quinta-feira, 30 de novembro de 2017

Zero Trusted Network: uma forma de enxergar a segurança em redes corporativas


Resultado de imagem para zero trust network architecture
Já ouviu falar sobre o termo Zero Trust Network(Rede de Confiança Zero)? Esta arquitetura de Segurança foi desenvolvida em 2009 pela Forrester Research e tem como objetivo incentivar a empresa a inspecionar todo o tráfego da rede. Muitos podem pensar que o objetivo dessa arquitetura é desconfiar do usuário, mas não é. Pelo contrário, o objetivo é rastrear todo o tráfego da rede e realizar o controle de acessos para que pessoas má intencionadas não tenham acesso aos dados confidencias da empresa.
Zero Trust Network, então, é um novo modo de enxergar a segurança em TI. Nos modelos convencionais de segurança em TI a arquitetura da rede é montada acreditando que os dados trafegados no interior na rede são confiáveis, o que é um grande risco para a corporação. Nesta tradicional forma de prover Segurança em Redes os novos malwares que estão sendo desenvolvidos podem entrar sem que sejam notados, assim, estarão livres para se mover para qualquer parte da rede e então colher todos os dados que quiserem.
seguranca-informacao-monitoramento-rede-network
Este novo modo de enxergar a segurança nas redes corporativas é baseado basicamente em um princípio: nunca confiar e sempre verificar, independente da entidade presente na rede (usuários, dispositivos, aplicativos e pacotes). A arquitetura de segurança Zero Trust é baseada em 3 conceitos básicos:
  • Certificação de que todos os recursos são acessados de forma segura, independentemente da localização;
  • Adoção de uma estratégia menos privilegiada e aplicação rigorosa do controle de acesso;
  • Inspeção e registro de todo o tráfego.
Essa forma de pensar, em que o ambiente interno pode estar tão desprotegido quanto o ambiente externo, já é utilizado por grandes empresas. Um dos casos mais comum é o da gigante das buscas, a Google. Se apropriando da ideia de “nunca confiar e sempre verificar” a Google, então, criou o seu próprio framework de segurança conhecido como BeyondCorp (Além da Corporação). Neste framework desenvolvido por eles, é possível controlar o perímetro através dos dispositivos individuais e dos usuários, sem que seja necessário a utilização da tradicional VPN.
Vale ressaltar que não existe uma forma específica de implantar uma rede Zero Trust! Nos casos mais simples, as empresas adquirem Firewall de Nova Geração (Next Generation Firewall) que são capazes de fazer filtragem de pacotes, inspeção profunda, detecção de malware, entre outras funções. Juntamente a isso, aplicam um modelo de privilégios mínimos, registram os acessos e adicionam diversos métodos de autenticação. Algumas ferramentas que podem ser utilizadas para a implantação dessa forma são: Palo Alto (UserID, App-ID, Content-ID e WildFilre) e VMware NSX.
Outras empresas como a Google tomaram uma atitude mais radical: moveram todas as suas aplicações para a internet pública e passaram a utilizar um processo de autenticação e autorização de usuários baseados no dispositivo.
As empresas que desejam dar um “upgrade” em sua estrutura defensiva contra as ameaças modernas e consequentemente evitar o vazamento de dados, devem olhar para a arquitetura Zero Trust com um pouco mais de atenção. As formas de implementação são vastas e vai variar de acordo com o seu ambiente, mas lembre-se sempre de levar em conta os princípios que regem essa arquitetura.
Referências Bibliográficas

IoT: protocolo LoRaWAN e principais placas de desenvolvimento LoRa


Resultado de imagem para LoRa
À medida que a Internet das Coisas (IoT) avança, aumenta a procura por kits de desenvolvimento e informações sobre os protocolos mais importantes
Neste artigo vamos apresentar, em linhas gerais, a tecnologia LoRa e o protocolo LoRaWAN, um dos mais difundidos no campo da Internet das Coisas (IoT) e também alguns dos principais kits de desenvolvimento disponíveis no mercado.

Tecnologia LoRa e protocolo LoRaWAN

O desenvolvimento de sistemas embarcados para soluções IoT em áreas mais amplas, como cidades inteligentes, agricultura de precisão e sensoriamento, é um campo em que o LoRa, junto com o Sigfox, tem um papel especial.
Essas tecnologias aliam baixo consumo com longo alcance (na casa dos 15km) e são os chamados LPWAM – Low Power Wide Area Network.
O LoRa, especificamente, é baseado em uma rede de topologia estrela, similar a uma rede de telefonia sem fio. Cada módulo LoRa envia e recebe dados a partir de Gateways (receptores de sinais enviados pelos módulos), que repassam os dados via conexão IP para os servidores adequados.
Arquitetura de rede LoRa
Arquitetura de rede LoRa. Fonte: http://www.3glteinfo.com/lora/lora-architecture/
Na imagem acima, cada nó é um dispositivo dotado de um módulo LoRa que transmite e recebe sinais dos Gateways. Estes, por sua vez, recebem as informações dos dispositivos e transmitem para um servidor local ou remoto.

