Como mensagens podem ser roubadas no Telegram?

Criptografia dribla justiça americana em 9 casosA força-tarefa da Lava-Jato do Ministério Público Federal (MPF) no Paraná veio a público recentemente informar que as investidas criminosas contra celulares de autoridades de diferentes instituições da República continuam a ocorrer com o claro objetivo de atacar a operação Lava Jato.  
 
A Avast (LSE:AVST), líder em produtos de segurança digital, avalia o cenário e estima diferentes maneiras sobre como o vazamento de dados no Telegram pode ocorrer. De acordo com o Evangelista em Segurança da Avast, Luis Corrons, no caso do atual ministro da justiça, uma das hipóteses é que alguém tenha infectado o telefone de Sergio Moro com um spyware de ferramenta de acesso remoto (RAT). Isto pode acontecer, por exemplo, quando um SMS é enviado para o telefone da vítima, enganando o usuário para clicar em um link que aciona o download do spyware em segundo plano.
 
Outra suposição é que o celular de Moro não tenha sido protegido com um PIN forte e alguém tenha tido acesso ao telefone, fisicamente, para instalar o spyware.
 
O vazamento de chat de grupo privado é ainda mencionado por Corrons. “Vimos um caso na Espanha, onde vazou um chat de um grupo privado do Telegram, pertencente ao partido político de extrema esquerda do país, o Podemos. Nesta situação, aparentemente alguém roubou o telefone de um dos membros e copiou todas as mensagens do grupo”, diz Luis Corrons. “No entanto, parece improvável que isso tenha acontecido com a autoridade no Brasil, já que não havia apenas mensagens de bate-papo, mas também gravações de áudio, vídeos e fotos vazadas”, completou.
 
Além disso, até agora, o site The Intercept Brasil em nenhum momento disse que o material publicado foi adquirido fruto de um ataque cibernético.
 
Como garantir que o vazamento de dados em aplicativos não aconteça?
 
Use senhas fortes: Para proteger o telefone contra espiões, os usuários devem, em primeiro lugar, garantir o uso de uma senha forte no dispositivo. Sem essa primeira camada de segurança em vigor, qualquer pessoa que acessar o telefone do usuário poderá acessar os aplicativos e os dados armazenados nele.
 
Instale um gerenciador de senhas: Se uma pessoa mal-intencionada tiver acesso à senha do usuário, ela poderá tentar utilizar essa senha para acessar outras contas nas quais o usuário está inscrito. Em geral, as pessoas devem usar senhas exclusivas. Os usuários não devem facilitar essas pesquisas, incluindo, potencialmente, referências da pessoa parceira. A melhor prática é usar um gerenciador de senhas para criar senhas exclusivas e difíceis de serem violadas. Um gerenciador de senhas lembra todas as senhas do usuário. Outra opção é usar frases complexas e memoráveis ou “frases sigilosas”, que os usuários sejam capazes de lembrar.
 
Defina um código de acesso, ID de toque ou identificação de rosto: As pessoas devem definir um código de acesso, que apenas elas conheçam e, simplesmente, digitem esse código antes de utilizarem o telefone. “Para os dispositivos que permitem isso, a pessoa pode definir um “ID de toque”, o qual desbloqueia o celular em resposta à sua impressão digital ou, então, definir uma “identificação de rosto” que libera o telefone para uso quando a câmera frontal do aparelho reconhecer o usuário”, destaca o executivo.
 
Nunca clique em links: As pessoas devem evitar clicar em links que recebem via SMS, mensagem de texto ou e-mail, pois podem ser phishing, induzindo a vítima a inserir seus dados pessoais ou baixar um aplicativo malicioso.
 
Instale um aplicativo de segurança: Freqüentemente, o spyware requer o acesso root de um telefone, para acessar dados sigilosos do usuário como fotos, vídeos e gravações telefônicas. As pessoas precisam estar atentas se um aplicativo solicitar permissão para obter esse acesso total. Para uma segurança completa, deve-se usar um aplicativo de segurança que detecte e bloqueie spywares e outros malwares.

MS nega vazamento mas manda PF investigar

Em nota oficial enviada ao Ciso Advisor, o Ministério da Saúde informou que concluiu a análise dos dados supostamente vazados do SUS e divulgados pelo hacker Tr3v0r. Segundo a nota, “não há indícios que as informações disponibilizadas são de origem da base de dados da pasta”.

O Ciso Advisor enviou à assessoria de imprensa do Ministério apenas duas perguntas.

1) Sendo a denúncia classificada como falsa pelo MS, por que precisou ser “encaminhada para a Polícia Federal para investigação criminal”?

Resposta: “O Ministério da Saúde é uma entidade que zela pelos direitos do cidadão, mesmo que os dados não tenham sido extraídos de uma base da pasta, o ato ainda constitui crime quando afeta a terceiros que não deveriam ser expostos. Assim, esta pasta preza por encaminhar as denúncias de quaisquer tipos de crime à Polícia Federal, para que as mesmas possam ser investigadas”.

