Arquivos Segurança | Página 2 de 2

Diante dos recentes ataques do ransomware WannaCry, que tirou do ar os sistemas de centenas de milhares de empresas e serviços públicos ao redor do mundo, a EY (Ernst & Young) orienta as empresas a tomarem medidas imediatas para prevenção e mitigação do efeito desses crimes.

“A recente onda de ataques cibernéticos é uma prova de que os cibercriminosos estão se tornando mais agressivos e sofisticados visando simultaneamente o maior número de organizações. O principal aliado de um criminoso cibernético é a complacência. Seja uma grande multinacional ou uma empresa familiar, o sucesso de um ataque está associado às pessoas, tecnologias e procedimentos preventivos que são adotados e seguidos para reduzir o risco de sucesso dos invasores nestes cenários” afirma Demétrio Carrión, sócio de cibersegurança da EY.

Segundo a consultoria, há seis medidas que as organizações podem tomar imediatamente para ajudar a proteger seus dados e sistemas — os ativos mais valiosos e de seus clientes — ao mesmo tempo em que minimizam os possíveis danos causados por outras ameaças:

Desconecte as máquinas infectadas da rede e segregue as máquinas de backup porque também podem ficar criptografados se forem conectados à rede.
Ative seu plano de resposta a incidentes e não trate a investigação como um mero problema ou exercício de TI. Reúna um time multifuncional na equipe de investigação, incluindo jurídico, compliance, segurança da informação, administrativo, relações públicas, recursos humanos e outros departamentos relevantes.
Identifique as vulnerabilidades em seu sistema. Instale atualizações de segurança, detecção de malwares e detecção de vírus para dificultar recorrências e melhorar as ferramentas de detecção e resposta para futuros ataques.
Certifique-se de que seus sistemas estejam corrigidos antes de reconectar os computadores. Mantenha os sistemas atualizados com um programa de gerenciamento de vulnerabilidades de alto nível. Isso deve incluir um ciclo de repetições para gerenciar vulnerabilidades com base em riscos à medida que eles evoluem e um modelo de amplo e atualizado de inventario, pontuando o nível de risco de aposição de cada item e sua conectividade com outros dispositivos.
Ative o plano de continuidade do negócio. Utilize como base os requisitos necessários para relatórios regulatórios, reivindicação de seguros e disputas, litígios, inteligência de ameaças e/ou notificação de clientes.
Colete e preserve as evidências, seguindo o rigor forense necessário, de maneira possam ser usadas em uma investigação.

“O sequestro de dados, como o feito pelo WannaCry, exige um plano de contingência e de resposta rápido. Mesmo depois que os dados são restaurados, as empresas às vezes enfrentam problemas na recuperação de informações sensíveis que foram comprometidas no ataque. Clientes, fornecedores e demais stakeholders podem exigir que a empresa demonstre de forma forense que, mesmo que os dados tenham sido acessados, nada foi perdido por completo”, alerta Carrión.

Observar a cibersegurança como prioridade do negócio, auxilia na mitigação dos riscos das empresas no ambiente digital, permitindo conhecer o nível de exposição e riscos associados e facilitar a tomada de decisão dos executivos.

“Para prevenção e segurança dos dados é recomendável que as empresas redobrem a atenção para a criação de processos maduros, principalmente para gestão de vulnerabilidade, gestão de mudança e gestão de patches, incluindo uma revisão de processos e políticas de backup, resposta a incidentes, e continuidade de negócio, além de identificar os ativos mais importantes da empresa e monitorar de forma proativa com a realização de testes do programa de segurança com exercícios de Red Team ou testes de invasão. Realize um monitoramento tempestivo de infraestrutura crítica ao negócio e planos de conscientização junto aos colaboradores e faça uma gestão estratégica de cibersegurança, com processos, pessoas e tecnologias”, conclui Carrión.

Golpe antigo, DNS Poisoning (envenenamento de DNS) ataca roteadores de internet e volta a fazer vítimas no Brasil. A maneira mais comum de roubar dados na internet – como senhas de banco e números de cartões de crédito – é o chamado “phishing”, prática que leva a vítima a sites falsos, que se passam pelos legítimos e capturam as informações. A operacionalização desse tipo de ataque se dá quase sempre por meio de aplicativos maliciosos instalados sorrateiramente nos dispositivos dos usuários e, por isso, as instruções de segurança que empresas, sites de notícias especializadas e outras fontes costumam oferecer são quase sempre focadas nessa modalidade do golpe. Mas há outras estratégias e uma delas (bastante silenciosa e, portanto, mais perigosa), que havia caído em desuso, voltou à tona: o “DNS poisoning”, que consiste no “envenenamento” de roteadores domésticos e públicos para que redirecionem o tráfego dos usuários para sites fraudulentos.