A tecnologia base Chirp Spectrum Modulation

As condições ambiente influenciam no alcance. Áreas com muitos prédios e terrenos com muitos obstálos podem limitar o raio para até 4 km. Em áreas rurais chega a 12~15km ou mais. A tecnologia na qual o protocolo é embasado é a chirp spread spectrum modulation. Essa técnica é utilizada há muito tempo em sistemas de comunicação militar por aliar longo alcance e boa imunidade a ruídos.
A tecnologia LoRa é uma das primeiras a utilizar a técnica em larga escala e com custo acessível. O nome LoRa diz respeita à camada física. Sendo que a camada lógica é chamada de LoRaWAN – o protocolo em si, implementado em um stack programado nos processadores integrados aos módulos ou kits de desenvolvimento.
Nesta última são implementados os detalhes de funcionamento relativos à segurança, qualidade, ajustes de potência e tipos de aplicações.
Em resumo, as principais características do LoRa são:
  • Longo alcance – pode chegar a mais de 15Km;
  • Capacidade de até um milhão de nós;
  • Alta imunidade a ruídos;
  • Baixo consumo de energia;
  • Baseada na tecnologia chirp spectrum modulation (saiba mais aqui);

8 placas/Kits de desenvolvimento para IoT com LoRa

Vários kits de desenvolvimento e plataformas LoRa estão disponíveis no mercado. Com a popularização da Internet das Coisas a demanda e oferta de novos CIs e kits completos deve continuar a aumentar. Aqui fizemos uma lista de 8 placas/kits de desenvolvimento para quem quer incorporar a tecnologia LoRa em seu projeto IoT. 
1 – WISE-DK1510 LORA STARTER KIT
Starter kit fabricado pela AdvancedTech. Possui um transceiver LoRa integrado com um processador ARM Cortex-M4 e sensores de tempertatura e umidade também já montados na placa principal.
Possui uma SDK própria e é compatível com redes LoRaWAN públicas e redes IoT privadas que utilizem o gatewal  WISE-3610. Possui ainda porta serial, SPI, I2C e saídas PWM e GPIO integradas.
Detalhes sobre o WISE-DK1510 LORA STARTER KIT.
2 – LORAWAN™ RAPID DEVELOPMENT KIT
Kit de desenvolvimento rápido para dispositivos LoRa fabricado pela AllthingsTalk. O kit contém um Arduino como hardware de processamento, transceiver LoRa do tipo Plug and play e acesso para o AllthingsTalk Maker, um aplicativo específico para desenvolvimento de aplicações com redes LoRaWAN. O kit já vem pronto para se conectar em algumas redes LoRaWAN. O preço é salgado, são 299 euros.
3 – Kit de desenvolvimento LoRa Microchip(RN2483)
A Microchip é famosa no Brasil por seus microcontroladores PIC e kits de desenvolvimento diversos. A fabricante dos microcontroladores que reinavam absolutos antes da chegada dos hardwares abertos(arduino, raspberry, etc) também tem uma plataforma para desenvolvimento LoRa.
O kit vem com duas placas baseadas no RN2483, módulos LoRa da própria Microchip e um gateway LoRaWAN. Além disso, a placa possui LCD integrado e vem com cartão SD para dados de configuração.
4 – STM32L0 Discovery kit LoRa
Kit da gigante STMicroelectronics, baseado em seu transceiver LoRa SX1276. Além dos chips LoRa integrados, possua 4 canais ADC de 12 bits e portas UART, SPI, 12C e USB 2.0. Saiba mais na página da STMicroeletronics.
5 – MRN2903 LoRa® Mote Demonstration Board
Esta é uma placa de desenvolvimento mais simples do que as anteriores. É baseada no CI da Micrhochip RN2903. Possui sensores de temperatura e umidade integrados, bem como um pequeno painel OLED para visualização de dados. É um kit de demonstração e focado em prototipagem rápida.
6 – Dragino LoRa IoT Kit
Placa de desenvolvimento focada em quem está iniciando no mundo IoT. É baseada no Arduino UNO e em shields de expansão com módulos LoRa. O kit completo também conta com alguns sensores de aplicações práticas, como: 
  • Sensor de chama;
  • Fotoresistor;
  • Sensor Ultrassônico;
  • Sensor de umidade e temperatura DHT11;
Conheça o kit na página da Dragino.
7 – MultiConnect ConduitTM IoT Starter Kit for LoRa
Semelhante ao kit anterior, vem com um pack de sensores para serem integrados em dispositivos interconectados. É focado em sensoriamento remoto, daí o kit incluir alguns sensores básicos. Apesar de bem completo, é um kit focado nos mercados da Europa e EUA, e o site oficial não dá maiores informações de preço para outras regiões. Conheça mais aqui.
8- Adafruit LoRa breakout
Esta última opção não é um kit de desenvolvimento propriamente dito, mas sim um transceiver LoRa integrado em um shield de expansão. O transceiver é o RFM95W. Sua grande vantagem em relação aos kits completos é o preço. No site da Adafruit cada unidade sai por $19.95. A maioria dos sensores de temperatura, umidade, e outros mais encontrados nos kits fechados, são facilmente obtidos no mercado, o que permite que você compre apenas os componentes que realmente vá utilizar.
Os diversos kits disponíveis possuem variações de preço significativas. É recomendado pesquisar em detalhe as características de cada opção para saber a melhor para o seu projeto. Para maiores informações sobre a tecnologia LoRa e os Kits de desenvolvimento disponíveis, acesse as referências abaixo. Bons estudos!

