Técnica que oculta informações roubadas em imagens cai no gosto dos crackers

Durante a análise de diversas campanhas de espionagem e crimes virtuais, os pesquisadores da Kaspersky Lab identificaram uma nova tendência preocupante: hackers estão usando cada vez mais a esteganografia, a versão digital de uma técnica antiga para ocultar mensagens em imagens de modo a encobrir as pistas de sua atividade maliciosa no computador invadido.

Recentemente, foram descobertas várias operações de malware voltadas à espionagem virtual e diversos exemplos de malwares criados para roubar informações financeiras que utilizam essa técnica.

Da mesma forma que nos ataques virtuais direcionados típicos, o agente da ameaça, depois de invadir a rede atacada, se estabelece e coleta informações valiosas para depois transferi-las para o servidor de comando e controle (C&C). Na maioria dos casos, as soluções de segurança confiáveis ou as análises de segurança feitas por profissionais são capazes de identificar a presença do agente da ameaça na rede em cada estágio do ataque, inclusive durante a extração de dados. Isso porque, durante a extração, são deixados rastros, como o registro de conexões com um endereço IP desconhecido ou incluído em listas negras. No entanto, quando se usa a esteganografia, a tarefa de detectar a extração de dados torna-se complicada.

Nesse cenário, os usuários maliciosos inserem as informações que serão roubadas diretamente no código de um arquivo comum de imagem ou de vídeo, que é então enviado para o servidor C&C. Dessa forma, é pouco provável que esse evento acione qualquer alarme de segurança ou tecnologia de proteção de dados. Após a modificação pelo invasor, a própria imagem não é alterada visualmente; seu tamanho e a maioria dos outros parâmetros também permanecem iguais e, assim, ela não seria motivo de preocupação. Isso torna a esteganografia um método lucrativo para os agentes mal-intencionados como opção de extração de dados de uma rede invadida.

Nos últimos meses, os pesquisadores da Kaspersky Lab observaram pelo menos três operações de espionagem virtual que utilizam essa técnica. E, mais preocupante, ela também está sendo ativamente adotada por criminosos virtuais regulares, além dos agentes de espionagem virtual. Os pesquisadores da Kaspersky Lab detectaram sua utilização em versões atualizadas de cavalos de Troia como o Zerp, ZeusVM, Kins, Triton e outros. A maioria dessas famílias de malware, de modo geral, visa organizações financeiras e usuários de serviços financeiros. Isso pode ser um indício da iminente adoção dessa técnica em grande escala pelos criadores de malware, o que tornaria a detecção do malware mais complexa.

“Embora não seja a primeira vez que observamos uma técnica maliciosa originalmente usada por agentes de ameaças sofisticadas encontrar espaço no cenário do malware convencional, o caso da esteganografia é especialmente importante. Até o momento, não foi descoberta uma forma segura de detectar a extração de dados conduzida dessa maneira. As imagens usadas pelos invasores como ferramenta de transporte das informações roubadas são muito grandes e, embora haja algoritmos que poderiam indicar o uso da técnica, sua implementação em grande escala exigiria enorme capacidade de computação e seus custos seriam proibitivos”, explica Alexey Shulmin, pesquisador de segurança da Kaspersky Lab.

Por outro lado, observa o pesquisador, é relativamente fácil identificar uma imagem “carregada” com dados sigilosos roubados pela análise manual. Esse método, no entanto, tem limitações, pois um analista de segurança seria capaz de analisar um número muito limitado de imagens. “Talvez a resposta esteja na mistura dos dois. Na Kaspersky Lab, usamos uma associação de tecnologias de análise automatizada com o conhecimento humano para identificar e detectar esses ataques. Contudo, essa área ainda deve ser aperfeiçoada, e o objetivo de nossas investigações é chamar a atenção do setor para a questão e impor o desenvolvimento de tecnologias confiáveis, mas financeiramente viáveis, que permitam a identificação da esteganografia nos ataques de malware”, completa Shulmin.

Fonte: Computer World

Novas ferramentas do Chrome informam se o site é seguro

chrome_viewVocê pode nunca dar atenção ao pequeno cadeado exibido pelo Chrome que indica se um site HTTPS é totalmente seguro, mas esse ícone é muito importante para diversos desenvolvedores. Ciente disso, a Google adicionou novas ferramentas à versão 48 do navegador que permitem verificar o que é preciso fazer para se certificar que uma página não representa riscos a seus usuários.

