SUS tranca servidor. Hacker diz que há mais dois abertos

O Ministério da Saúde classificou como falsa a notícia de que houve um vazamento de dados com origem na base do CADSUS. Ao mesmo tempo, colocou em ‘manutenção’ os servidores que atendem no endereço indicado como vulnerável pelo hacker ‘Tr3v0r’, que anunciou a invasão. O portal do MS que agora está em manutenção é o do Departamento de Atenção Básica – DAB, cujo endereço é dabsistemas.saude.gov.br.  No entanto, Tr3v0r informou em sua conta de Twitter que existem mais dois endereços com APIs abertas para qualquer pessoa consultar os dados de usuários do SUS.

Segundo o portal Tecnoblog, o sistema que teria servido como fonte do vazamento ficou exposto desde pelo menos 2014, e desde o dia 11 está “em manutenção”. O hacker que anunciou o vazamento explicou ao Tecnoblog que obteve dados de 205 milhões de pessoas, sem registros duplicados, e anunciou que ainda irá publicá-los.

Na entrevista ao Tecnoblog, Tr3v0r disse que os dados estavam expostos por meio de uma API, num dos domínios do Ministério da Saúde. A API podia ser acessada por uma URL na qual se inseria um CPF, no padrão “consulta.php?cpf=xxx.xxx.xxx.xx”. Tr3v0r disse que publicou essea informação no GitHub em 2015.

Hacker anuncia: 205M de registros do SUS vazados

Um hacker chamado Tr3v0r anunciou que o sistema de informações do SUS está expondo por meio de uma API todos os dados médicos da população brasileira. O vazamento é da ordem de 205 milhões de registros. Ontem à tarde, o hacker expôs para download uma amostra com cerca de 2,4 milhões de registros num endereço da Internet.  Os registros têm muitos detalhes: nome completo, nome da mãe, endereços, números de CPF e datas de nascimento. Segundo informado pelo hacker ao UOL, o SUS foi avisado do problema em 29 de março, mas nada foi feito. Segundo o UOL essa informação não foi confirmada pelo Ministério da Saúde.

Segundo o portal DefCOn Lab, Tr3v0r na verdade já havia anunciado em fevereiro que esses dados estavam expostos. A publicação questiona como seria a atuação da Autoridade Nacional de Proteção de Dados (ANPD) nesse caso.

O vazamento foi indicado ao Cisoadvisor pelos especialistas Mateus Veras e Lipe Hifram.

Brasil: 83% das empresas despreparadas para ataques

A IBM acaba de divulgar um estudo global de resiliência cibernética, conduzido pelo Instituto Ponemon. O estudo revela que a maioria das organizações ainda não conta com um plano de resposta a incidentes eficaz. O pior de tudo: essa situação é a mesma desde que o estudo começou a ser feito, quatro anos atrás. Das organizações pesquisadas que têm um plano em vigor, mais da metade (54%) não testa seus planos regularmente, o que pode deixá-las menos preparadas para gerir eficazmente os processos complexos e de coordenação que devem ocorrer na sequência de um ataque. Em contrapartida, estudos mostram que empresas capazes de responder de forma rápida e eficiente num prazo de 30 dias economizam mais de US $ 1 milhão no custo total de uma violação de dados, 

Construído com as respostas de mais de 3.600 profissionais de segurança e TI de todo o mundo, incluindo o Brasil, o levantamento também traz dados indicando como as empresas estão de adequando às diferentes leis de proteção de dados no mundo, além de dados sobre a falta de profissionais qualificados em cibersegurança.

