Consultor diz que empresas nunca devem pagar resgate pedido por ransomware

Michael Corby, consultor da CGI, critica aqueles que acham que, às vezes, pagar o resgate é inevitável e a única maneira de recuperar dados essenciais.

Quando um ransomware bloqueia um arquivo e os criminosos exigem pagamento para descriptografá-lo, ninguém deve pagar. O conselho é de Michael Corby, consultor executivo da CGI, para quem ter um plano de dados disponível em um formulário que não vai ser afetado pelo ransomware, criptografado e armazenado separadamente da rede de produção, é uma maneira evitar ter de pagar resgate aos hackers. “A empresa precisa de uma cópia dos dados em um formulário restaurável, e testar que os backups funcionam.”

Restaurar e recuperar são as palavras-chave, e isso deve ser feito tendo em mente que o malware tem de ser removido antes da recuperação, ressalta Corby. Ele diz discordar daqueles que acham que, às vezes, pagar o resgate é inevitável e a única maneira de recuperar dados essenciais. “Eles estão incentivando as empresas a obterem bitcoins [moedas virtuais] antes de serem atingidas por um ransomware para que os pagamentos possam ser feitos rapidamente, se necessário”, critica ele, observando que o ransomware geralmente estipula prazo de pagamento.

Segundo o consultor, a primeira regra é que todos os funcionários devem estar cientes em relação a um ransomware e nunca tentarem descobrir com removê-lo. “Quando o pedido de resgate aparece na tela, o funcionário deve desconectar o dispositivo da rede imediatamente e informar a equipe de segurança da informação. Esta, por sua vez, deve reportar também aos departamentos jurídico, de relações públicas, relações humanas, executivos e assim por diante”, diz Corby.

Ele lista uma sequência de etapas que as empresas devem seguir e as melhores práticas a serem adotadas contra ransomware, que também são boas medidas para “limpar” a rede de modo geral:

– Mantenha programas de sensibilização constantes sobre malware para os usuários finais.

– Faça a atualização constante dos softwares, incluindo o software de segurança antivírus.

– “Descriminalize” ao ser atingido por um ransomware, pois o medo não pode impedir os usuários finais de reportá-lo imediatamente.

– Gerencie contas administrativas para garantir privilégios mínimos.

– Desabilite macros.

– Considere limitar o BYOD (a permissão para uso de dispositivos dos próprios usuários), estabelecendo uma lista de dispositivos “homologados” que devem seguir as políticas de segurança estritamente.

 

Fonte: Computer World

Google ameaça punir Symantec por emissão inadequada de certificados SSL de web

Autor: Lucas Constantin

Gigante das buscas diz que a empresa não adotou as práticas de segurança esperadas, tais como validação de controle de domínio e auditoria de logs. Symantec nega.

O Google poderá aplicar uma punição severa à Symantec ou a seus revendedores devido aos constantes incidentes decorrentes da emissão inapropriada de certificados SSL (Secure Socket Layer), padrão global em tecnologia de segurança. O Google quer que a empresa substitua todos certificados seus clientes e pare de reconhecer o status de validação estendida (EV) daqueles que a têm. O EV é um certificado usado para sites HTTPS e software que comprova a entidade legal que controla o site ou pacote de software.

De acordo com uma pesquisa Netcraft, de 2015, a Symantec é responsável por um em cada três certificados SSL usados na web, o que a torna a maior emissora do certificado comercial no mundo. Como resultado das aquisições que realizou ao longo dos anos, a empresa agora controla vários certificados raiz de autoridades de certificação como a VeriSign, GeoTrust, Thawte e RapidSSL.

Os certificados SSL/TLS são usados para criptografar conexões entre navegadores e sites habilitados para HTTPS e também para verificar que os usuários realmente estão visitando os sites que pretendem e versões não foi falsificado. Esses certificados são emitidos por organizações conhecidas como autoridades de certificação confiáveis por padrão em navegadores e sistemas operacionais.

O processo de emissão e gerenciamento de certificados é regido por regras criadas pelo CA/Browser Fórum, organização que reúne fornecedores de navegadores de internet e autoridades de certificação. Quando as regras forem violadas, fornecedores de browsers e de sistemas operacionais podem cancelar a confiança nos certificados e responsabilizar as autoridades certificadoras, podendo chegar ao ponto de retirar os seus armazenamentos de certificado raiz.

O Google diz que a investigação sobre um incidente recente indica que a Symantec não adotou as práticas de segurança esperadas de uma autoridade certificadora, tais como validação de controle de domínio, auditoria de logs para provas de emissão não autorizada e minimizar a capacidade para a emissão de certificados fraudulentos.

