Microsoft Security Intelligence Report (SIR) - Volume 15

A Microsoft disponibilizou o Security Intelligence Report (SIR) - Volume 15, que abrange Jan/13 a Jun/13.

O relatório analisa traz uma visão dos exploits, vulnerabilidades e malware, usando dados de mais de 600 milhões de computadores espalhados pelo mundo.

Para acessá-lo, clique aqui.

Estrutura da ISO 27000 (Segurança da Informação)

Olá leitores do InfoSec ECR!

Hoje quero compartilhar com vocês um site muito interessante sobre as normas que regem os padrões de segurança da informação, a ISO 27000.

O site em questão é o ISO 27001 Security.

A ISO 27000 abrange os padrões para a proteção dos ativos do negócio através da segurança da informação. 

Dentro da ISO 27000 existem 21 padrões publicados. Alguns deles são:

• ISO/IEC 27000: Overview e Vocabulário;
• ISO/IEC 27001: Especificações formais para ISMS (Information Security Management Systems);
• ISO/IEC 27002: Guia de controles para segurança da informação;
• ISO/IEC 27003: Guia de implementação.

Para quem esta se aprofundando nos estudos da família ISO/IEC 27000, existem áreas muito boas dentro do site que irei compartilhar. Uma delas por exemplo é ISO27k Toolkit, onde é possível encontrar documentos (.pdf, .doc, .xls, entre outros) com diversas informações sobre a aplicação dos controles das normas de segurança da informação. E também modelos de políticas de segurança para diversas áreas do negócio.

Espero que gostem e tenham bons estudos!

Certificações na Área de Segurança da Informação

Hoje quer compartilhar uma matéria muito boa, que foi divulgada no Blog SegInfo, sobre certificações na área de Segurança da Informação.

Recentemente, o Departamento de Segurança da Informação e Comunicações (DSIC) do Gabinete de Segurança Institucional da Presidência da República (GSI/PR), publicou uma norma que define as certificações, separadas por área, para os servidores e funcionários da Administração Pública Federal.

Veja toda a matéria na íntegra: SegInfocast #4 – Podcast e artigo sobre certificações na área de Segurança da Informação 

Acredito que possa servir como um bom guia para quem deseja trilhar um caminho na área de Segurança da Informação e suas diversas variáveis.

Bons Estudos!!

Sites Governamentais: 672 ataques contabilizados em 2013

Os ataques de hackers aos sites e portais da Administração Pública Federal (APF) se tornaram um problema quase corriqueiro na estrutura de informática governamental. Somente no primeiro semestre de 2013, as páginas do governo federal ficaram fora do ar 672 vezes – conforme relatório obtido pelo iG junto ao Centro de Tratamento de Incidentes de Segurança de Redes de Computadores (CTIR-Gov), departamento do Gabinete de Segurança Institucional (GSI) do Palácio do Planalto.

Em média, as páginas do governo na internet ficaram inacessíveis uma vez a cada oito horas. A suspensão desses acessos é a segunda maior reclamação de incidentes de informática no governo. Entre janeiro e junho deste ano, cerca de 20% das reclamações repassadas ao CTIR-Gov foram relacionadas à “indisponibilidade de sítio”, segundo o relatório.

A reclamação mais recorrente é o chamado “abuso de sítio”, ou seja, problemas com a configuração dos sites (provocados por agentes externos ou não) e exposição de códigos fonte ou descobertas de eventuais vulnerabilidades nos sistemas. Esses casos foram responsáveis por 25% das notificações no primeiro semestre.

No dia 22 de junho, durante os protestos em todo o Brasil, por exemplo, o portal do governo federal sofreu ataque de hacker e ficou fora do ar por pelo menos uma hora. A invasão ocorreu por volta das 2h da manhã. A mesma situação ocorreu nos portais Receita Federal e Presidência da República. Ainda no dia 22, o site da Petrobrás ficou instável pela manhã e caiu durante a tarde.

Já no final de junho foram alvos de ataques os portais da Polícia Federal, Senado, Ministério dos Esportes, Ministério da Cultura, Instituto Brasileiro de Geografia e Estatística (IBGE), Empresa Brasileira de Infraestrutura Aeroportuária (Infraero) e Ministério das Cidades. Parte desses ataques foi assumida por grupos como Fatal Error, Havittaja, Fail Shell e Anonymous.

