Ativy anuncia aquisição da Imunisys e da Superabiz

Tiago Garbim e André Vieira, da Ativy (centro e esquerda, respectivamente), com Bruno Giordano, CEO da Imunisys (direita)

A Ativy, empresa provedora de serviços em cloud computing que se notabilizou pela velocidade do seu armazenamento em SSD e pela conexão ultra-rápida, anunciou duas aquisições. A primeira é da empresa de segurança Imunisys. A segunda, da Superabiz, cujo diferencial é ser uma fábrica de software. Tiago Garbim, CEO da Ativy, contou ao Cybersecurity que a aquisição da Imunisys é estratégica para a operação. “Sentimos que houve uma demanda grande por serviços de segurança. Depois que vimos a implantação do GDPR na Europa, concluímos que o Brasil também iria desenvolver sua legislação. Fomos ver então o que precisaríamos para estarmos aderentes à lei e de que forma poderíamos ajudar o cliente. Foi quando decidimos a adquirir a Imunisys. Trazê-la para dentro de Ativy seria uma união muito importante”, explicou.

Em várias ocasiões, disse Garbim, o cliente da Ativy contratava serviços de nuvem com a empresa mas fazia a parte de segurança com um terceiro: “Agora, mesmo o cliente estando em outra nuvem, como da Amazon por exemplo, nós podemos também prestar a ele o serviuço de segurança”. Com a integração da Imunisys, a Ativy agora pode oferecer aos clientes serviços como pentest das aplicações e servidores, na busca por vulnerabilidades. Como o mercado está numa fase de adaptação à legislação brasileira de proteção de dados (LGPD), Garbim estima que o faturamento com esse tipo de serviço poderá representar 30% do total faturado na Ativy: “Nossa expctativa é de que em 2022 estejamos faturando perto de R$ 40 milhões anuais com serviços de segurança”, calcula.

“Nosso principal objetivo com a aquisição é fortalecer nossos serviços para o mercado com a expertise da Imunisys. Iremos ofertar soluções integradas ao nosso portfólio tais como DevSecOps e gestão e análise de vulnerabilidade em cloud”, comenta o CEO da Ativy. sediada em Campinas (SP), a empresa se originou do braço de serviços da Ascenty, provedora de serviços de datacenter, depois que deixou de prover serviços de nuvem.

Com a aquisição da Superabiz, fábrica de software especializada em integração para o mercado de ERP (como SAP e Thomson Reuters), a Ativy lançará um “SAP Blindado”, para cobrir todas as demandas de segurança de clientes. Que, segundo Garbim, às vezes nem sabem que estão precisando de segurança. “Já entregaremos o ERP em nuvem blindada, inclusive com disaster recovery, atendimento 24×7 e todas as outras ferramentas necessárias”.

 

MS nega vazamento mas manda PF investigar

Em nota oficial enviada ao Ciso Advisor, o Ministério da Saúde informou que concluiu a análise dos dados supostamente vazados do SUS e divulgados pelo hacker Tr3v0r. Segundo a nota, “não há indícios que as informações disponibilizadas são de origem da base de dados da pasta”.

O Ciso Advisor enviou à assessoria de imprensa do Ministério apenas duas perguntas.

1) Sendo a denúncia classificada como falsa pelo MS, por que precisou ser “encaminhada para a Polícia Federal para investigação criminal”?

Resposta: “O Ministério da Saúde é uma entidade que zela pelos direitos do cidadão, mesmo que os dados não tenham sido extraídos de uma base da pasta, o ato ainda constitui crime quando afeta a terceiros que não deveriam ser expostos. Assim, esta pasta preza por encaminhar as denúncias de quaisquer tipos de crime à Polícia Federal, para que as mesmas possam ser investigadas”.

2) Como a classificação de “falso o suposto vazamento” se baseou em “análise preliminar realizada pela pasta”, há outras análises em andamento?

Resposta: “A análise foi concluída e não há indícios que as informações disponibilizadas são de origem da base de dados da pasta”.

