New cryptocurrency malware SpeakUp hits Linux & Mac devices

Por Waqas em 04/02/2019 no site HackHead

The IT security researchers at Check Point have identified a new malware called SpeakUp targeting Linux and macOS – The new findings prove that there has been a surge in malware attacks against Linux and Apple devices.

SpeakUp is a new backdoor Trojan that is being distributed by cybercriminals through a malicious new campaign designed to target servers running six different Linux versions and macOS systems. The malware manages to target multiple previously identified security flaws and can evade antivirus programseffectively.

Check Point researchers noted that the hackers are utilizing the exploit for ThinkPHP (CVE-2018-20062) remote code execution flaw for infecting Linux and macOS servers. Hackers often prefer backdoor Trojans because this malware can allow them easy access to compromised devices and also let them control the infected devices by establishing a connection with a C&C server. Usually, such malware help attackers in running campaigns to gain full control of the machine.

While the exact identity of the threat actor behind this new attack is still unconfirmed, Check Point Researchers were able to correlate SpeakUp’s author with malware developer under the name of Zettabit. Although SpeakUp is implemented differently, it has a lot in common with Zettabit’s craftsmanship, said researchers in their blog post.

According to researchers, SpeakUp exploits ThinkPHP, which is a framework that almost 90% of the leading 1M domains in America use. Furthermore, it can infect Mac machines without getting detected, which is a phenomenal capability. At the moment, SpeakUp is mainly targeting devices in East Asia, Latin America, and mostly AWS hosted devices are its prime victims. Approx. 70,000 servers across the globe are targeted in this campaign.

Check Point researchers, who identified the campaign around three weeks back, assessed that exploiting the ThinkPHP vulnerability is only the initial attack vector that helps the Trojan infect the device. Later, the hackers modify the local cron utility to obtain boot persistence, execute files that are downloaded from a remote C&C server, run shell commands, and uninstall or upgrade itself.

Moreover, SpeakUp has a built-in Python script that lets the malware to spread alongside the local network. The Python script scans local networks to locate open ports as well as brute-forces systems that it identifies in the nearest vicinity. This is performed using a list of pre-defined login credentials.

It also uses seven different exploits including remote command execution and Oracle WebLogic Server component of Oracle Fusion Middleware, etc., to control unpatched systems. After infecting new machines the malware deploys itself on the systems.

Apparently, the attackers are using SpeakUp to deploy Monero cryptocurrency miners on infected devices and so far, the group has managed to make 107 Monero coins (around $4,500). Although currently, the attackers are exploiting the Chinese PHP framework it is also possible that they switch to other exploits to further expand the scope of their backdoor and the range of targets. However, they haven’t yet targeted anything other than ThinkPHP framework. 

Hackers estão conduzindo ataques RDP usando uma nova técnica para ignorar proteções

Por Mundo Hacker em 28/01/2019.

Um componente do Microsoft Windows, RDP foi projetado para fornecer aos administradores, engenheiros e usuários acesso remoto aos sistemas. No entanto, os hackers (blackhat) têm usado a tecnologia para fins nefastos, e a tendência continua, especialmente porque um ataque RDP é geralmente mais difícil de detectar do que um backdoor.

“Os hackers continuam a preferir o RDP para as vantagens de estabilidade e funcionalidade sobre backdoors não-gráficos, que podem deixar artefatos indesejados em um sistema.”

Estes permitem que os atacantes estabeleçam uma conexão com um servidor remoto bloqueado por um firewall e abusem dessa conexão como um mecanismo de transporte para “ encapsular ” serviços de escuta locais através do firewall, tornando-os acessíveis ao servidor remoto. 

O tunelamento de rede e o encaminhamento de porta aproveitam os “ furos ” de firewall (portas não protegidas pelo firewall que permitem o acesso de aplicativos a um serviço em um host na rede protegida pelo firewall) para estabelecer uma conexão com um servidor remoto bloqueado por um firewall.

Uma vez estabelecida uma conexão ao servidor remoto através do firewall, a conexão pode ser usada como um mecanismo de transporte para enviar ou “encapsular” serviços de escuta locais (localizados dentro do firewall) através do firewall, tornando-os acessíveis ao servidor remoto ( localizado fora do firewall).