Como funciona o “DNS poisoning”

Para quem não tem algum conhecimento técnico talvez seja um pouco mais complicado entender essa história. Por isso vou fazer uma analogia para tentar ser mais claro. Veja bem:

Você mora em uma rua que é identificada no dia a dia por um nome qualquer (por exemplo: Rua dos Bandeirantes). Mas, para controle de correspondências, mapeamentos e outras funções, cada rua tem um CEP, uma sequência de números que obedece uma determinada lógica e define a localização da rua em um bairro e cidade. Na internet, as coisas funcionam de maneira parecida. Cada site está vinculado a um “CEP”, que nesse caso se chama DNS e também é uma sequência de números que identifica a localização de um site dentro da web. Quando digitamos, por exemplo, www.administradores.com.br , para que você consiga ver o conteúdo do portal, seu navegador vai fazer uma requisição, na verdade, ao DNS associado ao endereço da gente.

E onde entra o crime nessa história? Vamos lá. Quando você compra um roteador ou contrata um serviço de internet que já oferece um roteador junto do modem, a instalação geralmente é feita por um técnico responsável e o cliente não faz ideia do que está sendo feito. E o que acontece em muitos casos é esse profissional configurar o aparelho mantendo o padrão que veio de fábrica. E aí vem o primeiro problema: cada fabricante tem um endereço padrão para seu painel de ajuste (que é sempre online), bem como login e senha também padronizados para todos os seus dispositivos. Se você mantém seu roteador com esses dados padrão, qualquer um poderá acessar sua área de configuração.

Sabendo disso, os criminosos fazem ataques acessando as áreas de configuração no endereço de cada fabricante e testando as combinações de senha e login que costumam ser utilizadas por esses fabricantes, como admin/admin, por exemplo. Com acesso a essa área, eles alteram as configurações de DNS para que endereços legítimos exibam sites falsos. E é esse aspecto que torna esse tipo de ataque mais perigoso, porque o usuário digital o endereço certo, mas cai no canal errado (alterado através do DNS).

(Importante: quando falo aqui em login e senha, não me refiro à senha do wi-fi, mas aos dados de acesso ao painel de gerenciamento e configuração do roteador, que muita gente nem sabe que existe).

Por que esses ataques tinham parado e por que voltaram?

Em 2011, quando houve o primeiro boom nesse tipo de ataque, os fabricantes de roteadores e provedores de internet passaram a tomar mais cuidado e corrigir brechas. Mas o tempo passou, todo mundo relaxou e os criminosos aproveitaram.

Caso identificado

Nós aqui no Administradores tivemos acesso a um caso que exemplifica a volta desse tipo de ataque. Um usuário que tem em casa um roteador TP-Link notou dificuldades para acessar o aplicativo do Banco do Brasil pelo celular. Depois de um tempo, descobriu que o problema estava acontecendo com todas as pessoas que tentavam acessar esse banco em sua rede doméstica. Ao tentar acessar pelo computador, percebeu-se que o site do banco, embora digitado o endereço certo, estava exibindo uma página falsa. (Mas, se o endereço digitado estava certo, como identificaram que a página era falsa? Veja no fim do texto um passo a passo sobre como identificar se você está em um site falso).

O usuário fez uma varredura no computador e não identificou nenhum malware. E como o problema de acesso era apresentado em todos os dispositivos conectados à sua wi-fi, ele desconfiou de “DNS poisoning”. E acertou. Nesse caso específico, o alvo dos criminosos foram clientes que utilizam o TP-Link e acessam o Banco do Brasil. Foram feitos testes e não houve redirecionamento no acesso a outros bancos.

Solução

Ao identificar um ataque de “DNS poisoning” ao seu roteador, o caminho para resolver é relativamente simples:

– Atualize o firmware do seu roteador. Isso pode ser feito através do site do fabricante;

– Restaure as definições de fábrica (geralmente, se faz clicando em um botão embutido na parte traseira, com o auxílio de um palito ou agulha). Caso não saiba como fazer isso, acesse o site do fabricante e procure pelas instruções específicas da sua marca;

– Crie um login e senha individuais de acesso ao seu painel de configuração, combinando pelo menos letras e números, dificultando que sejam desvendados. Se você não sabe como acessar sua área de configuração, procure instruções no site do seu fabricante;

– Crie uma senha difícil também para sua rede wi-fi;

– Limpe o histórico/cache dos navegadores e aplicativos de seus dispositivos ao fim do processo;

Como identificar se estou num site falso?