Se o Google mantiver sua decisão, milhões de certificados da Symantec vão se tornar não confiáveis ao longo dos próximos 12 meses no Google Chrome. Isso será um processo gradual, em que cada nova versão do Chrome irá suspeitar de um novo lote de certificados começando com o Chrome 59, que irá retirar a confiança nos certificados que têm um período de validade de 33 meses.

Isso colocará enorme pressão na Symantec, já que a empresa terá que entrar em contato com todos os clientes, validar sua identidade e a posse de seus domínios tudo de novo, além de substituir seus certificados existentes por novos, provavelmente sem nenhum custo.

Algumas empresas provavelmente terão problemas substituindo seus certificados em tão pouco tempo, que podem ser utilizados em terminais de pagamento e outros dispositivos embarcados difícil de acessar.

Além disso, a Symantec pode ter que reembolsar os clientes que pagaram por certificados EV que não serão mais reconhecidos como tal no Chrome. A proibição de certificados EV Symantec vai durar pelo menos um ano.

Todos os certificados de substituição emitidos pela Symantec para clientes precisarão ter um período de validade de nove meses ou menos para que confiem no Chrome. Isso é suscetível de causar mais problemas para algumas grandes empresas, que não serão capazes de substituir facilmente seus certificados a cada nove meses.

É seguro dizer que as sanções do Google podem ter um impacto significativo no negócio SSL da Symantec, que poderá perder os clientes que não estiverem dispostos a enfrentar essas restrições.

Fornecedores de navegadores de internet já puniram anteriormente autoridades certificadoras que fizeram a emissão indevida de certificados —ou “misissuing”, no jargão da indústria —, mas nunca numa escala e com um impacto tão grande sobre o “ecossistema”.

A razão para esta punição sem precedentes parece estar nos repetidos incidentes com certificados ocorridos com a Symantec nos últimos anos, alguns dos quais a empresa não conseguiu identificar, apesar de ter realizado auditorias internas e externas. O caso mais recente foi descoberto este ano e envolveu 127 certificados emitidos com informações falsas ou sem verificação de titularidade de domínio pela Symantec ou por uma parceira da empresa que funcionava como uma autoridade de registro (RA).

Segundo o Google, essa investigação envolve a validade de pelo menos 30 mil certificados emitidos pela Symantec e parceiros durante vários anos. No entanto, a Symantec contesta esse número. A empresa também critica a ação do Google, classificando-a como inesperada e dizendo que o post do blog foi irresponsável.

Procurada pelo Computerworld Brasil, a companhia enviou uma nota de esclarecimento, que publicamos na íntegra, abaixo.

NOTA DE ESCLARECIMENTO

“Na Symantec, temos o orgulho de ser uma das principais autoridades de certificação do mundo. Opomo-nos fortemente à ação do Google que tem como alvo os certificados Symantec SSL / TLS da Symantec no navegador Chrome. Esta ação foi inesperada e acreditamos que o post do blog foi irresponsável. Esperamos que isto não tenha sido calculado para criar incerteza e dúvida dentro da comunidade da Internet sobre nossos certificados SSL / TLS.

As declarações do Google sobre nossas práticas de emissão e o escopo de nossas falsas emissões anteriores são exageradas e enganosas. Por exemplo, a alegação do Google de que emitimos incorretamente 30.000 certificados SSL / TLS não é verdadeira. No evento que o Google está se referindo, 127 certificados – não 30.000 – foram identificados como emitidos incorretamente, e eles não causaram nenhum dano ao consumidor. Nós tomamos medidas de remediação abrangentes para corrigir esta situação, assim que concluída a nomeação do parceiro envolvido como uma autoridade de registro (RA), e em um movimento para fortalecer a confiança dos certificados SSL / TLS emitidos pela Symantec, anunciamos a interrupção de nosso programa de RA. Esse aprimoramento de controle é um passo importante que outras autoridades de certificação públicas (CA – Certification Authorities) ainda não seguiram.

Embora todas as principais CAs tenham tido eventos de emissão incorreta de certificados SSL / TLS, o Google destacou a Autoridade de Certificação da Symantec em sua proposta, mesmo que o evento identificado na postagem do blog do Google envolvesse várias CAs.

