O Google divulgou recentemente uma nova versão do seu relatório de transparência, no qual a empresa mostra como lida com solicitações de remoção de links de suas buscas por causa de infrações de leis de monopólio intelectual. O dado mais notável é o número de links que a empresa já removeu por esse motivo: mais de 2,51 bilhões.

Só no último ano, foram mais de 931 milhões de links removidos, e quase 90 milhões só no último mês. Ao todo, mais de 1,1 milhão de sites já foram alvo de remoções desse tipo. Os sites mais afetados por essas solicitações são, nessa ordem, 4shared.com, mp3toys.xyz e rapidgator.net. Veja abaixo a lista dos maiores alvos:

Dentre as dez organizações que mais solicitam a remoção de URLs dos resultados de busca do Google, há uma brasileira, na sexta posição. Trata-se da APDIF do Brasil (Associação Protetora de Direitos Intelectuais e Fonográficos), que já fez com que mais de 169 milhões de links “piratas” fossem removidos do buscador.

Um dos aspectos mais impressionantes do número, no entanto, é o fato de que ele vem crescendo em ritmo cada vez mais rápido. Segundo o TorrentFreak, no começo da década, milhares de solicitações de remoção de URLs eram processadas por dia. Atualmente, esse número fica na casa dos milhões – na semana mais movimentada registrada pelo Google, foram mais de 25 milhões de solicitações.

Tá pouco

Em junho, o TorrentFreak conversou com um representante da Indústria Fonográfica Britânica (BPI, na sigla em inglês), que é a organização que mais solicita a censura de links pelo Google. Ela já pediu a remoção de mais de 320 milhões de URLs do buscador, mas mesmo assim acredita que a atitude do Google com relação a links piratas é insatisfatória.

“Eles precisam ter uma postura mais proativa para reduzir conteúdos infratores que aparecem em sua plataforma, e, quando nós relatarmos conteúdo infrator para eles, queremos não apenas que o retirem, mas também garantam que isso permaneça fora do ar”, disse um representante da BPI ao site. De qualquer maneira, tudo isso pode mudar quando o Google implementar uma solução que pode, por acidente, combater a “pirataria” na internet.

Relatório da Kaspersky Lab mostra que 52% das empresas admitem que suas equipes são o elo mais fraco em sua segurança de TI

Quando ocorre um incidente de segurança de TI, os funcionários não são sinceros — eles tendem a esconder os problemas para evitar punições. Cerca de 46% dos incidentes são causados pelos próprios funcionários, o que gera uma fragilidade nas empresas que deve ser resolvida em vários níveis, não apenas pelo departamento de segurança de TI.

A constatação é do novo relatório da Kaspersky Lab e B2B International, “O Fator Humano na Segurança de TI: Como os funcionários tornam as empresas vulneráveis de dentro para fora”. O documento cita funcionários desinformados ou descuidados como uma das causas mais prováveis dos incidentes de segurança virtual — só perdem para o malware. Embora os malwares estejam se tornando cada vez mais sofisticados, a triste realidade é que o eterno fator humano pode representar um perigo ainda maior.

Em particular, quando se trata de ataques direcionados, o descuido dos funcionários é uma das maiores brechas na blindagem da segurança virtual corporativa. Embora os hackers modernos possam usar malware sob medida e técnicas de alta tecnologia para planejar um roubo, é provável que comecem explorando o ponto de entrada mais frágil: a natureza humana.

Segundo a pesquisa, um terço (28%) dos ataques direcionados sobre empresas no último ano começou com o phishing/engenharia social. Por exemplo, um contador descuidado pode facilmente abrir um arquivo malicioso disfarçado como uma fatura de um dos inúmeros fornecedores da empresa e, assim, desligar toda a infraestrutura da organização, tornando-se um cúmplice involuntário dos invasores.

“Muitas vezes, os criminosos virtuais usam os funcionários como ponto de entrada para invadir a infraestrutura corporativa. E-mails de phishing, senhas fracas, chamadas falsas do suporte técnico; já vimos tudo isso. Até um cartão de memória comum caído no estacionamento do escritório ou perto da mesa da recepção pode comprometer toda a rede. Basta que alguém dentro da organização não tenha conhecimento ou não preste atenção à segurança para que o dispositivo possa ser facilmente conectado à rede, onde é capaz de causar verdadeiros desastres”, explica David Jacoby, pesquisador em segurança da Kaspersky Lab.