As principais informações da pesquisa em relação ao Brasil são as seguintes: 

  • 326 entrevistas foram de executivos brasileiros
  • 71% das organizações pesquisadas sofreram ao menos uma violação de dados os últimos dois anos
  • 65% disseram que sofreram pelo menos um incidente de segurança cibernética nos últimos dois anos
  • 83% dos entrevistados disseram não possuir um CSIRP (plano formal de resposta a incidentes cibernéticos) aplicado de forma consistente em toda a empresa
  • 66% das organizações que possuem CSIRP não testam os planos regularmente ou de forma alguma
  • 16% relataram o uso significativo de automação na sua organização

Estas são as informações do resto do mundo:

  • Falta de um plano consistente – 77% dos entrevistados em todo o mundo disseram que não têm um CSIRP (plano formal de resposta a incidentes cibernéticos) aplicado de forma consistente em toda a empresa. No Brasil, 83% dos entrevistados disseram não ter um plano de incidentes cibernéticos.
  • Falta de testes – das organizações que têm um plano em vigor, mais da metade (54%) não testa seus planos regularmente (ou de forma alguma) para garantir que estejam atualizados. Já no Brasil, o percentual novamente é maior: 66%.
  • Proteção de dados no Brasil – nos últimos dois anos, 71% das organizações pesquisadas sofreram uma violação de dados e 65% disseram que sofreram um incidente de segurança cibernética.
  • 1 ano de GDPR – quase metade dos entrevistados (46%) em todo o mundo diz que suas organizações ainda não realizaram o cumprimento integral do GDPR, mesmo após aproximadamente um ano da aprovação da legislação.
  • Gap de profissionais na área – apenas 30% dos entrevistados relataram que sua equipe de segurança cibernética é suficiente para alcançar um alto nível de resiliência cibernética.

Há estudos demonstrando economias superiores a US$ 1 milhão nas empresas que podem responder de forma rápida e eficiente para conter um ataque cibernético no prazo de 30 dias. Mesmo assim,  economizar mais de US $ 1 milhão no custo total de uma violação de dados, em média, 1 déficits em
o planejamento de resposta a incidentes de segurança cibernética permaneceu consistente nos últimos quatro anos do estudo.
Das organizações pesquisadas que têm um plano em vigor, mais da metade (54%) não testa seus planos
regularmente, o que pode deixá-los menos preparados para gerir eficazmente os processos complexos e
coordenação que deve ocorrer na sequência de um ataque.

Você pode obter o estudo clicando no link abaixo
https://www.ibm.com/account/reg/us-en/signup?formid=urx-37792

Cryptominers na disputa pelo seu processador

Qual o país mais perigoso do mundo em termos de ciberameaças?

Resposta: a Etiópia.

E o menos perigoso? O Quirguistão.

Esses dois estão nos extremos de um ranking de 149 países elaborado pela divisão de Inteligência de Ameaças da Check Point, com dados obtidos durante o mês de março deste ano. E você quer saber onde nós ficamos nessa lista? Estamos em 99o lugar. Quer dizer que tem 98 países piores do que nós. E que tem 50 melhores.

Índice global

O Índice Global de Ameaças da Check Point revela também que embora os serviços de mineração de criptomoeda, como o Coinhive, tenham fechado, os criptomineradores ainda são os malwares mais predominantes nas organizações em todo o mundo. Conforme anunciado no mês passado, tanto Coinhive quanto Authedmine pararam seus serviços de mineração no dia 8 de março. Por causa disso, pela primeira vez – desde dezembro de 2017 – o Coinhive caiu da primeira posição. Mas, apesar de ter operado apenas oito dias em março, ainda era o sexto malware mais comum afetando as organizações. No seu auge, o Coinhive impactou 23% das organizações em todo o mundo.

Atualmente, muitos sites ainda possuem o JavaScript Coinhive e, mesmo sem atividade de mineração, os pesquisadores da Check Point avisam que o Coinhive pode ser reativado se o valor do Monero (criptomoeda de código aberto) aumentar. Como opção, outros serviços de mineração podem aumentar sua atividade para aproveitar a ausência do Coinhive.

Durante o mês de março, três dos cinco principais malwares predominantes foram criptomineradores: Cryptoloot, XMRig e JSEcoin. O Cryptoloot liderou o Índice de Ameaças pela primeira vez, seguido de perto pelo Emotet, o trojan modular. Ambos tiveram um impacto global de 6%. O XMRig é o terceiro malware mais popular que afeta 5% das organizações em todo o mundo.

