Botnet começa no Brasil e já tem 170.000 roteadores

Relatório do Shodan indica os roteadores. Clique para ampliar

O pesquisador Simon Kenin, da empresa de segurança Trustwave, encontrou na web uma nova botnet. Ela é formada formada por mais de 170.000 roteadores marca MikroTik, que estão iinfectados com scripts Coinhive para minerar criptomoedas usando os computadores e dispositivos dos usuários conectados. Segundo o pesquisador, essa botnet começou com roteadores no Brasil, e em pouco tempo começou a infectar dispositivos de todo o mundo, já ultrapassando a marca de 170.000 roteadores MikroTik comprometidos, número que também continua crescendo.

De acordo com Simon, esses roteadores foram comprometidos por meio de uma falha de segurança ainda não registrada nem documentada (uma do tipo zero day), encontrada em abril passado por um grupo de pesquisadores de segurança no componente Winbox desses roteadores. Esses pesquisadores publicaram a prova de conceito no GitHub, e isso permitiu que os hackers fizessem o desenvolvimento de um meio de explorar a falha para realizar esse ataque e transformar os roteadores em uma botnet usada para minerar criptomoedas.

Embora se estime que haja cerca de 170.000 roteadores MikroTik infectados em todo o mundo, na realidade o número de vítimas pode ser muito maior. Isso ocorre porque alguns provedores de Internet usam esse tipo de roteador. Quando infectado, ele envia automaticamente os scripts Coinhive para todos os clientes, ocultos nos pacotes HTTP. Além disso, se um site estiver conectado por meio de um roteador desse fabricante, todos os visitantes que acessarem aquele site poderão estar recebendo o script Coinhive. De acordo com o mecanismo de busca “Shodan”, existem atualmente cerca de dois milhões de roteadores MikroTik conectados, a maioria vulnerável por não ter instalado os últimos patches de segurança.

Unochapecó adota rede segura da Palo Alto

Firewall de Próxima Geração PA-5020
Firewall de Próxima Geração PA-5020
Tela do Panorama, aplicação de monitoramento de rede da Palo Alto Networks.Clique para ampliar

A Universidade Comunitária da Região de Chapecó (SC), Unochapecó, anuncia que reforçou sua segurança cibernética com duas soluções da Palo Alto Networks: o firewall de próxima geração (NGFW) e o gerenciamento de segurança de rede. O resultado é visibilidade da rede e controle de aplicativos e ameaças da Internet nas redes de seus campi. A implementação garante informações confidenciais e registros escolares dos alunos, além de apoiar a transformação digital da instituição.

A Unochapecó tem uma relação estreita com a tecnologia para o ensino, sendo pioneira no Brasil no uso de aplicações hoje usadas por inúmeros centros de estudo, diz Lissandro Hoffmeister, diretor de TI da instituição. “Garantir esse ambiente de rede é de extrema importância para nós”, explica. “Tanto para o aumento de produtividade quanto para qualidade de ensino dos alunos, o ponto mais importante é a segurança da informação, já que a Unochapecó possui os dados de mais de 30 mil pessoas formadas na instituição, e essas informações de arquivo precisam ser preservadas”.

Antes de adotar soluções da Palo Alto Networks, a Unochapecó enfrentou o desafio de proteger um modelo de infraestrutura de rede desatualizado, que exigia gerenciamento manual de conteúdo, tornando quase impossível para a universidade gerenciar e registrar páginas com conteúdo proibitivo. Para proteger melhor as informações de mais de 8 mil alunos, professores e administradores, a equipe de TI da Unochapecó precisava criar um ambiente educacional de TI que fosse flexível, automatizado, rápido e seguro.

A Unochapecó adquiriu e implantou um Firewall de Próxima Geração PA-5020, para altos níveis de throughput com segurança avançada e controle granular, bem como o Panorama, que fornece gerenciamento centralizado, controles abrangentes e visibilidade profunda de ameaças de segurança e tráfego de rede.