Os ataques direcionados sofisticados não acontecem todos os dias, mas o malware convencional opera em grande escala. Infelizmente, a pesquisa também mostra que, mesmo em relação ao malware, muitas vezes funcionários inconscientes e descuidados estão envolvidos e provocam as infecções em 53% dos incidentes.

Esconde-esconde: por que o RH e a direção devem se envolver

Quando a equipe esconde os incidentes nos quais se envolveram, as consequências podem ser drásticas, aumentando o prejuízo total causado. Um único evento não relatado poderia indicar uma violação muito maior, e as equipes de segurança precisam ser capazes de identificar rapidamente as ameaças que enfrentam para poder escolher a tática de atenuação correta.

Porém, os funcionários preferem colocar a organização em risco do que informar um problema porque temem ser punidos ou ficam constrangidos por serem responsáveis por algo errado. Algumas empresas estabeleceram regras rígidas e impõem uma responsabilidade excessiva sobre os funcionários, em vez de simplesmente incentivá-los a ficar atentos e cooperar. Isso significa que a proteção virtual não está apenas no âmbito da tecnologia, mas também faz parte da cultura e do treinamento da organização. E, nesse ponto, o envolvimento da diretoria e do RH é fundamental.

“A questão da ocultação de incidentes deve ser conversada não apenas com os funcionários, mas também com a diretoria e o departamento de RH. Se os funcionários escondem os incidentes, deve haver um motivo. Em alguns casos, as empresas adotam políticas rígidas, mas confusas, e colocam pressão demais sobre a equipe, com advertências para que não façam isso ou aquilo, pois serão responsabilizados caso ocorra algo errado. Essas políticas alimentam o medo e dão apenas uma opção aos funcionários: evitar as punições a qualquer custo. Se você tem uma cultura de segurança virtual positiva, baseada na educação e não em restrições, em todas as instâncias, os resultados são óbvios”, comenta Slava Borilin, gerente do programa de educação sobre segurança da Kaspersky Lab.

A Microsoft liberou o “Patch Tuesday”, um pacote de correções de segurança semanal da companhia. Dessa vez, o patch corrige vulnerabilidades de dia zero que afetam sistemas operacionais Windows voltados para empresas, com lançamento em 2007.

De acordo com especialistas da Preempt, essas vulnerabilidades estão nos protocolos de segurança Windows NTLM. Como uma porta de entrada, elas permitem que cibercriminosos ataquem um computador ao criar uma nova conta de administrador. Dessa maneira, é possível receber todos os privilégios de administrador do sistema.

“Em um cenário de ataque remoto, um invasor poderia explorar essa vulnerabilidade executando um aplicativo especialmente criado para enviar tráfego mal-intencionado.”

Caso não saiba, o NTLM (NT LAN Manager) é um protocolo de autenticação antigo, isso significa que as versões mais novas do Windows não são afetadas — mas isso não significa que você não precisa atualizar o seu computador com frequência. Vá até o Windows Update e realize os processos pendentes. 

“Em um cenário de ataque remoto, um invasor poderia explorar essa vulnerabilidade executando um aplicativo especialmente criado para enviar tráfego mal-intencionado para um controlador de domínio. Um invasor que aproveitou com sucesso essa vulnerabilidade poderia executar processos em um contexto elevado”, explicou a Microsoft.

O pessoal da Preempt ainda divulgou um vídeo mostrando como funciona essa vulnerabilidade.

Em vez de criptografar arquivos, um novo ransomware que atinge smartphones com Android prejudica usuários de outra forma: ele ameaça expor o histórico de navegação na internet para os amigos da pessoa.

O LeakerLocker, descoberto por pesquisadores da McAfee dentro de um app na Google Play Store, não atua como outras ameaças do tipo, que criptografam os arquivos de um dispositivo e só liberam o acesso a eles depois do pagamento de uma recompensa em dinheiro. Em vez disso, ele diz fazer backup de todos os dados armazenados em um aparelho e ameaça compartilhá-los com todos os contatos caso não seja feito um pagamento de US$ 50.

