segunda-feira, 27 de abril de 2020

O que os problemas do COBOL em Nova Jersey ensinam sobre sistemas legados

Por Redação CIO em 15/04/2020 

COBOL completa 60 anos: o que sua história dirá sobre o futuro do ...
Computerworld
Alta demanda em plataforma de desemprego de Nova Jersey, Estados Unidos, mostra como a escassez de programadores com conhecimento em uma linguagem específica, o COBOL, afetou todo o sistema do estado. A plataforma lutou para suportar um aumento de 1.600% na demanda e precisou de talentos específicos para trabalharem com a linguagem criada na década de 1950. 
Segundo reportagem do CIO Dive, o sistema de back-end que suporta a plataforma de desemprego do estado norte-americano dobrou sob a pressão de um aumento de 1.600% nas solicitações – de 9.500 na semana de 14 de março, para 156.000 na semana seguinte. Na primeira semana de abril, as reivindicações iniciais aumentaram novamente em mais de 206.000. 
"Dados os sistemas legados, devemos adicionar uma página para os conhecimentos de informática [COBOL], porque é com isso que lidamos nesses legados", disse o governador de Nova Jersey Phil Murphy, em entrevista coletiva. "Temos sistemas com mais de 40 anos. Haverá muitas autópsias, e uma delas em nossa lista será 'como diabos chegamos aqui, quando literalmente precisávamos de programadores' [COBOL]". 

Vintage, porém eficaz 

Desde o pedido de ajuda do governador, um fluxo de voluntários avançou, embora a plataforma de desemprego continue a racionar o acesso dos candidatos de acordo com seus números de seguridade social, conta a reportagem. 
O COBOL foi criado como uma plataforma unificadora, uma linguagem de programação altamente legível que as pessoas podiam aprender rapidamente. "É [uma linguagem] detalhada e foi muito precisa e orientada por procedimentos", explicou à reportagem Brandon Edenfield, Diretor-Gerente de Modernização de Aplicativos da Modern Systems.  
Quando foi desenvolvido, os sistemas eram usados para processamento de números, não para alimentar aplicativos críticos. Com o tempo, o uso contínuo expandiu e hoje é usado para impulsionar as operações das empresas que processam grandes volumes de transações em um mainframe.  
Entretanto, as empresas que não se modernizaram têm que lidar com aplicativos legados e não documentados que estão em execução há décadas. Alterações feitas por funcionários que se aposentaram ou saíram do local levam a que Edenfield se refere como "código de espaguete". 
Isso significa que o conhecimento da linguagem, provavelmente, não será suficiente para corrigir os problemas do COBOL de Nova Jersey, diz a reportagem. "Mesmo que o governador encontre programadores da COBOL, esses caras vão dizer: 'Eu sei falar francês, mas não sei o que essas coisas fazem'", disse Edenfield ao CIO Dive. "Eles terão que entrar e tentar descobrir o que todos esses aplicativos fazem", complementou. 

É preciso superar o legado 

Isso coloca uma pressão sobre sistemas legados, que se esforçam para escalar com demandas atuais. "Sempre que você tem um sistema que se torna difícil de manter, há perigos, independentemente de sua confiabilidade teórica", disse ao CIO Dive, Joseph Steinberg, Consultor de Segurança Cibernética. 
Os desafios enfrentados a partir da alta demanda impulsionada pela crise do coronavírus serão sentidos de diferentes formas pelas empresas. O caso de Nova Jersey destaca como uma mudança repentina de escala pode incendiar a infraestrutura de TI, com falta de talento suficiente para impulsionar a mudança, diz a reportagem. 
Assim como, sistemas desatualizados podem introduzir riscos cibernéticos de maneira contra intuitiva, como já expôs outros aplicativos como o Zoom, que teve problemas com segurança cibernética a partir da alta demanda decorrente do trabalho remoto nesse período.  
"Minha esperança, como a de todos, é que a pandemia diminua e que voltemos ao normal nos próximos meses", disse Steinberg. "Mas se não o fizermos, provavelmente veremos outros sistemas falharem, alguns dos quais podem não ser facilmente corrigidos".

Vulnerability allowed hijacking of Microsoft Teams account with a GIF

by  on 
Microsoft Teams será liberado gratuitamente devido ao coronavírus ...