Mais cryptominers a caminho

De acordo com Maya Horowitz, diretora de Inteligência de Ameaças e Pesquisa da Check Point, “com os valores de criptomoedas caindo em geral desde 2018, veremos mais criptomineradores para navegadores seguindo os passos do Coinhive e cessando a operação”. “No entanto, suspeito que os criminosos virtuais encontrarão formas de ganhar com atividades de criptomineiração mais robustas, utilizando ambientes em nuvem para mineração, em que o recurso interno de dimensionamento automático permite a criação de um criptograma maior de criptografia. Vimos organizações pagando centenas de milhares de dólares a seus provedores de serviços em nuvem pelos recursos de computação usados ​​ilicitamente pelos criptomineradores. Esta é uma chamada de ação para as organizações protegerem seus ambientes de nuvem”, reforça Maya.

Os três principais malwares de março de 2019:

*As setas estão relacionadas à mudança na classificação em comparação com o mês anterior.

↑Cryptoloot – Criptominerador que usa o poder de CPU ou GPU da vítima e os recursos existentes para a criptomineiração, adicionando transações ao blockchain e liberando nova moeda. É um concorrente do Coinhive, oferecendo uma porcentagem menor de receita de sites.
↑ Emotet – Trojan avançado, autopropagado e modular. Emotet costumava a ser empregado como um Trojan bancário, e recentemente está sendo usado como um distribuidor para outras campanhas maliciosas ou malware. Ele usa vários métodos para manter as técnicas de persistência e evasão para evitar a detecção. Além disso, pode ser espalhado através de e-mails de phishing contendo anexos ou links maliciosos.
↑ XMRig – Software de mineração de CPU de código aberto usado para o processo de mineração da criptomoeda do Monero e visto pela primeira vez, em tempo real, em maio de 2017.

Neste índice mensal, o Hiddad foi o malware mais predominante em dispositivos móveis, substituindo o Lotoor em primeiro lugar na lista dos principais softwares móveis. O Triada permanece em terceiro lugar.

Os três principais malwares para dispositivos móveis de março:

1.   Hiddad – Malware Android que reempacota aplicativos legítimos e os lança em uma loja de terceiros. Sua principal função é exibir anúncios, mas também é capaz de obter acesso aos principais detalhes de segurança incorporados ao sistema operacional, permitindo que um atacante obtenha dados confidenciais do usuário.
2. Lotoor- Ferramenta hack que explora vulnerabilidades no sistema operacional Android, a fim de obter privilégios de root em dispositivos móveis comprometidos.
3. Triada – Backdoor modular para Android que concede privilégios de superusuário ao malware baixado, ajudando a incorporar-se aos processos do sistema. Triada também foi visto falsificando URLs carregados no navegador.

Os pesquisadores da Check Point também analisaram as vulnerabilidades cibernéticas mais exploradas. O CVE-2017-7269 ainda está liderando as vulnerabilidades mais exploradas, com um impacto global de 44%. A divulgação de informações do repositório Git do servidor Web está em segundo lugar, com o OpenSSL TLS DTLS Heartbeat Information Disclosure em terceiro, o que afeta 40% das organizações em todo o mundo.

As três vulnerabilidades mais exploradas de março:

↔ Microsoft IIS WebDAV ScStoragePathFromUrl Buffer Overflow (CVE-2017-7269) – Enviando uma solicitação criada em uma rede para o Microsoft Windows Server 2003 R2 por meio do Microsoft Internet Information Services 6.0, um atacante remoto pode executar código arbitrário ou causar uma negação de condições de serviço no servidor de destino. Isso se deve principalmente a uma vulnerabilidade de estouro de buffer resultante da validação inadequada de um cabeçalho longo na solicitação HTTP.
↑ Web Server Exposed Git Repository Information Disclosure- Uma vulnerabilidade de divulgação de informações foi relatada no repositório do Git. A exploração bem-sucedida desta vulnerabilidade pode permitir uma divulgação não intencional de informações da conta.
↑ OpenSSL TLS DTLS Heartbeat Information Disclosure (CVE-2014-0160; CVE-2014-0346) – Existe uma vulnerabilidade de divulgação de informações no OpenSSL. A vulnerabilidade é devida a um erro ao manipular pacotes de heartbeat do TLS/DTLS. Um atacante pode aproveitar essa vulnerabilidade para divulgar o conteúdo da memória de um cliente ou servidor conectado.