Operamos nossa autoridade de certificação (CA) de acordo com os padrões da indústria. Nós mantemos extensos controles sobre nossos processos de emissão de certificados SSL / TLS e trabalhamos para fortalecer continuamente nossas práticas de CA. Investimos substancialmente e continuamos comprometidos com a segurança da Internet. A Symantec tem um compromisso público e forte com o registro de Certificados de Transparência (CT) para certificados Symantec e é uma das poucas autoridades certificadoras que hospeda seus próprios servidores de CT. A Symantec também foi defensora da Autorização de Autoridade de Certificação (CAA – Certification Authority Authorization) e solicitou ao CA/Browser Forum uma alteração de regras para exigir que todas as autoridades de certificação explicitamente suportem CAA. Nossa contribuição mais recente para o ecossistema da CA inclui a criação do programa de criptografia Everywhere, nosso programa freemium, para criar uma adoção generalizada de sites criptografados.

Queremos tranquilizar nossos clientes e todos os consumidores para que possam continuar confiando nos certificados SSL / TLS da Symantec. A Symantec defenderá vigorosamente o uso seguro e produtivo da Internet, incluindo a minimização de qualquer possível interrupção causada pela proposta no blog do Google.

Estamos abertos a discutir o assunto com o Google em um esforço para resolver a situação nos interesses compartilhados de nossos clientes e parceiros comuns.”

Fonte: Computer World

Hackers criam páginas no Facebook para disseminar promoções falsas no Brasil

Para induzir consumidores ao erro e aplicar golpes que causam prejuízos financeiros, hackers desenvolveram uma nova modalidade de cibercrime via Facebook no Brasil. De acordo com a PSafe, os cibercriminosos têm criado páginas na rede social para divulgar falsas ofertas de grandes marcas varejistas, como Casas Bahia e Ponto Frio, e, desta forma, atrair vítimas.

Segundo especialistas da companhia, ao clicar no link dessas promoções, em vez do usuário ser encaminhado para o site oficial da empresa, ele é direcionado para uma página falsa contendo a oferta. Uma vez que a compra é efetuada, o hacker tem acesso aos dados bancários da vítima, que não receberá nada em troca. Com essas informações em mãos, os cibercriminosos estão aptos a realizar diversas ações que podem causar danos financeiros ao consumidor.

Para evitar que a fraude seja descoberta, alguns criminosos orientam que usuários tirem possíveis dúvidas sobre as ofertas por meio de mensagem privada na própria rede social. Dessa maneira, os próprios golpistas respondem aos consumidores, incentivando a efetividade da compra e impedindo que o esquema fraudulento seja desmascarado.

“Esse tipo de golpe tem se tornado cada vez mais frequente por não requerer alto nível de conhecimento técnico por parte dos hackers. Além disso, por meio dele, é possível aproveitar-se da popularidade de grandes marcas para atrair um alto número de vítimas. Para se ter uma ideia, em apenas uma semana a página falsa de ofertas de um dos varejistas conquistou mais de seis mil seguidores”, comenta Emilio Simoni, gerente de Segurança da PSafe.

No total, a PSafe identificou mais de 100 perfis falsos com esse tipo de oferta no Facebook e reportou as fraudes para que a rede social efetue o bloqueio das páginas. Ter um antivírus instalado em seus dispositivos móveis é uma barreira importante de segurança para garantir a privacidade dos seus arquivos e impedir que hackers tenham acesso ao seu aparelho.

“Quando a promoção não for anunciada em canais oficiais da marca ou redirecionar o usuário para outras páginas, desconfie. Se mesmo assim quiser participar, certifique-se de que a promoção é real ao entrar em contato diretamente com a empresa via canais oficiais. Nunca realize a compra, disponibilize dados pessoais ou propague links antes de fazer esta checagem”, completa Simoni.

Fonte: Convergencia Digital (com informações da PSAFE)

Londres ataca WhatsApp e OTTs por barrarem investigação com uso de criptografia

O atentado terrorista em Londres, que matou cinco pessoas e deixou mais de 50 feridos, recolocou a questão da privacidade na Internet à mesa mais uma vez. A ministra britânica para Assuntos Internos, Amber Rudd, fez duras críticas ao Whats App – que teria sido usado pelo terrorista britânico Khalid Masood pouco antes do ataque – e a outros OTTs de mensagens pelo uso de criptografia ponta a ponta. A ministra reclamou da falta de cooperação das empresas com os órgãos policiais e dizem que os aplicativos se tornaram ‘um lugar secreto para os terroristas se comunicarem’.

A mídia do Reino Unido divulgou que Khalid Masood, nascido na Grã-Bretanha, enviou uma mensagem criptografada momentos antes de matar quatro pessoas na semana passada ao passar com seu carro por cima de pedestres e de ter esfaqueando fatalmente um policial ao tentar entrar no Parlamento, em um ataque de 82 segundos que causou terror no centro de Londres.

