Os riscos associados aos dispositivos USB

Dispositivos USB são a principal fonte de malware para sistemas de controle industrial, disse Luca Bongiorni da Bentley Systems durante sua palestra na #TheSAS2019. A maioria das pessoas envolvidas de alguma maneira com segurança já ouviram os contos clássicos sobre pendrives que caíram “acidentalmente” em estacionamentos – uma história comum sobre segurança que é ilustrativa demais para não ser recontada diversas vezes.

Outra história – real – sobre pendrives USB envolvia um funcionário de uma unidade industrial que queria assistir La La Land e decidiu baixar o filme em um pendrive durante o almoço. Assim começa a narrativa sobre como um sistema isolado de uma usina nuclear foi infectado – é um relato muito familiar sobre uma infecção de infraestrutura crítica extremamente evitável.
No entanto, as pessoas tendem a esquecer que dispositivos USB não estão limitados a pendrives. Dispositivos de interface humana (Human Interface Devices – HIDs) como teclados e mouses, cabos para carregar smartphones, e até mesmo objetos como globos de plasma e canecas térmicas, podem ser manipulados com a finalidade de atingir sistemas de controle industrial.

Uma pequena história sobre armas USB

Apesar do esquecimento das pessoas, os dispositivos USB manipulados não são uma novidade. Os primeiros dispositivos desse tipo foram criados em 2010. Com base em uma pequena placa programável chamada Teensy e equipados com um conector USB, tornaram-se capazes de agir como HDIs, por exemplo, pressionando teclas em um PC. Os hackers rapidamente perceberam que dispositivos podiam ser usados para testes de penetração e inventaram uma versão programada para criar novos usuários, executar programas para criar backdoors e injetar malware – copiando ou baixando o vírus de um site específico.

A primeira versão modificada da Teensy foi chamada de PHUKD. Kautilya, que era compatível com as placas Arduino, mais populares, veio em seguida. E então Rubberducky – talvez a ferramenta USB de emulação de teclas mais conhecida, graças ao Mr. Robot, que imitava exatamente a movimentação média do dedo polegar. Um dispositivo mais poderoso chamado Bunny foi usado em ataques contra caixas eletrônicos.

O inventor do PHUKD rapidamente teve uma ideia e criou um mouse “trojanizado” com uma placa integrada de testes de penetração para que, além de funcionar como um mouse normal, pudesse fazer tudo que o PHUKD é capaz de fazer. De uma perspectiva de engenharia social, usar HIDs verdadeiros para penetrar sistemas pode ser ainda mais fácil do que usar pendrives USB com o mesmo propósito, já que até mesmo as pessoas com conhecimento suficiente para saber que não se deve inserir um dispositivo desconhecido em seu computador geralmente não se preocupam com teclados ou mouses.

A segunda geração de dispositivos USB manipulados foi criada durante os anos de 2014 e 2015 e incluía os famigerados dispositivos BadUSB. O TURNIPSCHOOL e o Cottonmouth, supostamente desenvolvidos pela Agência de Segurança Nacional dos Estados Unidos (NSA), também merecem ser mencionados: eram dispositivos tão pequenos que podiam ser colocados dentro de um cabo USB e usados para extrair dados de computadores (incluindo computadores desconectados de qualquer rede). Apenas um simples cabo – nada que preocupe alguém, certo?

O estado moderno dos dispositivos USB manipulados

A terceira geração de ferramentas USB de testes de penetração acaba por atingir um outro nível. Uma dessas ferramentas é o WHID Injector, basicamente um Rubberducky com uma conexão WiFi. Dessa forma, não precisa ser programada inicialmente com tudo que deve fazer; um hacker pode controlar a ferramenta remotamente, o que oferece mais flexibilidade além da habilidade de trabalhar com diferentes sistemas operacionais. Outra invenção da nova geração é a P4wnP1, baseada no Raspberry Pi e que é como o Bash Bunny com algumas funcionalidades adicionais, incluindo conectividade wireless.

E, é claro, tanto o WHID Injector quanto o Bash Bunny são suficientemente pequenos para serem inseridos em um teclado ou mouse. Esse vídeo mostra um laptop que não está conectado a nenhuma rede por USB, Ethernet ou WiFi, mas possui um teclado “trojanizado” que permite que um criminoso execute comandos e programas remotamente.

Dispositivos USB pequenos como os mencionados acima podem até mesmo ser programados para parecerem um modelo específico de HID, o que permite que desviem de políticas de segurança de empresas que aceitam mouses e teclados apenas de fornecedores específicos. Ferramentas como o WHID Injector também podem ser equipadas com um microfone para estabelecer vigilância por áudio e espionar pessoas em uma empresa. Pior ainda, apenas um destes dispositivos é capaz de comprometer toda a rede – a não ser que esteja adequadamente segmentada.