Zoom video conferencing tool has been facing security and vulnerability issues since the beginning of the Coronavirus pandemic but this time Microsoft’s very own Microsoft Teams service was exposed to account take over vulnerability.
Microsoft Teams is a workplace collaboration and communication platform that allows organizations to communicate via video conferencing, store files, initiate chat, and integrate applications simultaneously. It has emerged as a very useful and productive medium of communication in recent times, specifically nowadays when the world is held hostage to the COVID-19 pandemic.
However, this very aspect is in itself a great threat to organizational data safety as none of the applications currently available are free from security loopholes, and the same is the case with Microsoft Teams. 
Reportedly, CyberArk’s researchers identified a worm-like vulnerability in Microsoft Teams, which hackers could exploit to hijack an entire roaster of MS Teams accounts at an organization by sending malicious URLs or GIF images to Teams users. 
The vulnerability is related to the way MS Teams processes authentication access tokens and passes them to resources containing images. If an attacker manages to create a GIF file or URL, Teams will send the authentication token to the attacker’s server while processing it. 
 <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
<!-- Custom size sqare ad -->
<ins class="adsbygoogle"
     style="display:inline-block;width:300px;height:250px"
     data-ad-client="ca-pub-3675825324474978"
     data-ad-slot="3421156210"></ins>
<script>
(adsbygoogle = window.adsbygoogle || []).push({});
</script>  <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
<!-- Text Link Ad -->
<ins class="adsbygoogle"
     style="display:inline-block;width:200px;height:90px"
     data-ad-client="ca-pub-3675825324474978"
     data-ad-slot="5266209419"></ins>
<script>
(adsbygoogle = window.adsbygoogle || []).push({});
</script>  <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
<!-- Text Link Ad -->
<ins class="adsbygoogle"
     style="display:inline-block;width:200px;height:90px"
     data-ad-client="ca-pub-3675825324474978"
     data-ad-slot="5266209419"></ins>
<script>
(adsbygoogle = window.adsbygoogle || []).push({});
</script>
To successfully pull off the attack via sending links, the victim should click on the link; but in the case of GIF image, the attack can be successful if the user views the image in Teams chat. Once the image is viewed or URL clicked, the attacker receives the token. 
Using this token, an attacker can hijack the victim’s Teams account by exploiting its API interfaces, and can access victim’s data on Teams, send messages, create and delete groups on the victim’s behalf, or modify a group’s permissions. 
The automated nature of this attack makes organizations most vulnerable to exploitation as the attacker can send malicious GIF files to other employees using a hijacked account, and may access sensitive data, login credentials, business strategies/plans, and meeting schedules. 

Attack’s workflow:

Vulnerability allowed hijacking of Microsoft Teams account with a GIF
CyberArk researchers’ assessed that an attacker can carry out a variety of attacks after receiving the token. Such as:
It is possible to send false information to employees to cause reputational or financial damage, direct data leakage, install malware, lure an employee to reset the password by impersonating as a team member, or contact the CEO after hijacking Teams account of another executive to obtain confidential financial data.
However, they believe that sending out infected images or links is quite easy but the other steps are rather complex, and novice or amateur hackers cannot easily pull it off. 

Watch how it’s done:

Microsoft has already addressed the flaw with the help of researchers under CVD (Coordinated Vulnerability Disclosure). The company claims that the vulnerability wasn’t yet exploited by hackers, and now that it has been fixed, there is no threat to the users of Microsoft Teams. 

domingo, 5 de abril de 2020

6 maneiras que hackers estão explorando a crise do COVID-19

Dan Swinhoe, CSO (EUA) em 24/03/2020

Foto: Shutterstock
Embora as organizações possam tomar várias medidas para garantir que os funcionários estejam bem equipados para trabalhar remotamente de maneira segura, os atores dessas ameaças, de todas as faixas, já estão tirando proveito da situação do COVID19/coronavírus. Para não perder uma oportunidade, os hackers estão intensificando as operações para espalhar malware através de e-mails, aplicativos, sites e mídias sociais com o tema Covid19. Aqui está uma análise dos possíveis vetores de ameaças e técnicas que os hackers estão usando para atacar as organizações.