Especialistas apontam, entretanto, que invasões desse tipo são consideradas menos danosas, porque o autor não consegue acesso a dados sigilosos, como nos casos de entrada dos sistemas de órgãos estratégicos.

Os hackers conseguiram apenas acesso remoto dos portais sem autorização ou simular um grande número de acessos, ocasionando a derrubada ou dificuldade de navegação por usuários reais – é o chamado DDoS (Distributed Denial of Service). “Em todos estes casos, o que houve foi acesso aos portais, não alcançando informações sigilosas, e/ou indisponibilização dos serviços”, avalia o secretário-geral da Comissão Especial de Crimes de Alta Tecnologia da OAB-SP, Fernando Barreira.

"Bebê real" vira isca para Spammers

Cibercriminosos aproveitaram o nascimento do filho do Príncipe William e Kate Middleton para usar a notícia como isca em ataques, alerta a Kaspersky Lab.

A empresa de segurança divulgou na quinta-feira (25) que identificou o envio em massa de e-mail spam que contém três links que encaminhavam o usuário para uma página que supostamente permite visualizar em tempo real a câmera do hospital onde Kate deu à luz. Mas, na verdade, o site malicioso contém o exploit kit "Black Hole".

Os usuários desprotegidos e com plugins desatualizados podem ser infectados automaticamente ao acessarem a página.

De acordo com a empresa, o link já está desativado mas, sem grande esforço de pesquisa, foram detectados no Google muitos outros sites fraudulentos com conteúdos maliciosos dedicados ao mesmo tema.

Segundo Fabio Assolini, analista de malware da Kaspersky no Brasil "o BlackHole é bastante efetivo em infecções web, atacando especialmente usuários que tenham o plugin do Java desatualizado. Esse kit de ataque é bastante usado globalmente, inclusive entre cibercriminosos brasileiros."

A Kaspersky Lab detectou a ameaça como sendo o "Troyan Downloader.js.Expack.aie".

Microsoft corrige falha crítica no Internet Explorer - Patch Tuesday

A tradicional Patch Tuesday da Microsoft para o mês de julho abordará sete questões de segurança, seis das quais poderiam ser exploradas remotamente por um invasor.

A empresa publicou um aviso com antecedência sobre a data das correções, que acontecem na segunda terça-feira de cada mês, para que administradores se informem sobre quais produtos serão afetados. No entanto, tal aviso não descreve as vulnerabilidades até que suas respectivas correções sejam liberadas.

As vulnerabilidades críticas estão no Windows OS, .NET Framework, Silverlight, Office, Visual Studio, Lync e Internet Explorer (IE). Um sétimo boletim, classificado como "importante", afeta o software de segurança Windows Defender.

O boletim de segurança mais importante inclui o IE, escreveu o CTO da Qualys, Wolfgang Kandek. Ela afeta as versões 6 a 10 do browser no Windows XP, Vista, 7, 8, Server 2003, Server 2008 e RT.

A Microsoft também irá corrigir uma vulnerabilidade 0-day apresentada pelo pesquisador de segurança Tavis Ormandy, escreveu Kandek. A falha é relativa a um problema de gerenciamento de memória que é essencialmente uma vulnerabilidade 0-day depois de um exploit ser adicionado ao kit de exploração Metasploit, disse Kandek.

A companhia descreveu a vulnerabilidade CVE-2013-3660 como "um problema conhecido publicamente do componente no kernel do Windows."

Kandek escreveu que a Patch Tuesday dará um pouco de trabalho para os administradores de desktop e servidores. "No geral, é uma Patch Tuesday de tamanho normal, mas com um grande número de questões críticas", escreveu.

Os boletins serão liberados na terça-feira pela manhã.

Falha de segurança no Android pode atingir 99% dos aparelhos

Os smartphones Android podem estar em risco. Pesquisadores da Blueblox, empresa especializada em segurança de dispositivos eletrônicos, descobriram uma falha de que pode afetar até 99% dos aparelhos com o sistema operacional do Google. Através desta brecha, usuário maliciosos podem controlar totalmente o telefone de outras pessoas.

