares em massa em LANs.

"A explosão do EternalBlue faz parte de um vazamento maior chamado" Lost In Translation "que reúne múltiplas vulnerabilidades que vão desde simples aborrecimentos até situações extremamente graves", disse Bogdan Botezatu, analista sênior de e-threat da Bitdefender. 

Eiram está convencido de que muitas vulnerabilidades permitirão ataques de ransomware semelhantes no futuro.

- Não duvido disso por um segundo - disse ele. "Todos os anos vemos tais vulnerabilidades."

Então, resta aos CIOs e CSOs tentarem tapar os possíveis buracos de suas infraestruturas. 

Confira sete das principais disposições de segurança que qualquer provedor de serviços em nuvem deve oferecer

À medida que as empresas migram suas aplicações e dados para a nuvem, os executivos de TI enfrentam cada vez mais o desafio de equilibrar os benefícios gerados pelos ganhos de produtividade com os riscos significativos em relação à conformidade e à segurança.

Segurança na nuvem, convém frisar, não é o mesmo que a segurança no data center corporativo. Regras e metodologias diferentes devem ser aplicadas para assegurar uma infraestrutura sobre a qual não se tem controle físico real.

Ao optar pelos serviços em nuvem, as empresas precisam avaliar vários fatores-chave, incluindo:

• Capacidade de criptografia de dados, tanto para dados em trânsito como para dados em repouso, que não estão sendo transmitidos;

• Garantia de proteção, pois a segurança de dados, especialmente em um ambiente de nuvem multi-tenant (múltiplos clientes, que compartilhem os mesmos recursos, como um aplicativo ou ERP), em que o acesso a seus dados e como ele é isolado da vulnerabilidade de outros sistemas, não é clara;

• Ter controles de privacidade sobre quem pode acessar seus dados, quanto tempo ele pode ser usado, armazenado, etc.

• Assegurar que o provedor de serviços tenha controles de manutenção e gerenciamento e outras medidas para garantir que o sistema esteja sempre protegido e atualizado com os mais recentes patches de segurança de software, servidor, sistema operacional, etc.

Muitos profissionais de segurança são altamente céticos sobre a segurança de serviços e infraestrutura baseados em nuvem. Devido a isso, a seguir listamos algumas práticas recomendadas e diretrizes que podem ser usadas para aproveitar com segurança os benefícios da nuvem, usando seus pontos fortes para superar questões que tradicionalmente foram rotuladas como fraquezas.

1. Criptografia de dados em transição deve ser fim a fim
Toda a interação com os servidores deve acontecer através da tecnologia SSL (Secure Socket Layer), que é utilizada para melhorar a segurança da transmissão de dados através da internet. O SSL deve terminar apenas na rede provedor de serviços em nuvem.

2. A criptografia é importante para dados em repouso, também
A criptografia de dados confidenciais deve ser ativada em repouso, não somente quando os dados são transmitidos através de uma rede. Esta é a única maneira que se pode cumprir com confiança as políticas de privacidade, requisitos regulamentares e obrigações contratuais para o tratamento de dados sensíveis.

Os dados armazenados em discos na nuvem devem ser criptografados usando o AES-256 (padrão de criptografia avançada) e as chaves de criptografia devem ser criptografadas com um conjunto de chaves-mestras trocadas regularmente.

Idealmente, o provedor de serviços em nuvem também deve fornecer criptografia em nível de campo. Os clientes devem ser capazes de especificar os campos que deseja criptografar (por exemplo, número do cartão de crédito, INSS, CPF, etc.).

3. Os testes de vulnerabilidade devem ser rigorosos e contínuos
O provedor de serviços em nuvem deve empregar ferramentas de resposta a incidentes e vulnerabilidades líderes de mercado. Por exemplo, ferramentas de resposta a incidentes que permitam avaliações de segurança totalmente automatizadas e que possam testar as vulnerabilidades do sistema, além de reduzir drasticamente o tempo entre as auditorias críticas de segurança, de periodicidade anual ou trimestral, mensal, semanal ou diária.

Você pode decidir com que frequência uma avaliação de vulnerabilidade é necessária, variando de dispositivo para dispositivo e de rede para rede. As verificações podem ser agendadas ou executadas sob demanda.

4. Ter uma política de exclusão de dados definida e aplicada
Após o período de retenção de dados de um cliente (conforme especificado em um contrato com o cliente) ter terminado, os dados devem ser excluídos programaticamente.

5. Adicione camadas de proteção com segurança de dados no nível do usuário
O serviço em nuvem deve fornecer recursos de controle de acesso baseados em função RBAC (controle de acesso baseado em função) para permitir que os clientes definam permissões de acesso e edição de usuário específicas para seus dados. Esse sistema deve permitir uma segregação rigorosa, baseada em controle de acesso e de deveres dentro de uma organização para manter a conformidade com os padrões internos e externos de segurança de dados.