O sistema de segurança suporta o uso misto, com alunos e professores que utilizam vários dispositivos, diferentes sistemas operacionais e modelos de computadores, em locais públicos, salas de aula e setor administrativo. Esse controle de acesso prático é importante para o andamento das atividades acadêmicas, como também para manter a segurança das informações da Universidade diz o gestor de TI. O gerenciamento centralizado em Chapecó também controla o campus de São Lourenço do Oeste.

A aquisição foi facilitada pela TechDEC, parceiro de canal da Palo Alto Networks. O parceiro ainda trabalhou com todos os testes preliminares, PoC (Prova de Conceito) e a garantia homologada com o fabricante.

Credenciais do Extra expostas na internet

Um total de 92 credenciais de clientes dos supermercados Extra estão expostas na internet. O arquivo foi postado dia 18 de julho por um hacker, com o título “Para a rapaziada da Perfect”. Perfect, conforme apurado pelo Cibersecurity, é um forum onde hackers brasileiros trocam informações sobre diversos assuntos relacionados ao comércio de credenciais de terceiros e de mercadorias obtidas com elas.

As credenciais do Extra são funcionais, ou seja, fazem acesso ao site da loja virtual. Elas contêm não apenas o login e senha, mas também nome, CPF e cidade do cliente. Quem localizar e fizer acesso conseguirá visualizar outros dados, como por exemplo o endereço completo da pessoa. O cadastro da loja permite ainda o armazenamento de números de cartão de crédito.

A existência dessas credenciais não quer dizer que elas foram obtidas por invasão ou vazamento no site do Extra. Provavelmente foram obtidas com o uso de páginas falsas, que imitam a home page da loja virtual Extra.

Chile: 15 mil cartões de crédito hackeados

O Banco de Chile, um dos mais antigos do Chile, pode ter sido invadido pelo grupo de hackers ShadowBrokers: na quarta-feira da semana passada, a Superintendencia de Bancos e Instituciones Financieras (SBIF), órgão que desde 1925 supervisiona o mercado para proteger os depositantes e clientes, confirmou que o sistema financeiro chileno foi atacado. Os dados foram publicados num endereço da internet e tuitados pelos ShadowBrokers. Foram localizados em seguida pela equipe do SOC da Telefónica em Santiago. Do total de números publicados, a maioria é de cartões inativos segundo a SBIF, mas 2446 estavam ativos.

Um especialista em segurança, no entanto, conseguiu copiar os dados e colocá-los numa planilha que está disponível na internet para consulta.  A planilha contém 15093 números, mais do que os 14 mil informados pela SBIF.

Em sua mensagem no Twitter, os ShadowBrokers atacam o governo chileno e exigem a libertação de quatro hackers, um deles chileno. Os cartões não são emitidos somente pelo Banco de Chile, mas também por vários outros bancos, entre eles o Itaú (do Chile) e o Santander (idem), havendo ainda emissores de outros países. Além do número do cartão, os hackers publicaram também o código de segurança e a data de expiração de cada cartão. O comunicado da SBIF diz ainda que “La Superintendencia se ha contactado con las entidades afectadas, a las que se les ha instruido tomar las medidas para resguardar a los clientes titulares de las tarjetas afectadas, comunicarse de forma clara y oportuna con ellos y tomar todas las acciones de seguridad necesarias para aclarar el origen del incidente”.

 

 

Logins e senhas de e-Commerce abertos na internet

Um lote de logins e senhas de clientes de comércio eletrônico das Casas Bahia, Ponto Frio e Saraiva está aberto na internet. Eu só vi agora, mas esse lote está lá desde o dia 8 de Novembro do ano passado e aparentemente ainda não foi detectado pelas áreas de segurança de nenhuma das três empresas, já que os logins e senhas continuam funcionando. A maioria delas tem equipes que vasculham a Internet à procura de vazamentos desse tipo, em geral na Dark Web, e costuma encontrá-los logo. Mas neste caso nem é Dark – é um site normal e indexado pelo Google e infelizmente não foi ainda detectado.