O novo recurso do painel de desenvolvimento do navegar permite saber quais as conexões de rede feitas pelos sites que você acessou. O recurso também indica se um certificado de segurança é válido e se o protocolo de segurança adequado está sendo utilizado no momento — para completar, há alertas sobre a presença de “conteúdo misto”, problema comum em muitas páginas da internet.

A partir dessas informações, os desenvolvedores podem realizar mudanças e ajustes para assegurar que seus produtos ofereçam segurança a quem está navegando pela rede. Obter o “cadeado verde” é especialmente importante quando se leva em consideração que o sistema de buscas da Google dá prioridades a sites reconhecidamente seguros.

Para acessar o novo painel, desenvolvedores devem abrir as ferramentas de desenvolvimento do Chrome 48 ou clicar no ícone de cadeado próximo à barra de endereços e, em seguida, escolher o campo “detalhes”. A nova versão do navegador também traz as esperadas melhorias de estabilidade e correções de bugs esperadas por seus usuários, além de eliminar de vez o sistema de criptografia RC4.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Empresas brasileiras omitem informação sobre eventuais ataques de crackers

hacker_attackSony, Target, Home Depot, Staples e JP Morgan. Nos últimos anos, todas essas companhias estrangeiras foram vítimas de grandes ataques hackers que levaram ao vazamento de milhões de dados de clientes e a prejuízos milionários. No Brasil, no entanto, notícias semelhantes são praticamente inexistentes. Sinal de que estamos mais bem protegidos? Não necessariamente. De acordo com especialistas ouvidos pelo GLOBO, as empresas brasileiras não só costumam descuidar da sua segurança digital, como são vítimas frequentes. A diferença é que, por aqui, sem a obrigação de serem transparentes quanto aos episódios, elas optam pelo silêncio, prejudicando investigações e o próprio mercado.

Levantamento realizado pela Federação das Indústrias do Estado de São Paulo (Fiesp), entre janeiro e fevereiro deste ano, com 435 empresas de pequeno, médio e grande porte do principal centro econômico do pais, ajuda a traduzir em números a vulnerabilidade digital e silenciosa dos empresários brasileiros.

Apesar de 96,4% das empresas participantes indicarem que instalam programas antivírus, apenas 40,1% disseram investir em aplicação de normas internas de segurança computacional, e somente 21,2% disseram oferecer treinamento aos funcionários diretamente ligados ao uso da internet.

— No Brasil, o que se observa é uma falta de alocação de recursos por parte das empresas para a sua segurança digital. Em muitos casos, as empresas sabem dos riscos, mas, por ainda não terem sido impactadas, ou não saberem se foram, acabam não investindo nisso — afirma Rony Vainzof, advogado diretor do Departamento de Segurança (Deseg) da Fiesp. — Ainda temos uma característica cultural muito forte de correr atrás do prejuízo quando ele ocorre, ao invés de apostar na prevenção.

Incerteza sobre Violações

Ainda no levantamento, cerca de 23% das empresas informaram que nem mesmo sabiam quantos ataques já haviam sofrido, e mais de 70% disseram não fazer uso da nuvem de internet para armazenar informações sensíveis.

Esta falta de cuidado com a segurança tecnológica é encontrada com frequência no dia a dia dos chamados “hackers éticos”: profissionais versados nas táticas dos cibercriminosos e que são contratados pelas próprias companhias para colocar à prova seus sistemas de defesa.

Lincoln Werneck, da Clavis Segurança da Informação, é um deles, e sua visão sobre o cenário nacional não é nada positiva. Segundo o especialista, falta no país uma cultura de segurança que abranja todos os atores, desde o usuário final, passando pelas faculdades e empresas, até chegar ao governo.

— O estudante entra na faculdade e aprende a programar, mas não a se preocupar com a segurança. Ele vai para o mercado e monta uma rede ou cria um software cheio de buracos. Só depois de um incidente de segurança é que ele vai se preocupar com isso, e começa a fazer remendos — diz Werneck. — A segurança da informação ainda é vista como despesa no Brasil.

O analista de segurança Guilherme Moraes, que atua com Werneck na Clavis, relata que é comum se deparar com sistemas vulneráveis a ataques padrão. Os “hackers éticos” fazem uso de softwares chamados “PenTest Tools”, que são conhecidos, disponíveis na internet, mas ainda assim derrubam muitos sistemas mesmo com os testes mais básicos.