O funcionamento do hack, obviamente, não foi divulgado pela BlueBox, mas a vulnerabilidade já existe desde o Android 1.6 e tem propriedades curiosas. Hackers poderiam explorar a falha para editar códigos de APKs legítimas, sem quebrar as assinaturas criptográficas delas. Dessa forma, seria possível inserir conteúdo malicioso nos programas a ser instalados.

Ao infectar o smartphone, uma notificação de update para o aplicativo apareceria para o usuário, que autorizaria o seu celular ser totalmente explorado ao invés de ser atualizado. Os pesquisadores afirmam que hackers conseguiriam até ganhar controle total.

A Bluebox notificou o Google sobre a falha em fevereiro e destaca que o Galaxy S4 é o único aparelho atualmente imune à falha – o que sugere que um patch de segurança já deve existir para isso. De acordo com o CTO da empresa, Jeff Forristal, um update deve chegar aos aparelhos Nexus em breve. Procurado pelo site Engadget, o Google não comentou o caso.

Facebook expõe dados de 6 milhões de usuários

Uma ferramenta do Facebook que permite aos usuários baixar dados de seus perfis (como um tipo de backup) pode ter exposto as informações de contato de 6 milhões de usuários, de acordo com um comunicado da própria rede social, liberado nessa sexta-feira (21), no blog de segurança da empresa.

Os números de telefones celulares e endereços de e-mail armazenados na rede de alguns membros podem ter sido acessados por outros usuários conhecidos, ou que possuem algum tipo de conexão com a pessoa afetada. 

O que aconteceu foi o basicamente o seguinte: o Facebook permite a usuários carregar listas de contatos ou listas de endereços em sua rede para que tais dados possam ser combinados com informações de contatos já existentes na plataforma, a fim de sugerir alguns usuários que você possa conhecer, mas que ainda não adicionou em sua rede - o tal "Sugestões de amigos".

Basicamente, a falha "conectou" as informações de colegas ao perfil do usuário. Isso significa que, quando você decidisse baixar os seus próprios dados por meio da ferramenta "Download Your Information" (DYI), pode ser que algumas informações de outros colegas (ou contatos que você tivesse algum tipo de conexão) viessem junto no seu arquivo.

Segundo a empresa, assim que a vulnerabilidade foi analisada e confirmada pela equipe de segurança da empresa, o recurso DYI foi desativado e depois reativado após a correção da falha.

"Concluímos que aproximadamente 6 milhões de usuários no Facebook tiveram seus endereços de e-mail e números de telefone compartilhados. Havia outros endereços ou telefones incluídos nos downloads, mas eles não estavam relacionados a qualquer membro da rede ou mesmo a nomes de indivíduos", diz o comunicado.

A rede social informou ainda que cada dado afetado pela falha foi baixado apenas "uma ou duas vezes". O que na prática significa que as informações afetadas só foram baixadas por um ou dois usuários.

Vale ressaltar que "nenhuma outra informação pessoal ou financeira foi incluída e apenas pessoas no Facebook - desenvolvedores e anunciantes não estão inclusos nisso - tiveram acesso a ferramenta DYI".

A empresa informou que não recebeu qualquer reclamação de que os dados de algum membro possam ter sido usados de forma maliciosa. Os usuários afetados, no entanto, serão notificados por e-mail nos próximos dias.

"Mesmo com uma equipe forte, nenhuma empresa pode garantir 100% de prevenção de bugs e, em casos raros, nós não descobrimos o problema até que ele tenha afetado alguma conta", diz o comunicado.

O bug foi reportado por meio do programa White Hat da empresa, um canal criado para que especialistas externos possam relatar falhas encontradas na rede.

Site do PT volta ao ar após ataque de hackers.

O site do PT nacional voltou ao ar na tarde deste domingo (23), após ter permanecido indisponível desde a manhã de sábado (22). A página teria sido alvo de hackers, segundo informaram integrantes do partido mais cedo. 

Os problemas de acesso ao portal começaram a ser identificados ao longo da semana, no auge das manifestações que levaram mais de 1 milhão de pessoas às ruas em várias cidades do País. Os ataques dos hackers teriam se intensificado na última quinta-feira (20) levando à derrubada do site. "Houve uma tentativa de invasão que não teve êxito, mas conseguiram sobrecarregá-lo e dessa forma derrubá-lo", disse o secretário de Comunicação Social do PT, Paulo Frateschi. 