Um utilitário usado para encapsular sessões RDP é PuTTY Link , ou Plink , que permite que atacantes estabeleçamseguroconexões de rede shell ( SSH ) para outros sistemas. Com muitos ambientes de TI que não inspecionam protocolos ou não bloqueiam as comunicações SSH de sua rede, os invasores podem usar a ferramenta para criar túneis criptografados e estabelecer conexões RDP com o servidor de comando e controle (C & C). 

Como funciona?

Túnel RDP de entrada, um utilitário comum usado para encapsular sessões RDP é o PuTTY Link, comumente conhecido como Plink . 

FIG: Desvio do firewall corporativo usando RDP e tunelamento de rede com SSH como exemplo

FIG: Exemplo de um túnel RDP bem sucedido criado usando o Plink

FIG: Exemplo de encaminhamento de porta bem-sucedido do servidor C2 do invasor para a vítima

Pivô Jump Box

Não apenas o RDP é a ferramenta perfeita para acessar sistemas comprometidos externamente,mas as sessões RDP também podem ser encadeadas em vários sistemas como uma maneira de mover-se lateralmente por um ambiente.

A FireEye observou agentes de ameaças usando o shell de rede nativo do Windowsnetsh) comando para utilizar o encaminhamento de porta RDP como uma maneira de acessar redes segmentadas recentemente descobertas, que só podem ser acessadas através de uma jump box administrativa.

“ Por exemplo , um agente de ameaça poderia configurar o jump box para escutar em uma porta arbitrária o tráfego sendo enviado de um sistema previamente comprometido. O tráfego seria então encaminhado diretamente através da caixa de salto para qualquer sistema na rede segmentada usando qualquer porta designada, incluindo a porta RDP padrão TCP 3389 , ”

Prevenção do Túnel RDP

Se o RDP estiver habilitado, os hackers terão uma maneira de se mover lateralmente e manter a presença no ambiente por meio de encapsulamento ou encaminhamento de porta. Para reduzir a vulnerabilidade e detectar esses tipos de ataques de RDP, as organizações devem se concentrar nos mecanismos de prevenção e detecção baseados em host e em rede.

• Serviço de Área de Trabalho Remota: Desabilite o serviço de área de trabalho remota em todas as estações de trabalho de usuários finais e sistemas para os quais o serviço não é necessário para conectividade remota.
• Firewalls com base em host: ative regras de firewall baseadas em host que negam explicitamente as conexões RDP de entrada.
• Contas locais: Impedir o uso de RDP usando contas locais em estações de trabalho, habilitando a configuração de segurança “Negar logon através de serviços de área de trabalho remota”.

Fonte GBHackers

Desenvolvimento Seguro de Software se tornará em breve pauta n° 1 no mercado de TI

Alcyon Junior em 03/09/2018 no site Profissionais TI

Em 2017 ocorreram diversas ações de grupos de hackers que impactaram o cenário das grandes empresas diretamente. O melhor exemplo disso foi o famoso Ransomware Wannacry, que atingiu mais de 230.000 sistemas corporativos deixando o negócio dessas empresas totalmente paralisados.

Os dados são um dos ativos mais valiosos que uma empresa tem a sua disposição, abrangendo desde transações financeiras até detalhes importantes de clientes e clientes em potencial.

Com a LGDP – Lei de Proteção de Dados Pessoais – prestes a entrar em vigor no Brasil, é vital para as empresas começarem a reavaliar seus sistemas “pra ontem”. As empresas precisam planejar como minimizar os riscos, manter os dados seguros e implementar os processos de Desenvolvimento Seguro de Software caso precisem lidar com qualquer uma das ameaças à segurança de dados.

Observando esse cenário, as empresas estão cada vez mais contratando profissionais que tenham conhecimento em segurança da informação. Esse perfil não é exatamente a de um profissional de segurança da informação efetivo, mas sim a de um profissional de TI especialista em segurança da informação dentro da sua área.

Dentre as diversas áreas da tecnologia da informação, a área que está com a maior lacuna é a de profissionais de desenvolvimento com especialidade em desenvolvimento seguro de software. Essa lacuna, está fazendo com que esta temática eleve seu grau de importância cada vez mais e, até o final de 2019, será o profissional mais requisitado do mercado.

