Roteiro de etapas utilizado pelos crackers em ataques a redes

hacker_vs_crackersDefender uma rede corporativa nunca foi tarefa fácil. O encarregado de proteger os ativos digitais de uma empresa parece estar sempre lutando contra o tempo.

O maior desafio dos responsáveis pela segurança é conseguir pensar como um cracker. Na realidade, as tecnologias usadas pelos crackers são aprimoradas a cada ano, mas as suas metodologias continuam as mesmas há décadas.

Na opinião de Bruno Zani, gerente de engenharia de sistemas da Intel Security, saber como crackers pensam e agem é o primeiro passo na direção para manter a rede segura.

Segundo ele, existem seis fases de intrusão que são usadas frequentemente pelos crackers para burlar os esquemas de segurança.

São elas:

1. Coleta de informações – Quando crackers planejam um ataque, a primeira coisa que eles fazem é escolher uma empresa-alvo e identificar onde será realizado o ataque. Em seguida, eles começam a recolher endereços IP e nomes de perfis importantes dentro do ambiente que podem armazenar dados corporativos ou pessoais sensíveis.

2. Exploração – Depois de elaborar uma lista completa dos funcionários e perfis-alvos, eles começam o processo de varredura. Isso inclui a verificação de instâncias específicas de aplicativos vulneráveis ​​que estão em execução no ambiente.
3. Enumeração – Uma vez que um cracker tenha identificado o aplicativo vulnerável, ele procura por versões precisas das tecnologias que possuem alguma falha e podem ser invadidas.

4. Invasão – Após encontrar um ponto de entrada, o cracker começa comprometer o servidor web, aproveitando vulnerabilidades ou problemas de configuração para obter acesso. Ao determinar como interagir com o alvo e sistema operacional subjacente, ele se infiltra para examinar quão longe pode expandir um ataque dentro da rede.

5. Escalada – Seguindo a invasão do ambiente, o próximo passo do cracker é criar perfis de usuário e privilégios de acesso para espalhar ameaças da forma mais ampla possível.

6. Pilhagem – A etapa final do processo de um ataque cracker é a pilhagem. Ao contrário de crackers do passado, os ataques atualmente já não são apenas elaborados para comprometer um servidor e desfigurar um site. Sua missão é muito maior, é ganhar acesso aos dados de cartão de crédito, aos segredos comerciais da empresa, às informações de clientes e informações pessoais. Enfim, minar os dados da empresa e usá-los em benefício próprio.

Após entender como os crackers pensam é preciso agir para bloquear os ataques. A maioria das empresas tentam criar uma fortaleza de segurança de TI com uma série de produtos de vários fornecedores, cada um abordando um aspecto diferente de seu ambiente e em diferentes áreas de risco. No entanto, enquanto não entenderem como os crackers encontram vulnerabilidades em seus sistemas em silos de segurança de endpoint, gateway e de data center, não existe a chance de pará-los.

De acordo com Zani, de nada adianta também ler cada um dos relatórios de análise de segurança disponível no mercado e implantar os produtos de segurança mais avançados. As pessoas também são parte importante da segurança. Muitas vezes o ataque é direcionado especialmente àquele funcionário mais desatento, que não se preocupa com os procedimentos de segurança desenvolvidos na empresa. Além disso, se as ferramentas usadas na segurança de TI e na proteção de dados não trabalharem juntas, o tempo sempre estará contra a empresa durante um ataque cibernético.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: IDG Now!

Falha grave no Linux permitia invasão pressionando a tecla Backspace

backspace

Dois pesquisadores de segurança espanhóis descobriram uma falha grave no Linux que permite o acesso a qualquer invasor simplesmente apertando a tecla Backspace 28 vezes seguidas.

A estranha vulnerabilidade faz parte do componente de inicialização Grub2, que possui uma camada secreta “de resgate” que passa por cima de login e senha do usuário e oferece acesso total ao sistema.

Os espanhóis Hector Marco e Ismael Ripoll fazem parte do Grupo de Cybersegurança na Universidade Politécnica de Valencia e comprovaram a falha, que permite que um intruso consiga visualizar os dados existentes na máquina e até instalar malware. Os dois pesquisadores prepararam uma correção de segurança de emergência e notificaram os responsáveis pelas principais distribuições do sistema operacional.