 

São Paulo: honeypot na AWS sofre 13 ataques/minuto

Instale um honeypot em um AWS de São Paulo e outros em mais nove cidades de outros países, também em AWS. Agora adivinhe qual o honeypot atacado primeiro. Se você respondeu São Paulo, acertou. A experiência foi feita pela Sophos, que apresentou ontem os resultados no relatório Cloud Honeypot. O relatório mostra que depois de apenas 52 segundos os cibercriminosos atacaram o honeypot de São Paulo. Foram 13 ataques por minuto nesse servidor.

Os honeypots foram instalados em dez centros de dados da Amazon Web Services (AWS) em vários locais, incluindo: Califórnia, Frankfurt, Irlanda, Londres, Mumbai, Ohio, Paris, São Paulo, Cingapura e Sydney.

[box]Um honeypot é um sistema ou componente de hardware ou software usado como “armadilha” ou “isca” para fins de proteção contra ataques cibernéticos. É frequentemente usado para monitorar o comportamento dos hackers.[/box]

Os honeypots foram monitorados por 30 dias e a análise da Sophos descobriu que mais de 5 milhões de ataques foram feitos sobre a rede honeypot global, demonstrando como os criminosos virtuais verificam automaticamente as plataformas de nuvem mais fracas. Se conseguirem ter acesso, as empresas que usam essas plataformas podem ser vítimas do roubo de dados confidenciais. Os cibercriminosos também usam servidores em nuvem violados como base para acessar outros servidores ou redes.

O relatório da Sophos identifica as ameaças enfrentadas pelas empresas que migram para plataformas híbridas e em nuvem. A velocidade e o tamanho dos ataques aos honeypots mostram como os cibercriminosos são insistentes em suas atividades e confirmam que os botnets costumam a ser usados para atingir as plataformas de nuvem da empresa. As empresas precisam de uma estratégia de segurança para proteger o que estão confiando à nuvem”, disse Matthew Boddy, especialista em segurança da Sophos. “A questão da visibilidade e segurança nas plataformas de nuvem é um grande desafio comercial e, à medida que a migração na nuvem aumenta, continuará sendo predominante.”

 

Vídeo: como será o Roadsec 2019

Começa no próximo sábado, dia 13 de Abril, a temporada 2019 do Roadsec, o principal evento de segurança do Brasil. Marina Ciavatta, gerente de Comunidades e Engajamento da Flipside, a produtora do evento, conta nesta entrevista como vai ser a temporada, com destaque para o primeiro Roadsec, em Campinas (SP). Marina é a líder do maior programa de voluntários em eventos de tecnologia do mundo, chamados de Roadies. Faz parte do time do Roadsec, mas também tem se aventurado no mundo da Engenharia Social (hacking humano), invadindo e conscientizando grandes empresas brasileiras sobre segurança. Assista à entrevista.

 

[toggle title_open=”Leia o press-release de divulgação do Roadsec” title_closed=”Leia o press-release de divulgação do Roadsec” hide=”yes” border=”yes” style=”default” excerpt_length=”0″ read_more_text=”Leia mais” read_less_text=”Fechar” include_excerpt_html=”no”]Roadsec: maior evento de tecnologia e hacking da América Latina inicia turnê brasileira

O Roadsec, o maior evento de tecnologia e hacking da América Latina, inicia sua tour brasileira de 2019 levando um modelo de evento renovado para 11 cidades, visando uma imersão ainda mais profunda na cultura hacker e de tecnologia com características brasileiras. A primeira cidade a receber o evento será Campinas (SP), no dia 13 de Abril. Em sequência, as outras edições passarão por São José dos Campos, Fortaleza, Rio de Janeiro, João Pessoa, Goiânia, Presidente Prudente, Florianópolis, Belém, Belo Horizonte e a etapa final que acontece em São Paulo em novembro, com a mega edição especial de encerramento.