Agora que você entendeu que esse é um tópico de fundamental importância com muitos aspectos a serem considerados, inicialmente pode ser confuso saber por onde começar, então, aqui vão 4 dicas vitais para você que deseja ser um profissional qualificado na área de desenvolvimento seguro de software.

1. Analise o código-fonte linha a linha – Testes Unitários

A próxima metodologia de que falaremos é o teste unitário. Dependendo da sua experiência, você pode ou não ter ouvido algo sobre testes de unidade, desenvolvimento orientado a testes ou algum outro tipo de metodologia de teste. Normalmente, essas metodologias são aplicadas no contexto de grandes sistemas de software e, às vezes, no contexto de sites simples.

Na programação de computadores, o teste de unidade é um processo de desenvolvimento de software no qual a menor parte testável de um código-fonte, denominada unidade, é testada individualmente e de forma independente para examinar se estão funcionando conforme o esperado. Isso ajuda você a identificar falhas nos algoritmos e / ou lógica antes que o código seja liberado.

Um dos benefícios que você adquire ao criar testes de unidade é que sua equipe estará motivada a escrever código testável. Como o teste de unidade requer a estrutura apropriada do seu código, isso significa que o código deve ser dividido em funções menores e mais focadas. Cada um dos quais é responsável por uma única operação em um conjunto de dados, em vez de em grandes funções que executam várias operações diferentes.

2. Integração contínua

A Integração Contínua (CI) é uma prática de desenvolvimento que exige que os desenvolvedores integrem o código em um repositório compartilhado várias vezes ao dia (SVN, Subversion ou Git). Cada check-in é verificado pelos testes automatizados. Embora os testes automatizados não sejam estritamente parte do IC, eles geralmente são previstos. Essa abordagem permite que os desenvolvedores detectem problemas mais cedo e, como resultado, os resolvam mais rapidamente.

Esta é uma prática valiosa por si só. Você deve se concentrar em configurar um processo simples de Integração Contínua o mais cedo possível. Existem muitas ferramentas que podem ajudá-lo a configurar esse processo e as mais conhecidas são Jenkins , Bamboo e Teamcity . Eles permitem que você automatize sua implantação de software e permita que você se concentre na criação de seu produto.

3. Sessão de demonstração

A reunião de revisão de demonstração geralmente ocorre perto do final do Sprint. O objetivo desta reunião é mostrar os outros membros da equipe, clientes e partes interessadas que os resultados da equipe de trabalho realizaram durante a Sprint.

Pode não ser imediatamente visível por que isso leva a um código melhor, mas o fará. Ao mostrar regularmente o código-fonte, os desenvolvedores precisam mantê-lo próximo ao estado de lançamento. Com reuniões de demonstração regularmente, você terá um processo bem organizado de receber feedbacks. E isso lhe dará uma melhor compreensão do que foi feito corretamente e indicará quando algo foi na direção errada.

Agora, vamos seguir em frente e verificar quais são algumas ferramentas de qualidade de código recomendadas para aperfeiçoar o processo. Você deve realizar avaliações de risco regulares para identificar quaisquer perigos potenciais para os dados da sua organização. Isso deve analisar todas as ameaças que você pode identificar, desde uma violação de dados on-line até ameaças mais físicas, como cortes de energia. Isso permitirá identificar quaisquer pontos fracos no sistema de segurança de dados atual da organização e, a partir daqui você pode formular um plano de como remediar isso e priorizar ações para reduzir o risco de uma violação de dados cara.

4. Revisão de código

A próxima melhor coisa para emparelhar a programação é a revisão de código. Se você não praticar a programação em pares, recomenda-se considerar pelo menos a revisão de código. É um processo leve que deve ser aplicado o mais rápido possível depois que o código é escrito.