Não é o primeiro e nem será o último lote, já que os cibercriminosos não param de preparar armadilhas, incluindo a divulgação de links falsos pelas redes sociais e pelo WhatsApp. As pessoas que fisgaram as informações desses clientes estão interessadas em prejudicar as vítimas e isso já pode estar acontecendo: os logins e senhas estão funcionando e quem utilizá-los tem acesso a dados que deviam ser sigilosos como nome completo, CPF, endereço e telefone pessoal. Nesses sites é possível inclusive armazenar números de cartão de crédito e com eles fazer compras.

O lote localizado pelo Cisoadvisor contém 34 logins das Casas Bahia, 81 do Ponto Frio e 106 da Saraiva. Provavelmente eles foram obtidos por meio de phishing, num esquema utilizando um site com a mesma aparência da loja mas num endereço totalmente diferente e projetado para coletar logins e senhas. Utilizando esses dados e mais números de cartões de crédito roubados os criminosos podem fazer compras fraudulentas em nome de clientes legítimos. No entanto, não se pode descartar a possibilidade de que criminosos tenham obtido os dados diretamente desses sites de comércio eletrônico, por meio de invasão ou do uso de credenciais roubadas.

 

Oficial do Exército alerta sobre a vulnerabilidade de servidores

O Cyber Security Summit Brasil 2018, evento que reuniu a cúpula mundial da segurança cibernética no sábado passado (28/7), em São Paulo, contou também com a participação do Oficial do Exército Brasileiro Eder Luis. O oficial iniciou o debate abordando como hackers invadem e comprometem servidores com proteção de Shell enjaulado. No início da palestra, o militar explicou como acontecem as invasões e ressaltou a importância da atualização de sistemas. “Servidores desatualizados são alvos fáceis para hackers, pois permitem que eles escalem privilégios facilmente dentro do sistema”.

Para demonstrar as invasões, o oficial, que também é especialista em análise forense computacional, realizou duas simulações utilizando como exemplo um servidor enjaulado, ou seja, um sistema mais protegido, e outro servidor mais vulnerável. Na simulação, Eder demonstrou como os invasores estão cada vez mais sofisticados e capazes de ultrapassar facilmente até mesmo os sistemas mais seguros.

De acordo com o oficial, a primeira preocupação do hacker ao invadir um sistema é sondar as possibilidades de exploração dentro dele. “O hacker vai tentar rodar vários comandos a fim de escalar o máximo de privilégios possíveis”, disse o oficial.

O militar ressaltou que os criminosos buscam e desenvolvem diariamente ferramentas de ataque, inclusive, que podem ser encontradas na internet, e ainda fez um alerta para que usuários também busquem conhecimento. Para ele, o Script keed é fundamental para que os usuários identifiquem suas vulnerabilidades e se protejam com antecedência.

“Infelizmente, demoramos muito para renderizar nossos computadores e um hacker, em questão de minutos, consegue desfazer todo esse trabalho. É preciso estudar segurança ofensiva e defesa ativa. Muitos acham que estão fazendo cibersegurança padrão, quando, na verdade, não estão”, disse o oficial.

Cyber Security Summit 2018

John Walker durante sua palestra no Cyber Security Summit 2018

Muito bom o primeiro dia do Cyber Security Summit 2018 em São Paulo. Ele aconteceu numa das áreas de eventos do World Trade Center, organizado pela CyberEdTalks e Supervisionado pelo especialista Rafael Narezzi. O Summit contou com especialistas classe “AAA”, como o adido do FBI no Brasil, David Brassanini, a advogada Patrícia Peck e o professor John Walker, cuja palestra tive a oportundiade de assistir. Perdi infelizmente a do major Rafael Salema Marques, um dos mais jovens especialistas em ciberdefesa da Força Aérea Brasileira.