E-mails de phishing

O e-mail é e continuará sendo o maior vetor de ameaças para pessoas e organizações. Os cibercriminosos há muito tempo usam eventos mundiais em campanhas de phishing para aumentar sua taxa de acertos, e o coronavírus não é uma exceção.
A Digital Shadows relata que os mercados da dark web estão anunciando kits de phishing COVID19 usando um anexo de e-mail corrompido disfarçado como um mapa de distribuição do surto do vírus por preços que variam de US$ 200 a US$ 700.
Os temas desses e-mails variam, de artigos de analistas de setores específicos da indústria e detalhes das orientações oficiais de saúde do governo a vendedores de máscaras ou outras informações sobre operações e logística durante esse período. As cargas incluídas nesses e-mails variam de ransomware e keyloggers a trojans de acesso remoto e ladrões de informação.
"Nossa equipe de pesquisa de ameaças observou inúmeras campanhas de e-mail maliciosas COVID-19, com muitas delas usando o medo para tentar convencer as vítimas em potencial a clicar. Os criminosos enviaram ondas de e-mails que variavam o disparo de uma dúzia a mais de 200.000 por vez, e o número de campanhas está aumentando. Inicialmente, assistimos a uma campanha por dia em todo o mundo, agora observamos três ou quatro por dia", diz Sherrod DeGrippo, Diretor Sênior de Pesquisa e Detecção de Ameaças da Proofpoint.
Segundo DeGrippo, cerca de 70% dos e-mails revelados pela equipe de ameaças da Proofpoint liberava malwares, com o restante sendo usado na tentativa de roubo de credenciais das vítimas através de páginas de destino falsas, como o Gmail ou o Office 365. A Proofpoint diz que o volume acumulado de e-mails/iscas relacionado ao coronavírus representa agora a maior coleção de tipos de ataque unidos por um único tema que a empresa já viu.
O NCSC e a Organização Mundial de Saúde (OMS), entre outros, fizeram avisos públicos sobre e-mails fraudulentos que fingem ser de órgãos oficiais. Vários e-mails de phishing que afirmam ser do Centro de Controle e Prevenção de Doenças (CDC) estão circulando.
A BAE Systems relata que os hackers que enviam e-mails com o tema COVID-19 incluem a Transparent Tribe (também conhecida como APT36), direcionada para o governo indiano, os grupos Sandworm/OlympicDestroyer e Gamaredon, vinculados à Rússia, e os grupos afiliados chineses Operation Lagtime e Mustang Panda APTS.

Aplicativos maliciosos

Embora a Apple tenha colocado limites em aplicativos relacionados ao COVID-19 em sua App Store e o Google tenha removido alguns da Play Store, aplicativos maliciosos ainda podem representar uma ameaça para os usuários. O DomainTools descobriu um site que pedia aos usuários que baixassem um aplicativo Android que suspostamente forneceria informações estatísticas e de rastreamento sobre o COVID-19, incluindo recursos visuais do mapa de calor. No entanto, o aplicativo é realmente carregado com um ransomware para Android, agora conhecido como COVIDLock. A nota de resgate exigia US$ 100 em bitcoin, em 48 horas, e ameaça de apagar os contatos, fotos e vídeos, bem como a memória do telefone do usuário. Um token de desbloqueio foi descoberto.
O DomainTools relatou que os domínios associados ao COVIDLock foram usados anteriormente para distribuir malware relacionado à pornografia. "A história de longo prazo dessa campanha, agora parecendo desativada, sugere que esse golpe do COVID-19 seja um novo empreendimento e experimento do hacker por trás desse malware", disse Tarik Saleh, Engenheiro de Segurança Sênior e Pesquisador de Malware da DomainTools, em um blog.
A Proofpoint também descobriu uma campanha pedindo aos usuários que doassem seu poder computacional para o SETI@Home, mas dedicados à pesquisa sobre o COVID-19, apenas para fornecer malware de roubo de informações fornecido via BitBucket.