Ao longo dos anos trabalhando em diferentes projetos de desenvolvimento de software, acumulamos nossa própria experiência de tornar o bom código melhor. E aqui estão as coisas que recomendamos fazer durante todo o processo para melhorar a qualidade do código:

• Siga o guia de estilo da linguagem de programação;
• Aderir aos princípios do STRIDE no seu design;
• Dê nomes descritivos para métodos e variáveis;
• Use padrões de design;
• Não reinvente a roda ou utilize estruturas de terceiros;
• Use estruturas de dados e algoritmos eficientes;
• Crie testes unitários;
• Documente todos os aspectos do seu projeto;
• Mantenha todos os elementos do seu projeto sob o sistema de controle de versão.

Em conjunto com a metodologia de desenvolvimento seguro e suas práticas de programação diárias, você acabará desenvolvendo de forma mais legível, mais segura e tornando a revisão do código mais simples. Você também vai poupar seu trabalho, sua equipe e seus clientes de muitas dores de cabeça, tempo e, portanto, dinheiro.

Seguindo todas essas dicas você estará mitigando os riscos mais comuns. Caso queira se aprofundar no tema, você pode fazer o curso Gratuito “Desenvolvimento Seguro de Software” CLICANDO AQUI. Com esse curso gratuito você estará totalmente preparado para esse novo nicho de mercado de trabalho.

Saiba como apagar de forma segura os dados do seu smartphone Android

Computerworld / EUA em 25/01/2018

Imagem: Motorola

É um ponto inevitável quando você tem um smartphone: a hora em que um modelo mais novo chega e seu bom e velho aparelho não é mais necessário.

Talvez a sua empresa tenha te comprado um novo smartphone Android. Talvez o seu antigo estivesse muito lento. Ou talvez você apenas goste muito de aparelhos eletrônicos e não conseguiu resistir a um determinado novo modelo.

Qualquer que seja o caso, é algo comum hoje em dia se encontrar com um celular extra em casa. E, apesar de poderem existir muitos usos práticos para um aparelho Android antigo, também há uma hora em que a melhor escolhe é vender, doar ou apenas passá-lo para frente. 

Antes de fazer isso, no entanto, você vai querer se certificar de que apagou e removeu de forma segura todos os traços do seu passado – porque a última coisa que você iria querer é que o novo dono do aparelho acabe se deparando com os seus dados pessoais ou profissionais. 

1-Certifique-se que o aparelho está criptografado

O maior medo na hora de “zerar” um aparelho Android é a possibilidade improvável, mas não impossível, de alguém depois usar ferramentas de recuperação de dados para tentar acessar os seus dados. 

É por isso que o primeiro e mais importante passo na hora de apagar os seus dados do aparelho Android é criptografar o armazenamento local. Desse jeito, mesmo que o seu aparelho acabe nas mãos de uma pessoal com más intenções – e mesmo que essa pessoa consiga recuperar os dados apagados – as suas informações pessoais permanecerão virtualmente ilegíveis.

Se o seu smartphone é relativamente novo, há uma boa chance de que ele já esteja criptografado por padrão. Mas vale verificar isso para ficar tranquilo. Abra o aplicativo de Configurações, depois vá até a seção de Segurança e busque por uma opção de Criptografia (a palavra e a localização exatas podem variar dependendo do aparelho, mas não deve ser difícil achar essa informação nas configurações). Lá, você poderá ver se o seu smartphone está realmente criptografado – e iniciar o processo caso não esteja.

Vale notar que o processo pode levar algum tempo, e você não poderá usar o smartphone enquanto não terminar. Depois que for devidamente finalizado, no entanto, você pode ficar tranquilo sabendo que os seus dados possuem uma camada poderosa de proteção contra possíveis olhos curiosos.

2-Remova o SIM card e qualquer cartão de armazenamento

Agora que os seus dados estão protegidos, tire um momento para confirmar que o chip da sua operadora e qualquer cartão de memória (normalmente SD ou microSD) tenham sido devidamente removidos do smartphone.

É preciso fazer isso porque os dois cartões estão conectados com a sua identidade e cheios de dados particulares, e não há razão para deixar nenhum deles em um aparelho que não será mais seu.

