MS nega vazamento mas manda PF investigar

Em nota oficial enviada ao Ciso Advisor, o Ministério da Saúde informou que concluiu a análise dos dados supostamente vazados do SUS e divulgados pelo hacker Tr3v0r. Segundo a nota, “não há indícios que as informações disponibilizadas são de origem da base de dados da pasta”.

O Ciso Advisor enviou à assessoria de imprensa do Ministério apenas duas perguntas.

1) Sendo a denúncia classificada como falsa pelo MS, por que precisou ser “encaminhada para a Polícia Federal para investigação criminal”?

Resposta: “O Ministério da Saúde é uma entidade que zela pelos direitos do cidadão, mesmo que os dados não tenham sido extraídos de uma base da pasta, o ato ainda constitui crime quando afeta a terceiros que não deveriam ser expostos. Assim, esta pasta preza por encaminhar as denúncias de quaisquer tipos de crime à Polícia Federal, para que as mesmas possam ser investigadas”.

2) Como a classificação de “falso o suposto vazamento” se baseou em “análise preliminar realizada pela pasta”, há outras análises em andamento?

Resposta: “A análise foi concluída e não há indícios que as informações disponibilizadas são de origem da base de dados da pasta”.

São Paulo: honeypot na AWS sofre 13 ataques/minuto

Instale um honeypot em um AWS de São Paulo e outros em mais nove cidades de outros países, também em AWS. Agora adivinhe qual o honeypot atacado primeiro. Se você respondeu São Paulo, acertou. A experiência foi feita pela Sophos, que apresentou ontem os resultados no relatório Cloud Honeypot. O relatório mostra que depois de apenas 52 segundos os cibercriminosos atacaram o honeypot de São Paulo. Foram 13 ataques por minuto nesse servidor.

Os honeypots foram instalados em dez centros de dados da Amazon Web Services (AWS) em vários locais, incluindo: Califórnia, Frankfurt, Irlanda, Londres, Mumbai, Ohio, Paris, São Paulo, Cingapura e Sydney.

[box]Um honeypot é um sistema ou componente de hardware ou software usado como “armadilha” ou “isca” para fins de proteção contra ataques cibernéticos. É frequentemente usado para monitorar o comportamento dos hackers.[/box]

Os honeypots foram monitorados por 30 dias e a análise da Sophos descobriu que mais de 5 milhões de ataques foram feitos sobre a rede honeypot global, demonstrando como os criminosos virtuais verificam automaticamente as plataformas de nuvem mais fracas. Se conseguirem ter acesso, as empresas que usam essas plataformas podem ser vítimas do roubo de dados confidenciais. Os cibercriminosos também usam servidores em nuvem violados como base para acessar outros servidores ou redes.

O relatório da Sophos identifica as ameaças enfrentadas pelas empresas que migram para plataformas híbridas e em nuvem. A velocidade e o tamanho dos ataques aos honeypots mostram como os cibercriminosos são insistentes em suas atividades e confirmam que os botnets costumam a ser usados para atingir as plataformas de nuvem da empresa. As empresas precisam de uma estratégia de segurança para proteger o que estão confiando à nuvem”, disse Matthew Boddy, especialista em segurança da Sophos. “A questão da visibilidade e segurança nas plataformas de nuvem é um grande desafio comercial e, à medida que a migração na nuvem aumenta, continuará sendo predominante.”

 

Bug via IPV6 derruba roteadores Mikrotik

Os roteadores Mikrotik, muito populares entre os provedores de acesso, têm um problem grave segundo um pesquisador: eles podem ser derrubados por meio de um acesso via IPV6. O problema não é novo: ele foi informado à empresa em Abril do ano passado, mas até agora a Mikrotik não corrigiu o problema. Agora, o pesquisador que descobriu a falha, Marek Isalski, vai publicá-la na conferência UK Network Operators’ Forum, dia 9 de Abril, em Manchester, Inglaterra.

O problema está no sistema operacional RouterOS V7, e já tem até CVE reservado: é o CVE-2018-19299. O problema ganhou um score de 9.3 no CVSS. Segundo Isalski, a Mikrotik fez mais de 20 updates depois da comunicação dele, e não trouxe uma solução para esse problema alegando que é bug e não vulnerabilidade de segurança. De acordo com um post no fórum de usuários da MikroTik, a vulnerabilidade é “um problema de exaustão de memória. Você envia um pacote v6 formado de certa forma para um roteador Mikrotik e o kernel vaza um pouco de memória. Quando a memória se esgota,  o watchdog reinicia o dispositivo. Não há como barrar com firewall, porque seja qual for a característica que causa o problema ele pode ser criado com qualquer pacote IPv6”.

O pesquisador conta que o problema permite a um atacante remoto derrubar qualquer dispositivo Mikrotik caso possa acessá-lo via IPv6. “Mesmo com o firewall, você ainda é um pato sentado”, afirma. Num post no forum da Mikrotik, ele fez uma convocação aos colegas: “Como uma comunidade, é absolutamente crítico que nós pressionemos o Mikrotik para uma solução deste problema como uma questão de extrema urgência. As conseqüências de que isto vaze antes de uma correção estar disponível seria desastrosa para todos nós. Todos prestem atenção e ajudem a garantir que o Mikrotik entenda como esse problema é crítico”.