— É uma realidade, infelizmente — lamenta Moraes. — Nós encontramos sistemas que são vulneráveis até para os script kiddies (termo usado para designar crackers sem conhecimento de programação, que usam softwares desenvolvidos por terceiros).

Silêncio Daninho

Aliada ao despreparo das empresas está a sua falta de transparência quanto aos ataques sofridos, conforme testemunha Vainzof, da Fiesp:

— Já atuamos em casos bastante graves por aqui, em que os prejuízos chegaram a milhões de reais em episódios de vazamentos de informações. Mas muitas empresas tratam do assunto internamente, procurando o Judiciário de forma sigilosa, e isso quando o fazem.

Ao contrário do que ocorre em diversos estados dos EUA e de países da Europa, como a Alemanha e o Reino Unido, onde as empresas são obrigadas por lei a notificar as autoridades quando ocorre um vazamento de dados de clientes, no Brasil esta obrigação é inexistente. Isso impede que as autoridades tenham uma real dimensão dos ataques digitais efetuados nesse âmbito e, muitas vezes, dificulta a captura dos cibercriminosos.

É o que afirma o delegado Stênio Santos, chefe do grupo de repressão a crimes cibernéticos da Polícia Federal (PF-DF). Ele acredita que os cibercrimes no país são subnotificados:

— Como por aqui as empresas não são obrigadas a fazer a comunicação dos ataques, elas preferem aceitar o prejuízo financeiro por medo de um prejuízo moral. Assim, ainda que os crimes digitais venham aumentando, acreditamos que eles sejam ainda maiores do que sabemos.

Falta Cooperação, diz Delegado

Diante desse quadro, o delegado diz que um dos grandes desafios das autoridades na investigação desse tipo de crime é a própria colaboração das empresas.

— Em muitos casos, não há cooperação com a polícia, o que acaba sendo um obstáculo às investigações. Só que, ao fazer isso, elas ignoram o artigo 144 da Constituição, que diz ser um direito e responsabilidade de todos cooperar com a segurança pública, já que, sem isso, ela não se concretiza.

Atualmente, o tema da obrigação sobre a transparência das empresas em casos de ataques faz parte das discussões do anteprojeto de lei sobre a proteção de dados pessoais, no momento em discussão na Câmara dos Deputados, após passar por uma consulta pública.

Para Robert Muggah, diretor de pesquisas do Instituto Igarapé e um dos coautores da pesquisa “Desconstruindo a cibersegurança no Brasil: ameaças e respostas”, o país só teria a se beneficiar com a adoção de uma legislação sobre o tema:

— Me parece que há um interesse das empresas em não reportar esses ataques, devido ao temor de prejudicar a confiança dos seus clientes. No entanto, o país se beneficiaria em considerar um mecanismo de transparência oficial exigindo que as empresas e vítimas reportem os episódios de ataques, para que as pessoas tenham um entendimento se o problema está melhorando ou piorando. Enquanto mantivermos silêncio, estaremos condenando o Brasil a perdas financeiras mais dramáticas.

Opinião do seu micro seguro: recentemente fiz uso de meu cartão de crédito para locação de um automóvel em uma conhecida locadora de carros brasileira.
No mesmo dia os dados do meu cartão foram roubados por um cracker que tinha invadido o servidor daquela empresa.
A notícia da invasão não foi tornada pública pela companhia imagino eu por receio da repercussão negativa que essa notícia poderia representar.
Resumindo: como muito bem salienta essa matéria invasões em computadores e roubos de dados de usuários são mais comuns do que podemos imaginar em nosso país. Todo cuidado é pouco. Recomendo a todos muita atenção na conferência de suas faturas de cartão de crédito e atenção para lançamentos indevidos.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: O Globo

Cenário para a segurança da informação em 2015

informação_pessoalO ano passado foi marcado por grandes vulnerabilidades que implicaram no crescimento da discussão sobre o setor de Segurança da Informação. E, em 2015, a atenção ao tema deve ser maior, pois a luta entre cibercriminosos e profissionais para protegerem empresas e usuários contra ataques virtuais continuará ainda mais forte e presente na realidade de todos.