3-Realize uma restauração de fábrica para apagar totalmente o seu aparelho

Essa parte é a verdadeira “limpeza” do smartphone: vá até o app Configurações e busque por uma seção chamada Fazer Backup e Restaurar – caso não a encontre, busque por Sistema ou Configurações Gerais e então tente encontrar os botões Fazer Backup e Restaurar ou apenas Restaurar

Encontre e selecione a opção para realizar a restauração de fábricas e selecione qualquer opção subsequente para apagar todos os tipos de dados e contas. O sistema provavelmente te dará uma ou duas telas de confirmação e te pedirá para inserir sua senha ou padrão. Completadas essas tarefas, basta esperar enquanto o Android faz o serviço (que pode levar alguns minutos).

4-Remova qualquer associação de contas

Por fim, tire alguns minutos para remover manualmente o smartphone da sua conta Google e qualquer outra conta com a qual o aparelho possa estar associado.  

Para o caso do Google, apenas acesse o buscador e pesquise por Google Device Manager. Feito isso, clique no link e então encontre o seu aparelho na lista, clique nele e selecione o botão (vermelho) Remover. Pronto: isso vai acabar com qualquer conexão do dispositivo com a sua conta do Google. 

Depois é hora de pensar com calma em outras opções similares – ou seja, apps cujas contas estão conectadas ao seu smartphone. A lista pode incluir gerenciadores de senha como LastPass ou apps de autenticação como Authy. 

Feito isso, você está pronto: seu aparelho Android foi limpo de maneira segura e agora está pronto para encontrar um novo lar.

5 Things to Do to Secure Your Facebook Account From Hackers

The State of Security em 25/12/207

Some time back, a Facebook account was irrelevant to hackers. There was no reason to hack anyone’s account since there was no reason for hacking an account in the first place.

Ever since it has grown to billions of users, Facebook contains enough data for hackers to use for either monetary gain or blackmail. A celebrity’s account, for example, can be hacked in order for a person to advertise a page or brand.

The hacker can also post embarrassing or discriminating posts that will leave the celeb’s fans furious. Your account is also prone to hacking even if you aren’t a celebrity. You obviously have to protect your Facebook account from malicious hackers.

It is not that hard to protect your account. Just follow these guidelines, and you’ll be good to go:

1) AVOID SAVING PASSWORDS ON PUBLIC DEVICES

Cybercafés are awesome alternatives when you do not have any data on your device. They are also reserves for passwords since most people just click on ‘yes’ on the save password dialog box.

They do so because of the rush they face during browsing. This might also happen to you. If you do not have a device to browse the web, never save your passwords on a device you have no control over.

The password will remain there, and someone will definitely log into your account without any hustle.

2) ALWAYS LOG OUT ON OTHER DEVICES

Not saving your password is not the only way to prevent hacking on public devices. Leaving your account logged in also paves the way for hackers to take control of your account.

Even if you close the browser after a session, Facebook will recognize the session as continuous for a while. If a person comes in just right after you, he should have access to your account.

You have to ensure that you have logged out and that neither your number nor email address is displayed in the authentication tabs. You’ll otherwise find some nasty posts up on your wall if the guy is aiming to destroy you.

3) OPT FOR TWO-WAY VERIFICATION

This feature sends an authentication message to your phone every time you or a hacker tries to log in to your account. You can use this through third-party software or Facebook’s verification mechanism.

When logging in, you receive a unique code that will enable you to access Facebook in that session only. Once the session has ended, you will need to receive another authentication message to access your account once more.

I know it is super inconvenient to go through all that instead of a once-click login. It is, however, better to be safe than sorry.

4) CLEAN UP YOUR BROWSER

It is always advisable to clean up your browser every once in awhile….

Most phishing and virus activities are found in porn and torrent sites. If you are a frequent visitor (not judging), always clear your data before someone gains access to your authentication details.

If that seems like much of a hustle, just download an adware removal tool to take care of that for you. The next person trying to hack you will not find the ones and zeros he/she is phishing for.

5) PROTECT YOURSELF FROM SPYWARE AND MALWARE

The hacking problems are not only web-based. A person can hack your browser through malicious software you may have unknowingly installed on your computer.

Some of these software could also spam some pop-up ads onto your screen or browser. You can avoid this by using malware, adware, and spyware removers.

If your Facebook account has already been hacked, don’t panic. There are lots of ways you can recover a hacked Facebook account.