Bug via IPV6 derruba roteadores Mikrotik

Os roteadores Mikrotik, muito populares entre os provedores de acesso, têm um problem grave segundo um pesquisador: eles podem ser derrubados por meio de um acesso via IPV6. O problema não é novo: ele foi informado à empresa em Abril do ano passado, mas até agora a Mikrotik não corrigiu o problema. Agora, o pesquisador que descobriu a falha, Marek Isalski, vai publicá-la na conferência UK Network Operators’ Forum, dia 9 de Abril, em Manchester, Inglaterra.

O problema está no sistema operacional RouterOS V7, e já tem até CVE reservado: é o CVE-2018-19299. O problema ganhou um score de 9.3 no CVSS. Segundo Isalski, a Mikrotik fez mais de 20 updates depois da comunicação dele, e não trouxe uma solução para esse problema alegando que é bug e não vulnerabilidade de segurança. De acordo com um post no fórum de usuários da MikroTik, a vulnerabilidade é “um problema de exaustão de memória. Você envia um pacote v6 formado de certa forma para um roteador Mikrotik e o kernel vaza um pouco de memória. Quando a memória se esgota,  o watchdog reinicia o dispositivo. Não há como barrar com firewall, porque seja qual for a característica que causa o problema ele pode ser criado com qualquer pacote IPv6”.

O pesquisador conta que o problema permite a um atacante remoto derrubar qualquer dispositivo Mikrotik caso possa acessá-lo via IPv6. “Mesmo com o firewall, você ainda é um pato sentado”, afirma. Num post no forum da Mikrotik, ele fez uma convocação aos colegas: “Como uma comunidade, é absolutamente crítico que nós pressionemos o Mikrotik para uma solução deste problema como uma questão de extrema urgência. As conseqüências de que isto vaze antes de uma correção estar disponível seria desastrosa para todos nós. Todos prestem atenção e ajudem a garantir que o Mikrotik entenda como esse problema é crítico”.

Embora a publicação ainda não tenha sido feita, o problema já está inquietando provedores. Por conta disso, o engenheiro Antonio Marcos Moreiras, do NiC BR e um dos evangelistas do IPv6 no Brasil, gravou um vídeo recomendando que ninguém se precipite. Assista:

Toyota comunica invasão da rede em Tóquio

A Toyota está na mira dos hackers: depois de uma invasão da sua operação na Austrália em fevereiro, agora é a vez do Japão. A empresa publicou sexta-feira um comunicado informando que os dados de 3,1 milhões de clientes podem ter vazado. O que aconteceu na verdade é que houve acesso não autorizado na rede das subsidiárias em Tóquio, as quais dão acesso a um servidor que armazena dados de clientes.

A empresa afirma que não foram expostos dados de cartões de crédito mas há outras informações sensíveis que podem ter vazado. Por enquanto, a Toyota admite somente que houve acesso não-autorizado na rede, sem confirmar o vazamento dos dados.

Em fevereiro, o ataque paralisou o site da empresa em Melbourne e outros todos os outros meios de comunicação, inclusive sua rede telefônica e seu servidor de e-Mails.

O comunicado da Toyota diz o seguinte:

Aviso da possibilidade de vazamento de informações do cliente em nossos revendedores da área de Tóquio

Em 21 de março de 2019, nossas subsidiárias de vendas Toyota Tokyo Holdings, Tokyo Motor, Toyopet, Toyota Corolla, Redes Toyota Tokyo, além das empresas Lexus Koishikawa Sales, Jamil Shoji (Lexus Nerima) e Toyota Oeste Tóquio Corolla registraram acesso não-autorizado à rede e a um servidor conectado à rede. Descobriu-se que até 3,1 milhões de itens de informações de clientes podem ter vazado para fora da empresa. As informações que podem ter vazado desta vez não incluem informações sobre cartões de crédito.

Não confirmamos neste momento o fato de que informações do cliente vazaram, mas continuaremos a conduzir pesquisas detalhadas, priorizando a segurança e a segurança do cliente.