O ransomware foi encontrado em dois apps disponíveis na Google Play Store: o Walpapers Blur HD, baixado entre 5.000 e 10 mil vezes, e o Booster & Cleaner Pro, baixado entre 1.000 e 5.000 vezes. Isso faz com que a quantidade de potenciais vítimas do golpe seja de até 15 mil pessoas.

Ele alega coletar fotos, mensagens do Facebook, histórico da web, e-mails, histórico de localização e mais. O compartilhamento dessas informações com contatos pode causar problemas para muitas pessoas.

Mas, segundo a McAfee, ele pode não ser capaz de fazer tudo o que diz fazer: análise dos códigos do vírus indicam que ele consegue acessar endereços de e-mail, algumas informações de contato, histórico de navegação do Chrome, mensagens de texto, chamadas telefônicas e fotos da câmera.

Por isso, os pesquisadores orientam as possíveis vítimas a não realizar o pagamento pedido, já que não há indícios de que de fato ele vai divulgar as informações como diz fazer.

Segurança da informação é composta por pessoas, processos e tecnologias. Por isso, não basta comprar aquele firewall ou antivírus de última geração se a empresa não for capaz de acompanhar a evolução de ameaças

É fato que a informação tem grande valor para a humanidade e é fator determinante para o fortalecimento de nações e de potências comerciais. Nos dias atuais, o volume de informações alcança proporções astronômicas, assim como aumenta também sua importância e a necessidade de protegê-las. A criação de mecanismos para classificar, avaliar e tratar cada tipo de informação representa direcionar recursos e esforços diferentes para cada uma delas.

Uma pesquisa realizada pela consultoria PwC revela um crescimento de 274% no número de ataques cibernéticos no Brasil. Vimos, desde o começo do ano, ataques a grandes empresas como UOL, Google, divulgação de senhas do governo e até mesmo o Sisu não foi poupado, tendo inscrições de candidatos alteradas. Esses são apenas alguns exemplos de ataques que aconteceram em território nacional.

Sabemos que todas as empresas impactadas por esses ataques possuem grandes soluções de segurança implementadas, times de segurança da informação bem estruturados assim como investimentos consideráveis em segurança. Ao passo que os ataques cibernéticos estão cada vez mais elaborados e sofisticados as empresas, por sua vez, têm de acompanhar esse cenário e desenvolver mecanismos capazes de antecipar esses ataques, bem como reagir de forma adequada para cada tipo de incidente.

Precisamos mesmo ser tão reativos?

Boas práticas não faltam no mercado, assim como soluções tecnológicas complexas e caras, que prometem proteções eficazes contra diversos tipos de ataques e vulnerabilidades. Mas será que somente isso basta? Se temos soluções de alta tecnologia, grandes empresas por trás delas, times de segurança (que deveriam ser bem treinados), bases de conhecimento abertas, por que então em vez dos ataques diminuírem eles só aumentam? Ou melhor, por que temos a sensação de que não conseguimos combater ou nos anteciparmos aos ciberataques de forma eficaz?

A resposta é simples: Segurança da informação é composta por pessoas, processos e tecnologias, ou seja, não basta comprar aquele firewall, SIEM, IPS ou antivírus de última geração se a estratégia de implementação, ciclo de vida, sustentação e resposta a incidentes não forem capazes de acompanhar a evolução de ameaças nos dias de hoje.

Muitas empresas montam seus planos e estratégias de proteção baseadas em dados que não refletem o cenário atual de ameaças ou que não endereçam de forma adequada a proteção de pessoas, processos e tecnologias. Implementações de frameworks como ISO 27001, PCI-DSS, HIPAA e SOX não alcançam seu objetivo real se a motivação para os adotar tiver propósito apenas comercial, em vez de ter como objetivo atender ao que cada um desses frameworks se propõe. Implementar uma metodologia de proteção de dados simplesmente porque a empresa terá vantagem comercial não significa dar importância à segurança da informação.

Muitos C-levels enxergam ou investem mais em tecnologias de segurança e menos em campanhas de conscientização ou em processos e controles internos.

Melhores práticas podem ajudar?