Destaque para John Walker, que é professor da Nottingham Trent University,  na Inglaterra, e fala dos problemas de segurança com todas as letras, já que não está preso a nenhuma empresa. Entre as coisas que ele falou e me agradaram: 1) cibersegurança não é um problema da tecnologia, é agora um problema social; 2) cuidado com as redes sociais: com pequenos fragmentos de informação se podem construir grandes retratos.

 

 

 

 

Brasil em 5o na lista de ERPs em risco

[toggle title_open=”Fechar” title_closed=”English Version” hide=”yes” border=”yes” style=”default” excerpt_length=”0″ read_more_text=”Read More” read_less_text=”Read Less” include_excerpt_html=”no”]Brazil is one of the five countries with the highest risk of attacks on SAP ERP systems. These systems, like those of Oracle and other major vendors, are responsible for the management and operation of many companies, and their shutdown can literally freeze a corporation’s operations. The information is in a report prepared by the companies Digital Shadows and Onapsis, both of the USA, being the first specialized in web intelligence and the second in security for large ERPs. According to the report, which examined the ERP exposure of SAP and Oracle, the highest risk of attacking SAP systems is (in order) with the US, India, China, Germany and Brazil. In relation to Oracle, the largest exhibitions are from USA, UK, UAE, Ireland and Canada. The largest number of ERPs exposed, from both brands, is in the US, with more than 3,000 servers exposed.

The importance of the information generated a seven-line alert from CERT-US, the US Cyber ​​Incident Response Center.

The research, carried out with the help of the research mechanisms Shodan and Censys, shows, among other facts, that since 2013 signals for an attack on the two brands’ systems have grown: both officially registered vulnerabilities (and corrected by suppliers) as well as negotiations between hackers of all kinds and strands, interested in selling and acquiring data that allow the invasion of SAP and Oracle ERPs.

The report can be downloaded

https://www.onapsis.com/research/reports/erp-security-threat-report[/toggle]

O Brasil é um dos cinco países com maior risco de ataques a sistemas ERP da SAP. Esses sistemas, assim como os da Oracle e de outros fornecedores importantes, são responsáveis pela administração e operação de muitas empresas, e sua parada pode literalmente congelar as operações de uma corporação. A informação está num relatório preparado pelas empresas Digital Shadows e Onapsis, ambas dos EUA, sendo a primeira especializada em inteligência na web e a segunda em segurança para ERPs de grande porte. Segundo o relatório, que examinou a exposição de ERPs da SAP e Oracle, o risco mais elevado de ataque a sistemas da SAP está (pela ordem) com EUA, Índia, China, Alemanha e Brasil. Com relação ao da Oracle, as maiores exposições são de EUA, Reino Unido, Emirados Árabes, Irlanda e Canadá. A maior quantidade de ERPs expostos, de ambas as marcas, está nos EUA, com mais de 3 mil servidores expostos.

A importância da informação gerou um alerta de sete linhas do CERT-US, o Centro de Resposta a Incidentes Cibernéticos dos EUA.

A pesquisa, feita com o auxílio dos mecanismos de pesquisa Shodan e Censys, mostra, entre outros fatos, que desde 2013 crescem os sinais para um ataque nso sistemas das duas marcas: são cada vez mais numerosos tanto as vulnerabilidades registradas oficialmente (e corrigidas pelos fornecedores) quanto as negociações entre hackers de todos os tipos e vertentes, interessados na venda e aquisição de dados que permitem a invasão dos ERPs da SAP e da Oracle.

O relatório pode ser baixado em

https://www.onapsis.com/research/reports/erp-security-threat-report

 

Reconhecimento facial: saiu o da Easy Solutions

A Easy Solutions, empresa especializada na prevenção de fraudes eletrônicas, acaba de lançar uma funcionalidade de reconhecimento facial para a sua solução DetectID, destinada à autenticação em canais digitais. Esse novo recurso, chamado de SelfID, permite a autenticação do usuário por meio de uma simples “selfie”, tornando o processo mais simples e em tese seguro.