Nos Estados Unidos, autoridades têm tentado fazer com que as empresas de tecnologia apresentem uma maneira em contornar a criptografia, em conversas que se intensificaram desde um tiroteio em massa em San Bernardino. Mas enquanto pedia para acabar com o tempo de “terroristas usarem mídias sociais como suas plataformas”, Rudd também pediu ajuda de donos de aplicativos de mensagens criptografadas, tais como o WhatsApp, do Facebook, ao se afastar da introdução de nova legislação.

Perguntada sobre sua opinião sobre companhias que oferecem mensagens criptografadas de ponta a ponta, Rudd disse: “É completamente inaceitável, não deveria haver um lugar para terroristas de esconderem. Precisamos garantir que organizações como o WhatsApp, e há muitas outras assim, não providenciem um local secreto para terroristas se comunicarem uns com os outros. Precisamos garantir que nossos serviços de inteligência tenham a habilidade de atuar em situações como WhatsApp criptografado.”

De acordo com a revista de tecnologia Wired, mensagens de ponta a ponta criptografadas podem apenas ser decodificadas pelo recipiente e por mais ninguém no meio, incluindo a companhia que fornece o serviço.

Fonte: Convergencia Digital

Metade dos aparelhos Android receberam atualizações de segurança em 2016

Autor: Michael Kan

Google diz que segurança no SO foi reforçada. Entretanto, companhia ainda não reparou a principal queixa sobre o Android: a frequência das atualizações

As chances de você encontrar um vírus no seu aparelho Android estão incrivelmente pequenas, segundo o Google.

Até o final do ano passado, menos que 0,71% dos dispositivos Android instalaram uma “aplicação potencialmente perigosa” como um spyware, um Trojan ou um software malicioso.

Esse número foi ainda mais baixo, a 0,05%, para aparelhos que apenas baixaram apps da loja oficial de aplicativos do Google.

A gigante de Internet revelou tais números em um novo relatório detalhando seus esforços em tornar o sistema operacional Android mais seguro. Graças a melhores revisões dos sistemas de aplicativos, a companhia está detectando e reparando mais brechas.

 Entretanto, o Google ainda não reparou uma grande queixa sobre o Android: a frequência de atualizações de segurança.

Até o final de 2016, cerca de metade dos dispositivos Android – 735 milhões – receberam um patch de segurança durante o ano, de acordo com o relatório. Isso significa que a outra metade dos aparelhos não, deixando as vulnerabilidades nesses aparelhos abertas.

E o quão recente foi este patch? O relatório não deixa claro, mas qualquer telefone que não rode o último software do Android pode enfrentar algum risco de segurança.

Uma das principais razões para a falta de atualizações de segurança é que o sistema operacional do Google é usado por centenas de fabricantes de dispositivos e em milhares de modelos de aparelhos.

Então, fica a cargo das fabricantes de smartphones entregarem novos patches de segurança, mas nem todas o fazem. Isso pode ser especialmente problemático quando uma grande falha no Android é encontrada e precisa ser consertada.

O Google está ciente do problema e está empurrando toda a indústria a entregar atualizações em tempo hábil. E esses esforços parecem estar se pagando.

“Na Europa, mais de 73% dos principais dispositivos Android ativos nas principais operadoras de redes móveis relataram um nível de atualização de segurança nos últimos três meses”, disse o relatório.

Nos Estados Unidos, esse número foi de 78% e inclui aparelhos como o Samsung Galaxy S7, G5 da LG, e o Moto X Play.

Os processos do Google sobre as atualizações não foram perfeitas, disse Andrew Blaicj, pesquisador de segurança na empresa de antivírus móvel Lookout. Mas de forma geral, a companhia está indo na direção certa quando diz respeito a segurança do seu sistema operacional.

“Muitas dos novos patches, especialmente na versão 7.X que compradores dos novos aparelhos Android começaram, são muito melhores que as versões anteriores”, disse em um e-mail.

Consumidores que usam telefones Android mais antigos não serão capazes de colher todos esses benefícios de segurança. Mas o Google também está reprimindo muitos aplicativos maliciosos, e reagindo rapidamente para detê-los, disse Blaich.

Fonte: IDG Now!

iPhones e Macs estão seguros contra ciberespionagem da CIA, diz Apple

Autor: Lucas Constantin

Documentos publicados pelo WikiLeks detalham como a CIA teria supostamente criado mecanismos para sequestrar produtos da Apple

A Apple se pronunciou nesta ultima sexta-feira (24) sobre os novos documentos publicados pelo WikiLeaks ontem que detalham como a agência de inteligência americana, a CIA, teria conseguido criar mecanismos para hackear iPhones e Macs.