– Veja se o endereço do site é precedido por httpS. Se não tiver o “S”, não acesse nem insira seus dados, porque todo site que exige que você faça login precisa tê-lo.

– Ao lado da barra de endereço do seu navegador, deve ser exibido um cadeado verde, indicando a navegação segura. Se isso não aparecer, também não acesse nem insira dados pessoais;

– Sites falsos geralmente são imagens estáticas, navegáveis apenas na área onde você deve inserir seus dados. Se você notar que o site completo não é navegável, também desconfie.

A Microsoft está testando uma ferramenta que aumenta a segurança do navegador da empresa, Microsoft Edge. A empresa disponibilizou, na versão do Windows 10 Insider, uma ferramenta do Windows Defender para o Microsoft Edge. O aplicativo “tranca” o navegador em uma máquina virtual, impedindo que um malware se espalhe pelo PC.

Para ativar o recurso, é preciso clicar em “Ativar ou desativar recurso do Windows” e selecionar “Protteção de aplicativos do Windows Defender”. No Edge, basta selecionar uma nova janela protegida pela ferramenta.

Segundo a Microsoft, o Application Guard é o único a tornar impossível que malwares e arquivos maliciosos se infiltrem no PC. O único problema da solução é que, ao fechar a janela, dados e histórico são perdidos. Por enquanto, a novidade está disponível apenas na versão Insider.

Levantamento em seis países mostra que 85% das organizações terão iniciado a implementação do Windows 10 até o fim deste ano.

A migração para o Windows 10 deve ser mais rápida do que as adoções dos sistemas operacionais anteriores da Microsoft. Levantamento do Gartner entre setembro e dezembro de 2016 em seis países — EUA, Reino Unido, França, China, Índia e Brasil — com 1.014 entrevistados envolvidos na mudança para o novo sistema, mostra que 85% das organizações terão iniciado a implementação do Windows 10 até o fim deste ano.

“As empresas reconhecem a necessidade de mudar para o Windows 10, sendo que o tempo total entre a avaliação e a implementação desse sistema operacional diminuiu de 23 para 21 meses comparando pesquisas feitas em 2015 e 2016. Grandes companhias ou já iniciaram o projeto de atualização do Windows 10 ou farão isso até 2018. Isso é reflexo da transição de aplicações legadas para Windows 10 ou da substituição dessas aplicações antes do início da migração”, explica Ranjit Atwal, diretor de pesquisas do Gartner.

Quando questionados sobre os motivos para a migração para o Windows 10, 49% dos entrevistados afirmaram que melhorias na segurança foram a principal razão para a mudança. Em segundo lugar, ficaram as capacidades de integração com nuvem (38%). No entanto, a aprovação de orçamento não é simples.

“O Windows 10 não é visto como um projeto imediato e fundamental para os negócios, então não é surpresa que um em cada quatro entrevistados espere ter problemas orçamentais”, diz Meike Escherich, analista de pesquisas do Gartner.

“A intenção de compra de dispositivos entre os entrevistados aumentou significativamente uma vez que as organizações viram a terceira e a quarta gerações de produtos otimizados para Windows 10, com baterias mais duradouras, touchscreens e outras características. O intuito de adquirir notebooks conversíveis também cresceu quando as organizações mudaram da fase de teste e projeto-piloto para as etapas de compra e de implementação”, completa Escherich.

Como desenvolver a cultura de defesa cibernética para evitar ataques e prejuízos com invasões a sistemas e o roubo de dados.

Na última sexta-feira, 7, o mundo foi surpreendido pela revelação do Wikileaks de que a Agência Central de Inteligência (CIA) dos Estados Unidos criava vírus para infectar smartphones, tablets, notebooks, televisores e outros dispositivos conectados à internet de pessoas de diversas partes do mundo para, a partir de então, espioná-las.

A divulgação dos documentos aumentou o debate sobre a importância da segurança online. Casos de espionagem e roubo de dados são comuns à medida que o número de dispositivos conectados aumenta, mas a segurança não cresce na mesma proporção. Segundo pesquisa global de segurança da informação da PwC, em 2015 houve um crescimento de 38% no número de ataques cibernéticos no mundo, sendo que no Brasil o aumento foi de 274%.