Embora o ataque exija a presença física do invasor diante do sistema a ser penetrado, a natureza, no mínimo bizarra, da vulnerabilidade chamou a atenção da comunidade Linux.

Até o momento, pelo menos a Ubuntu, a Red Hat e a Debian já realizaram as devidas correções em seus sistemas.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: CódigoFonte

Facebook avisará usuário caso sua conta tenha sido invadida

facebook_securityO Facebook anunciou que os usuários serão informados sobre espionagem de governos e ainda receberão alertas sobre invasões hackers.

A novidade chegará aos usuários nas próximas semanas através de uma atualização na rede social. Assim que um ataque for identificado, com provas plausíveis, a empresa irá emitir um alerta ao usuário atingido, informando sobre a espionagem e ainda com aviso sobre perfis em outros sites que podem estar com alguma suspeita de ataque.

De acordo com a rede social de Mark Zuckerberg, a espionagem é uma técnica utilizada através de sistemas avançados e que tentam de qualquer forma manterem-se no total anonimato, sem chance de rastreamento. Por esta razão, a empresa decidiu tomar tal atitude.

“Esperamos que esses avisos ajudem as pessoas que precisam de proteção, e continuaremos a melhorar a nossa capacidade de prevenir e detectar ataques de todos os tipos contra as pessoas que usam o Facebook”, de acordo com a companhia.

O Facebook, após o aviso, como sugestão, dirá ao usuário para ativar uma funcionalidade nomeada de Login Approvals, ou seja, a ativação do login em duas etapas. Assim, com o serviço em funcionamento, caso a conta do usuário seja acessada através de um navegador ou mesmo dispositivo desconhecido, uma mensagem será enviada para um celular cadastrado e o uso da rede só será liberada após autorização.

O sistema também é capaz de reconhecer outras modificações que parecem estranhas, como alterações de região, IP, e até horários que não são habitualmente acessados pelo usuário.

Vale lembrar que a autenticação em duas etapas pode ser ativada a qualquer hora através das configurações do Facebook. Caso o usuário seja notificado pela rede social, é possível que já tenha sido alvo de um ataque hacker ou mesmo de espionagem.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Oficina da Net

Técnicas favoritas dos crackers para não serem detectados

crackersOs crackers encontram formas criativas de escapar da detecção à medida que descobrem as falhas na segurança e encontram uma maneira de entrar na rede sem serem detectados. As técnicas evasivas avançadas que os crackers utilizam atualmente desafiam a segurança da rede como nunca antes, explorando fraquezas em todos os níveis da infraestrutura. Ao responsável pela segurança corporativa cabe fazer o dever de casa e entender profundamente as defesas da rede para tentar conter tais ameaças.

Em relação à evasão, os criminosos têm diversos truques na manga que são bastante eficazes. Muitas das técnicas evasivas de hoje modificam o malware ou o usam de novas formas para evitar a detecção por firewalls, áreas de segurança, gateways e sistemas de prevenção contra intrusão. Na verdade, devido às milhares formas que os crackers podem alterar as cargas maliciosas, com as centenas de métodos de entrega possíveis, estima-se que haja mais de 800 milhões de combinações de evasão viáveis.

Conheça algumas das técnicas favoritas dos crackers para passar pela segurança sem serem detectados:

Análise e remontagem da carga: Este método fragmenta os pacotes de ataque e encena a distribuição em padrões difíceis de inspecionar, às vezes de uma só vez ou aos poucos. Esses pacotes são entregues ao endpoint sem serem detectados, as peças se remontam e começa a inicialização.

Ataque de início retrógado: Quando o código malicioso se depara com uma área de segurança, ele permanece dormente e esconde a sua real natureza. A execução é adiada até que ele passe pela área de segurança.

Evasão de retorno de chamada de malware: Os botnets de nova geração criam milhares de conexões de URL de saída que podem confundir os dispositivos de segurança. Esses padrões podem se transformar constantemente e escapar de alguns métodos de detecção.

Exfiltração de dados de endpoint: Como os dispositivos de segurança de rede não têm muita visibilidade nos endpoints, os criminosos muitas vezes instalam data scrapers nos endpoints. Os dados se sobrepõem no tráfego legítimo da rede, então parecem perfeitamente normais, ficando livres para passar.