Pedimos desculpas a todos que estiveram usando veículos Toyota e Lexus pela grande preocupação.

Levamos essa situação a sério e implementaremos medidas de segurança da informação nas concessionárias e em todo o Grupo Toyota.

Pesquisadores alertam: brecha nas motherboards

Uma ferramenta de testes não-documentada, disponível nos chipsets da Intel, pode ser abusada a ponto de exibir todo o conteúdo de um computador. A ferramenta se chama Intel VISA, fica dentro do Platform Controller Hub da motherboard e foi descoberta por pesquisadores da Positive Technologies, que tem sede em Boston. Eles fizeram um relato sobre o assunto no evento BlackHat Asia. A ferramenta, segundo eles, pode ser abusada pelo uso de vulnerabilidades existentes previamente. Os pesquisadores alegam que isso pode ser utilizado por malfeitores, dando a eles acesso completo a todos os dados de um dispositivo afetado.

Essa tecnologia é chamada de Visualização da Arquitetura de Sinais Internos (VISA). Ela é utilizada na fase de testes, durante a fabricação, e por isso não é documentada. Maxim Goryachy e Mark Ermolo, os pesquisadores de segurança da Positive, disseram em sua palestra quinta-feira passada que o VISA pode ser acessado e abusado para captura de dados da CPU, por meio de uma série de vulnerabilidades descobertas previamente na tecnologia da Intel.

“Nós pesquisamos esta tecnologia inicialmente não como modo de ataque, mas como uma ferramenta poderosa e útil para investigar o funcionamento interno dos chips”, disseram os pesquisadores. “Tínhamos acesso físico à plataforma e trabalhando com o VISA fizemos nossas experiências. Não estávamos pensando nele do ponto de vista do atacante e não temos como dar mais vetores [de ataque], apesar desse acesso físico”.

Segundo os pesquisadores, o Intel VISA é desabilitado por default nos sistemas comerciais. Mas eles encontraram várias maneiras de ativar essa tecnologia. Isso permitiu que parcialmente tivessem acesso à arquitetura interna do platform Controller Hub e, de dentro desse chip, tivessem acesso a dados críticos.

A Intel informou que já mitigou as vulnerabilidades mencionadas e que poderiam ser abusadas pelo VISA. Segundo a empresa, esse problema, como discutido no Blackhat, se baseia em acesso físico a uma vulnerabilidade mitigada e abordada no INTEL-SA-00086, de 20 de novembro de 2017. Numa declaração sobre o assunto, a Intel informou que clientes que aplicaram esta mitigação estão protegidos dos vetores conhecidos. Os pesquisadores informaram a Intel sobre o VISA em novembro de 2018. Eles disseram que as correções informadas pela empresa são insuficientes para proteger o Chipset das vulnerabilidades em relação ao VISA.

 

Hackers anunciam invasão do site Hospital das Clínicas

Aviso no site do HC até as 13h de hoje

Dois hackers publicaram há 36 horas informações alegando que invadiram cinco servidores http relacionados à Faculdade de Medicina da Universidade de São Paulo. As informações, se confirmadas,  indicam que os cinco servidores têm vulnerabilidades graves. Um deles, o do Hospital das Clínicas da USP, esteve inoperante pelo menos até as 13h30 de hoje para o público externo, com uma tela avisando “site em manutenção”; o servidor que atende, entre outros departamentos, o de Psiquiatria, em http://hcnet.usp.br, estava desconectado da Internet.

O Cisoadvisor entrou em contato por telefone e por e-Mail com a assessoria de imprensa do Hospital das Clínicas, solicitando esclarecimentos para a manutenção do site do HC e para o downtime do hcnet. O retorno foi dado por e-Mail às 21h06, com a seguinte nota: “O HCFMUSP informa que houve uma tentativa de invasão a seu site, mas a própria estrutura de segurança do HC impediu o acesso a dados sensíveis da instituição, como informações sobre pacientes. O próprio HCFMUSP retirou momentaneamente sua página do ar para garantir a segurança e avaliar detalhadamente a tentativa de ataque”. A home page do hospital continua exibindo, neste momento, a tela “site em manutenção” com apenas um link em funcionamento, conduzindo à página de resultados de exames.