O saque das contas inativas do FGTS, iniciado no dia 10 de março, também virou alvo de ataques de cibercriminosos, que têm usado sites falsos, e-mails maliciosos e posts em redes sociais com o objetivo de distribuir trojans bancários, alterar o roteador da vítima e assim roubar dados pessoais.

Outro caso que chamou a atenção do país no início do ano foi uma falha no Sistema de Seleção Unificada, o Sisu, quando alguns participantes tiveram suas contas invadidas, senhas trocadas, além das opções de curso completamente modificadas.

De acordo com o Relatório Anual Norton Cyber Security, 42,4 milhões de brasileiros foram afetados por ataques hackers em 2016, o que gerou um prejuízo total de US$ 10,3 bilhões.

Os fatos comprovam que estamos vivendo um momento muito complicado no mundo cibernético, onde os crimes estão aumentando, mas as questões de segurança não estão se ampliando na mesma proporção.

Por um lado, temos sistemas de segurança falhos, como o do Sisu, que permitia trocar a senha com informações básicas que podem ser encontradas em uma busca simples na internet. De outro lado, temos os usuários que colocam seus dados em sites que não são confiáveis e clicam em links maliciosos, ignorando os possíveis problemas que poderão acontecer.

Dessa forma, é importante que a segurança seja vista como ponto central nas discussões das empresas, tanto públicas quanto privadas, principalmente neste momento onde cada vez mais os serviços migram do espaço físico para o digital e tudo está conectado. É preciso que as organizações desenvolvam a cultura de defesa cibernética, utilizando modelos inteligentes que identificam os inimigos e supostos ataques antes mesmo que eles ocorram, para estar preparado e, assim, evitar maiores prejuízos.

O pesquisador de segurança Gal Beniamini, que trabalha para o Project Zero, do Google, descobriu recentemente uma vulnerabilidade séria que afeta os chipsets Wi-Fi usados em dispositivos iOS e Android.

Segundo o pesquisador, um hacker poderia utilizar uma rede Wi-Fi compartilhada para executar códigos arbitrários em um dispositivo vulnerável sem precisar de nenhuma interação com o usuário.

A descoberta foi considerada grave o suficiente para que a Apple não perdesse tempo em corrigir o erro, tanto que disponibilizou o iOS 10.3.1 no início da semana. O Google, entretanto, está consciente da vulnerabilidade, mas a melhoria na segurança de dispositivos Android ainda não está amplamente disponível.

A vulnerabilidade parece afetar todos os modelos de iPhone desde o iPhone 4s, vários smartphones da linha Nexus e a maior parte dos Samsung Galaxy.

Em provedores desse tipo, a taxa de rejeição na entrada pode atingir 97% e o volume efetivamente entregue pode ficar em torno de 1%, aponta Abrahosting.

Nos dois últimos anos, o tráfego de spam (mensagem indesejada) triplicou no Brasil, de acordo com a Abrahosting (Associação Brasileira das Empresas de Infraestrutura e Hospedagem na Internet). A entidade diz que o fenômeno é preocupante principalmente por acarretar riscos à segurança e mais custos improdutivos de manutenção e ampliação da infraestrutura de serviços das empresas.

Segundo a Abrahosting, a taxa atual de spam no fluxo de mensagens que chegam diariamente nas redes dos seus associados atinge a média de 90% dos e-mails, os quais são prontamente bloqueados antes mesmo de chegarem aos níveis internos da estrutura. Além disso, dos 10% de mensagens que recebem licença para entrar nos servidores das empresas de hosting do país, apenas 50% — ou 5% do total — são entregues ao endereço do usuário final com status de mensagem lícita. Os outros 5%, por sua vez, mesmo sendo encaminhados ao destino, recebem do provedor, uma espécie de “carimbo” de suspeição e, quase sempre, acabam caindo na caixa de “lixo eletrônico” do usuário.

De acordo com Vicente Neto, presidente da Abrahosting, a taxa de mensagens bloqueadas por serem identificadas como spam é ainda superior em provedores de hospedagem que atuam em nichos de mercado corporativo e oferecem serviços com níveis de restrição mais rigorosos. “Em provedores desse tipo, a taxa de rejeição na entrada pode atingir 97% e o volume efetivamente entregue (sem o selo suspeição) pode ficar em torno de 1%”, afirma o executivo.

