Vem aí: aquela que irá tomar o lugar dos antivírus

A abordagem tradicional da luta contra malwares sempre foi reativa. Um novo ataque é lançado, infecta algumas empresas e os fornecedores de antivírus correm para emitir uma atualização. Algumas companhias conseguem obtê-la antes que o malware faça seu caminho, mas muitas não. Obviamente, esta não é uma situação ideal, pois os bons sempre estão perseguindo os bandidos.

Se você fosse Marty McFly poderia disparar o antigo capacitor de fluxo com 1,2 Gigawatts de energia, avançar no tempo e trazer as atualizações para você, então você estaria pronto para o WannaCry, o Qakbot ou o Zeus. Felizmente, há uma maneira mais real de parar os ataques antes que eles afetem qualquer pessoa: usando sistemas baseados em inteligência artificial (AI).

A empresa de segurança Cylance recentemente começou a mostrar o fato de que seus clientes estão protegidos das ameaças atuais, mesmo com modelos mais antigos. Eles têm chamado a abordagem de “Vantagem preditiva Cylance”. Apesar da Cylance ter cunhado tal abordagem, todos os fornecedores de segurança baseados em IA operaram de forma semelhante.

A IA como substituta dos antivírus

Hoje, a IA e a aprendizagem de máquinas estão sendo usadas para alimentar mais coisas em nossas vidas do que estamos conscientes. A Amazon sabe o que as pessoas querem comprar, veículos autônomos podem distinguir a diferença entre uma árvore e uma pessoa, e as análises de vídeos podem escolher um terrorista fora da multidão – tudo alavancando o aprendizado da máquina. A razão pela qual precisamos confiar em uma IA em vez de pessoas é devido as enormes quantidades de dados que precisam ser processadas e da velocidade com que as máquinas podem analisar dados e conectar os pontos.

Combater malware não é diferente. Manter-se à frente dos criminosos não pode ser mais feito de forma manual. Exige procurar entre petabytes de dados bons e maus. Por exemplo, a Cylance analisou milhões de recursos em mais de bilhões de arquivos. Isso é possível hoje porque a nuvem fornece um poder de computação quase infinito. A empresa de cibersegurança alavanca mais de 40 mil núcleos na nuvem da Amazon (AWS) para executar seu modelo maciço e complexo e seu algoritmo que pode encolher o modelo para funcionar de forma autônoma em um PC ou laptop.

Um dos fatos menos conhecidos sobre malware é que geralmente é derivado do código existente e modificado um pouco para evadir a maioria das soluções baseadas em assinaturas. Cada tipo de malware deixa uma assinatura identificável, portanto, se dados suficientes forem coletados e analisados, os dados bons e os maus podem ser diferenciados.

Mais importante ainda, os sistemas baseados em IA podem proteger as empresas de ameaças futuras, executando um número quase infinito de simulações de malwares conhecidos, permitindo, efetivamente, que se preveja o malware antes de ter sido criado.

Para provar isso, o Cylance executou seu código contra o WannaCry e descobriu que a versão usada em novembro de 2015 teria bloqueado o ataque, quase 18 meses antes do lançamento do mesmo. Isso evitaria que alguma empresa tenha que ser o “paciente zero”, aquele que primeiro relata um problema. Outro exemplo: o modelo da Cylance em outubro de 2015 teria parado o ransomware Zcryptor, sete meses antes do lançamento do ataque.

É hora de as empresas levarem a luta aos cibercriminosos e mudar para um modelo de segurança baseado em IA que possa proteger a organização sem exigir que outras companhias sejam incluídas antes que o processo de remediação, sequer, possa começar.

Fonte: IDG Now!

Double Agent: a falha do Windows que pode transformar um antivírus em um malware

As soluções de segurança deveriam ser a proteção que os usuários têm nas suas máquinas para lhes garantir proteção contra todos os tipos de malware. Se de forma geral conseguem desempenhar esse papel, a verdade é que podem acabar sendo usados para atacar seus próprios usuários

Uma falha recentemente descoberta, o DoubleAgent, veio colocar às claras uma vulnerabilidade que pode fazer com que os antivírus possam vir a ser controlados remotamente sendo utilizados como arma de ataque ao sistema operacional Windows.