Como proteger sistemas contra dispositivos USB manipulados

  • Teclados e mouses “trojanizados”, além de vigilância ou cabos maliciosos, são ameaças sérias que podem ser usadas para comprometer até mesmo sistemas isolados. Hoje em dia, as ferramentas usadas nestes tipos de ataques podem ser compradas por preços baratos e programadas sem qualquer habilidade de programação, de forma que precisam estar no seu radar. Para proteger infraestruturas críticas contra essas ameaças utilize uma abordagem multicamadas.
  • Garanta a segurança física primeiro, para que pessoas não-autorizadas não possam conectar dispositivos USB aleatórios a sistemas de controle industrial. Além disso, bloqueie fisicamente portas USB não-utilizadas nesses sistemas e evite a remoção de HIDs que já estão conectados.
  • Treine funcionários para que conheçam os diferentes tipos de ameaça, inclusive dispositivos USB manipulados (como o do incidente La La Land).
  • Segmente a rede adequadamente e gerencie os direitos de acesso para evitar que criminosos alcancem sistemas usados para controlar a infraestrutura crítica.

Proteja todos os sistemas da unidade com soluções de segurança capazes de detectar todos os tipos de ameaça.

Fonte: Kaspersky

Opera oferece VPN gratuito e ilimitado para dispositivos Android

Opera-LogoA Opera está ampliando o alcance do seu aplicativo móvel gratuito de VPN. A empresa anunciou recentemente que o Opera VPN agora está disponível para aparelhos Android pela Google Play Store. O novo app é parecido com a versão para iOS lançada em maio.

Por meio do serviço, a Opera fornece cinco localizações de servidores virtuais para você escolher, incluindo EUA, Canadá, Alemanha, Singapura e Holanda. Essas localizações de servidores podem te ajudar a ficar seguro enquanto usa pontos públicos de Wi-Fi ou tenta burlar restrições de regiões – mas não conte com isso para o Netflix.

Para esse novo app Android, a Opera adicionou um novo recurso que não faz parte da versão para iOS, chamado de “Ferramenta de teste de segurança do Wi-Fi”.

Como o nome deixa claro, essa ferramenta testa a rede Wi-Fi a qual você está conectado para ver o quanto ela é segura.

Além disso, a versão para Android possui um recurso chamado Guardian que bloqueia rastreadores de publicidade para você.

Fonte: IDGNow!

Criminosos usam apps de empresas para no sequestro de dispositivos

Security-breachCriminosos estão utilizando brechas descobertas em aplicativos desatualizados para infectar dispositivos. De acordo com pesquisadores da Cisco, mais de 3 milhões de servidores correm risco de infecção por ramsomware.

As quadrilhas estão se aproveitando de vulnerabilidades em softwares de gestão para instalar backdoors e sequestrar dispositivos.

Atualmente, 2,1 mil servidores foram comprometidos, o que torna possível que os criminosos comandem as máquinas a qualquer momento. De acordo com a empresa de segurança, os servidores estão ligados a endereços IP pertencentes a escolas, governos, empresas de aviação e outro tipo de companhias.

A empresa afirma que está trabalhando para notificar os usuários sobre o risco de segurança e notificar quem foi comprometido. Nesses casos, a primeira recomendação é remover o acesso externo ao servidor. “Isso vai evitar que os criminosos acessem o servidor remotamente. Seria ideal também recriar a imagem do sistema e instalar versões atualizadas do software”, afirma a Cisco.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Bug coloca em risco segurança de incontáveis dispositivos mundo afora

Software BugUm novo bug, descoberto recentemente por técnicos do Google, compromete a segurança de centenas de milhares de dispositivos ao redor do mundo. E especialistas ainda não sabem qual é seu potencial de causar dores de cabeça aos usuários de sistemas de código aberto, como o Linux.

Segundo um artigo postado no blog de segurança online mantido pela empresa de tecnologia, uma falha no código usado em uma série de programas de código aberto possibilita acesso remoto a uma série de dispositivos conectados à internet, de computadores a roteadores. E embora analistas de segurança não tenham conhecimento de algum ataque utilizando a “brecha”, eles consideram praticamente certo que hackers tentarão explorá-la.

A falha não parece afetar usuários de sistemas comerciais, como o Windows ou o OS X, e tampouco usuários do sistema de celulares e tabloides Android.

“Não é um cenário do tipo ‘o céu está caindo’. Mas há possibilidades reais de que uma parcela significativa de serviços utilizando a internet estejam vulneráveis para que hackers os derrubem ou usem para ataques remotos”, afirma o consultor de segurança americano Kenneth White.

Engenheiros do Google, em parceria com a empresa de segurança Red Hat, lançaram um programa (patch) para corrigir o problema. O bug está no gblic, um conjunto de códigos usado amplamente em serviços de internet, mais precisamente nas instruções para a procura de domínios de internet. A falha abre espaço para que hackers capturem informações sobre dispositivos se conectando à internet e os controlem remotamente.