A página do PMDB, que também teria sido invadida por hackers, com publicações não autorizadas sobre o fim da corrupção e a PEC 37, permanece "em manutenção".

Anonymous planeja ataque ao Facebook com "material sem censura"

O grupo hacker Anonymous anunciou que pretende atacar o Facebook no dia 6 de abril, mesma data em que Mahatma Gandhi iniciou a desobediência civil à lei britânica em 1930 e em que os egípcios se ergueram contra o regime ditatorial de Hosni Mubarak em 2011. A operação #OpTruthForce (força da verdade, em tradução livre) chama os ativistas a sobrecarregarem a maior rede social do mundo com "material sem censura". As informações são do Daily Dot.

No site AnonNews.org, os hackers acusam "governos e corporações" de tentar "barrar a liberdade de expressão das pessoas". "Nos últimos meses, testemunhamos um número crescente de contas bloqueadas e deletadas pelo Facebook de usuários que ousam ridicularizar, debochar, satirizar ou se erguer contra líderes políticos ou corporações profundamente envolvidas com política", continua o texto.

A operação está marcada para as 22h de Brasília, e pretende ser um ataque internacional. "Todos os anônimos no mundo ataquem o Facebook com material sem censura. Vamos continua com o bombardeio de materiais por tanto tempo quanto conseguirmos - se tudo der certo, por 24 horas", conclama o comunicado dos hacktivistas.

A proposta é sobrecarregar o sistema. "Os administradores (do Facebook) não vão conseguir nos parar. Eles não podem banir a todos nós", explica o texto. No site, há o link para um evento do Facebook que parece ter sido retirado do ar, mas a busca por eventos com o nome da operação indica outros eventos criados para chamar os usuários a participar.

'Maior ataque cibernético da História'

A internet ficou mais lenta ao redor do mundo nesta quarta-feira devido ao que especialistas em segurança chamaram de maior ciberataque da História.

Uma briga entre um grupo que luta contra o avanço do spam e uma empresa que abriga sites deflagrou ataques cibernéticos que atingiram a estrutura central da rede.

O episódio teve impacto em serviços como o Netflix - e especialistas temem que possa causar problemas em bancos e serviços de email. Cinco polícias nacionais de combate a crimes cibernéticos estão investigando os ataques.

O grupo Spamhaus, que tem bases em Londres e Genebra, é uma organização sem fins lucrativos que tenta ajudar provedores de email a filtrar spams e outros conteúdos indesejados.

Para conseguir seu objetivo, o grupo mantém uma lista de endereços que devem ser bloqueados - uma base de dados de servidores conhecidos por serem usados para fins escusos na internet.

Recentemente, o Spamhaus bloqueou servidores mantidos pelo Cyberbunker, uma empresa holandesa que abriga sites de qualquer natureza, com qualquer conteúdo - à exceção de pornografia ou material relacionado a terrorismo.

Sven Olaf Kamphuis, que diz ser um porta-voz da Cyberbynker, disse em mensagem que o Spamhaus estava abusando de seu poder, e não deveria ser autorizado a decidir "o que acontece e o que nao acontece na internet".

O Spamhaus acusa a Cyberbunker de estar por trás dos ataques, em cooperação com "gangues criminosas" do Leste da Europa e da Rússia.

A Cyberbunker não respondeu à BBC quando contactada de forma direta.

'Trabalho imenso'

Steve Linford, executivo-chefe do Spamhaus, disse à BBC que a escala do ataque não tem precedentes.

"Estamos sofrendo este ciberataque por ao menos uma semana". "Mas estamos funcionando, não conseguiram nos derrubar. Nosso engenheiros estão fazendo um trabalho imenso em manter-nos de pe. Este tipo de ataque derruba praticamente qualquer coisa".

Linford disse à BBC que o ataque estava sendo investigado por cinco polícias cibernéticas no mundo, mas afirmou que não poderia dar mais detalhes, já que as polícias envolvidas temem se alvos de ataques também.

Os autores da ofensiva usaram uma tática conhecida como Negação Distribuída de Serviço (DDoS, na sigla em inglês), que inunda o alvo com enormes quantidades de tráfego, em uma tentativa de deixá-lo inacessível.