De acordo com a Apple, os exploits descritos nos documentos foram reparados há anos.

Os documentos, datados de 2008 e 2012, descrevem uma série de “implantes” que a CIA supostamente usou para instalar em laptops e computadores de mesa da fabricante. Segundo os relatórios, a agência teria feito uso de um mecanismo para executar código malicioso em dispositivos periféricos enquanto um Macbook ou iMac estivesse inicializando, uma método que foi batizado de “Sonic Screwdriver”.

O código em questão ficava armazenado no firmware do adaptador que convertia a porta Thunderbolt para Ethernet, de forma que forçava um Macbook a inicializar a partir de um pen drive ou ainda um DVD mesmo quando suas opções de inicialização eram protegidas por uma senha.

A agência americana também teria desenvolvido um mecanismo para sequestrar iPhones originais de fábrica, obtendo acesso à segunda geração do iPhone 3G por meio de um malware que resistia mesmo com a instalação de uma nova versão do sistema operacional.

Com base na análise preliminar da Apple sobre as novas divulgações do WikiLeaks, a vulnerabilidade do iPhone descrita nos arquivos afetou apenas o iPhone 3G e foi corrigida em 2009 com o lançamento do iPhone 3GS, informou um representante da Apple em uma declaração por e-mail.

As vulnerabilidades relacionadas aos computadores e laptops foram corrigidas em todos os computadores liberados após 2013, disse o porta-voz.

O WikiLeaks disse que compartilharia detalhes inéditos sobre vulnerabilidades do arsenal da CIA com fornecedores de tecnologia cujos produtos foram afetados. No entanto, a organização quer que tais fabricantes concordem com certos termos, incluindo um prazo de 90 dias para entrega de patches.

A Apple parece relutante em negociar e afirma que até agora não recebeu nenhuma informação além do que o WikiLeaks já publicou.

“Não negociamos com o Wikileaks para obter qualquer informação”, disse o representante da Apple. “Demos instruções para enviar qualquer informação que desejem através do nosso processo normal sob nossos termos padrão. Somos defensores incansáveis da segurança e privacidade de nossos usuários, mas não toleramos roubo ou coordenação com aqueles que ameaçam prejudicar nossos usuários”.

Fonte: IDG Now!

Malware ataca máquinas de PDV e sistemas de processamento de cartões no Brasil

Cavalo de Troia Flokibot opera criando pequenas botnets — tipicamente formadas por menos de 50 máquinas comprometidas

Nas últimas semanas, a equipe de engenharia e resposta a ameaças da Arbor Networks, divisão de segurança da Netscout, detectou e publicou resultado de sua pesquisa sobre o malaware FlokiBot dirigido a máquinas para pagamento com cartão (PDV) no Brasil.

A equipe do Asert (Security Engineering & Response Team), da Arbor, detectou uma campanha do FlokiBot especificamente relacionada a um protocolo de comando e controle (C2) modificado, voltado particularmente a alvos brasileiros e compreendendo máquinas de PDV e sistemas utilizados no processamento de cartões de crédito. No Brasil, o malware opera criando pequenas botnets — tipicamente formadas por menos de 50 máquinas comprometidas.

A primeira informação da Arbor sobre o FlokiBot data de outubro de 2016 e aponta que o cavalo de Troia, derivado do Zeus, estava sendo vendido em fóruns da dark web ao preço de mil dólares — alto preço nesse mercado. Nessa ocasião, a equipe do Asert observou novos recursos, incluindo o C2 modificado, funcionalidade de ataque DDoS (Distributed Denial of Service) e de leitura de memória de cartão de crédito.

Segundo a Arbor, o baixo número de equipamentos infectados para realizar o ataque revela um esquema com alvos determinados, em vez de uma distribuição generalizada do malware por meio de propaganda web ou por mecanismos de fornecimento de kits como commodities. Quanto menos difundido o malware, menores as chances de ele chamar atenção de equipes de segurança e, por conseguinte, de ser descoberto.

“Indivíduos ou empresas que operam sistemas PDV devem estar particularmente atentos ao uso de software de gerenciamento remoto, senhas fracas ou senhas padrão. Também precisam ter cuidado com dispositivos usados por terceiros e empresas subcontratadas para realizar manutenção em seus sistemas”, aconselha Kleber Carriello, consultor sênior da área de engenharia da Arbor Networks no Brasil.

“Conhecer o tráfego da rede, de modo a detectar um volume significativo do tráfego que sai da rede da empresa, ou a conexão de um host da rede interna com algum host suspeito na Internet, é também de extrema importância para evitar danos causados por esse tipo de malware”, completa Carriello.

Fonte: IDG NOW!