Engenheiros do Google disseram que explorar a brecha é bastante difícil, mas possível – tanto que seus técnicos conseguiram fazê-lo. Mas ainda não se sabe quantos dispositivos podem ter sido afetados.

A vulnerabilidade do bug está sendo comparada ao Shellshock, bug descoberto em 2014 e que afetou milhares de servidores, usados para ataques cibernéticos ao redor do mundo.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: BBC

Bug no Linux coloca em risco milhões de dispositivos

linux-bugUm bug presente no Linux há quase três anos pode ser usado por hackers para tomar o controle quase total de um dispositivo, dizem pesquisadores de segurança. Isso pode afetar dezenas de milhões de PCs e servidores, bem como 66% dos smartphones e tablets com Android.

De acordo com a Perception Point, o bug recém-descoberto, conhecido como CVE-2016-0728, fica no keyring (também conhecido como chaveiro) do sistema operacional, que é usado para armazenar coisas como dados de segurança, chaves de autenticação e de criptografia, evitando o uso desses itens por aplicativos antigos. A equipe do Perception Point, entretanto, identificou um bug — e construiu um ataque de prova de conceito — que torna possível substituir um item do keyring que está na memória por algum código.

Esse código, então, é executado pelo kernel — a parte crucial do sistema operacional, que traduz pedidos de entrada e saída do software em ações a serem executadas pela CPU. O código pode ser usado para fazer qualquer tipo de coisa — ganhar acesso root ao servidor, obter controle de todo o sistema operacional em um telefone com Android, ou até mesmo atacar um hardware que roda uma versão embutida do Linux, como um roteador.

O bug afeta o kernel do Linux em sua versão 3.8, que foi lançada no começo de 2013. Portanto, ele afeta qualquer Android rodando KitKat ou superior. A Perception Point nota que não foi observado “qualquer ataque que tenha esta vulnerabilidade em específico”, mas “recomenda que equipe de segurança examinem os dispositivos potencialmente afetados e implementem correções assim que possível”.

O Ars Technica observa que grandes distribuições do Linux devem receber uma correção nesta semana, mas pode levar mais tempo para seu dispositivo Android receber uma atualização. Como sempre, fique atento.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Gizmodo e ars technica

Dados pessoais são amplamente vazados através de apps

smartphoneEste aplicativo utiliza a sua localização, os seus dados pessoais e a sua câmera. Você aceita os termos e condições?”. Essa frase é lida por 99% dos usuários, mas apenas uma pequena porcentagem liga para o que está escrito ao instalar um app.
Contudo, você sabia que essas informações pessoais são muito mais vazadas do que você imagina?

Segundo uma pesquisa norte-americana, os dados utilizados por utilitários mobile, incluindo os que requerem contas com login (como email, data de nascimento etc.) são enviados para, geralmente, três domínios distintos da internet. Mandar informações para esses lugares não é um problema isolado, mas sim a utilização e monetização delas.

O grande contratempo é que esses dados acabam nas mãos de empresas que podem determinar seu tipo de comportamento, nome, moradia, histórico de compras e muito mais. Em outras palavras, sua ficha pessoal (que pode incluir detalhes médicos e outras coisas importantes) pode cair no domínio de empreendedores ou outros usuários – que podem ser mal-intencionados.

No iOS, há mais chances de você ter a sua localização divulgada para outras companhias (47% dos aplicativos testados na pesquisa faziam isso), enquanto o seu nome (18%) e email (16%) ficam em segundo e terceiro lugar, respectivamente.

No Android, a situação é um pouco mais complicada: 73% dos softwares querem seu email e 49% desejam saber o seu nome. Além disso, 24% deles também procuram por informações de hardware, como o IMEI do aparelho.

No entanto, vale ressaltar que, como dito no começo da notícia, em grande parte das vezes você é quem cede esses dados de boa vontade ao concordar com termos e condições. Contudo, fica a dúvida: parte dessas informações são transformadas em sugestões de compras na sua navegação do Google e e na sua página do Facebook, mas…e a outra parte???

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Asus integrará AdBlock Plus em todos os seus novos dispositivos

adblock_asusA Asus anunciou que a partir de 2016 irá vender seus novos smartphones e tablets com o AdBlock Plus pré-instalado no navegador padrão encontrado nesses dispositivos. Essa medida é uma parceria da companhia taiwanesa com o AdBlock Plus e tem como objetivo impedir que anúncios indevidos não atrapalhem a experiência de navegação do usuário. Entretanto ao mesmo tempo esses softwares bloqueadores de anúncio acabam por influenciar negativamente os criadores de contéudo devido as quedas de receita.

Confira o anúncio oficial liberado pelo AdBlock Plus em relação a parceria com a Asus:

Estamos extretamente felizes por nos juntarmos ao time da Asus, o primeiro grande fabricante de hardware a integrar o nosso bloqueador de anúncio em dispositivos móveis”, disse Till Faida, CEO da Adblock Plus.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: R7