About the Author: Hello, I am Mohit. With a strong passion for cyber security, I’m a content developer and would like to invite you on this learning journey where we will explore the latest technology and hot cybersecurity topics to stay secure and vigilant against all forms of cyber attacks. You can find out more about my company here.

Como proteger a rede da empresa sem interferir na mobilidade?

Bill Hogan em 19/12/2017 no site CIO.

Os profissionais de segurança de TI de grandes empresas em todos os segmentos econômicos enfrentam a tarefa diária de ter que proteger uma superfície de ataque em expansão. Os pontos vulneráveis de entrada costumavam estar dentro dos muros da organização, onde firewalls e ferramentas de segurança on-line podiam protegê-los, mas as redes agora se tornaram um ambiente sem fronteiras, em constante evolução, graças ao uso de nuvem, a Internet das coisas (IoT) e uma força de trabalho cada vez mais móvel.

Os avanços tecnológicos, combinados com uma onda de funcionários digitalmente inteligentes inundando o local de trabalho, levaram mais pessoas a trabalhar de suas casas ou outros locais fora do escritório. Além disso, trabalhar em uma variedade cada vez mais diversificada de dispositivos. E, embora possa ser uma surpresa, esse aumento na força de trabalho móvel tornou-se comum mesmo nas indústrias mais altamente regulamentadas.

De acordo com um estudo recente,65% das organizações permitem a conexão de dispositivos pessoais às redes corporativas. Na América Latina e no Caribe, estima-se que o número de empregos móveis foi de 740.000 em 2016, com outros 980 mil empregos indiretamente suportados por tecnologias móveis.

Em todos os setores, as empresas estão adotando os esquemas de trabalho móvel devido aos seus vários benefícios de redução de custos, aumento da produtividade e eficiência dos funcionários e maior retenção de colaboradores. Mas estes esquemas também envolvem riscos ao permitir que dispositivos e aplicativos não gerenciados pelas organizações, acessem suas redes corporativas e seus recursos digitais.

A segurança da rede continua sendo uma prioridade. A maioria (95%) dos CIOs relata sua preocupação com os e-mails armazenados em dispositivos pessoais e 94% deles se preocupam com informações corporativas armazenadas em aplicativos móveis. O objetivo das empresas é encontrar um equilíbrio entre o benefício do BYOD e BYOA e a mitigação dos fatores de risco à cibersegurança.

Problemas de segurança em ambientes móveisPara se beneficiar das capacidades do trabalho móvel sem comprometer a segurança da rede ou perder a visibilidade do uso de dados classificados, as organizações devem considerar três aspectos principais:

• 1 - Shadow IT

Políticas rigorosas sobre aplicativos e serviços que os funcionários estão autorizados a usar em seus dispositivos podem fazer com que os funcionários contornem este protocolo de segurança para adquirir soluções que os ajudarão a tornar seu trabalho mais eficiente. Isso pode ser um grande risco à segurança, já que as equipes de TI não conseguem proteger dados em aplicativos que não conhecem, e nem podem garantir que esses aplicativos serão atualizados com as correções mais recentes. E se esses dados forem violados, é improvável que as equipes de TI percebam isso e consigam implementar protocolos adequados de resposta a incidentes.

• 2 - Vazamento de dados

O vazamento de dados se refere ao fluxo não autorizado de dados corporativos do datacenter seguro para um dispositivo ou local não autorizado. Isso geralmente ocorre quando os funcionários transferem arquivos entre dispositivos corporativos e pessoais ou quando funcionários não relacionados têm acesso a dados privilegiados. Com o uso cada vez mais comum de ambientes na nuvem e de aplicativos SaaS, e o número maior de dispositivos de usuários conectados, as equipes de TI geralmente perdem visibilidade do uso e fluxo dos dados.

• 3 - Segurança de aplicativos

Com a mobilidade laboral, surge um número cada vez maior de aplicativos, independentemente de estarem sendo usados nos negócios ou não. Em média, as organizações têm 216 aplicativos executados em sua organização, sem falar nos aplicativos pessoais armazenados nos dispositivos dos funcionários. Quando esses dispositivos de usuários e aplicativos se conectam à rede, é necessária uma segurança forte para o aplicativo. Isto é válido principalmente para aplicativos na nuvem, onde pode ser difícil para as equipes de TI aplicar as políticas de segurança padrão de suas organizações.