Esta não é uma falha recente, tem ao menos 15 anos, e afeta todas as versões do Windows, desde o descontinuado XP até ao recente Windows 10. É extremamente perigosa e pode ser explorada sem qualquer limitação.

Que falha é explorada pelo DoubleAgent

O DoubleAgent foi descoberto pela empresa de segurança Cybellum e faz uso do Application Verifier, uma funcionalidade pouco documentada, mas legitima do Windows e que aparentemente não pode ser corrigida.

O Application Verifier é uma ferramenta de verificação que carrega DLLs (dynamic link library) nos processos para efeitos de testes, possibilitando aos programadores detectar de forma rápida erros nos seus aplicativos.

Como funciona o DoubleAgent

A vulnerabilidade está na forma como o Application Verifier trata os DLLs. De acordo com os pesquisadores da Cybellum, numa parte do processo as DLLs são associadas aos processos através de uma chave de registo do Windows.

Mas os atacantes conseguem, de forma simples, substituir essa DLL por uma infetada. Basta para isso que criem uma chave de registo com o mesmo nome da que querem atacar.

Para provar a sua teoria, os pesquisadores conseguiram controlar um antivírus, colocando-o a criptografar arquivos como um simples ransomware. O vídeo abaixo mostra como é possível realizar este ataque.

Agradecemos aos amigos Yan Dago por nos trazer essa notícia na sua versão original e ao Domingos pela referência em Português do mesmo tema.

Fontes: Cybellum e pplware

Wikileaks: lista de antivírus burlados pela CIA

O WikiLeaks publicou recentemente milhares de documentos supostamente pertencentes à CIA, a agência central de inteligência dos Estados Unidos. Entre eles estava um documento com uma lista contendo softwares antivírus que foram burlados pela agência.

 

A lista também inclui outras soluções de segurança como o Microsoft EMET (Enhanced Mitigation Experience Toolkit).

 

 

Lista com antivírus e outras soluções de segurança burladas pela CIA:

– Comodo
– Avast
– F-Secure
– Zemana Antilogger
– Zone Alarm
– Trend Micro
– Symantec
– Rising
– Panda Security
– Norton
– Malwarebytes Anti-Malware
– Microsoft EMET (Enhanced Mitigation Experience Toolkit)
– Microsoft Security Essentials
– McAfee
– Kaspersky
– GDATA
– ESET
– ClamAV
– Bitdefender
– Avira
– AVG

Você provavelmente deve reconhecer a grande maioria dos itens listados. Vale lembrar que o antivírus Microsoft Security Essentials foi substituído pelo Windows Defender no Windows 8/8.1 e Windows 10, mas ainda é basicamente o mesmo software.

Já o Microsoft EMET será descontinuado pela Microsoft em favor dos recursos de segurança já presentes e os que ainda serão incluídos no Windows 10.

Os documentos da CIA divulgados pelo WikiLeaks são de 2014 e o Windows 10 foi lançado só em 2015. Por causa disso ainda não há como saber se os recursos de segurança do sistema operacional também foram burlados.

Os documentos contendo a lista de softwares antivírus que foram burlados pela CIA tiveram que ser “limpos”, possivelmente pela equipe do WikiLeaks, antes da divulgação. A organização disse que a limpeza foi necessária para remoção de códigos maliciosos, dados pessoais e outras informações como endereços IP.

Detalhes técnicos sobre como os antivírus na lista foram burlados também foram removidos durante a limpeza.

Somente algumas informações parciais sobre a forma como três deles, F-Secure, Avira e AVG, foram burlados ainda estão presentes nos documentos.

Agradecemos ao Igor, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Baboo e Tom’s Hardware

No Brasil, 20% das empresas não faz uso de antivírus

Security-breachUm estudo da IDC publicado em 17/01 passado sugere que uma em cada cinco empresas brasileiras não usa uma solução de “endpoint security”, categoria na qual se inclui um programa antivírus corporativo. Encomendado pelo provedor de internet Level 3, o levantamento se baseou em entrevistas com 100 empresas e avaliou as organizações em quatro esferas: conscientização, ferramental, prevenção e mitigação.