Ricardo Villadiego, presidente da Easy solutions, explica que o SelfID é fácil de usar, flexível e customizável. “Além de oferecer dicas para que os usuários realizem o processo de autenticação corretamente, o SelfID solicita que eles façam gestos para provar que eles são quem afirmam ser”, explica. “A ferramenta reconhece características faciais específicas de cada pessoa, concedendo acesso apenas aos usuários legítimos”, completa.

Os gestos disponíveis para autenticação incluem mover a cabeça para os lados, manter uma expressão séria e ate contar o número de piscadas de olhos. É possível, ainda, customizar a interface para atender às necessidades de cada usuário. “Desse modo, a organização e seus clientes ficam protegidos por uma solução de autenticação segura e conveniente”, finaliza Villadiego.

 

ABINC e a Lei de Proteção de Dados

O Projeto de Lei 53/2018, que disciplina a proteção dos dados pessoais e define as situações em que estes podem ser coletados e tratados por empresas e pelo Poder Público, foi aprovado pelo plenário do Senado Federal na última terça-feira, 10 de julho. No aguardo da sanção do Presidente Michel Temer, que deve acontecer nos próximos dias, empresários e representantes de entidades que colhem dados pessoais e dependem deles para operar e expandir os seus negócios começam a se movimentar para entender as novas regras e adaptar o seu negócio à esta nova realidade.

Márcio Cots, diretor jurídico da ABINC e sócio da Cots Advogados,  acha imprescindível o Brasil seguir esta tendência mundial de garantir a segurança dos dados. Esta é sua entrevista com a visão da ABINC sobre o assunto.

O que você acha da Lei e do texto aprovado pelo Senado?
A criação de uma Lei Geral de Proteção de Dados é essencial para manter o Brasil em harmonia com uma tendência mundial. Não fazia sentido empresas brasileiras perderem oportunidades de negócios por conta de o Brasil constar no mapa de risco da UE e de outros países que já possuem legislação específica.

Se sancionada pelo Presidente Michel Temer, como esperamos que seja, a lei vai aliar dois aspectos que vemos com muito bons olhos: ela não cria apenas regras pontuais que poderiam, no futuro, se tornar inadequadas ou ultrapassadas; e o projeto estabelece princípios e fundamentos do tratamento de dados no Brasil que a tornará atual, mesmo diante de maiores avanços tecnológicos.

Dessa forma, entendemos que a nova lei está bastante adequada ao fim a que se destina, mesmo que sofra, como é natural, adaptações legislativas futuras, de acordo com as dificuldades que surgirão.

Como a Internet das Coisas precisa de dados pessoais para inovar e crescer?
É importante, primeiro, entender que dado pessoal é toda informação que identifique uma pessoa natural ou a torne identificável por meios razoáveis.

A alma da IoT é a comunicação entre dispositivos, com processamento de dados dos mais variáveis, incluindo os pessoais. Ela é vista pelo mercado como um personagem importante na captação de dados, mas para se manter regular, a empresa precisará observar a nova legislação. Só assim poderá crescer.

Ainda que uma determinada empresa tente evitar de manter consigo dados flagrantemente pessoais, como nome e CPF, para não precisar se preocupar em se adaptar à lei, ainda assim poderá estar a ela submetida se os dados processados puderem, com aplicação razoável de técnica, identificar uma pessoa.

O endereço IP, por exemplo, pode identificar uma pessoa quando aliado a outras informações, como idade, sexo, características físicas, etc. Outro exemplo são os dados biométricos, que além de serem dados pessoais, ainda são destacados como dados sensíveis, ou seja, precisam de maior cuidado ao serem tratados.

A IoT é vista pelo mercado como um personagem importante na captação de dados, mas para se manter regular, a empresa precisará observar a nova legislação. Só assim poderá crescer.