Em posts nos sites Zone-H e Pastebin, dois hackers publicaram informações indicando que comprometeram os seguintes servidores:

  • http://www.hc.fm.usp.br
  • http://hcnet.usp.br
  • http://autoatendimento.hc.fm.usp.br
  • http://resultados.hc.fm.usp.br
  • http://cirurgiaconvenio.hc.fm.usp.br

Nos posts foram publicados detalhes supostamente desses servidores, entre os quais os nomes de 111 tabelas, os nomes de quatro colunas de uma dessas tabelas, com indicação do tipo de dado contido, além de uma lista de 22 usuários do sistema, com seu número de matricula, nome do usuário e senha, tudo em texto aberto. Os três últimos servidores estavam em operação quando fizemos a consulta ao endereço. Em todos, contudo, hove desfiguração, publicada no Zone-H.

Os hackers publicaram ainda detalhes de sistema operacional e gerenciador de banco de dados, incluindo a sua versão.

Venezuela pode estar sob ataque cyber?

Um especialista familiarizado com os dispositivos de infraestrutura crítica ligados à Internet não descarta: é possível que a rede de distribuição de energia elétrica da Venezuela esteja sendo atingida por ataques cibernéticos. Desde o início da tarde de hoje falta energia elétrica na capital e nas principais regiões do país. O fato acontece exatamente duas semanas depois da queda de energia que já paralisou a Venezuela por uma semana. O presidente Nicolás Maduro afirma, desde esse último blackout, que se trata de um ataque cibernético.

João Teles, o “c4pt4in”, um conhecedor das plataformas de IoT Shodan e Zoomeye, acha que é cedo para dizer se é ou não um ataque, mas não descarta essa possibilidade. Em entrevista para o Ciso Advisor, ele afirmou que com essas plataformas é possível observar dispositivos de controle da infraestrutura. Ele acha que o problema na Venezuela pode estar sendo causado inclusive por um novo vírus, “no estilo do que atacou a Ucrânia em dezembro de 2015. No caso da Ucrânia, o sistema de gerenciamento remoto foi atacado e os técnicos tiveram de ir no local e operar de lá. Já nesse caso da Venezuela, por que não conseguem operar no local? Ou se ja foram, esse vírus é de fato muito poderoso”, comenta o especialista.

Segundo ele, há muitos dispositivos de controle conectados à internet, parte deles sem nenhum tipo de segurança, permitindo a entrada inclusive com login e senha padrão. O especialista conta que é possível localizar dispositivos vulneráveis inclusive em empresas do setor elétrico do Brasil. Quando perguntado se acha que essas vulnerabilidades podem ser exploradas a ponto de perturbar o fornecimento de energia elétrica para uma cidade ou para um bairro, ele respondeu que sim. “Com toda certeza. Pode acontecer um ataque e alterar-se tudo na distribuição. Um atacante pode restringir o acesso para si, fazendo com que a equipe de manutenção tenha que reiniciar todo o sistema”.

Em termos de sistemas de controle industrial e de internet das coisas, ele acha que o Brasil ainda é “muito novo, e tudo é muito novo. Não conheço mais que três empresas que fazem teste de penetração em infraestrutura críticas. E constantemente vejo algum dispositivo sem proteção alguma ou desatualizado”, comenta.

O Shodan mostra vulnerabilidades em dispositivos de todo tipo, diz o especialista. “Já vi de tudo nesse Shodan, desde roteadores residenciais até tanques de combustiveis. Mas também tem sistemas de link de satélites e sistemas de Rapidlogger” (controles para a indústria de óleo e gás). Já vi desprotegidos também casas automatizadas, sistemas de energia eólica, sistemas de distribuição de energia, de lava jato e pasme: carregador elétrico de carros da Tesla”.