Por isso, um dos fatores que deve despertar a atenção das empresas é o aumento de ataques DDoS (negação de serviço), devido ao crescente número de servidores Unix comprometidos e a ampla largura de banda alcançada nessas ofensivas. Neste ano, essas iniciativas serão cada vez mais comuns e poderão ser mais intensas, o que pode implicar na operação de computadores, serviços e qualquer dispositivo conectado à Internet. E, com elas, os criminosos virtuais podem comprometer desde governos, organizações e usuários comuns; até tirar proveito das vulnerabilidades para ganhos financeiros.

Por outro lado, nesse ano, veremos também o avanço no aprendizado de máquinas, que passarão a utilizar ainda mais o Big Data para criar novas soluções contra ataques virtuais. Com essa nova plataforma, as empresas poderão, mais do que reagir os ataques, mudar o cenário de cibersegurança, uma vez que ajudará na prevenção das ameaças online. Tal alteração pode causar uma queda no impressionante número de informações perdidas anualmente – somente no ano de 2013, por exemplo, foram mais de 552 milhões de identidades expostas1.

Além disso, também teremos as empresas e tecnologias atuando de forma cada vez mais intensa contra os ataques. Em 2015, contaremos com uma crescente parceria mundial entre a indústria de segurança com provedores de telecomunicações e governos para o combate do cibercrime, o que auxiliará na defesa dos mais diversos dados.

Assim, é essencial que as empresas e usuários se preocupem cada vez mais com a proteção de seus dados. Por isso, recomendo as seguintes dicas de segurança para que todos possam garantir um ano mais seguro:

  • Sempre utilize senhas fortes com cerca de 8 caracteres, com letras, números e símbolos e nunca as reutilize em outros sites.
  • Somente permita a administração remota dos dispositivos a partir da Internet se ela realmente for necessária;
  • Para os desenvolvedores: Bloqueie os redirecionamentos em seu site, para não infectar os usuários;
  • Nunca clique em links suspeitos que chegam por e-mail, redes sociais e SMS;
  • Use sempre um software de segurança.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech Corporate

Investimento em segurança da informação cresceu 51% em 2013

SegurançaUm estudo divulgado pela consultoria PriceWaterhouse revelou que os investimentos em segurança da informação nas empresas subiram 51% em 2013. O total, porém, ainda está longe de ser motivo de comemorações, uma vez que representa apenas 3,8% de tudo o que foi gasto com TI ao longo do ano que está chegando ao fim.

No Brasil, a situação é ainda mais preocupante. Das 700 empresas nacionais ouvidas pelo estudo, 55,3% afirmaram ter gastado menos de US$ 1 milhão em 2013. O gasto médio, quando se leva em conta todas as 9,6 mil companhias ouvidas ao redor do mundo, ficou na casa dos US$ 4,3 milhões.

O total de ataques também aumentou esse crescimento no investimento. Apenas em nosso país foram registradas 4,6 mil ameaças, um crescimento de 138% em relação ao que foi registrado pela consultoria em 2012. No cenário internacional, houve crescimento de 25,1% e cada empresa foi vítima mais de três mil vezes ao longo do ano.

Entre os principais alvos estão a indústria farmacêutica, com 20%, e a de serviços financeiros, representando 9% e empatadas com as companhias de tecnologia. Funcionários e ex-funcionários estão entre os maiores autores e, segundo a consultoria, cada ataque teve custo médio de US$ 531, resultando em perdas que ultrapassaram os US$ 10 milhões em 2013.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech

CERT.br lança novo guia sobre segurança no uso do computador

seguranca

Guia apresenta dicas sobre como usuário pode manter seu computador seguro, além de trazer cuidados que o usuário deve tomar ao usar computadores de terceiros.

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br) lançou recentemente mais um fascículo ilustrado de sua Cartilha de Segurança dedicado à segurança em computadores.

O guia apresenta dicas sobre como o usuário pode manter seu computador seguro, como mantê-lo atualizado com as versões mais recentes dos programas instalados, bem como soluções antivírus e firewalls; além de trazer cuidados que o usuário deve tomar ao usar computadores de terceiros.

Este é o sétimo conjunto de fascículos ilustrados que a empresa fornece aos usuários da Internet. O manual está disponível no formato PDF. Para facilitar sua compreensão e estimular a disseminação, o material é acompanhado por slides, licenciados sob Creative Commons (CC BY-NC-SA 3.0), e pode ser usado livremente para divulgar medidas de segurança de uso de computadores na Internet.

A Cartilha de Segurança da Internet também está disponível na íntegra, no formato ePub.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!