A conferência vai reunir os profissionais de tecnologia e segurança da informação mais qualificados de cada região com os especialistas de maior renome nacional e internacional para circuitos interativos de trocas de conhecimentos sobre segurança da informação, desenvolvimento, ataque, defesa, ciência, carreira, política, Blockchain, criptoativos e muito mais. Além disso, os participantes do evento poderão interagir com tecnologias que são tendência no mundo, como óculos de realidade virtual, drones controlados por smartphone, caneta 3D e circuitos de robótica.

Para 2019, o público encontrará novas atrações que incentivam a cultura hacker no país, como shows de nerdcore, e uma estrutura triplicada com mais de 15 mil pessoas esperadas durante todo o ano. “Em todas as edições do Roadsec, valorizamos a presença do público formado por todas as idades, entre hackers, estudantes e profissionais de segurança da informação, para que tenham a oportunidade de consumirem o rico conteúdo do evento e também se revelarem para as equipes de T.I das nossas empresas parceiras presentes, incentivando esse mercado tão carente de profissionais capacitados.” destaca Marina Ciavatta, gerente de Comunidades do Roadsec.

Hackaflag

O Hackaflag (#hfbr19), maior campeonato de invasão de sistemas no estilo CTF, que significa Capture The Flag (capture a bandeira), viaja junto com o Roadsec pelo Brasil para revelar talentos locais. Cada vencedor das 11 etapas regionais, competem na final nacional que acontece dia 23 de novembro, em São Paulo. A competição será individual e não tem limite de idade,  os participantes devem levar a sua própria máquina para pôr em jogo todo seu conhecimento e habilidade durante as provas que exploram as principais áreas da segurança da informação, tudo feito em um ambiente digital simulado. O campeonato acontece nos moldes de e-sports, com pontuações a cada “flag” quebrada, nome dado a cada obstáculo vencido pelos competidores, que variam desde encontrar brechas em sistemas, descobrir senhas de acesso e até localizar os rastros deixados por outro jogador na tentativa de invasão. Serão mais de 6 mil pessoas assistindo e o prêmio para o campeão é uma viagem a Las Vegas com tudo pago e ingressos para a DefCon, a maior conferência hacker do mundo.

Representatividade da cultura Hacker brasileira

Neste ano, a ilustradora Mar Williams é quem comanda o traço das novas artes do Roadsec. A comunidade hacker brasileira será representada em pôsteres, credenciais e artes promocionais com o tema cyberpunk. Mar é o principal nome de várias obras, credenciais e posters da DEF CON, a maior conferência de hacking do mundo. Além de desafiar as regras de gênero, Mar se define como hacker, maker hardcore e tem uma visível dedicação ao bio-hacking, com diferentes implantes e modificações. Suas criações artísticas misturam a cibercultura com uma “fofura bizarra”, quebrando paradigmas.

Meios de comunicação do Roadsec:
Site: roadsec.com.br/
Blog do Roadsec: https://roadsec.com.br/blog/
Instagram / YouTube / Spotify: @Roadsec
Linkedin: linkedin.com/showcase/roadsec/

Confira as cidades, datas e mais informações:
13/04 – Campinas (https://roadsec.com.br/)
04/05 – São José do Rio Preto (https://roadsec.com.br/)
11/05 – Fortaleza (https://roadsec.com.br/)
18/05 – Rio de Janeiro (https://roadsec.com.br/)
25/05 – João Pessoa (https://roadsec.com.br/)
01/06 – Goiânia (https://roadsec.com.br/)
08/06 – Presidente Prudente (https://roadsec.com.br/)
15/06 – Florianópolis (https://roadsec.com.br/)
29/06 – Belo Horizonte (https://roadsec.com.br/)
06/07 – Belém (https://roadsec.com.br/)
23/11 – São Paulo (https://roadsec.com.br/)

[/toggle]

Agora o alvo é a nuvem

Saiu o 14o relatório anual da Netscout sobre Segurança de Infraestrutura em nível mundial. O subtítulo do documento é “Cloud in the Crosshairs”, ou seja, a nuvem agora é o alvo. Nesta entrevista, Geraldo Guazzelli, diretor geral da Netscout no Brasil, explica os destaques do documento, principalmente os detalhes que indicam grandes riscos para empresas no Brasil.