 

Como um ransomware pegou a Norsk Hydro pelo AD

Alerta sobre o problema na entrada da empresa

Hoje é sexta-feira, são 5 da tarde no Brasil e 9 da noite em Oslo, capital da Noruega. Na sede da Norsk Hydro, empresa com mais de 100 anos e 35 mil funcionários, tem um monte de gente trabalhando (embora isso não seja um hábito nos países nórdicos). Essas pessoas estão tentando desatar o nó causado pelo ransomware que atacou a empresa na terça-feira passada. 

Já são quatro dias de batalha e a empresa admite que ainda não é possível determinar quando as operações retornarão à normalidade. Como também é cedo para avaliar os exatos impactos financeiro e operacional. A Hydro é um dos maiores produtores de alumínio do mundo e um impacto em sua produção se reflete na estratégia industrial de muitos países. Inclusive do Brasil. Aqui, a Hydro tem uma operação em Barcarena (PA) chamada Alunorte, onde processa bauxita e produz alumina. Segundo a empresa, a produção da Alunorte não foi prejudicada e ela opera dentro da normalidade.

Ataque direcionado

Gente do mundo inteiro está trabalhando para resolver o problema já que a Hydro decidiu não gastar nenhum centavo de Euro para pagar os criminosos, até porque ela é uma empresa que tem ações na bolsa e não pode se curvar desse jeito ao crime. As primeiras suspeitas indicam que esse ataque foi cuidadosamente planejado para a Norsk Hydro e por isso há policiais noruegueses e da Europol investigando o assunto.

Na minha modesta opinião, o problema não é só da Norsk Hydro. A dimensão dele tem alcance global e deve causar enorme preocupação em todas as corporações, independente do tamanho que tenham.

Nenhum antivírus pegou

O fato de ter sido contaminada pelo ransomware Lockeroga não implica qualquer descuido ou negligência da empresa. Esse mesmo ransomware atacou uma companhia francesa em Janeiro, e ainda não se sabe como ele entrou na Hydro. Mas já é possível afirmar que ele não estava sendo detectado por nenhum antivírus ou qualquer outra solução de proteção de endpoint.

Essa revelação foi feita pelo especialista inglês Kevin Beaumont no dia 8 de Março. Ele capturou uma amostra desse ransomware e enviou ao Virustotal para verificar que solução podia detectá-lo. Descobriu nesse momento que NENHUMA das 67 soluções detectava aquele código. Ele conta que comentou isso no Twitter, que discutiu o assunto com outras pessoas e tentou entrar em contato, sem sucesso, com fabricantes de antivírus para fazer um alerta. Mas não conseguiu, conforme revelou no seu Twitter.

Num artigo que escreveu para o portal Doublepulsar, publicado na manhã de hoje,  ele conta que todos os sistemas atingidos pelo LockerGoga tinham quatro características-chaves: 1) todos rodavam Microsoft Windows; 2) todos os arquivos, incluindo alguns de sistemas, foram criptografados; 3) todas as interfaces de rede nos sistemas foram desabilitadas; e 4) foram alteradas as senhas em todas as contas de usuários locais.

Office 365 salvou

Apesar de os sistemas estarem comprometidos, a empresa continuou se comunicando por e-mail porque utiliza o Office 365 e portanto essa parte não foi afetada. Para comunicação com o público externo foi utilizada a página da empresa no Facebook, já que o seu site ficou fora do ar. A seguir foi levantado um site temporário na nuvem Azure, da Microsoft. Depois, o DNS foi movido para o Cloudflare, para ficar protegido de DDoS.

O certificado digital utilizado para assinar o ransomware, segundo Kevin, havia sido usado para assinar também outros códigos maliciosos. Nesse caso, ele foi emitido para uma empresa que tinha um capital de apenas uma libra. Depois de ser informada desse fato a autoridade certificadora revogou o certificado é claro.