Os servidores do Spamhaus foram escolhidos como alvo.

Linford disse ainda que o poder do ataque é grande o suficiente para derrubar uma estrutura de internet governamental.

Palo Alto - Application Usage & Threat Report

A empresa Palo Alto divulgou o seu relatório "Application Usage & Threat Report".

Trata-se de um relatório muito interessante, onde são associados os aplicativos de uso comercial (Enterprise) e a atividade de ameaças.

O relatório resume o tráfego de rede de aproximadamente 3000 empresas onde 1395 aplicações e 12.6 petabytes de tráfego foram analisados.

Para visualizar o relatório, acesse: Palo Alto - Application Usage & Threat Report

0-day no Java 7

A empresa de segurança polonesa, Security Explorations, relatou na segunda-feira (25/02), dois novos bugs do plugin do software para navegadores.

Em sua página de status de bugs a empresa disse que enviou detalhes das provas, incluindo uma prova de conceito de exploração.

"Olhamos novamente o Java SE 7, liberado pela empresa em 19 de fevereiro", disse Adam Gowdiak, por e-mail. "Como resultado, identificamos outras duas questões de segurança que, quando combinadas, podem ser utilizadas com sucesso para ignorar completamente a sandbox (sistema de segurança) do software no ambiente do Java SE 7 Update 15 (1.7.0_15-b03)", e atacar browsers de máquinas que possuem o plug-in do software instalado.

Vale ressaltar que a vulnerabilidade afeta apenas a versão 7 do Java. 

Por ser uma tecnologia amplamente utilizada, o Java tem sido alvo constante de vulnerabilidade 0-day, que são aquelas exploradas antes que as correções sejam liberadas. Somente este ano (2013) a Oracle já liberou dois patches emergenciais para correção.

O mais recente constrangimento da empresa surgiu depois de uma porção de relatos de que grandes empresas de tecnologia - incluindo Facebook, Apple e Microsoft - teriam sido atacadas por crackers que exploraram uma vulnerabilidade Java para sequestrar computadores pertencentes a seus engenheiros.

 

Esses ataques originaram de um fórum popular online para desenvolvedores iOS, iPhoneDevSDK, que cibercriminosos haviam comprometido previamente e, em seguida, realizaram ataques "drive-by" com exploits Java. "Ficamos realmente surpresos ao saber que tantas empresas de tecnologia tinham sido vítimas de uma vulnerabilidade de segurança do Java", disse Gowdiak. "Parece que os alertas sobre problemas de segurança com o software que temos visto desde abril de 2012 não foram ouvidos em todo o Vale do Silício".

 

Gowdiak se recusou a dar mais informações sobre o caso, já que ainda não há correção para a falha. Mas ele afirmou que a vulnerabilidade envolve a interface de programação do Java, a Reflection API.

Hackers atacam governo através de vulnerabilidade em PDF

Uma vulnerabilidade recente descoberta nos leitores de PDF Adobe Reader tem sido usada para atacar diversas entidades governamentais e instituições de todo o mundo, inclusive o Brasil.

Pesquisadores da Kaspersky publicaram hoje (27/03) os ataques realizados pelo malware, que foi chamado de MiniDuke. A empresa identificou 59 vítimas em 23 países, entre eles Ucrânia, Bélgica, Portugal, Irlanda, EUA e Brasil. 

O ataque utiliza engenharia social com o envio de arquivos PDF infectado para as vítimas. Esses documentos são personalizados de acordo com o perfil, podendo fazer referência a um seminário de direitos humanos ou planos de adesão a ONU, aumentando assim a possibilidade do arquivo ser aberto.

Ao ser aberto, o PDF instala um arquivo malicioso no computador da vítima. Segundo o presidente da fabricante de antivírus, Eugene Kaspersky, esse é um "ciberataque muito incomum" e que esse estilo de programação de malwares eram muito usados no fim dos anos 90 e início dos anos 2000, ficando uma década em hibernação. "A combinação de experientes programadores da velha escola de malware que utilizam exploits recém-descobertos com a engenharia social inteligente para comprometer alvos de alto perfil é extremamente perigosa", afirmou em nota.