Não existe uma receita pronta ou um método 100% eficaz para se aplicar de forma generalizada em todas as empresas ou em seus ambientes, mas de uma forma geral, a definição de uma boa estratégia de segurança começa pelo entendimento correto de seu escopo, ou seja, definir o alcance real de proteção do que será protegido. Na sequência, análises críticas, de risco e maturidade de processos dará a visibilidade dos principais pontos fracos e fortes de sua empresa.

Com esse mapeamento definido é possível identificar e classificar os tipos de informações a serem protegidas e os níveis de proteção mais adequados para cada uma delas. Otimizando os recursos dessa forma é possível gerenciá-los e direcioná-los de acordo com as necessidades de cada empresa.

Implementar um sistema de gestão de segurança da informação ou algum framework de segurança não impede que incidentes aconteçam, mas endereçam diversas medidas que diminuem suas probabilidades, além de propor métodos capazes de medir se a implementação dos controles e processos adotados são eficazes ou não. Campanhas de conscientização, desenvolvimentos de políticas e procedimentos bem balanceados ainda são os grandes aliados para prevenir incidentes de segurança.

Criminosos arrecadaram o equivalente a R$ 4,9 milhões, e o Brasil está entre os mais afetados

Mais de 14 milhões de dispositivos com Android foram infectados em uma campanha de adware que gerou aproximadamente US$ 1,5 milhão (R$ 4,9 milhões) para os cibercriminosos e teve o Brasil entre seus alvos principais.

O golpe foi descoberto pela Check Point, que informou o Google em março deste ano. A dona do sistema já deu um jeito no problema, mas o pico da ação ocorreu entre abril e maio de 2016 — e a empresa de segurança acredita que muitos aparelhos permaneçam infectados.

O que é e como opera

A campanha foi apelidada pela Check Point de “CopyCat”. Ela depende de que a pessoa instale um aplicativo de uma loja independente (não há evidências de que o Google Play tenha servido ao golpe) ou caia numa ação de phishing — quando você é aliciado a clicar, baixar e instalar o que não deveria. O app contaminado poderia ser cópia de algum serviço famoso, o que ajuda a enganar as vítimas.

Uma vez instalado, o CopyCat espera pelo momento em que o usuário reinicie seu dispositivo. Feito isso, ele baixa uma atualização com ferramentas para fazer “root”; se conseguir, o app instala um componente ao diretório de sistema que estabelece persistência, tornando sua remoção mais difícil.

Depois, o CopyCat injeta um código no “Zygote”, o processo por trás do lançamento de todos os aplicativos no Android. A partir daí, ele chega ao processo “system_server” e conquista poder sobre todos os serviços do sistema operacional.

Tudo isso permite que o CopyCat passe a exibir publicidade e roube créditos pela instalação de aplicativos. Além disso, por ter roteado o dispositivo, o adware é capaz de instalar outros apps fraudulentos.

Quem está por trás disso e quem foi afetado

A Check Point notou o golpe porque um celular da sua rede foi infectado. Por meio de engenharia reversa, a empresa descobriu que mais de 14 milhões de dispositivos estavam sob poder dos criminosos. Desses, 8 milhões (54% do total) haviam sido roteados, 3,8 milhões (26%) viram publicidade fraudulenta por causa do golpe e 4,4 milhões (30%) foram usados para roubo de créditos por instalação de apps.

Quase 100 milhões de anúncios foram exibidos para as vítimas, e houve 4,9 milhões de instalações fraudulentas de aplicativos por causa do CopyCat.

Índia (3,8 milhões), Paquistão (1 mi), Bangladesh (1 mi), Indonésia (1 mi) e Myanmar (610 mil) foram os cinco países mais afetados, mas o Brasil está dentro do top 10, já que foi o sétimo maior mercado para os responsáveis pelo CopyCat — 394,8 mil dispositivos foram infectados em terras tupiniquins.

Embora a Ásia tenha sido a região mais afetada, concentrando 55% das vítimas, a China quase não foi impactada, e a Check Point acredita que isso se deva ao fato de que os criminosos venham de lá. Há algumas ligações entre o golpe e a rede de anúncios MobiSummer, mas a empresa de segurança faz uma ressalva: “Embora essas conexões existam, isso não significa necessariamente que o malware tenha sido criado pela companhia, e é possível que os golpistas por trás disso tenham usado código e infraestrutura da MobiSummer sem o conhecimento da empresa.”