Cópia foi feita pelo AD

Pela análise do especialista inglês, o LockerGoga não tem código apropriado para se reproduzir ou se propagar. Quer dizer que não pode se auto-replicar numa rede como outros ransomwares como o WannaCry ou o Notpetya.

A hipótese de Belmont é que para isso os atacantes buscaram obter credenciais do AD, o Active Directory dos servidores Windows. É possível, segundo ele, que tenham sido usados tarefas ou serviços agendados. Uma vez dentro da rede, ele supõe, seria necessário ter privilégios de administrador de domínio para fazer o ataque. Normalmente, nas empresas e isso é extremamente fácil segundo o especialista, simplesmente pescando logins fora da memória utilizando o software Mimikatz. Ou pegando senhas do Active Directory Group Policy Preferences, que ele supõe estarem nos arquivos XML, “na verdade a ‘carne-de-vaca’ dos Red Teams”.

Como quer que tenha ocorrido, afirma Kevin, os criminosos tinham  a administração do domínio. Estando nessa condição, segundo ele, é possível colocar o executável num local onde todos os sistemas da organização possam alcançá-lo, e com a vantagem de os firewalls das organizações normalmente aceitarem todo o tráfego interno.

Proteção de endpoind

Feito isso, supõe Kevin, o ataque estava resolvido, mas poderia ser bloqueado por qualquer solução de proteção de endpoint. Só que elas não tinham a informação para deter o LockerGoga.

Segundo Kevin Beaumont, uma das possibilidades é também colocar o arquivo num Domain Controller, dentro da pasta de share do NETLOGON, debaixo do SYSVOL, que é replicado dentro de todos os sites de um controlador de domínio. Depois, pode-se usar uma política de grupo (como a criação de tarefas agendadas) para automaticamente iniciar o executável do LockerGoga.

A seguir, qualquer laptop, desktop e servidor conectado ao Active Directory executa o software malicioso, afirma  o especialista.

 

Banco da Venezuela, vulnerável, está invadido

A infraestrutura do Banco Venezolano de Crédito na internet está comprometida: os servidores da instituição financeira, fundada em 1925, uma das maiores do país, foram contaminados por hackers. Eles injetaram scripts para que os servidores trabalhem na ‘mineração’ de criptomoedas, enviando a eles os resultados da ‘mineração’. Essa atividade foi programada para ocupar 95% do tempo de processamento dos servidores. Para os clientes, a sensação é de que os servidores estão apenas lentos demais. Nesta manhã, por essa causa ou mais algumas outras, o endereço não responde nem ao Ping.

A descoberta foi feita por um pesquisador não-identificado, por meio de uma rede de honeypots ligada ao site Def-Con Lab, que publicou também um relatório detalhado sobre o assunto.

Segundo o relatório, “Recentemente registramos atividade direcionada a sensor que apresentou discrepância entre o comportamento observado e a a origem do incidente. A tentativa de acesso a portas não convencionais em um servidor que não possui serviço anunciado, é por si indicador de atividade questionável. Uma ação observada de forma persistente nos últimos meses é a mineração de criptomoedas em algumas portas específicas”.

“Em virtude disso, passamos a observar esse comportamento com maior atenção. Em um caso concreto, além de ação maliciosa, a origem da conexão foi determinante para que o sistema indicasse um alerta.
Incidente

O endereço IP 190.93.44.XX, do Banco Venezolano de Crédito, instituição financeira de médio porte da Venezuela, o qual possui 103 agências e mais de 7.000 funcionários, apresentou comportamento malicioso. Pela origem em uma instituição financeira, optamos por averiguar em maior detalhe o endereço IP referido.

Em análise detalhada do endereço IP 190.93.44.XX observamos a presença de página de configuração JBoss acessível sem qualquer filtro de origem.”

A vulnerabilidade do servidor permitiu o acesso não só à configuração JBoss como a vários outros recursos, indicando enorme fragilidade na infraestrutura da instituição bancária. Leia o relatório completo em

Banco Venezuelano e Criptomoedas (mas não do jeito certo)