Clique no link para baixar o “NETSCOUT’s 14 th Annual Worldwide Infrastructure Security Report”.  

O país, segundo ele, é um “heavy user” de Internet, por causa, principalmente, do tamanho da população. Mas nas sua opinião os destaques da falta de segurança apontados no relatório são decorrentes da necessidade de desenvolver aplicações com tempo limitado, resultando numa segurança fraca ou inexistente.

“Podemos fazer uma analogia: em nosso país temos uma preocupação exagerada com a segurança física, mas em segurança da informação muito pouco conhecimento adequado e falta de planejamento, levando a uma total ausência de políticas de segurança. Associado a isso temos investimentos reduzidos. Considero até que a falta de conhecimento é o pior aspescto. Porque se a pessoa não conhece o risco por que vai se precaver?”, pergunta Guazelli

Uma das ameaças que mais vem crescendo e prejudicando empresas, detalha Guazelli, é o DDoS. Isso tem levado empresas a sofrer com ‘downtime’. E como mostra o relatório, o Brasil tem alguns dos custos mais elevados do mundo para esse tipo de incidente. “Isso é causado pela falta de politicas de proteção. Vemos os segmentos financeiro e e-commerce serem afetados, mas há muitos outros”, comenta.

Um dos setores em grande risco, lembra o diretor da Netscout, é o de medicina. “Já existe uma grande discussao sobre o atendimendo médico remoto e sobre o controle dos equipamentos médicos nos hospitais. Eles estão sujeitos a ameaças e podem até ser desligados remotamente”, afirma.

“Isso é um fato constante”, detalha Guazelli. “Porque os firewalls e IPs guardam conexões ativas, atuando para dar uma certa segurança. Mas onde guardam essas conexões? Em tabelas de estado. Então, agora as tabelas são o alvo. Uma tabela tem limites. Quando se satura a tabela, o dispositivo que a controla fica paralisado e quando acontece isso e a infra da empresa se torna indisponível. Hoje, a única alternativa de DDoS que te permite estar protegido são as soluções que não dependem do controle de conexao”, completa.

No panorama brasileiro, a situação é prejudicada, ainda, pela escassez de mão-de-obra, acrescenta Guazelli. “E o tamanho da demanda está aumentando”.

Ataque mira clientes de Uber e de 6 bancos

Clientes do Bradesco, Santander, Banco do Brasil, Caixa Econômica, Sicredi e Banco Inter – além de Paypal, PagSeguro, Netflix, Uber e Gmail – são os alvos de uma campanha lançada por hackers contra roteadores especialmente no Brasil. O ataque, detalhado pelo pesquisador Mihai Vasilescu, principal engenheiro de segurança da Ixia (empresa que fornece serviços de visibilidade de tráfego), tem o objetivo de invadir os roteadores e substituir o DNS original por um DNS dos atacantes. Feito isso, o usuário poderá digitar corretamente o endereço do banco que quer visitar, por exemplo, mas cairá numa página especialmente preparada pelos bandidos. Uma página idêntica, mas que irá capturar os dados de acesso ao banco.