Uma ponderação dos resultados leva a um “índice de segurança”. O Brasil ficou com a nota 64,9, de uma máxima de 100. Como é a primeira vez que essa metodologia é empregada, não há resultados de outros países, mas a Level 3 estima que países “maduros”, como os da Europa, tenham um índice entre 76 e 83.

A primeira esfera, de conscientização, avalia a capacidade de documentação da empresa, a ligação da área de segurança com a de tecnologia e a importância para a área de segurança na realização de cada projeto. Nessa área, a pontuação do Brasil ficou em 67,8.
No geral, a maior deficiência no Brasil está na esfera “ferramental”, que avalia o uso de ferramentas de segurança como antivírus, criptografia, firewall e soluções mais avançadas, como Data Loss Prevention (que evita vazamentos de dados) e sistemas de monitoramento de ocorrências ligadas à segurança. Nessa categoria, a nota do Brasil ficou em 46,1.

Diversas empresas não possuem certas soluções de segurança e nem pretendem investir nelas dentro de um ano.
As empresas avaliadas são de vários tamanhos. Metade delas tinha mais de mil funcionários, mas todas têm ao menos 250. A pesquisa verificou que empresas menores costumam ter mais dificuldades pela falta de recursos para investir. Mesmo assim, o problema nem é sempre dinheiro e sim a destinação do recurso.

“Com o orçamento em alta e os investimentos em ferramental em baixa, vamos nos deparar com uma situação de ‘mais do mesmo’, ou seja, ao invés de investir em recursos que possam viabilizar melhor controle, automação de recursos e maior visibilidade, o gestor manterá seu parque (ou fará pequenas atualizações) e investirá em outras dimensões, como prevenção ou mitigação”, afirma o estudo.

Além da destinação dos recursos, o estudo apontou que também há uma carência de profissionais para operar e configurar todas essas ferramentas, o que contribui para a não utilização delas.

Preparação para ataques

O Brasil foi melhor nas áreas de prevenção e mitigação, com pontuação de 73,5 e 76,8, respectivamente.

O índice de prevenção avalia medidas e avaliações preventivas de segurança, como manter uma documentação adequada e atualizada das práticas de segurança. Um item avaliado nessa categoria que se apresentou como desafio é a realização de testes de segurança. O levantamento apontou que eles são feitos anualmente por apenas 34% das empresas.
“Este item sofre uma resistência por parte dos executivos de tecnologia ou de segurança da informação, que temem – equivocadamente – em ter os resultados desta iniciativa interpretados como desabono ao seu trabalho”, avalia o relatório.

A mitigação, que diz respeito à capacidade de reação da empresa no caso de um ataque, se apresentou como mais desafiante para empresas menores, nas quais os meios para acionamento da equipe tendem a ser informais e outras medidas tendem a ser ignoradas. Uma em cada cinco empresas não faz um controle adequado de fraudes e 7% delas não se vale de meios de redundância de operação, como backup. O índice nesta esfera também ficou prejudicado pelo índice da esfera ferramental, segundo o estudo.

Fonte: G1

Smartphone trará antivírus instalado de fábrica

lg5Para permitir que os usuários se conectem com mais confiança, o LG G5, o novo top de linha da LG, será protegido pelo McAfee Mobile Security, que já virá de fábrica no dispositivo, conforme anunciou a Intel Security.

Com o aplicativo pré-instalado, os usuários do aparelho desfrutarão dos benefícios antivírus e antirroubo e configurações de privacidade avançadas.

Conforme nos tornamos cada vez mais conectados, os aparelhos são a porta de entrada para novos métodos de hacking. O Mobile Threat Report da Intel Security verificou recentemente que três milhões de dispositivos móveis foram afetados por malwares somente através de lojas de aplicativos nos últimos seis meses.

Segurança em primeiro lugar

Além disso, a Intel Security verificou que, no quarto trimestre de 2015, as amostras de malwares móveis aumentaram 24% em comparação com o terceiro trimestre de 2015, reforçando a necessidade de os consumidores terem segurança apropriada para proteger seus dispositivos e suas vidas digitais.

“O McAfee Mobile Security oferece uma proteção robusta para dispositivos móveis, portanto, não é nenhuma surpresa que a fabricante de smartphones LG o escolheu para ajudar a proteger seus smartphones G4 e agora G5”, disse John Giamatteo, Vice-Presidente Corporativo da Intel Security.