O que fazer para se manter seguro

Como notou a Check Point, o Google Play não serviu como meio para o ataque, mais um indicativo de que usar lojas independentes para baixar aplicativos traz riscos para o dono do aparelho.

Além disso, a altíssima taxa de sucesso em termos de root, com mais de 54% dos dispositivos atacados tendo sido roteados, mostra que é imprescindível manter o sistema o mais atualizado possível. Os criminosos conseguiram tamanha infiltração usando falhas antigas que só atingem versões do Android anteriores à 5 — e todas já foram corrigidas.

Resumindo: evite baixar apps fora da loja oficial e mantenha seu dispositivo atualizado.

Na última semana, o ransomware Petya assustou milhões de pessoas ao redor do mundo, trazendo ameaças à segurança e à estabilidade de serviços digitais em diversos países. Alguns dias após o início da disseminação do malware, surgiu a informação de que uma empresa ucraniana chamada MeDoc estaria envolvida no caso — a instituição fornece um sistema empresarial usado por quase 80% das companhias ucranianas.

Ao que tudo indica, o Petya começou a ser disparado para as vítimas por meio de uma falha de segurança na MeDoc. Rodando uma versão antiga de um FTP, os servidores da empresa teriam brechas que permitem aos hackers realizar invasões e disseminações com muita facilidade. E por ter ignorado essas vulnerabilidades após alertas, o governo da Ucrânia estaria indiciando a companhia judicialmente.

Agora, a situação fica ainda mais estranha… Nesta semana, policiais ucranianos armados de forma pesada teriam invadido a sede da MeDoc para levar servidores e outros equipamentos que serão analisados. Uma ação bastante ostensiva, ainda mais ao verificarmos que não houve qualquer tipo de reação dos funcionários fortemente vestidos.

Vídeo: https://youtu.be/TY5f2fmwcDE

O vídeo foi publicado no canal da Polícia Nacional da Ucrânia — que parece ser oficial, apesar de não verificado pelo YouTube. Ainda não se sabe que tipo de sanção pode ser aplicada pela justiça do país sobre a empresa.

Moedas digitais, como a bitcoin, estão em evidência no momento, e os cibercriminosos procuram aproveitar isso, tanto que um dos maiores bancos de bitcoin foi hackeado.

Conforme relata o BGR, o Bithumb, um banco localizado na Coreia do Sul e quarto maior do gênero no mundo, sofreu um ataque que comprometeu informações de 30 mil contas, o que representa 3% dos clientes, e o prejuízo chega a US$ 870 mil.

O banco percebeu, na semana passada, que o computador pessoal de um de seus empregados foi pirateado e essa, provavelmente, foi a forma como os cibercriminosos conseguiram roubar os dados dos clientes.

A empresa diz que as senhas das contas não foram afetadas e que as carteiras digitais que contêm, além da bitcoin, outras moedas digitais também não sofreram com o ataque.

O Bithumb possui mais de 75% do volume de mercado de bitcoin da Coreia do Sul e 10% do comércio global.

O sucesso recente do WannaCry gerou algumas cópias, e uma delas é uma espécie de evolução do SLocker, um malware conhecido há anos e que infecta dispositivos com Android.

Segundo a Trend Micro, o ransomware vem ganhando novos poderes desde que ressurgiu, em maio. Agora, ele tem características mais próximas ao WannaCry, como a criptografia dos arquivos de um smartphone e o uso da rede TOR para garantir o anonimato das comunicações dos aparelhos infectados.

A nova versão do SLocker foi encontrada dentro de um app feito para trapaças no jogo “King of Glory” chamado King of Glory Auxiliary.

Assim que o dispositivo é infectado com o malware, o SLocker vasculha o Android em busca de arquivos que tenham sido baixados da web e criptografa eles, deixando dados de funcionamento do sistema livres para que o Android continue rodando. Com os arquivos do usuário bloqueados, o malware exige um pagamento para liberar o acesso aos dados.

Mas não há motivo para pânico: a Trend Micro diz que ferramentas que inibem os efeitos do SLocker já foram publicadas, e aparelhos infectados pelo ransomware podem ser facilmente desbloqueados. Além disso, cinco dias após o ressurgimento do malware, uma pessoa foi presa na China apontada como responsável por ele, o que deve dificultar a disseminação do golpe.