Vasilescu conta que desde 29 de março de 2019 o centro de aplicativos e inteligência de ameaças da Ixia monitora os ataques contra os roteadores, mas essa campanha vem sendo desenvolvida desde 29 de dezembro. “Hoje, 5 de abril, capturamos uma nova onda de ataques que usam um servidor DNS diferente”, disse em seu blog. Os principais roteadores sob ataque, segundo ele, são os seguintes:

  • D-Link DSL
  • DSLink 260E
  • ARG-W4 ADSL
  • Secutech
  • TOTOLINK

Os endereços de DNS maliciosos inseridos nos roteadores são

  • 195.128.124.150 – primário
  • 195.128.124.181 – secundário
  • 195.128.124.131 – primário
  • 195.128.126.165 – secundário

O pesquisador da Ixia informa que aparentemente a campanha ainda está no início, porque algumas páginas não ficaram prontas e vários sites não estão utilizando ainda https. “Estamos em 2019 e a Internet ainda é um lugar perigoso. No entanto, precauções simples podem reduzir muitos riscos on-line. É bom conferir se nossos roteadores estão atualizados e sem  expor a interface do administrador on-line. Além disso, tenha cuidado extra ao acessar sites importantes, principalmente bancários. Certifique-se de que as conexões sejam HTTPS, verifique o certificado. Tudo isso é importante para garantir que, ao inserir suas credenciais, elas não cheguem para outra pessoa”.

Bayer confirma invasão da sua rede

O grupo Bayer foi espionado por hackers de um grupo chamado “Winnti”, segundo reportagem do portal alemão BR. Software malicioso desses hackers esteve presente na rede do grupo até o final de março. Segundo a publicação, o grupo “Winnti” deve agir em nome do estado chinês. Tanto especialistas em segurança de TI quanto autoridades de segurança alemãs assumem isso. Supõe-se que o mesmo grupo também tenha se infiltrado no grupo Thyssenkrupp em 2016.

A Bayer confirmou que os hackers conseguiram penetrar na rede do grupo: “Nosso Centro de Defesa Cibernética detectou no início de 2018 sinais de infecções do Winnti e lançou uma extensa análise”, indformou a empresa ao portal. Não foi possível descobrir desde quando os hackers estavam ativos na rede da Bayer. “Se uma empresa descobre que possui o malware Winnti em uma ou mais máquinas, fica claro que é um ataque direcionado”, afirmou Andreas Rohr, diretor de tecnologia da Organização Alemã de Segurança Cibernética (DCSO). O órgão foi fundado em 2015 por várias empresas, incluindo a Bayer, e esteve envolvida na investigação da ação. Rohr disse que as empresas têm de se perguntar “qual é o tamanho do comprometimento, ou seja, da infestação em toda a rede”.

Segundo a Bayer, os hackers do grupo “Winnti” infectaram “sistemas na interface da intranet para a Internet e sistemas de autorização”. A Bayer afirma que não há “evidências de perda de dados”. Um sistema infectado com o malware “Winnti foi encontrado por jornalistas do portal BR com a ajuda de uma varredura de rede. Eles em seguida, avisaram o grupo. No final de março, os sistemas foram limpos, diz a Bayer: “Até este ponto, de acordo com nossas descobertas, os atacantes não tomaram medidas para desviar informações.”

De acordo com informações do portal, pelo menos três empresas alemãs foram contaminadas com o malware do Winnti desde o começo do ano. O Departamento Federal de Segurança da Informação (BSI), responsável pela segurança de TI na Alemanha, avisou que as ameaças no ciberespaço estão em nível elevado para a economia alemã.

 

Xiaomi vendeu celulares com vulnerabilidade

A equipe de pesquisas da Check Point descobriu uma vulnerabilidade em um dos aplicativos pré-instalados da Xiaomi, um dos maiores fornecedores de smartphones do mundo. A empresa teve quase 8% de participação de mercado em 2018, ocupando o terceiro lugar em  telefonia móvel, com 118,7 milhões de unidades vendas no ano passado. A vulnerabilidade está no aplicativo de segurança “Guard Provider”, que deveria proteger o telefone contra malware, e foi descoberta pelo pesquisador Slava Makkaveev.

Ele conta em seu artigo sobre o tema que “devido à natureza insegura do tráfego de rede do Guard Provider e ao uso de vários SDKs (software development kits) no mesmo aplicativo, um atacante poderia se conectar à mesma rede Wi-Fi da vítima e fazer um ataque do tipo Man-in-the-Middle (MiTM) – quando os dados trocados entre duaspartes são de alguma forma interceptados”.