2) Como a classificação de “falso o suposto vazamento” se baseou em “análise preliminar realizada pela pasta”, há outras análises em andamento?

Resposta: “A análise foi concluída e não há indícios que as informações disponibilizadas são de origem da base de dados da pasta”.

Bayer confirma invasão da sua rede

O grupo Bayer foi espionado por hackers de um grupo chamado “Winnti”, segundo reportagem do portal alemão BR. Software malicioso desses hackers esteve presente na rede do grupo até o final de março. Segundo a publicação, o grupo “Winnti” deve agir em nome do estado chinês. Tanto especialistas em segurança de TI quanto autoridades de segurança alemãs assumem isso. Supõe-se que o mesmo grupo também tenha se infiltrado no grupo Thyssenkrupp em 2016.

A Bayer confirmou que os hackers conseguiram penetrar na rede do grupo: “Nosso Centro de Defesa Cibernética detectou no início de 2018 sinais de infecções do Winnti e lançou uma extensa análise”, indformou a empresa ao portal. Não foi possível descobrir desde quando os hackers estavam ativos na rede da Bayer. “Se uma empresa descobre que possui o malware Winnti em uma ou mais máquinas, fica claro que é um ataque direcionado”, afirmou Andreas Rohr, diretor de tecnologia da Organização Alemã de Segurança Cibernética (DCSO). O órgão foi fundado em 2015 por várias empresas, incluindo a Bayer, e esteve envolvida na investigação da ação. Rohr disse que as empresas têm de se perguntar “qual é o tamanho do comprometimento, ou seja, da infestação em toda a rede”.

Segundo a Bayer, os hackers do grupo “Winnti” infectaram “sistemas na interface da intranet para a Internet e sistemas de autorização”. A Bayer afirma que não há “evidências de perda de dados”. Um sistema infectado com o malware “Winnti foi encontrado por jornalistas do portal BR com a ajuda de uma varredura de rede. Eles em seguida, avisaram o grupo. No final de março, os sistemas foram limpos, diz a Bayer: “Até este ponto, de acordo com nossas descobertas, os atacantes não tomaram medidas para desviar informações.”

De acordo com informações do portal, pelo menos três empresas alemãs foram contaminadas com o malware do Winnti desde o começo do ano. O Departamento Federal de Segurança da Informação (BSI), responsável pela segurança de TI na Alemanha, avisou que as ameaças no ciberespaço estão em nível elevado para a economia alemã.

 

Ataque hacker destrói 18 anos de e-Mails

Um hacker invadiu os servidores da VFEmail, um provedor de e-Mail da cidade de Milwaukee (Wisconsin, EUA) e apagou tudo. Não somente os bancos de dados: ele formatou os discos, apagou as máquinas virtuais, destruiu tudo segundo o dono da empresa, o norte-americano Rick Romero. A VFEmail não é um serviço de e-Mail comum: ela fornece endereços de e-mail anônimos, gratuitamente e mediante pagamento.

O ataque foi curto mas de uma eficiência impressionante, e parece ter começado ontem, segunda-feira, 11 de fevereiro. No Twitter da empresa, foi feito o seguinte post (veja ao lado): “Não parece bom. Todos os sistemas expostos ao exterior, com diferentes sistemas operacionais e autenticação remota, em vários datacenters, caíram”.

Enquanto isso, vários clientes publicavam tweets reclamando da falta de acesso ao serviço. Duas horas após essa mensagem, o Twitter da VFEmail disse que o atacante foi localizado fazendo “formatação completa do servidor de backup”, rodando comandos Linux. Estava usando, segundo o tweet, um endereço IP de um provedor de serviços de Sofia, Bulgária, o que pode ter sido um mero intermediário, provavelmente usado para despistar. A empresa acrescentou: “Neste momento, o invasor formatou todos os discos em todos os servidores. Todas as VMs foram perdidas. Todos os servidores foram perdidos, todos os servidores de backup foram perdidos”. Essas máquinas estavam em provedores nos EUA.

Romero acrescentou que os servidores hospedados na Holanda estavam íntegros, mas com um conjunto de dados muito menor do que nos EUA, de modo que “os backups de NL (Holanda) estavam intactos e devem estar lá”.

A retomada das atividade está ocorrendo gradualmente, justamente graças aos sistemas hospedados na Holanda e seus backups. A VFEmail também planeja examinar o servidor de arquivos cuja formatação foi possível interromper, para ver se pode ser restaurado.

Neste cenário não houve pedido de resgate, apenas ataque e destruição. Não parece ser uma operação amadora porque, conforme enfatizado pelo operador do VFEmail, “as VMs não compartilharam a mesma autenticação, mas todas foram destruídas. Foi mais do que uma exploração baseada em múltiplas senhas via ssh “. Não foi o primeiro ataque. Os anteriores foram:

  • 2015 – um grupo exigiu pagamento de Romero, ele não pagou. Sofreu um ataque de DDoS pesado
  • 2017 – outro DDoS, tão pesado que o provedor expulsou a VFEmail e ela teve de fazer hospedagem em outro lugar
  • 2018 – em dezembro mais um ataque de DDoS