6. Garantir uma rede e nuvem virtual privada
Em vez de uma oferta multi-tenant, seu provedor de armazenamento em nuvem ou software como um serviço (SaaS) poderia fornecer um ambiente de nuvem para ser usado somente por você e no qual tenha total controle e acesso aos dados. O Amazon Web Services (AWS) refere-se a isso como uma nuvem virtual privada (VPC). Os clientes podem se conectar de forma segura ao seu data center corporativo e todo o tráfego de e para outras instâncias em seu VPC pode ser encaminhado para seu data center corporativo por meio de uma conexão de VPN de hardware IPsec.

7. Insista em certificações rigorosas de conformidade
As duas certificações mais importantes são:

• PCI DSS: Para obter essa certificação, um provedor de SaaS tem que passar por auditorias detalhadas para garantir que dados sensíveis (por exemplo, dados de cartão de crédito) sejam armazenados, processados e transmitidos de forma totalmente segura e protegida. O PCI DSS é um padrão de segurança multifacetado que inclui requisitos de gerenciamento de segurança, políticas, procedimentos, arquitetura de rede, design de software e outras medidas de proteção críticas.

• SOC 2 Tipo II: Útil em processos de gestão de risco interno, supervisão de conformidade normativa, bem como programas de gestão de fornecedores. A certificação SOC 2 confirma que um serviço de nuvem é projetado especificamente e rigorosamente conseguiu manter o alto nível de segurança de dados.

Ambas as certificações podem oferecer informações comparativas úteis para os prestadores de serviços em nuvem que você pode considerar.

As discas acima são apenas algumas das principais disposições de segurança que qualquer provedor de serviços em nuvem deve oferecer em seu serviço em nuvem. Proteção em profundidade é tradicionalmente uma questão de princípios de projeto rigoroso e políticas de segurança.

Não é correto depositar toda a responsabilidade da segurança dos dados nos fornecedores de serviço em nuvem. É aconselhável ter uma camada extra de proteção, pensada para cada tipo de negócio

No fim de 2016 a Intel Security fez uma pesquisa com 100 executivos brasileiros responsáveis pela segurança corporativa em suas organizações. Um dos dados mais marcantes foi que 97% dos entrevistados disseram que a empresa onde atuam confia mais na computação em nuvem hoje do que há 12 meses. E a grande maioria (94%) deve aumentar o investimento em nuvem neste ano.

Estes números mostram que a confiança e a percepção positiva dos serviços de nuvem continuam crescendo ano após ano. Benefícios como custo atraente e a elasticidade dos serviços, que cobram apenas pelos ativos que estão em uso, estão levando cada vez mais empresas a adotarem a estratégia “Cloud First”, ou seja, considerar como primeira opção o modelo em nuvem ao comprar ou implementar aplicativos.

A pesquisa apontou que 53% das empresas mantém algum dado sensível na nuvem pública, mas apenas 38% dos entrevistados confiam plenamente neste serviço, e apenas 4% escolhem este como o único modelo para armazenar seus dados. A nuvem híbrida é a preferida pelos brasileiros. O País é o que mais usa nuvem híbrida em sua arquitetura, com 74% dos executivos optando por esse formato.  Sem dúvida, esta confiança está atrelada à percepção de que os dados corporativos estão mais seguros na nuvem privada ou híbrida do que na nuvem pública.

O aumento da confiança na nuvem é extremamente benéfico para o mercado. No entanto, a migração para a nuvem, seja ela pública ou privada, necessita ser planejada desde o início considerando uma estratégia de segurança precisa e adequada. Não é correto depositar toda a responsabilidade da segurança dos dados nos fornecedores de serviço em nuvem, é preciso uma camada extra de proteção, pensada para cada tipo de negócio.

nuvemsegurança

De acordo com a pesquisa, nas organizações brasileiras, o aumento do uso da nuvem pública se daria principalmente por três fatores: custo, garantia que os dados continuam sob controle e possibilidade de gerenciar vários serviços em nuvem. Os dois últimos podem ser alcançados com o uso de ferramentas de segurança especializadas capazes de expandir a visibilidade sobre as operações e centralizar o gerenciamento.

A transformação digital está mudando a forma como as empresas atuam e o aumento da atuação na nuvem é uma das principais marcas desta transformação. A estrutura de TI nas empresas está ficando cada vez mais complexa, além de proteger os dados, a segurança precisa oferecer suporte a novos dispositivos, aplicativos e serviços de nuvem que irão surgir num futuro próximo. A empresa que não se adaptar e não prover a segurança de seus dados e propriedade intelectual estará fadada a se perder pelo caminho.