Referências e fontes de estudo:

Cryptocurrency Mining Scripts Now Run Even After You Close Your Browser


cryptocurrency-mining
Some websites have found using a simple yet effective technique to keep their cryptocurrency mining javascript secretly running in the background even when you close your web browser.


Due to the recent surge in cryptocurrency prices, hackers and even legitimate website administrators are increasingly using JavaScript-based cryptocurrency miners to monetize by levying the CPU power of their visitor's PC to mine Bitcoin or other cryptocurrencies.


After the world's most popular torrent download website, The Pirate Bay, caught secretly using Coinhive, a browser-based cryptocurrency miner service, on its site last month, thousands of other websites also started using the service as an alternative monetization model to banner ads.

However, websites using such crypto-miner services can mine cryptocurrencies as long as you're on their site. Once you close the browser window, they lost access to your processor and associated resources, which eventually stops mining.


Unfortunately, this is not the case anymore.


Security researchers from anti-malware provider Malwarebytes have found that some websites have discovered a clever trick to keep their cryptocurrency mining software running in the background even when you have closed the offending browser window.


How Does This Browser Technique Work?


According to a blog post published Wednesday morning by Malwarebytes, the new technique works by opening a hidden pop-under browser window that fits behind the taskbar and hides behind the clock on your Microsoft's Windows computer.


From there (hidden from your view), the website runs the crypto-miner code that indefinitely generates cryptocurrency for the person controlling the site while eating up CPU cycles and power from your computer until and unless you notice the window and close it.

mining-cryptocurrency
Researchers say this technique is a lot harder to identify and able to bypass most ad-blockers because of how cleverly it hides itself. The crypto-miner runs from a crypto-mining engine hosted by Amazon Web Servers.

"This type of pop-under is designed to bypass adblockers and is a lot harder to identify because of how cleverly it hides itself," Jérôme Segura, Malwarebytes' Lead Malware Intelligence Analyst, says in the post. "Closing the browser using the "X" is no longer sufficient."
To keep itself unidentified, the code running in the hidden browser always takes care of the maximum CPU usage and maintains threshold to a medium level.

You can also have a look at the animated GIF image that shows how this clever trick works.


This technique works on the latest version of Google's Chrome web browser running on the most recent versions of Microsoft's Windows 7 and Windows 10.


How to Block Hidden Cryptocurrency Miners


If you suspect your computer CPU is running a little harder than usual, just look for any browser windows in the taskbar. If you find any browser icon there, your computer is running a crypto-miner. Now simply, kill it.


More technical users can run Task Manager on their computer to ensure there is no remnant running browser processes and terminate them.


Since web browsers themselves currently are not blocking cryptocurrency miners neither does the integrated Windows Defender antivirus software, you can use antivirus programs that automatically block cryptocurrency miners on web pages you visit.


For this, you can contact your antivirus provider to check if they do.


Alternatively, you can make use of web browser extensions, like No Coin, that automatically block in-browser cryptocurrency miners for you, and regularly update themselves with new mining scripts that come out.


Created by developer Rafael Keramidas, No Coin is an open source extension that blocks Coin Hive and other similar cryptocurrency miners and is available for Google Chrome, Mozilla Firefox, and Opera.