Em resumoPara aproveitar ao máximo os benefícios da força de trabalho móvel que faz uso de seus dispositivos pessoais, as organizações precisam implementar controles de segurança adicionais que protejam e monitorem os dados sem serem muito rigorosos, pois isso pode inibir a mobilidade. As equipes de TI devem adotar uma abordagem em camadas para a segurança, fornecendo visibilidade do fluxo dos dados em toda a rede. Especificamente, este protocolo de segurança deve oferecer segurança de aplicativos, segurança de dispositivos de usuários, segmentação de rede e segurança dos ambientes na nuvem, além de defesas no perímetro da rede padrão. Tudo isso em um quadro de segurança integrado e abrangente, poderoso e automatizado para poder responder às ameaças atuais e futuras.

(*) Bill Hogan é vice-presidente da Fortinet

Zero Trusted Network: uma forma de enxergar a segurança em redes corporativas

Lucas Assis

Em 29/11/2017 no site Profissionais TI

Já ouviu falar sobre o termo Zero Trust Network(Rede de Confiança Zero)? Esta arquitetura de Segurança foi desenvolvida em 2009 pela Forrester Research e tem como objetivo incentivar a empresa a inspecionar todo o tráfego da rede. Muitos podem pensar que o objetivo dessa arquitetura é desconfiar do usuário, mas não é. Pelo contrário, o objetivo é rastrear todo o tráfego da rede e realizar o controle de acessos para que pessoas má intencionadas não tenham acesso aos dados confidencias da empresa.

Zero Trust Network, então, é um novo modo de enxergar a segurança em TI. Nos modelos convencionais de segurança em TI a arquitetura da rede é montada acreditando que os dados trafegados no interior na rede são confiáveis, o que é um grande risco para a corporação. Nesta tradicional forma de prover Segurança em Redes os novos malwares que estão sendo desenvolvidos podem entrar sem que sejam notados, assim, estarão livres para se mover para qualquer parte da rede e então colher todos os dados que quiserem.

Este novo modo de enxergar a segurança nas redes corporativas é baseado basicamente em um princípio: nunca confiar e sempre verificar, independente da entidade presente na rede (usuários, dispositivos, aplicativos e pacotes). A arquitetura de segurança Zero Trust é baseada em 3 conceitos básicos:

• Certificação de que todos os recursos são acessados de forma segura, independentemente da localização;
• Adoção de uma estratégia menos privilegiada e aplicação rigorosa do controle de acesso;
• Inspeção e registro de todo o tráfego.

Essa forma de pensar, em que o ambiente interno pode estar tão desprotegido quanto o ambiente externo, já é utilizado por grandes empresas. Um dos casos mais comum é o da gigante das buscas, a Google. Se apropriando da ideia de “nunca confiar e sempre verificar” a Google, então, criou o seu próprio framework de segurança conhecido como BeyondCorp (Além da Corporação). Neste framework desenvolvido por eles, é possível controlar o perímetro através dos dispositivos individuais e dos usuários, sem que seja necessário a utilização da tradicional VPN.

Vale ressaltar que não existe uma forma específica de implantar uma rede Zero Trust! Nos casos mais simples, as empresas adquirem Firewall de Nova Geração (Next Generation Firewall) que são capazes de fazer filtragem de pacotes, inspeção profunda, detecção de malware, entre outras funções. Juntamente a isso, aplicam um modelo de privilégios mínimos, registram os acessos e adicionam diversos métodos de autenticação. Algumas ferramentas que podem ser utilizadas para a implantação dessa forma são: Palo Alto (UserID, App-ID, Content-ID e WildFilre) e VMware NSX.

Outras empresas como a Google tomaram uma atitude mais radical: moveram todas as suas aplicações para a internet pública e passaram a utilizar um processo de autenticação e autorização de usuários baseados no dispositivo.