No levantamento da Abrahosting foram incluídas empresas associadas com bases gigantescas de caixas postais de e-mail — como é o caso da Locaweb, que diariamente bloqueia cerca de 320 milhões de mensagens — e prestadores de infraestrutura em nuvem, com serviços para missão crítica, tais como Loophost, IP Hotel, Digirati, CentralServer e Eveo.

Mais de 250 domínios em nome de um só CPF

O aumento expressivo de spam apontado pela Abrahosting é ocasionado por uma série de fatores, como a constante expansão da rede global das múltiplas formas de conexão, que permitem o envio e a abertura de e-mail sem limitação de plataforma.

“Além disso, há uma espécie de ‘efeito Tostines’, que é a existência de gigantescos exércitos de máquinas zumbis que são escravizadas por vírus para a propagação de Spam, sendo que este próprio Spam ocasiona a proliferação de novos e novos zumbis disparadores de e-mail malicioso a cada instante”, afirma Vicente Neto.

De acordo com a Abrahosting, o principal fator de aumento do spam no Brasil não provém de emissores externos, mas de centenas de provedores internacionais que se multiplicaram nos últimos anos e que chegam a cobrar até 50 centavos de dólar para a abertura de um domínio.

“Enquanto não houver uma diretiva internacional para coibir a banalização de registros (muitos deles anônimos ou sem uma personalidade jurídica comprovada), não haverá contenção do Spam”, comenta o presidente da Abrahosting.

No que se refere ao spam produzido em solo brasileiro, um dos fatores de agravamento é o alto nível de informalidade e pouco profissionalismo por parte de inúmeras empresas de e-mail marketing, que nem sempre se utilizam de práticas recomendáveis.

Para o advogado Adriano Mendes, do escritório Assis & Mendes, que assessora a Abrahosting, do lado dos provedores já existe um esforço concreto das empresas idôneas do setor para ajudar o nicho de e-mail marketing a implementar práticas lícitas e aceitáveis para o envio de e-mail em regime de massa. “Mas ainda é necessário formalizar uma autorregulação que seja implementada por todos os prestadores de hosting e que seja observada em comum acordo com os emissores de e-mail marketing”, afirma Mendes.

Na avaliação de muitos provedores, as autoridades brasileiras de registro de domínio deveriam também repensar o nível de liberalidade para a criação de endereços IP que, muitas vezes, são feitos a partir de informação fraudulenta ou pouco consistente.

Além disso, os provedores se queixam de que não há um limite razoável para o número de registros de domínio em nome de um único CNPJ ou CPF. Segundo Luís Carlos dos Anjos, gerente de marketing institucional da Locaweb, a sua área de segurança descobriu que cerca de 200 domínios fortemente emissores de spam estavam registrados no Brasil em nome de uma única empresa. Na IP Hotel, relata seu diretor, Gustavo Morgado, um único CPF foi identificado como proprietário de 250 domínios que haviam sido colocados na listagem negra da empresa.

Lista branca para o e-mail

A enorme avalanche de spam e as consequentes medidas de segurança a que os provedores de hosting se obrigam acabam por ocasionar certos efeitos indesejáveis. Um deles é o bloqueio acidental de remetentes lícitos de e-mail cujas características (ou conteúdos recorrentes das mensagens) confundem os bloqueadores das empresas que os classificam como spam.

Este tipo de “falso positivo”, explica Vicente Neto, causa problemas para o usuário e representa um grande ônus para as áreas de suporte das empresas provedoras. “Só para atender o cliente e alterar o status de um remetente bloqueado, nossos associados gastam, em média, 20 minutos de hora-homem”, comenta.

Preocupada com a necessidade de ao menos mitigar o problema, a Abrahosting vai iniciar uma campanha para estimular os seus associados a levar conteúdo educativo para usuários finais de e-mail aprenderem a denunciar mensagens de Spam e a marcarem seus remetentes através de comando de bloqueio.

Outra medida em discussão é a criação de uma lista compartilhada de grandes remetentes de e-mail de massa (principalmente redes varejistas, portais de e-commerce e agências digitais) que sejam praticantes de conduta lícita para permitir o acesso de suas mensagens às caixas postais de usuários, desde que com permissão expressa destes.

“Atualmente, cada provedor tem sua ‘white list’, mas nosso objetivo é criar uma referência nacional unificada e, para tanto, queremos chamar para discussão os maiores emissores desse tipo de mensagem”, completa o presidente da Abrahosting.