Embora a publicação ainda não tenha sido feita, o problema já está inquietando provedores. Por conta disso, o engenheiro Antonio Marcos Moreiras, do NiC BR e um dos evangelistas do IPv6 no Brasil, gravou um vídeo recomendando que ninguém se precipite. Assista:

Ataque hacker destrói 18 anos de e-Mails

Um hacker invadiu os servidores da VFEmail, um provedor de e-Mail da cidade de Milwaukee (Wisconsin, EUA) e apagou tudo. Não somente os bancos de dados: ele formatou os discos, apagou as máquinas virtuais, destruiu tudo segundo o dono da empresa, o norte-americano Rick Romero. A VFEmail não é um serviço de e-Mail comum: ela fornece endereços de e-mail anônimos, gratuitamente e mediante pagamento.

O ataque foi curto mas de uma eficiência impressionante, e parece ter começado ontem, segunda-feira, 11 de fevereiro. No Twitter da empresa, foi feito o seguinte post (veja ao lado): “Não parece bom. Todos os sistemas expostos ao exterior, com diferentes sistemas operacionais e autenticação remota, em vários datacenters, caíram”.

Enquanto isso, vários clientes publicavam tweets reclamando da falta de acesso ao serviço. Duas horas após essa mensagem, o Twitter da VFEmail disse que o atacante foi localizado fazendo “formatação completa do servidor de backup”, rodando comandos Linux. Estava usando, segundo o tweet, um endereço IP de um provedor de serviços de Sofia, Bulgária, o que pode ter sido um mero intermediário, provavelmente usado para despistar. A empresa acrescentou: “Neste momento, o invasor formatou todos os discos em todos os servidores. Todas as VMs foram perdidas. Todos os servidores foram perdidos, todos os servidores de backup foram perdidos”. Essas máquinas estavam em provedores nos EUA.

Romero acrescentou que os servidores hospedados na Holanda estavam íntegros, mas com um conjunto de dados muito menor do que nos EUA, de modo que “os backups de NL (Holanda) estavam intactos e devem estar lá”.

A retomada das atividade está ocorrendo gradualmente, justamente graças aos sistemas hospedados na Holanda e seus backups. A VFEmail também planeja examinar o servidor de arquivos cuja formatação foi possível interromper, para ver se pode ser restaurado.

Neste cenário não houve pedido de resgate, apenas ataque e destruição. Não parece ser uma operação amadora porque, conforme enfatizado pelo operador do VFEmail, “as VMs não compartilharam a mesma autenticação, mas todas foram destruídas. Foi mais do que uma exploração baseada em múltiplas senhas via ssh “. Não foi o primeiro ataque. Os anteriores foram:

  • 2015 – um grupo exigiu pagamento de Romero, ele não pagou. Sofreu um ataque de DDoS pesado
  • 2017 – outro DDoS, tão pesado que o provedor expulsou a VFEmail e ela teve de fazer hospedagem em outro lugar
  • 2018 – em dezembro mais um ataque de DDoS

 

 

 

 

Servidor aberto mostra 120 milhões de CPFs

Clique para ampliar

Ignorância, falta de cuidado ou esquecimento permitiram que um servidor brasileiro deixasse expostos 102 gigabytes de dados em oito arquivos compactados. Um desses arquivos contém os CPFs de 102 milhões de pessoas. A descoberta foi anunciada ontem pela empresa de segurança norte-americana InfoArmor, que constantemente pesquisa a internet localizando servidores  com problemas.

Um exame rápido mostrou que alguém havia renomeado o arquivo “index.html” para “index.html_bkp”. Sem uma página default para exibir, o servidor passou a entregar o diretório inteiro a qualquer pessoa que apontasse seu browser para aquele endereço.  Os links na tela capturada pela empresa mostram os arquivos do banco de dados abertos e disponíveis para download. Pela tela de um dos bancos de dados verificados pela empresa pode-se ver a quantidade de informações disponíveis.

A descoberta foi feita em março deste ano. É possível que somente nas últimas semanas o problema tenha sido solucionado, permitindo então a publicação do relatório.

Christian Lees, diretor de inteligência da InfoArmor, observa que este não é um caso de invasão mas de exposição: “Com a corrida louca paracompartilhar serviços de nuvem, estamos vendo uma quantidade enorme de dados vazados, o que é potencialmente dez vezes pior do que a atividade real de um agente de ameaças”. Ele relembra que o CPF é um número que todos os cidadãos utilizam para praticamente tudo no Brasil. “Infelizmente”, diz ele, “não é raro a equipe de pesquisa do InfoArmor encontrar dados vazados em Buckets S3 e servidores mal configurados, revelando publicamente informações destinadas a serem privadas”.