O quinto Índice Anual de Confiança na Segurança de Dados, feito pela Gemalto, concluiu que duas em cada três empresas (65%) não estão preparadas para analisar todos os dados que coletam e apenas metade (54%) das empresas sabem onde todos seus dados sensíveis estão armazenados, o que aumenta as chances de invasão. Na sua opinião, onde as empresas devem investir para otimizar o uso de dados coletados e garantir a segurança das informações de forma mais efetiva?
As empresas deverão agir em duas frentes: regularizar, quando possível, o banco de dados existentes, e passar a tratar os novos dados e acordo com a legislação.

Entendemos que a primeira frente é a mais problemática, tendo em vista que há empresas com dados pessoais que não conhecem a origem ou tenham origem irregular do ponto de vista da nova legislação. Se a empresa passar a coletar dados pessoais de forma correta, mas incluí-lo no banco de dados “viciado”, todo o banco pode ser perdido. Por isso, investir nas duas frentes é essencial para manter a regularidade do tratamento de dados.

Ainda segundo esse mesmo estudo, mais de dois terços das organizações (68%) admitem que não estão realizando todos os procedimentos necessários para estar em conformidade com as leis de proteção de dados, como o GDPR (Regulamento Geral sobre a Proteção de Dados). Qual orientação você daria para as empresas brasileiras sobre esta nova lei?
A proteção de dados pessoais é uma tendência mundial irreversível e as empresas que resistirem a se adaptar poderão ser colocadas de lado pelo mercado. A PLC 53 não é o fim do mundo para as empresas, pelo contrário. Fazendo um paralelo com o Código de Defesa do Consumidor, por exemplo, quando o ele foi criado o comércio em geral pensou que seria o caos e que a legislação iria acabar com muitas empresas. Ocorre que, agora, o CDC não é um empecilho que impede a livre iniciativa, mas uma forma de praticar uma atividade com segurança jurídica quanto ao que se pode e não se pode fazer. O mesmo ocorrerá, a nosso ver, com a lei de proteção de dados.

Qual a vantagem que as empresas podem aproveitar com esta lei?
Há duas formas de ver uma legislação nova que regula um tema que até então não havia sido regulamento. Existe a visão de que aquilo é uma barreira e a visão de que aquilo é uma segurança para o seu negócio. Não gostamos muito de tratar a questão como se fosse uma barreira e tentamos olhar sempre o lado mais positivo, ou seja, havendo regras claras sobre o tratamento de dados no Brasil, esse tratamento acontecerá de uma forma mais segura. Então tanto startups, e-commerces, quanto as empresas em geral vão poder coletar e tratar dados com muito mais segurança ao saber o que pode e não pode fazer.

A adaptação à nova lei pode gerar a necessidade de novos investimentos às empresas? Quais?
As empresas precisarão investir em ferramentas tecnológicas e serviços especializados, além de precisar revisar contratos com prestadores de serviço, fornecedores, empregados, etc.

O lado bom disso tudo é que a “terra sem lei”, que era o tratamento de dados no Brasil, não existirá mais. Para as empresas que queriam fazer o que bem entendessem com dados de terceiros, certamente haverá prejuízos.

Existe algum ponto da lei que pode prejudicar os usuários? Qual?
Entendemos que a proteção dada aos titulares está bem adequada, incluindo o direito de se opor ao tratamento de seus dados, o que é bastante positivo.

O que você acha das exceções da lei, como a manipulação livre dos dados necessários para proteção a vida, o cumprimento de obrigação legal, procedimento de saúde e o legítimo interesse?
As exceções são essenciais e o tempo dirá se haverá dificuldades em suas aplicações. Vemos com muitos bons olhos a exceção focada no legítimo interesse, que possibilitará às empresas continuarem incrementando seus negócios, não de forma livre, mas bem menos engessada do que nas primeiras redações que a lei recebeu. As exceções são previstas em praticamente todas as legislações sobre proteção de dados no mundo, e no Brasil não poderia ser diferente.