Ele continuou: “Tendo em vista que os clientes da LG procuram os dispositivos e os aplicativos móveis para enriquecer suas vidas, ofereceremos a eles soluções inovadoras para proteger os dispositivos, as vidas digitais e permitir que eles se conectem à Internet com mais segurança e confiança”.

Apresentado no Mobile World Congress 2016, o LG G5 tem data programada de lançamento para o próximo mês de abril.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

As vulnerabilidades das soluções de segurança

malwareMuitos antivírus e firewall líderes de mercado possuem vulnerabilidades de segurança perigosas.

Para melhorar a eficácia de seus softwares, os editores de antivírus, por vezes, usam técnicas invasivas, como a injeção de código nos processos em execução. Tais procedimentos de “hooking” não têm nada de anormal e são benignos na maioria dos casos. Assim sendo, ao usar arquivos DLL, os editores de softwares antivírus e de firewalls podem inspecionar mais facilmente as funções executadas em computadores, smartphones e tablets. Por outro lado, estas técnicas também podem ser invadidas por hackers maliciosos.

Na última conferência Bsides, especialistas em segurança informática revelaram seis vulnerabilidades potencialmente críticas, exploráveis sem acesso de administrador. Para os editores de softwares contatados, era vital desenvolver patches o mais rapidamente possível, o que foi feito para o AVG Internet Security 2015, Kaspersky Total Security 2015 e McAfee Virus Scan Enterprise. Mas nem todos os editores fizeram o mesmo e outras falhas apareceram.

Para detectá-las, os especialistas em questão lançaram uma ferramenta AVulnerabilityChecker (em inglês) disponível no GitHub. Se você deseja baixar o arquivo para o teste (executável), basta clicar no botão “Download ZIP” na página referida anteriormente.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: CCM

Conheça o Eset ClevX DriveSecurity – antivírus para USB

clevxClevX DriveSecurity é um antivírus criado pela ESET voltado exclusivamente para dispositivos de armazenamento removível, como pendrives e HDs externos. Seu principal propósito é prevenir a propagação de malware por meio desses dispositivos.

Por isso, o programa foi desenvolvido para rodar sem a necessidade de instalação no computador, tornando-o capaz de operar a partir do próprio drive, eliminando as ameaças encontradas nos arquivos do dispositivo.

ClevX DriveSecurity rastreia qualquer mudança nos arquivos guardados no dispositivo em busca de vírus, spyware, trojans, worms, rootkits, adware e outros códigos maliciosos, fechando uma vulnerabilidade importante na defesa de redes domésticas por meio da criação de USBs seguros.

Para operá-lo, basta baixar o instalador e abrir no PC com Windows com o dispositivo USB conectado. O programa automaticamente rastreará a presença do pendrive ou HD externo e enviará para lá o instalador e arquivo de validação do antivírus. O programa tem uma versão gratuita para testes que vale durante 30 dias.

Após a instalação, basta então executar o ClevX DriveSecurity sempre que quiser de dentro do pendrive e eliminar ameaças antes mesmo que elas cheguem ao computador. Dessa forma, você mantém seus arquivos protegidos tanto no HD da máquina quanto no armazenamento externo.

Opinião do seu micro seguro: Testei o Eset ClevX Drive Security. Aqui vão algumas dicas de uso: após o download do instalador, basta iniciar a instalação tomando o cuidado de já previamente deixar um dispositivo USB plugado na máquina. Durante a instalação o pen drive será detectado e o setup acontecerá. Daí para frente, toda a vez que o usuário plugar o dispositivo USB em um computador conectado à Internet deverá executar o arquivo “DriveSecurity.exe” , localizado no próprio pen drive. A primeira atualização da sua base de dados de assinaturas acontece automaticamente até uns 5 minutos após a execução do arquivo citado anteriormente. Daí para frente, o programa irá atualizar a sua base de dados de assinaturas a cada 1 hora e também de forma automática.
Toda a vez que o usuário for transferir um arquivo da Internet ou do PC para o pen drive o Eset ClevX Drive Security (previamente aberto) irá fazer uma varredura do objeto em busca de ameaças. O menu do programa traz um log das análises realizadas.

Fontes: Techtudo e Eset Brasil