Do outro lado, já existem tecnologias capazes de tornar mais claras as ameaças invisíveis e evasivas. Embora as tecnologias de correspondência de padrões com base em assinatura ainda ofereçam proteção básica, uma nova classe de tecnologias inteligentes monitora o comportamento do código e compartilha informações de segurança em tempo real com outros dispositivos de segurança para avaliar os níveis de ameaça entre múltiplos vetores de ameaça e tomar uma medida decisiva em resposta a um ataque. Conheça também as novas técnicas de segurança que ajudam a frustrar o comportamento de rede evasivo:

Rastreamento e inspeção contínuos das sessões de rede: Permite que os complexos padrões das técnicas evasivas avançadas sejam descobertos e bloqueados. A combinação do rastreamento de sessão de rede com a análise do fluxo de dados no firewall possibilita que haja uma proteção maior contra técnicas de evasão conhecidas e desconhecidas, mesmo quando são aplicadas em múltiplos níveis de protocolo.

Análise de código estático: Essa ferramenta de observação sem assinatura ilumina pontos cegos em análise de código dinâmico. A análise de código dinâmico inspeciona código de arquivo latente para garantir que o código sem execução na área de segurança não seja malicioso. Ela funciona com a análise dinâmica para frustrar técnicas de evasão avançadas na área de segurança.

Rastreamento de retorno de chamada inteligente: Este método permite aprender e bloquear padrões de botnet. A primeira técnica do setor aplica rastreamento de algoritmos para realizar engenharia reversa nos padrões de conexão de URL utilizados para retornos de chamada de malware.

Inteligência de endpoint: Ao validar apenas aplicativos confiáveis, os aplicativos invasores maliciosos são expostos. Esse recurso inteligente no agente do endpoint faz um inventário de todos os processos de aplicativos no local, monitora as atividades das comunicações de aplicativos e observa todas as conexões de saída realizadas por executáveis. Em seguida, compartilha essas informações com firewalls, sistemas de prevenção contra intrusão e outros dispositivos de segurança na rede.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech corporate

Hackers invadem site de relações extraconjugais e ameaçam liberar dados de 37 milhões de usuários

ashleymadisonO site de encontros extraconjugais Ashley Madison foi invadido por hackers, que alegam ter roubado todo o banco de dados do serviço, incluindo registros financeiros e detalhes particulares dos 37 milhões de usuários da página.

O pesquisador especializado em segurança da informação Brian Krebs divulgou a notícia da invasão na noite do domingo (19), e o ataque foi posteriormente confirmado por Noel Biderman, CEO da Avid Life Media, dona da Ashley Madison e de dois outros sites de encontros, o Cougar Life e o Established Men.

“Não negamos que isso aconteceu”, afirmou Biderman, descrevendo a invasão como um ataque criminal. Um grupo hacker chamado The Impact Team assumiu a responsabilidade pela invasão.

Os invasores ameaçam divulgar “todos os dados dos clientes, incluindo perfis com todas as fantasias sexuais secretas, transações com cartão de crédito, nomes e endereços reais, além de documentos e e-mails dos empregados”, a não ser que o Ashley Madison e o Established Man fossem tirados do ar.

Em um manifesto no qual explica a invasão, o Impact Team alega ter sido motivado por razões morais, criticando as práticas de negócio da Avid Life Media e as pessoas que usam o serviço, por terem relações extraconjugais.

Fundado nos Estados Unidos em 2001, com o slogan “A vida é curta. Curta um caso”, o Ashley Madison estimula relações fora do casamento entre os seus usuários. No Brasil desde 2011, estima-se que a página tenha 3 milhões de cadastrados no país. Ainda mais polêmico, o Established Men diz que seu objetivo é conectar “belas mulheres com homens ricos e bem sucedidos”.

O Ashley Madison oferece um serviço “apague tudo” no qual excluiria todas as informações de um usuário dos registros do site, mediante o pagamento de 19 dólares. Mas os hackers dizem que os usuários pagam por nada.

“O [serviço] Full Delete gerou 1,7 milhão de dólares para a Avid Life Media em 2014. Mas ele é uma completa mentira. Na maioria das vezes, os usuários pagam com cartão de crédito; seus detalhes de compra não são removidos como prometido, incluindo nomes e endereços reais, as informações mais importantes que os usuários querem remover”, afirma o grupo hacker.