Em razão de falhas na comunicação entre os vários SDKs, o atacante poderia, então, injetar qualquer código nocivo, para roubo de senha, ransomware, rastreamento ou qualquer outro tipo de malware, disse o pesquisador. 

“É fundamental que os usuários atentem para a segurança dos dispositivos móveis da mesma forma que o fazem com seus computadores pessoais. Há muitas informações delicadas que podem ser expostas pelo simples fato de utilizarmos uma rede de wi-fi pública como em um café ou em um aeroporto, por exemplo”, alerta também Vinicius Bortoloni, Security Engineering Manager da Check Point Brasil.

Tal como todos os outros aplicativos pré-instalados como o Guard Provider, esse tipo de app está presente nos dispositivos móveis prontos para uso e não podem ser excluídos. A Check Point divulgou esta vulnerabilidade inicialmente à Xiaomi, que lançou um patch pouco depois para resolver o problema.

aplicativo de segurança pré-instalado da Xiaomi
O aplicativo de segurança pré-instalado da Xiaomi, conhecido como “GuardProvider”

Os prós e contras dos SDKs

Conforme o artigo de Makkaveev, “um kit de desenvolvimento de software (SDK) é um conjunto de ferramentas de programação para ajudar os desenvolvedores a criar aplicativos para uma plataforma específica. No caso de dispositivos móveis, os SDKs definitivamente ajudaram os desenvolvedores, eliminando a necessidade de perder tempo escrevendo código e desenvolvendo estabilidade de back-end para funcionalidades não relacionadas ao núcleo do aplicativo”.

“De fato, à medida que mais e mais SDKs são desenvolvidos, novos recursos e oportunidades se apresentam aos desenvolvedores de aplicativos e, finalmente, adicionam melhor funcionalidade aos usuários finais”.

“Mas, à medida que também mais e mais códigos de terceiros são adicionados ao aplicativo, o esforço para manter o ambiente de produção estável, protegendo os dados do usuário e controlando o desempenho, fica muito mais complexo”.

“Conhecido como ‘SDK Fatigue’, esse aumento no uso de vários SDKs no mesmo aplicativo torna o aplicativo mais suscetível a problemas como falhas, vírus, malwares, violações de privacidade, esgotamento de bateria, lentidão e muitos outros problemas”.

“As desvantagens ocultas de usar vários SDKs no mesmo aplicativo residem no fato de que todos compartilham o contexto e as permissões do aplicativo. Essas principais desvantagens são:

  1. Um problema em um SDK comprometeria a proteção de todos os demais;
  2. Os dados de armazenamento privado de um SDK não podem ser isolados e, portanto, podem ser acessados por outro SDK”.

“De acordo com um relatório recente, o uso de vários SDKs em um único aplicativo é muito mais comum do que se imagina. Em média, um único aplicativo agora tem mais de 18 SDKs implementados no mesmo aplicativo. Mas, ao fazer isso, os desenvolvedores deixam as organizações e os usuários expostos a possíveis armadilhas que podem ser exploradas pelos agentes de ameaças para interferir na operação regular do dispositivo”.

2+2=4? Nem sempre

“Embora não se espere que o pessoal de segurança de TI de uma organização conheça os detalhes precisos dos SDKs usados para criar os aplicativos que os funcionários podem colocar em seus dispositivos, eles devem estar cientes de que a maneira como os aplicativos são criados pode ter sua própria segurança oculta. Por enquanto, pode-se supor que elementos usados mesmo dentro de um aplicativo de segurança sejam todos seguros, como visto na vulnerabilidade acima nos aplicativos pré-instalados do Xiaomi, isso está longe de ser o caso”.

A única defesa contra esses tipos de ameaças ocultas e obscuras é garantir que a quantidade de dispositivos móveis da sua organização esteja protegida contra potenciais ataques Man-in-the-Middle.

“O Check Point SandBlast Mobile detectaria e evitaria tais ataques, eliminando assim as possíveis ameaças causadas pelo uso de vários SDKs no mesmo aplicativo”, conclui Bortoloni.