Domínios inválidos

Novos sites estão sendo rapidamente criados para disseminar informações relacionadas à pandemia. No entanto, muitos deles também serão armadilhas para vítimas inocentes. A Recorded Future relata que centenas de domínios relacionados ao COVID-19 foram registrados todos os dias nas últimas semanas. O Checkpoint sugere que os domínios relacionados ao COVID-19 tenham 50% mais chances de serem maliciosos do que outros domínios registrados no mesmo período.
O NCSC informou que sites falsos estão se passando por Centros de Controle de Doenças (CDC) dos EUA e criando nomes de domínio semelhantes ao endereço da web do CDC para solicitar "senhas e doações de bitcoin para financiar uma vacina falsa".
Reason Security e Malwarebytes relataram um site de mapas de calor de infecção do COVID-19 que está sendo usado para espalhar malware. O site é carregado com o malware AZORult, que rouba credenciais, números de cartões de pagamento, cookies e outros dados confidenciais baseados no navegador, e os filtra para um servidor de comando e controle. Ele também procura carteiras de criptomoedas, pode pegar capturas de tela não autorizadas e coletar informações de dispositivos de máquinas infectadas.

Pontos de extremidade inseguros e usuários finais

Com um grande número de funcionários ou até empresas inteiras trabalhando remotamente por um longo período de tempo, aumentam os riscos em torno dos endpoints e das pessoas que os utilizam. Os dispositivos que a equipe usa em casa podem se tornar mais vulneráveis se os funcionários não atualizarem seus sistemas regularmente.
Trabalhar em casa por longos períodos de tempo também pode incentivar os usuários a baixar aplicativos de sombra para dispositivos ou desprezar políticas de segurança que eles normalmente seguiriam no escritório. Um menor número de viagens de negócios pode reduzir a chance de os funcionários terem problemas de segurança nas fronteiras, mas apenas reduz a ameaça de conexão com redes Wi-Fi inseguras ou a perda de dispositivos se eles realmente ficarem em casa. Aqueles que saem para trabalhar em cafés - e alguns provavelmente o farão - ainda podem ser suscetíveis a roubo ou perda de dispositivos ou ataques do tipo intermediário.
A International Association of Information Technology Asset Managers (Associação Internacional de Gerentes de Ativos de Tecnologia da Informação) recomenda que todos os ativos de TI que estão sendo levados para casa sejam desconectados e rastreados e que as empresas forneçam políticas e conselhos sobre como os ativos serão usados em casa (especialmente se as pessoas estiverem acostumadas a compartilhar dispositivos com a família). Orienta também que lembrem os usuários sobre as políticas em torno de conexão com Wi-Fi público, e que verifiquem se eles continuam a atualizar seu software, conforme necessário.

Vulnerabilidades em fornecedores e terceiros

Todo parceiro, cliente e provedor de serviços do seu ecossistema provavelmente está passando pelos mesmos problemas que a sua organização. Entre em contato com partes críticas do seu ecossistema de terceiros para garantir que eles estejam tomando medidas para proteger sua força de trabalho remota.

Direcionar organizações de saúde

Nos últimos dias, o site de Saúde Pública de Illinois foi atingido com ransomware, enquanto o Departamento de Saúde e Serviços Humanos (HHS) sofreu uma tentativa de ataque DDoS. É provável que organizações de saúde de todas as formas e tamanhos estejam mais estressadas do que o habitual, o que pode tornar a equipe mais descuidada quanto ao que clicam.
Criminosos oportunistas ou aqueles que desejam interromper as operações podem ter mais chances de atingir o setor. Os CISOs do setor de saúde ou que fornecem a esse setor devem lembrar a equipe de estar vigilante quanto a links e documentos suspeitos e garantir que suas operações sejam resistentes a ataques DDoS.

Prioridades de segurança para o trabalho remoto em grande escala

Liviu Arsene, Pesquisadora Global de Segurança Cibernética da Bitdefender, recomenda que as organizações sigam as seguintes etapas para garantir um trabalho remoto seguro e estável:
  • Aumente o número de conexões VPN simultâneas para acomodar todos os funcionários remotos;
  • Configure e suporte software de conferência que garanta uma conexão estável de voz e vídeo
  • Verifique se todos os funcionários têm credenciais válidas que não expiram em menos de 30 dias, pois a alteração das credenciais expiradas do Active Directory pode ser difícil quando remotas.
  • Envie regras e diretrizes sobre aplicativos aceitos e plataformas colaborativas para que os funcionários estejam cientes do que é sancionado e suportado e do que não é.
  • Tenha procedimentos de implementação gradual para implantar atualizações, pois entregá-las todas de uma vez a funcionários conectados à VPN pode criar congestionamentos de largura de banda e afetar o tráfego de entrada e saída.
  • Habilite a criptografia de disco para todos os pontos de extremidade para reduzir o risco de perda de dados em dispositivos comprometidos.