Mas o Impact Team parece não se importar tanto com os usuários do serviço. “Azar desses homens”, afirma a declaração. “Eles são lixos traidores e não merecem privacidade”. O manifesto detona o “site de traição número um da internet” Ashley Madison, mas quer mesmo é acabar com o Established Men, chamado pelos hackers de “um site de prostituição/tráfico humano no qual homens ricos pagam por sexo”.

A Avid Life Media publicou um comunicado oficial sobre o vazamento, no qual se exime de culpa pelo ocorrido, afirmando que foi “apenas a última, entre várias empresas, a ser atacada, apesar de investir nas mais novas tecnologias de privacidade e segurança”.

O CEO do grupo afirma que está “trabalhando ativamente e fervorosamente” para evitar a disseminação das informações roubadas. O executivo disse a Krebs que uma investigação inicial revelou que o ataque foi feito por alguém que conhecia os sistemas da Avid Life Media, sugerindo que um ex-funcionário pode ser responsável pelo vazamento.

Fontes: Info e KrebsOnSecurity

Mac tem falha de segurança que possibilita invasão

OSX_falhaUma falha no Mac, presente no software que gerencia o modo de suspensão, pode permitir que invasores injetem códigos maliciosos e comprometam o sistema da Apple. O problema afeta versões mais antigas do computador e envolve bugs presentes no Safari e outros navegadores da Internet.

A vulnerabilidade foi descoberta por um pesquisador e divulgada nos últimos dias. O código afetado fica na BIOS, uma parte da memória que normalmente só pode ser lida e não modificada. Porém, quando o Mac sai do estado de suspensão, a falha permite que este código seja modificado.

O sistema possui uma proteção contra este tipo de invasão, chamada FLOCKDN, mas por algum motivo não descoberto este sistema é desativado quando o Mac sai do modo de suspensão. Para se aproveitar desta falha, os atacantes devem injetar o código malicioso, conhecido como rootkit, através de outros bugs, que vai esperar no sistema até que o computador seja ligado e o problema possa ser explorado.

As consequências do ataque podem variar, incluindo a instalação de programas de monitoramento ou que modifiquem as configurações do sistema sem que o usuário saiba. Como o código malicioso está instalado em uma área na qual ele não deveria ter acesso, a detecção e a remoção ficam mais difíceis, pois o rootkit pode sobreviver até mesmo a formatação do sistema.

O golpe foi bem sucedido em um MacBook Pro Retina, um MacBook Pro 8.2 e um MacBook Air. É provável que qualquer hardware mais antigo que estes modelos também esteja vulnerável. As versões mais recentes, entretanto, são imunes ao problema, o que indica que a Apple corrigiu o problema, ainda que acidentalmente.

A má notícia é que não existe uma forma de corrigir o bug sem um patch oficial e a única defesa possível para usuários de Mac é evitar usar o modo de suspensão quando possível. Por outro lado, esse ataque é difícil de ser usado em larga escada e provavelmente só será usado para infectar usuários específicos.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Techtudo

Nova ferramenta que derruba sites e distribui malware

The hackerNo início de abril o Citizen Lab, da Universidade de Toronto, publicou uma análise em conjunto com pesquisadores da University of California, Berkeley, do International Computer Science Institute (ICSI) e da Princeton University, sobre um ataque de DDoS nomeado China’s Great Cannon.

As vítimas, o GitHub (usado como repositório de software) e o Great Fire (criado para evitar a censura chinesa com o acesso à internet), sofreram ataques DDoS através de tráfego direcionado ao maior site de buscas da China, o Baidu.

Não é a primeira vez que um país é acusado de interferir no tráfego web intencional, mas é a primeira vez que se usa esse tipo de técnica para um ataque DDoS em grande escala. No caso em questão, 98% das conexões através do Baidu funcionaram sem problemas, mas os outros 2% foram usados para atacar o GitHub e o Great Fire numa espécie de ataque “man-in-the-middle” em que em que os dados trocados entre duas partes são interceptados.

Uma nota interessante é que o tráfego HTTPS não estaria suscetível a esse tipo de ataque (justamente por ser um protocolo ou conjunto de regras e códigos com uma camada de segurança que torna a navegação mais segura), entretanto, a maioria dos sites ainda usa HTTP.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo