Tag malware

ESET, Microsoft e agências de segurança destroem malware que afetava milhões de sistemas

Investigadores de segurança da ESET, líder em detecção proativa de ameaças, com ajuda da Microsoft e agências de segurança, como FBI, Interpol e Europol, desmantelaram uma importante operação de botnet conhecida como Gamarue, que já infectou milhões de vítimas desde 2011.

O dia 29 de novembro de 2017 foi o começo de um trabalho coordenado que possibilitou que agências policiais de todo o mundo pudessem deter e interromper a atividade maliciosa desta família de malwares, responsáveis por infectar mais de 1,1 milhões de sistemas por mês. Na América Latina, Peru e México estão entre os cinco países com maior quantidade de detecções.

Os investigadores da ESET e da Microsoft compartilharam análises técnicas, informações estatísticas e domínios de servidores de Comando e Controle (C&C) para ajudar a interromper a atividade maliciosa do grupo. A ESET contribuiu para a ação com o conhecimento que adquiriu ao longo dos anos sobre o Gamarue, obtido por meio do monitoramento contínuo e pelo impacto do malware nos últimos tempos.

O Gamarue foi criado por criminosos cibernéticos em setembro de 2011 e vendido em fóruns clandestinos da Deep Web como um kit de cibercrime. O objetivo do Gamarue era roubar credenciais, e ainda, baixar e instalar um malware adicional no sistema dos usuários.

Esse tipo de malware é um botnet e permite que o atacante crie e utilize complementos personalizados nos equipamentos das vítimas. Dentro dessas características de ameaça, o cibercriminoso também consegue roubar o conteúdo inserido em formulários na web ou ter o acesso remoto ao sistema para controla-lo à distância.

Sua popularidade deu lugar a uma série de botnets Gamarue independentes. A ESET descobriu que suas amostras foram distribuídas em todo o mundo através de redes sociais, mensagens instantâneas, dispositivos USB, spam e exploitkits.

Os investigadores da ESET e da Microsoft coletaram informações utilizando o serviço ESET Threat Intelligence. A ESET desenvolveu um programa que se comporta como um bot e, com isso, pode comunicar-se com o servidor de Comando & Controle (C&C) da ameaça, e, a partir destas conexões, acompanhar de perto o comportamento dos botnets do Gamarue do último um ano e meio. A partir das informações coletadas neste tempo, foi possível identificar os servidores de Comando & Controle (C&C) para logo desmontá-los, além de monitorar a forma como operava e de que maneira localizar outros domínios utilizados por cibercriminosos.

“No passado, essa foi a família de malwares mais detectada entre os usuários da ESET, portanto, quando a Microsoft veio até nós para que juntos tentássemos interrompê-la e, assim, proteger melhor nossos usuários e o público em geral, concordamos imediatamente”, disse Jean-Ian Boutin, pesquisador sênior de malwares da ESET. “Esta ameaça em particular existe há muitos anos e é capaz de se reinventar constantemente, o que pode dificultar seu monitoramento. Mas, ao usar o ESET Threat Intelligence e ao trabalhar em colaboração com os investigadores da Microsoft, fomos capazes de acompanhar as mudanças no comportamento do malware e, consequentemente, fornecer dados processáveis que se mostraram fundamentais aos esforços de eliminação da ameaça”.

Os cibercriminosos comumente utilizam o Gamarue para redirecionar usuários domésticos e poder roubar credenciais de sites por meio de seu plugin de captura de formulário. No entanto, os pesquisadores da ESET viram o malware ser usado recentemente para instalar vários bots de spam em máquinas comprometidas no chamado esquema de pagamento por instalação.

A ESET está assessorando os usuários que acreditam que seu sistema Windows possa estar comprometido e recomendam a utilização do ESET Online Scanner, que eliminará qualquer ameaça que esteja no sistema, incluindo o Gamarue. Para uma proteção mais complexa de seus dispositivos, visite o site da ESET.

Tags, , , , , , , , , , , ,

Fique atento aos ataques do Adylkuzz

Malware se dissemina silenciosamente e é mais perigoso que o WannaCry

Enquanto o mundo discute o alcance dos ataques do ransomware WannaCry, que atingiu milhares computadores no dia 12 de maio de 2017, uma nova ameaça está se espalhando silenciosa e, por isso, agressivamente. O Adylkuzz explora a mesma vulnerabilidade de segurança do sistema operacional Windows que fizeram o WannaCry ganhar notoriedade.

O alcance do Adylkuzz ainda é desconhecido, mas considera-se que ele possa estar se proliferando desde final de abril de 2017. Diferente do WannaCry, este malware não bloqueia o acesso do usuário ao computador e cria danos, às vezes imperceptíveis, ao sistema operacional.

Por isso é maior a dificuldade de identificá-lo. Milhares de computadores podem estar infectados e sendo usados pelo Adylkuzz como botnets (uma rede de computadores infectados sob controle de cibercriminosos) para atacar novos usuários. E esse é um grande problema, pois uma vez infectado, o computador pode ser utilizado para outros fins, como, por exemplo, para prática de crimes virtuais.

A BLOCKBIT reforça a necessidade de atualizar os patches de segurança distribuídos pela Microsoft para o sistema operacional Windows em todos os computadores, sejam domésticos ou corporativos. “Esta ameaça é ainda mais perigosa por não deixar vestígios de que o usuário está infectado. Quanto mais integrada for a abordagem de segurança com ferramentas para o rastreamento de novas vulnerabilidades, identificação de intrusos, firewall avançado, controle da Web 2.0 e outras funções, mais seguros estarão os usuários do Windows”, comenta Edison Figueira, diretor de R&D da BLOCKBIT.

Alguns sintomas da infecção pelo Adylkuzz são a perda de acesso a pastas compartilhadas do Windows e degradação do desempenho do computador. Isso acontece pois ao infectar um computador, o malware finaliza qualquer instância dele mesmo que esteja rodando e bloqueia o tráfego SMB para prevenir novas invasões (inclusive do WannaCry).

Este ataque também busca lucros em moeda digital, embora de forma diferente do WannaCry. O Adylkuzz está sendo usado para “minar” a moeda virtual Monero. O processo busca validar transações financeiras na rede desta moeda usando os computadores infectados, que “ajudam” os criminosos a ganhar dinheiro sem que precisem roubar dados ou cobrar resgate da vítima.

Além de recomendar a atualização do sistema Windows em todos os computadores, o Intelligence LAB da BLOCKBIT sugere que os usuários sigam as já conhecidas boas práticas de segurança relativas ao comportamento do usuário: não visitar links ou baixar arquivos de origem desconhecida, avaliar todos os e-mails recebidos, manter backups atualizados e usar toda ferramenta de segurança ao seu alcance.

Tags, ,

7 lições do WannaCry – Por Leonardo Carissimi

6d4efd25eb7570a9b56b85b4208b0018

Nestes últimos dias, uma nova ameaça cibernética ganhou notoriedade, o WannaCry. Trata-se de um tipo de código malicioso classificado como ransomware, daqueles que “sequestram” dados de computadores para exigir um dinheiro em troca de devolver o acesso ao seu dono. Ou seja, uma vez infectada a máquina, ele encripta os arquivos e mostra uma tela na qual exige um resgate em dinheiro, tipicamente na moeda eletrônica bitcoins que, assim como o dinheiro vivo, não deixa rastros quando se movimenta e permite circulação de valores entre criminosos.

Interessante é que o WannaCry explora uma vulnerabilidade do sistema operacional Windows conhecida há pelo menos dois meses e que permite execução remota de um código através de uma vulnerabilidade no serviço SMB (Service Message Block).

O que o episódio nos traz de lições?

Crescimento das ameaças cibernéticas: as ameaças crescem em termos de magnitude e agressividade. Com a crescente conectividade, cada nova ameaça tem o potencial de infectar mais equipamentos.

O cibercrime está crescendo: essa nova ameaça também nos recorda que o cibercrime está crescendo, pois cada vez mais as ameaças tem motivação financeira. Elas se tornam mais perigosas, porque as organizações criminosas que as orquestram têm cada vez mais recursos. Podem desenvolver “armas” sofisticadas e agir globalmente com elas.

Impacto real nos negócios: tornaram-se comuns nos últimos dias notícias de empresas que foram contaminadas e tiveram que sujeitar-se a pagar pelo resgate. Outras decidiram por desligar computadores. Nos dois casos, torna-se claro o impacto em termos de custo (seja pelo pagamento pelo resgate ou, pior, pela perda de produtividade).

Prevenção é fundamental e começa com pequenas coisas: a vulnerabilidade é conhecida há pelo menos dois meses, quando a Microsoft publicou um boletim recomendando atualização dos sistemas Windows para corrigi-las. Um trabalho de Gerenciamento de Patchs, complementado de Gerenciamento de Vulnerabilidades, teria evitado a dor de cabeça. Realizar cópias de segurança frequentemente é outra prática bastante corriqueira que ajuda em situações de ransomware. São conceitos simples, mas que precisam ser realizados de forma consistente, com processo, ferramentas e pessoal treinado.

Microssegmentar a rede: a utilização de ferramentas para microssegmentação reduz o estrago. Ao isolar sistemas por microssegmentos, a movimentação lateral realizada pelo malware é contida e ele não contamina uma grande quantidade de equipamentos na rede. Opte pela microssegmentação por software, focando inicialmente em sistemas mais críticos. Isso vai permitir adoção rápida, sem impacto na arquitetura da rede e com custo reduzido. Em médio e longo prazo a técnica vai aumentar a segurança e permitir a simplificação da rede ao reduzir complexidade de firewalls internos e segmentação via VLANs.

Monitoração de Comportamento de Malware: a cada momento surgirão novas ameaças, as quais serão desconhecidas por ferramentas tradicionais de segurança que trabalham com assinaturas e padrões de malware conhecidos. A utilização de ferramentas de correção de eventos é controle necessário, mas não suficiente. Preparar-se para o malware novo requer um SOC (Centro de Operações de Segurança) mais inteligente, que identifique comportamentos anômalos mesmo quando for um ataque novo com assinatura desconhecida. No caso do WannaCry, a comunicação pela porta do SMB, o comportamento de movimentar-se lateralmente dentro da rede, e o endereço de seu “mestre” que tenta contatar, são indícios típicos de algo estranho está acontecendo e que permitiram um SOC inteligente detectar a nova ameaça a tempo.

Resposta a incidentes: Uma vez detectada a nova ameaça, requer-se pronta resposta. Respostas automáticas ou manuais poderiam bloquear tráfego suspeito e eliminar da rede equipamentos contaminados. A utilização de uma Arquitetura de Segurança Adaptativa é recomendada para responder de modo dinâmico, mudando a arquitetura de subredes à medida que contaminações são identificadas. Um exemplo é colocar em quarentena os equipamentos contaminados e evitar que os mesmos contaminem outros.

Leonardo Carissimi, Diretor de Soluções de Segurança da Unisys na América Latina.

Tags, , , ,

Palo Alto Networks identifica malware para dispositivos de vídeo capaz de apagar dados

Os pesquisadores da Unit 42, unidade de pesquisa da Palo Alto Networks, identificaram um novo malware para IoT chamado Amnesia. O malware é uma variação do botnet Tsunami e mira vulnerabilidades de execução de códigos remotos presentes em dispositivos DRV (gravadores de vídeos digitais) fabricados por cerca de 70 empresas no mundo. Com base nas análises de dados, a vulnerabilidade afeta aproximadamente 227 mil dispositivos no mundo.

A razão pela qual tantos modelos de DVR foram afetados é que as companhias vendendo os aparelhos com marcas diferentes na verdade pegaram o hardware e o firmware da mesma fabricante na China – uma empresa chamada Shenzhen TVT Digital Technology. A figura abaixo mostra os países que estão mais expostos à um ataque devido ao número de dispositivos na região.

Os pesquisadores acreditam que o Amnesia é o primeiro malware de Linux a adotar técnicas de evasão de máquinas virtuais para passar despercebido pelas sandboxes de análises de malware. As técnicas de evasão de máquinas virtuais são geralmente associadas em programas de malware para Microsoft Windows e Google Android, mas o Amnesia tenta detectar se o ambiente Linux em que está rodando é uma máquina virtual baseada em VirtualBox, VMware ou QEMU. Caso o Amnesia detecte a presença de uma máquina virtual, irá tentar limpar diretórios críticos a partir do sistema de arquivos usando o comando Linux “rm –rf” para destruir qualquer evidência que possa ter sido coletada.

Um ataque bem-sucedido resulta no controle total do dispositivo. Os atacantes poderiam aproveitar potencialmente o botnet Amnesia para lançar ataques de negação de serviços (DDoS) amplos, semelhante aos ataques botnet do malware Mirai que ocorreram em 2016. Embora o Amnesia ainda não tenha sido usado para realizar ataques em grande escala, os ataques Mirai mostraram os danos potenciais que os botnets em larga escala baseadas em IoT podem causar.
unnamed (23)

Tags,

Malware Hajime conquista o mundo da Internet das Coisas e já compromete 300 mil dispositivos

O Hajime, que significa ‘início’ em japonês, apresentou seus primeiros sinais de atividade em outubro de 2016. Desde então, tem evoluído, desenvolvendo novas técnicas de propagação. O malware está estabelecendo uma enorme botnet peer-to-peer – um grupo descentralizado de computadores que realiza ataques DDoS ou de spam discretamente.

No entanto, ele não inclui um código ou uma funcionalidade de ataque, somente um módulo de propagação. O Hajime, uma família de malwares avançados e ocultos, usa diversas técnicas – principalmente ataques de força bruta sobre senhas de dispositivos – para infectar os dispositivos e executar vários procedimentos de modo a se esconder da vítima afetada. Assim, o dispositivo torna-se parte de uma botnet.

O Hajime não ataca um tipo de dispositivo exclusivo, mas qualquer dispositivo conectado à Internet. No entanto, os autores do malware focam suas atividades em alguns dispositivos. Ao que se constatou, a maioria dos alvos é formada por gravadores de vídeo digital, seguidos de webcams e roteadores.

Porém, de acordo com os pesquisadores da Kaspersky Lab, o Hajime evita determinadas redes, como as da General Electric, da Hewlett-Packard, do serviço postal dos EUA, do Departamento de Defesa dos EUA e várias redes privadas.

No momento da pesquisa, as infecções vinham principalmente do Vietnã (mais de 20%), de Taiwan (quase 13%) e do Brasil (cerca de 9%).

“A questão mais intrigante sobre o Hajime é sua finalidade. Embora a botnet esteja crescendo cada vez mais, ainda não sabemos qual é seu objetivo. Não conseguimos observar seus rastros em nenhum tipo de ataque ou outra atividade maliciosa. Contudo, recomendamos que os proprietários de dispositivos da IoT alterem suas senhas de maneira a dificultar ataques de força bruta e, se possível, atualizem seu firmware”, declarou Konstantin Zykov, Pesquisador Sênior em Segurança da Kaspersky Lab.

unnamed (54)

unnamed (55)

Tags, , ,

Sophos adquire Invincea por US$ 100 milhões

A Sophos, fabricante especializada em segurança de rede e endpoint, anuncia a aquisição da Invincea, empresa focada em proteção contra malware de próxima geração. O portfólio de segurança de endpoint da Invincea foi criado para detectar e prevenir malware desconhecido e ataques sofisticados através de seus algoritmos patenteados de redes neurais de aprendizagem profunda. Foi classificada como uma das tecnologias mais avançadas de última geração para endpoint sem necessidade de assinatura em testes de terceiros e altamente qualificada tanto para taxas elevadas de detecção quanto para baixas taxas de falso positivo.

Com sede em Fairfax, Virgínia, a Invincea foi fundada pelo diretor executivo Anup Ghosh para lidar com a crescente ameaça de segurança de dia zero, cibercriminosos e agentes maliciosos. O produto principal da Invincea, o X, utiliza redes neurais de aprendizagem e monitoramento comportamental para detectar um malware anteriormente invisível e bloquear ataques antes que ocorra qualquer dano. Com foco nos setores de governo, saúde e serviços financeiros, a Invincea foi implantada em algumas das redes mais direcionadas do mundo.

“Ao adicionar a Invincea ao nosso portfólio global, a Sophos está colocando em prática sua visão de montar as tecnologias mais poderosas para oferecer as melhores e mais avançadas defesas para nossos clientes”, afirma Kris Hagerman, diretor executivo da Sophos. “A Invincea lidera o mercado de detecção de ameaças com base na aprendizagem de máquinas com a combinação de taxas de detecção superiores e mínimos falsos positivos. A aquisição reforçará a segurança de endpoint de última geração da Sophos com defensas complementares que acreditamos que se tornarão cada vez mais importantes para o futuro da proteção desses dispositivos e nos permitirão aproveitar ao máximo essa nova e significativa oportunidade de crescimento. Estamos orgulhosos de dar as boas-vindas à equipe da Invincea na Sophos e esperamos apresentar os benefícios desta tecnologia aos nossos clientes e parceiros em todo o mundo “, complementa o executivo.

A Sophos é reconhecida mundialmente por seu portfolio que inclui proteção de endpoint e um conjunto de tecnologias de próxima geração como a tecnologia anti-malware, anti-exploit e anti-ransomware sem assinatura no Intercept X e a análise baseada em comportamento, Detecção de Tráfego Malicioso e Reputação de Aplicações incluídas no Sophos Endpoint Protection. A tecnologia de aprendizado de máquina para detecção e prevenção de malware da Invincea será totalmente integrada ao portfólio de proteção de endpoint da Sophos, fortalecendo ainda mais a presença da empresa neste mercado em rápido crescimento. A disponibilidade desta tecnologia na Sophos Central irá melhorar ainda mais a gama disponível de segurança sincronizada e o compartilhamento de informações em tempo real.

“A Invincea começou com o objetivo de aplicar tecnologias sem necessidade de assinaturas, incluindo a aprendizagem automática, e formas inovadoras para proteger as organizações contra os ciberataques mais avançados”, afirma Anup Ghosh, fundador e diretor executivo da Invincea. “Nossa solução X representa uma nova geração de tecnologia antivírus baseada em aprendizagem profunda e monitoramento comportamental. A união de forças com a Sophos é a oportunidade perfeita para levar a nossa tecnologia para o mundo e torná-la parte de um sistema abrangente de segurança sincronizada. A Sophos é focada em entregar ao mercado uma segurança completa, avançada e integrada, e estamos muito satisfeitos em nos juntarmos à equipe e ajudar a fazer isso acontecer “.

O suporte e venda do portfólio de segurança de endpoint da Invincea, incluindo a solução X, continuará sendo feito pela Invincea e estará disponível através da rede de parceiros registrados da empresa adquirida pela Sophos.

A Sophos adquiriu a Invincea por 100 milhões de dólares com um earn-out de 20 milhões de dólares e informa que o escritório em Fairfax será mantido. O CEO da Invincea, Anup Ghosh e o COO Norm Laudermilch, irão se juntar à Sophos em posições de liderança. A Invincea Labs, uma divisão da Invincea que foi administrada e operada separadamente desde 2012, foi separada antes da aquisição e não faz parte desta transação.

Tags, , , , ,

63% das empresas brasileiras não possuem programas para prevenir ameaças cibernéticas

Mais de metade das empresas brasileiras não está preparada para lidar com ameaças cibernéticas, é o que indica a nova edição do Global Information Security Survey (GISS), estudo anual da EY (Ernst & Young). A pesquisa, realizada com 1755 executivos C-level das áreas de Segurança da Informação e TI em 67 países, indicou que 63% das organizações nacionais não possuem programas para prevenir ameaças cibernéticas, enquanto 43% não têm um programa para identificação de vulnerabilidades e 45% não dispõem de nenhum tipo de programa para detecção de brechas.

Para 36% dos entrevistados, a área de TI de suas empresas demora em média até 1h para iniciar a investigação de um possível ciber incidente, enquanto 15% disseram que essa resposta pode levar mais de um dia.

Restrições no orçamento foram apontadas por 80% dos entrevistados como principal obstáculo para o avanço da área de segurança da informação dentro da organização. Segundo a pesquisa, 65% dos entrevistados brasileiros afirmam que os gastos de suas empresas com segurança da informação somam menos de US$1 milhão.

“Questões ligadas à segurança da informação e vazamento de dados das empresas são uma preocupação constante das companhias. Em especial em um cenário como o atual, de crescimento de uso de internet móvel e de soluções digitais, que deixa as instituições mais expostas a ataques externos e falhas internas, é importante investir em robustez e agilidade dos sistemas para identificar e combater problemas”, diz Sérgio Kogan, sócio de Consultoria em Cibersegurança da EY.

Resultados globais

Globalmente, quase 70% dos respondentes disseram que seu orçamento para segurança da informação deveria aumentar até 50% para atender às necessidades de suas empresas;
Segundo o levantamento, as principais fontes de ciberataque citadas foram: crime organizado (59%), hackers (54%) e terroristas (35%). A pesquisa ainda apontou que empresas também se sentem vulneráveis a ataques causados por funcionários (44%), e sistemas desatualizados (34%).

Global Information Security Survey 2015 – Destaques por setor

Setor – Principais fontes de ciberataques – Prioridades na área de segurança da informação – % de empresas que não planejam mudar seu orçamento para segurança da informação nos próximos 12 meses

Bens de consumo

Funcionários: 61%

Crime organizado: 52%

Prestadores externos: 43% Continuidade dos negócios / recuperação de desastres: 59%

Prevenção no vazamento de dados / perda de dados:50%

Capacidades de resposta a incidentes: 40% 38%

Bancos e mercado de capitais

Ciberataques para roubar informações financeiras: 21%

Malwares: 20%

Fraudes: 19% Prevenção no vazamento de dados / perda de dados: 67%

Continuidade dos negócios / recuperação de desastres: 56%

Gestao de acesso de usuarios / identidades: 56% 33%

Energia

Segurança desatualizada: 20%
Funcionários: 20%
Malwares: 20% Continuidade dos negócios / recuperação de desastres: 52%

Prevenção no vazamento de dados / perda de dados: 44%

Operações de segurança, tais como antivírus e encriptação: 43% 33%

Mais da metade dos respondentes afirmou que suas empresas ainda não possuem uma área dedicada para a análise de tecnologias emergentes e seus impactos nos negócios. Phishing foi considerada a principal ameaça aos negócios por 44% dos entrevistados, enquanto 43% consideram os malwares o maior desafio para o setor.

Quase 60% dos entrevistados disseram que a contribuição e o valor que área de segurança da informação proporciona à sua organização está comprometida pela falta de talentos qualificados disponíveis no mercado.

Tags, , , , , , , ,

Segurança da informação: mais que técnica, deve ser uma cultura empresarial

Marcelo

Por Marcelo Piuma*

É indiscutível que poucas são as pessoas que conseguem sobreviver sem um endereço de e-mail, visitar seu perfil nas redes sociais, acessar a Internet para ver o seu saldo bancário ou pagar contas. No mundo dos negócios, mais ainda, a internet se tornou uma ferramenta de trabalho tão banal quanto um editor de texto, uma planilha eletrônica ou um software de CAD. Essa banalidade é o grande problema para a segurança das informações.

Existem basicamente três tipos de empresas: as que já possuem uma verba para segurança do ambiente computacional (normalmente já sofreram alguma perda por ataque), as que implantaram alguma forma de segurança e mantém apenas com equipe interna (são muitas) e, finalmente, as que acreditam que gastar dinheiro com segurança é custo e não investimento (infelizmente é a maioria). Nesse terceiro tipo de empresa, temos ouvido as mais variadas desculpas, mas, com certeza, a mais comum é que são tão pequenas que ninguém tem interesse em atacá-las. Esses dois últimos tipos cometem o maior erro que um administrador pode cometer: achar-se seguro.

Muitos leitores devem estar duvidando da existência desse terceiro grupo, mas, pasmem, é, sem sobra de dúvida, a maioria, principalmente as empresas de pequeno e médio porte que estão conectados à Internet por linhas ADSL. São empresas que, geralmente, não possuem área de TI formal. Porém, se perguntarmos nessas mesmas empresas se elas tem seguro contra roubo, em uníssono, irão responder que SIM, não operariam sem um seguro. É uma grande distorção, mas essas empresas podem estar sendo roubadas e infelizmente não poderão acionar suas seguradoras.

O custo de um sistema de segurança também aparece como o grande “culpado” para muitas desses dois últimos tipos. E, por não terem um departamento de TI formal ou um especialista que auxilie nas decisões estratégicas para TI, acabam correndo riscos desnecessários, pois, com o advento do software livre (por favor, não confundam software livre com software grátis), é possível implantar um sistema de segurança extremamente robusto com um custo muito baixo.

Temos percebido que não basta um firewall, um IDS/IPS e etc. É preciso muito mais do que isso, é preciso cultura empresarial de segurança. O grande responsável pela falta dessa cultura é a banalidade comentada anteriormente. Mesmo no primeiro tipo de empresa (as que têm verba para segurança) poucas são as que têm, realmente, uma política formal para segurança.

Investir em sistemas de segurança e treinamento é fundamental, porém existe outra variável importante nessa equação, já que o sistema é operado por pessoas que cometem erros como abrir qualquer arquivo anexo que recebem por e-mail, mesmo de um remetente que não fazem à mínima ideia de quem seja.

É desse grande furo na segurança que estamos falando. Os usuários de um sistema computacional, por mais sofisticado e caro que seja, se não tiverem cuidado e regras claras para utilizá-lo, estão colocando todo o sistema em risco.

É preciso ter olhos também para essa brecha no sistema e não apenas para as já velhas e carcomidas portas do protocolo TCP/IP. Do que adianta termos uma parafernália de segurança de última geração se o usuário do sistema, navegando na Internet, não tem o menor pudor em acessar sites que podem esconder scripts de ataque nas suas singelas páginas ASP(x) ou XML ou PHP?

Mas, também, como saber se o site é perigoso? A resposta é bom senso. Parece lúdico, mas uma das mais importantes ferramentas de segurança é o bom senso. Os administradores de sistema precisam estar atentos para esse problema. Os maiores vilões para a segurança dos dados da empresa podem estar(e provavelmente estão) dentro da própria empresa, fantasiados de aliados.

Durante auditorias de segurança é comumente encontrado esse tipo ocorrência, onde o sistema “falhou”, não porque estivesse sem o último patch ou update, mas porque um usuário fez o que não devia, e,pior, sem consciência, por falta de treinamento e orientação.

Não é fácil criar essa cultura empresarial, mas é preciso iniciá-la o mais rápido possível. E um grande auxiliar na criação dessa política é o pessoal da qualidade, pois podemos colocar certas regras de uso do sistema no manual da qualidade.

As empresas gastaram muito dinheiro implantando sistemas computacionais de gestão, gerenciamento de documentos, workflow, numa clara tentativa de se tornarem mais competitivas e economicamente viáveis. Algumas conseguiram, outras não. Infelizmente, continuam apenas na tentativa, seja por errarem na escolha do produto, seja por falta de cultura empresarial para implantar esses sistemas. E até por subestimarem o poder de transformação que esses programas realizam em uma empresa.

Com segurança é a mesma coisa: comprar um sistema não é o fim da história, é apenas o começo. Um trabalho árduo de conscientização e treinamento é necessário para criar essa cultura. Se todos realmente tiverem esses cuidados no uso dos recursos oferecidos pela empresa, o sistema estará muito mais seguro do que apenas confiando nos sistemas de segurança.

E vale lembrar que o pior tipo de ataque é aquele que você não sabe que sofreu, pois nenhuma medida corretiva será tomada e, outras vezes, os ataques poderão ocorrer, trazendo prejuízo para a empresa.

Não é fácil educar os usuários do sistema para terem bom senso, e muitas desculpas são dadas por eles na tentativa de justificar seus erros, mas treinamento é a saída mais curta para criar essa cultura.

É evidente que não podemos abrir mão de nenhum sistema de segurança porque temos bom senso, mas, com certeza, sem bom senso todo e qualquer sistema de segurança está mais vulnerável.

Sistemas de segurança robustos, bem administrados e atualizados e usuários treinados e orientados, formando essa cultura empresarial de segurança, é, sem sobra de dúvida, a melhor receita para uma empresa que busca trabalhar em um ambiente seguro.

Marcelo Piuma (marcelo@qualityware.com.br) é Engenheiro Eletricista e Diretor de Marketing da Qualityware Informática de Curitiba. Atuando no mercado de TI a mais de 20 anos tem desenvolvido projetos de segurança da informação e redes de computadores no Brasil, América do Sul, Europa e Malásia.

Tags, , ,

Um quarto dos computadores no Brasil possui malware instalado no navegador

Um estudo feito a partir da base de usuários do Baidu Antivírus no Brasil apontou que 26% dos PCs no país possuem pelo menos um plug-in malicioso instalado em seus navegadores. Plug-ins deste tipo podem ser usados para furtar dados de usuários, redirecionar links digitados corretamente para endereços suspeitos ou mesmo infectar o sistema operacional da vítima, explorando vulnerabilidades encontradas no PC. A pesquisa aponta, ainda, que apenas 10% dos usuários brasileiros se preocupam em checar se os plug-ins anexados ao seu browser possuem algum tipo de função maliciosa.

A mesma análise mostra que há um risco acentuado do usuário infectado ser vítima de golpes no mês de dezembro, tradicional período de compras em que crackers tentam se aproveitar do boom de acessos a serviços de e-commerce para aplicar golpes online.

Para incentivar que os usuários de internet façam a checagem de plug-ins maliciosos e outras pragas em seus computadores com maior frequência, o Baidu organizou uma ação que premiará com iPhones 6 e viagens para a Disney os usuários que conferirem a segurança de seu PC por meio do recurso de “Verificação Rápida” disponível na nova versão do Baidu Antivírus.

Ao contrário de processos de verificação completa, que podem demorar até várias horas, a “verificação rápida” checa as rotinas mais comumente exploradas por crackers e, de acordo com o laboratório de desenvolvimentos do Baidu, é capaz de encontrar e eliminar até 96% dos plug-ins maliciosos distribuídos no Brasil.

Como participar – Não usuários do Baidu Antivírus devem instalar o software e quem já o utiliza deve fazer apenas uma atualização simples no link abaixo. A cada dia, quem fizer uma “Verificação Rápida” desde hoje até o dia 21 de dezembro receberá um código para concorrer a um iPhone 6 e outros prêmios. Os vencedores serão conhecidos em janeiro e terão os prêmios enviados para suas casas.

O link abaixo permite baixar a atualização que dá direito a concorrer a prêmios ao mesmo tempo em que o usuário mantém seu PC protegido no período crítico das compras de Natal: http://antivirus.baidu.com/pt/lp/quickscan/index.php?from=brpr.

Tags, , ,

Seis dicas para evitar fraudes online

Com a febre da Copa do Mundo se espalhando, torcedores podem passar a acessar uma infinidade de sites para obter informações sobre os jogos, inscrever-se em sorteios, jogar, reproduzir vídeos por streaming e talvez até fazer algumas apostas. No entanto, os profissionais de TI precisam estar atentos para o fato de que hackers exploram esse entusiasmo e essa impulsividade pela Copa do Mundo. Há centenas de sites perigosos disfarçados de legítimos que podem invadir seu sistema, levá-lo a revelar as credenciais da sua conta, fazê-lo instalar malwares no sistema e até mesmo retirar dinheiro de contas on-line. Essa semana, inúmeras denúncias de brasileiros enganados por esses sites ao pagar por ingressos da Copa que nunca receberam foram divulgadas.

Veja a seguir algumas dicas para identificar sites potencialmente perigosos e não deixar que sua empresa – ou você mesmo – se exponha a hackers e a fraudes.

1) Alguma coisa parece suspeita?

Não se deixe envolver por aquilo que deseja fazer em um site desconhecido. Assim que acessar um site novo – seja um site de rede social, de informações financeiras ou de apostas – dê uma olhada geral e verifique se lhe parece suspeito de alguma maneira. Verifique o seguinte:

• Posicionamento irregular do conteúdo do site
• Anúncios aleatórios que não fazem sentido
• Pop-ups, complementos ou downloads de programas desnecessários
• Textos com erros gramaticais ou com gramática inadequada ou estranha

Não caia em golpes que dizem que você ganhou uma incrível soma de dinheiro em um site que não tem nada a ver com você. Você pode acabar se envolvendo em uma bela pegadinha. Nem tudo o que reluz é ouro!

2) Confirme que o site é seguro

Verifique se o site é seguro, especialmente se compartilhar informações como dados pessoais e dados de contas. Verifique se os certificados SSL são válidos e se o protocolo de Internet é HTTPS. Você pode usar utilitários online de verificação SSL gratuitos para verificar se há certificados de segurança e examinar a autenticidade do certificado, a validade, a resolução de DNS e outros detalhes.

3) Fique atento para downloads não iniciados ou automáticos

Às vezes, basta fazer login em um site para iniciar um download. Isso pode ser um malware disfarçado de um .exe legítimo, mas, ao executá-lo, o sistema poderá ser comprometido. Se isso acontecer, cancele imediatamente o download, faça uma varredura com um antivírus conhecido ou simplesmente pesquise o nome do arquivo no Google para ver se é um ataque de malware ou golpe conhecido. Só o execute se tiver certeza de que é seguro.

Às vezes, os malwares podem ser baixados automaticamente para o seu sistema de forma invisível, o que obviamente é ainda mais difícil de detectar sem monitoramento do sistema. Mesmo um clique inocente em uma área sombreada do site pode iniciar a transferência de um processo duvidoso. Fique de olho na barra de status ao clicar em qualquer parte estranha de um site. Ela vai mostrar o URL de destino se houver um hiperlink.

4) Não siga links aninhados

Tenha cuidado redobrado com links aninhados. Se todos os direcionamentos de URL do site o levarem a domínios diferentes, ligados uns nos outros, é possível que o site não seja legítimo. Por isso, tenha cuidado com suas transações.

5) Faça seu próprio diagnóstico em domínios suspeitos

Não importa se você encontrou o URL em um e-mail ou em um bate-papo: se não souber que é confiável, tome precauções e faça seus próprios testes on-line se não quiser acabar vítima de phishing.

• Faça uma pesquisa online para ver se o nome do site está associado a fraudes.
• Faça o diagnóstico de Navegação Segura do Google para verificar a autenticidade do site e se o site hospedou qualquer conteúdo perigoso no passado. Digite http://www.google.com/safebrowsing/diagnostic?site=www.seusite.com e verifique os resultados.
• Você pode verificar o domínio do site em http://www.malwaredomainlist.com/mdl.php. Se o domínio que você está verificando aparecer aqui, evite-o.
• Serviços como http://www.urlvoid.com/ e http://scanurl.net/ analisam sites por meio de vários mecanismos de lista negra e ferramentas de reputação online para detectar sites que hospedam conteúdo perigoso e gerar relatórios de phishing.
• Use http://www.dnsstuff.com/ da SolarWinds para obter mais detalhes sobre o IP e a propriedade de domínio de um site.

6) Analise logs para encontrar sinais e pistas
Especialmente em redes organizacionais, onde é difícil controlar as atividades de navegação na Web dos funcionários, a melhor abordagem para os profissionais de segurança é monitorar os logs de várias partes da infraestrutura de TI, como estações de trabalho dos usuários finais, softwares antivírus, IDS/IPS, servidor da Web, proxy da Web, servidor de DNS etc. Correlacionar esses logs em tempo real fornecerá uma consciência situacional para detectar padrões incomuns na rede, processos e serviços indesejados, sites de downloads, consumo de largura de banda etc. Assim, você pode identificar anomalias que podem ser ocasionadas por práticas inseguras de navegação na Web.
Nesta era digital de crimes cibernéticos, segurança não é um privilégio, mas uma necessidade. Mantenha-se seguro!

Dados do autor: Vinod Mohan é gerente da equipe especializada em marketing de produtos da SolarWinds.

Tags, , , , , ,

Crimes cibernéticos custam caro às empresas e maior detecção pode gerar economia

Ainda que a melhoria na detecção seja de apenas 1%, pode potencialmente representar uma economia considerável em custos com eliminação de malware. As soluções de segurança da F-Secure* detectam os novos malwares a uma taxa de 100%, muito acima da média na indústria.

Considerando que os custos relacionados aos crimes cibernéticos continuam altos, afetando os negócios em todo o mundo, a F-Secure apresenta a última versão de seu produto de segurança na área corporativa: o F-Secure Client Security, que possui uma elevada tecnologia de detecção de ameaças testada com sucesso pela AV-TEST contra novos malwares **. O lançamento inclui suporte ao Windows 8.

Com as empresas gastando altas quantias para eliminar danos causados por malwares, taxas superiores de detecção de ataques cibernéticos ganham uma grande importância. Esses ataques representam custos de milhões de reais por ano às grandes empresas, e outras companhias chegam a gastar milhares de reais por mês. As pequenas empresas se tornam cada vez mais populares como alvos dos ataques porque, provavelmente, não são bem protegidas.

“As empresas gastam não apenas com a eliminação de malware, mas também sofrem com os custos da perda de produtividade e de dados, investigação e gestão pós-incidente. Some todos esses custos e você verá que um malware não detectado apresenta sérias complicações aos negócios. Mesmo com uma taxa de detecção de apenas 1% superior é capaz de economizar milhões”, explica Pekka Usva, vice-presidente de Segurança Corporativa da F-Secure.

Os ataques incluem o roubo de propriedade intelectual ou de contas bancárias online de uma organização, implantação de vírus, divulgação de informações corporativas confidenciais na Internet e queda da rede de uma empresa com bloqueio aos serviços.

Detecção de malwares conhecidos e novos, administrados de maneira central

O responsável pela alta taxa de detecção do Client Security é o DeepGuard 4, a última versão da ferramenta de detecção da F-Secure, que utiliza tecnologias com base em análise heurística, comportamental e de reputação para fornecer proteção pró-ativa tanto contra os malwares existentes quantos às ameaças recém e anteriormente desconhecidas. Em testes independentes para acabar com ataques de malware diários, o DeepGuard 4 apresentou um desempenho de 98% a 100%, enquanto a média na indústria é de cerca de 90%.**

A proteção aperfeiçoada do F-Secure Client Security para desktops e laptops corporativos é compatível com as novas versões do Windows, incluindo o Windows 8, sem comprometer seu desempenho. Sua proteção de alta performance funciona com todos os principais navegadores.

A administração central é realizada pela última versão do F-Secure Policy Manager, ferramenta de gerenciamento mais abrangente e fácil de usar, permitindo, assim, que os gestores de TI realizem instalações de forma remota, bem como configurar e gerenciar estações de trabalho, servidores ou mesmo escritórios móveis a partir de um único local. Entre os novos recursos do Policy Manager estão o suporte a atualizações do Client Security e ao Windows 8.

Tags