No Coin currently does not support Microsoft Edge, Apple Safari, and Internet Explorer. So, those using one of these browsers can use an antimalware program that blocks cryptocurrency miners.

HP Silently Installs Telemetry Bloatware On Your PC—Here's How to Remove It


HP-Touchpoint-Analytics-Client








Do you own a Hewlett-Packard (HP) Windows PC or laptop?


Multiple HP customers from around the world are reporting that HP has started deploying a "spyware" onto their laptops—without informing them or asking their permission.


The application being branded as spyware is actually a Windows Telemetry service deployed by HP, called "HP Touchpoint Analytics Client," which was first identified on November 15.


According to reports on several online forums, the telemetry software—which the HP customers said they never opted to have installed and had no idea was continually running in the background—was pushed out in a recent update.

However, it's not yet clear whether the software has come with the latest Microsoft's Windows updates, or via HP's support assistant processes.


An official description of the software says that the program "harvests telemetry information that is used by HP Touchpoint's analytical services."


HP Touchpoint Makes Your Computer Slow


HP customers also complained that the installation slowed down their system significantly.


On HP's customer forum, one user even reported that due to more than 95 percent CPU usage by the analytics service, his system anti-malware software started checking for suspicious activity.


Another user owning an HP laptop head on to Reddit and said:

"So today all of a sudden, I'm experiencing a considerable slowdown in my laptop (Pavilion P3V59PA). Once I look for the problem in Task Manager, I found out that the program called HP Touchpoint Analytics Client (and it's subsequent follow up) constantly jumping the memory usage (~300Mb at a minimum, ~nearly 2Mb at maximum)."
"I don't remember ever installing this program whatsoever, and in control panel, I found that for some reason this program was silently installed today, without my consent."
German blog reader Detlef Krentz contacted borncity this weekend and wrote:

"I noticed that HP secretly installed the program 'HP Touchpoint Analytics Client' on all my HP devices on November 20, 2017. The program connects every day to HP. The files sent can be found under 'Program Data/HP/HP Touchpoint Analytics Client/Transfer Interface.'"
The program seems to send data to the company's server once per day. If you own an HP PC or laptop, you can find this data under ProgramData\HP\HP Touchpoint Analytics Client\Transfer Interface on the Windows drive.

While responding to the allegations, HP said that the company has been shipping the same software on HP laptops since 2014 as part of its Support Assistant software and that it only collects anonymous information about the computer's hardware performance.


However, the only thing that the company has changed is the name.

"HP Touchpoint Analytics is a service we have offered since 2014 as part of HP Support Assistant. It anonymously collects diagnostic information about hardware performance. No data is shared with HP unless access is expressly granted. Customers can opt-out or uninstall the service at any time," HP said in a statement.
"HP Touchpoint Analytics was recently updated, and there were no changes to privacy settings as part of this update. We take customer privacy very seriously and act in accordance with a strict policy, available here."

Here’s How to Remove HP Touchpoint Analytics Client


If you don't want this application to send data from your computer to HP's servers, you can disable the service or uninstall the program completely, which is relatively quickly and easily.


To uninstall this service, go to Control Panel and right-click on the program name, and select Uninstall to remove it.


Alternatively, you can just press Windows+R, type "appwiz.cpl," and press Enter to load the Programs and Features control panel applet. Now, select "HP Touchpoint Analytics Client" from the list and click the "Uninstall/Change" to remove the service from your PC.


A few months ago, HP was caught using a built-in keylogger that silently spied on your all keystrokes, and stored every single key-press in a human-readable file located at the public folder, making it accessible to any user or 3rd party app installed on the PC.


Recently, Lenovo has also settled a massive $3.5 million fine from the Federal Trade Commission (FTC) for preinstalling spyware onto laptops without users' consent.