(*) Márcio Kanamaru é diretor geral da Intel Security no Brasil

Quando o Congresso revogou as regras de privacidade de banda larga da FCC, os ISPs relaxaram e os defensores da privacidade choraram. O que mudou, qual o significado da mudança e o que os usuários podem fazer para se proteger

A última agitação política a abalar os EUA é muito relevante para qualquer pessoa envolvida em tecnologia. O Congresso derrubou decisões recentes da FCC que obrigavam os provedores de acesso à Internet a obterem a permissão de seus clientes para coletar e vender dados sobre seus vários hábitos online.

Agora os provedores de acesso podem vender o histórico de navegação de seus clientes para quem quiser comprá-los, sem pedir permissão para isso. O congresso disse que as regras de privacidade da FCC eram injustas ao mercado, subjugando os provedores de acesso a padrões restritos, enquanto permitia que companhias de internet, como Google e Facebook, continuassem coletando dados dos usuários sem o seu consentimento expresso.

Este é um sério golpe para defensores da privacidade. Embora as regras da FCC não fossem perfeitas, e ainda não tivessem entrado em vigor, elas seriam um primeiro passo na proteção dos dados dos consumidores.

E agora? 

Bom, para quem quiser entender a fundo a questão a Computerworld abordou vários aspectos em uma variedade de artigos informativos sobre o que aconteceu, as implicações, e o que os usuários podem fazer para se proteger. Confira nos links para o conteúdo original, em inglês.

E caso você queira conhecer algumas medidas para resguardar o que você faz na Internet, em qualquer lugar, mesmo que não seja diretamente atingido pela decisão americana, o artigo "Três modos de impedir que o provedor de acesso monitore a sua navegação" aborda algumas delas.

bandalarga

O que aconteceu
Como chegamos a onde estamos.

Senate votes to kill FCC's broadband privacy rules
The Senate action would allow broadband providers to sell customer data and browser histories without permission, critics say. 

O que significa
Quais são as implicações - para os usuários e para os provedores de banda larga - da ação do Congresso em revogar a decisão da FCC.

Internet privacy? Who needs that?
Senate Republicans think it's fine and dandy for your ISP to sell your private data.

In mining user data, ISPs have to weigh cash vs. privacy
Some experts worry that broadband providers will go too far in monetizing customers' data with the privacy rule repeal.

Congress to U.S. citizens: Want online privacy? Pay up!
Worried consumers may resort to buying VPN services and paying higher fees to ISPs to protect their privacy.

O que os usuários podem fazer para se proteger?
Sempre há maneiras de proteger sua privacidade - pelo menos, até certo ponto. Aqui estão algumas sugestões.

Top 5 VPN services for personal privacy and security
If you regularly travel or work remotely, you need to use a VPN or you're putting yourself — and your data — at risk. Here's a look at the options and price plans for some of the top VPNs.

What to look for in a VPN to protect your privacy
How much a VPN can protect your privacy or anonymity really depends upon which VPN you choose. Here are some things to look for in a VPN to best protect your privacy.

Review: Consider VPN services for hotspot protection
We review 7 low-cost VPN services for when you're out of the office or out of the country.

5 things you need to know about virtual private networks
VPNs are important for both enterprise and consumer security.

The paranoid's survival guide, part 1: How to protect your personal data
Privacy is under attack from all quarters, but even today, there are things you can do to protect your personal data. Here are some tips.

The paranoid's survival guide, part 2: Protect your privacy on social, mobile and more
Here's how to minimize your personal data footprint when messaging, on social media, and using mobile apps.

The paranoid's survival guide, part 3: Opting out, and how to protect your personal data offline
How to just say no to direct mail and other 'offers.' 

O que os defensores da privacidade estão tentando fazer

Privacy activist wants to unveil lawmakers' browser histories
GoFundMe campaign focused on fighting back at Internet privacy changes.

Privacy advocates plan to fight Congress' repeal of ISP privacy rules
New legislation to restore the FCC's regulations is on the way, but its passage seems unlikely.

Próximo alvo: Neutralidade da rede
A neutralidade é um dos princípios estabelecidos pela Open Internet Order, conjunto de regras lançado em 2010 pela FCC. As regras também incluem transparência e não bloqueio de conteúdo legal.

Um dos pontos defendidos pela FCC é o de que acordos em que empresas como a Netflix (que oferece filmes e programas de TV pela internet) pagam mais aos provedores para garantir que seu conteúdo chegue aos consumidores com maior velocidade dão vantagem desleal a companhias maiores e com mais recursos financeiros.

Agora que a decisão da FCC que protege a privacidade dos consumidores foi revogada, o próximo alvo é a neutralidade da rede. Se este problema está na sua lista de preocupações, você pode querer começar a prestar atenção.

Survey: IT workers worried about U.S. net neutrality repeal
More than eight in 10 U.S. IT workers surveyed support the net neutrality rules.

New FCC chairman: Net neutrality rules were a 'mistake'
Pai promises a return to 'light-touch' regulations for the internet.

Senators push FCC to keep its net neutrality rules
Critics tell the Republican-led agency to put 'consumers first.

É preciso conscientizar toda a população dos riscos, que crescem diariamente

Ao mesmo tempo em que desejamos tornar a Internet um ambiente mais seguro, temos negligenciado vulnerabilidades e feito escolhas equivocadas para combater as ameaças digitais. O senso comum dita que o correto é combater item a item, mas infelizmente não funciona assim. Para trazer clareza a esta questão, a educação digital precisa ser colocada em primeiro plano, seja no âmbito familiar ou corporativo, de modo que os usuários possam agir de forma preventiva. O senso de desconfiança, também conhecido popularmente por “desconfiômetro”, que está sempre presente nas situações cotidianas, deve ser usado na Internet. O usuário precisa estar sempre atento às ofertas e anúncios digitais que chegam via e-mail ou WhatsApp, oferecendo facilidades incomuns, pois o meio digital é tão perigoso quanto o real.

O perigo da Internet das Coisas
O conceito de Internet das Coisas (IoT) consiste em conectar à Internet dispositivos eletrônicos utilizados no dia-a-dia, como aparelhos eletrodomésticos, câmeras de videomonitoramento IP, mobiles, máquinas industriais, meios de transporte e outros. Cada vez mais presentes no cotidiano, estes dispositivos, que antes não eram conectados à Internet e agora estão sendo cada vez mais, devem tornar os ataques mais frequentes. Quando a IoT estiver bem estabelecida, quando uma casa inteira estiver conectada, por exemplo, já imaginou o estrago que um "simples" DDoS pode fazer? Hoje, os cuidados com segurança estão limitados apenas aos dispositivos que têm interface visual integrada, como computadores e smartphones, mas isso precisa mudar. 

Além disso, a extrema vulnerabilidade dos dispositivos IoT está aumentando exponencialmente as violações. As fabricantes de câmeras, impressoras, geladeiras, relógios não são empresas de TI, são indústrias com expertise nesses produtos, por isso não têm foco em programação e segurança da informação. Assim, compramos mercadorias que contam com um número IP, software embarcado e conexão com a Internet, e por consequência, elas se tornam extremamente suscetíveis aos DDoS. A negligência com a segurança desses aparelhos é tanta que os usuários normalmente não se preocupam em usar senhas de acesso que sejam fortes, ou instalar um antivírus.

Câmeras e gravadores IP – perigo iminente
As câmeras de videomonitoramento IP e os gravadores embutidos nesses aparelhos têm sido os maiores alvos de hackers. Esses dispositivos merecem uma atenção especial, pois são cada vez mais comuns nos lares, corporações e cidades por conta da violência urbana. Eles acabam sendo ativados sem os cuidados adequados de segurança, como, por exemplo, as atualizações de softwares e a instalação de ferramentas de segurança digital. As cidades que apostam no conceito de smart cities usam esses aparelhos e que já foram vítimas de ataques DDoS, ficando completamente fora do ar, sem nenhum tipo de conexão. Por não terem uma interface visual integrada o usuário leva muito mais tempo para perceber que há algo de errado com o aparelho, tornando as câmeras e gravadores IP muito mais vulneráveis do que os smartphones.

IoTseguranca

Empresas e consumidores precisam dar mais importância à segurança da informação
Mesmo com o lançamento de novas soluções de segurança virtual a cada mês, somos bombardeados com notícias de ataques cibernéticos em grande escala. Podemos dizer que o Brasil ainda está engatinhando nessa questão. As indústrias que fornecem produtos e serviços digitais ainda não se deram conta de que a preocupação com segurança tem que ser um esforço contínuo. É um tema que desperta o interesse de cibercriminosos e de organizações políticas que praticam o terrorismo digital e utilizam brechas de segurança para lesar terceiros. É um jogo de xadrez - para cada nova solução de segurança, os criminosos criam uma contramedida. A segurança da informação merece a mesma atenção que a segurança pública. É preciso conscientizar toda a população desses riscos, pois sempre haverá novas ameaças rondando a Internet.

(*) Thiago Ayub é CTO da UPX, empresa especializada em infraestrutura e segurança de Internet

Designed by THE GOAT BLOG | VIRTUS JUNXIT MORS NON SEPARABIT | 1999.