As empresas que desejam dar um “upgrade” em sua estrutura defensiva contra as ameaças modernas e consequentemente evitar o vazamento de dados, devem olhar para a arquitetura Zero Trust com um pouco mais de atenção. As formas de implementação são vastas e vai variar de acordo com o seu ambiente, mas lembre-se sempre de levar em conta os princípios que regem essa arquitetura.

Referências Bibliográficas

• www.paloaltonetworks.com/cyberpedia/what-is-a-zero-trust-architecture
• www.darkreading.com/attacks-breaches/zero-trust-the-way-forward-incybersecurity/a/d-id/1327827?
• securityintelligence.com/the-zero-trust-model-for-living-in-a-hackedworld/

One in 25 Searchable ‘Black Friday’ Apps Blacklisted as Malicious, Finds Report

• DAVID BISSON em 23/11/2017 no site the state of security
• 

Black Friday is a big day for shoppers. In 2016, 154 million consumers shopped over Thanksgiving weekend and spent $9.36 billion, constituting a year-over-year increase of 16.4 percent.

More than half of that money spent ($5.27 billion) occurred online. Building on those figures, Black Friday 2017 looks like it will be even bigger than in previous years. Forbes forecasts consumer spending over the holiday weekend will increase by 47 percent.

Given the amount of money involved, it’s not a surprise that threat actors prey on shoppers around Black Friday. These bad actors leverage phishing pages, malicious apps and malware to make off with unsuspecting users’ credit card information.

They also steal access to people’s email and social media accounts, so that they can potentially exfiltrate sensitive information and launch secondary attacks against victims’ family, friends and contacts.

To help protect users this holiday season, RiskIQ ran a keyword query of the RiskIQ Global Blacklist and mobile app database, a tool which consists of 2 billion daily HTTP requests, 783 global locations across more than 100 countries, 20 million mobile apps, and 300 million domain records.

It looked specifically for instances of the brand names of the five leading e-tailer brands in the U.S. that appeared alongside “Black Friday” in blacklisted URLs or cause-pages (pages that send users to pages hosting malicious resources).

With respect to the mobile platform, the San Francisco-based security firm found that four percent (one in 25) of the 4,356 mobile apps it discovered were blacklisted as malicious.

At least 15 of those apps contained both the branded terms and “Black Friday.” Outside the holiday weekend, RiskIQ discovered a combined total of 32,000 blacklisted apps for the five leading brands.

RiskIQ 2017 Black Friday e-Commerce Blacklist page 2

Lou Manousos, CEO of RiskIQ, says that malicious actors go to great lengths to conceal their mobile programs’ true functionality:

“Savvy threat actors will use convincing branding, language, and URLs to make their apps and landing pages more realistic and more difficult for users to quickly authenticate. However, many of the schemes that leverage popular brands during the Black Friday season depend on user indiscretion. These blacklisted apps and landing pages are often meant to mimic legitimate ones, but if scrutinized, telltale signs become apparent.

“Manousos notes that users can protect themselves against these malicious apps by downloading programs from only official app stores, looking out for suspicious or inconsistent permissions, taking an app’s good reputation with a grain of salt, and exercising caution around programs created by unknown developers that exhibit poor grammar and spelling errors.”

Bad actors don’t limit their “Black Friday”-themed campaigns to mobile, however. In its 2017 keyword search, RiskIQ also found 19,218 cause-page URLs that contained “Black Friday” and 10,175 blacklist URLs that carried a “Black Friday” theme.

RiskIQ 2017 Black Friday e-Commerce Blacklist page 3

Users can protect themselves against these types of web-based threats by verifying the domain of a website, not providing credit card information unless they’re sure they’re on a secure shopping portal, and looking for “S” in “HTTPS” before they submit any financial or personal information.

RiskIQ’s CEO feels that brands also have a part to play:

“The onus is now on brands to protect their customers and prospects by making sure that their brand is not being abused across the web and mobile space. It’s crucial that retailers monitor and police the distribution and use of apps and websites using their branding, awareness that requires internet-scale visibility into how their brand is being used across the web and mobile app ecosystem. Aside from making sure there are no blacklisted apps and sites leveraging their brand, businesses should be making known threat campaigns leveraging their brand public as a warning to consumers.”

For advice on how to defend against other digital threats that prey upon users around Black Friday, click here.