quarta-feira, 29 de novembro de 2017

Attackers Exploit 17-Year-Old Bug to Deliver Malware via Cobalt Strike

DAVID BISSON em 29/11/2017 no site The State of Security

Resultado de imagem para cobalt strike
Malicious actors are exploiting a 17-year-old vulnerability to infect machines with malware using a component of the Cobalt Strike penetration tool.
An attack under this campaign begins when a user receives a spam email from Visa announcing a change to its payWave service in Russia. The email comes with a password-protected archive that’s named “Изменения в системе безопасности.doc Visa payWave.doc.” Those behind this operation might have protected the archive with a password to lull the user into a false sense of security and thereby trick them into believing that Visa took precautions to protect the contents of the document.
Fake Visa notification email in Russian. (Source: Fortinet)
However, the archive is merely a distraction. The main focus of this attack email is a malicious RTF document that, when opened, exploits CVE-2017-11882, a 17-year-old arbitrary code execution vulnerability which Microsoft patched in mid-November 2017. This exploit triggers an obfuscated JavaScript that executes an obfuscated PowerShell script, which then downloads another PowerShell script and executes it to load Cobalt Strike in memory.
From there, the attacker can seize control of the infected system and potentially move laterally in the network.
Encoded and decoded PowerShell script downloader. (Source: Fortinet)
Fortinet security researchers Jasper Manual and Joie Salvio explain this campaign reveals the danger of users not patching their systems of known vulnerabilities on a timely basis:
Threat actors are always on the lookout for vulnerabilities to exploit and use them for malware campaigns like this. This goes both for new and old vulnerabilities, whether they have been published or not. We frequently see malware campaigns that exploit vulnerabilities that have been patched for months or even years. This may have come from an assumption that there are still a significant number of users out there that don’t take software updates seriously, which sadly, is far too often the case.
To protect against attacks such as these, users should update their systems regularly, and organizations should invest in a vulnerability management solution that can help them detect and prioritize all known bugs.
For information on how Tripwire’s solutions can help strengthen a company’s vulnerability management program, click here.

terça-feira, 28 de novembro de 2017

Google Detects Android Spyware That Spies On WhatsApp, Skype Calls


android-spying-app
In an attempt to protect Android users from malware and shady apps, Google has been continuously working to detect and remove malicious apps from your devices using its newly launched Google Play Protect service.


Google Play Protect—a security feature that uses machine learning and app usage analysis to check devices for potentially harmful apps—recently helped Google researchers to identify a new deceptive family of Android spyware that was stealing a whole lot of information on users.


Discovered on targeted devices in African countries, Tizi is a fully-featured Android backdoor with rooting capabilities that installs spyware apps on victims' devices to steal sensitive data from popular social media apps like Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn, and Telegram.

"The Google Play Protect security team discovered this family in September 2017 when device scans found an app with rooting capabilities that exploited old vulnerabilities," Google said in a blog post. "The team used this app to find more applications in the Tizi family, the oldest of which is from October 2015."
Most Tizi-infected apps are being advertised on social media websites and 3rd-party app stores, tricking users into installing them.

Once installed, the innocent looking app gains root access of the infected device to install spyware, which then first contacts its command-and-control servers by sending an SMS text message with the GPS coordinates of the infected device to a specific number.


Here's How Tizi Gains Root Access On Infected Devices


For gaining root access, the backdoor exploits previously disclosed vulnerabilities in older chipsets, devices, and Android versions, including CVE-2012-4220, CVE-2013-2596, CVE-2013-2597, CVE-2013-2595, CVE-2013-2094, CVE-2013-6282, CVE-2014-3153, CVE-2015-3636, and CVE-2015-1805.


If the backdoor unable to take root access on the infected device due to all the listed vulnerabilities being patched, "it will still attempt to perform some actions through the high level of permissions it asks the user to grant to it, mainly around reading and sending SMS messages and monitoring, redirecting, and preventing outgoing phone calls, " Google said.


Tizi spyware also been designed to communicate with its command-and-control servers over regular HTTPS or using MQTT messaging protocol to receive commands from the attackers and uploading stolen data.


The Tizi backdoor contains various capabilities common to commercial spyware, such as


  • Stealing data from popular social media platforms including Facebook, Twitter, WhatsApp, Viber, Skype, LinkedIn, and Telegram.
  • Recording calls from WhatsApp, Viber, and Skype.
  • Sending and receiving SMS messages.
  • Accessing calendar events, call log, contacts, photos, and list of installed apps
  • Stealing Wi-Fi encryption keys.
  • Recording ambient audio and taking pictures without displaying the image on the device's screen.

So far Google has identified 1,300 Android devices infected by Tizi and removed it.

Majority of which were located in African countries, specifically Kenya, Nigeria, and Tanzania.



How to Protect your Android device from Hackers?


Such Android spyware can be used to target your devices as well, so you if own an Android device, you are strongly recommended to follow these simple steps in order to protect yourself:


  • Ensure that you have already opted for Google Play Protect.
  • Download and install apps only from the official Play Store, and always check permissions for each app.
  • Enable 'verify apps' feature from settings.
  • Protect your devices with pin or password lock so that nobody can gain unauthorized access to your device when remains unattended.
  • Keep "unknown sources" disabled while not using it.
  • Keep your device always up-to-date with the latest security patches.