sábado, 21 de novembro de 2020

CVE-2020-4004/4005 - VMWARE REVELA NOVA FALHA DESCOBERTA NO EVENTO TIANFU CUP

 


A VMware revelou e reparou as falhas em seu hipervisor descobertas na competição Tianfu CUP realizada na China. O CVE-2020-4004, classificado como crítico devido ao seu 9,3 na escala CVSS, é descrito como uma vulnerabilidade de uso no controlador USB XHCI. Ele permite que um agente malicioso com privilégios administrativos locais em uma máquina virtual execute código como o processo VMX da máquina virtual em execução no host. O processo VMX é executado no VMkernel e é responsável por lidar com I/O para dispositivos. 

O bug precisa ser corrigido no ESXi da versão 6.5, hipervisores de desktop VMware Fusion e Workstation das versões 11 e 15, respectivamente, além do VMware Cloud Foundation da versão 3.

CVE-2020-4005 é uma vulnerabilidade de elevação de privilégio VMX e classificado como importante com uma pontuação CVSS de 8,8. Esta falha depende da primeira descrita acima. Os usuários do ESXi da versão 6.5 e do Cloud Foundation da versão 3 precisam aplicar os patches para correção.



Patches estão disponíveis para as duas falhas, com detalhes de download na página de alertas de segurança da VMware.

A descoberta de ambas as falhas foi atribuída a Xiao Wei e Tianwen Tang (VictorV) da equipe de segurança chinesa Qihoo 360 Vulcan Team, um grupo que recebeu muitos aplausos pela descoberta dos bugs. Os participantes também levaram para casa uma recompensa de US$ 180.000.00.

As falhas foram reveladas em 8 de novembro - apenas 11 dias antes da divulgação e entrega de correções da VMware. O que é impressionante, tanto em termos de tempo de resposta quanto para demonstrar que eventos de hacking podem ter um impacto rápido no mundo real.

sexta-feira, 13 de novembro de 2020

CVE-2020-25705 DESCOBERTA NOVAS FALHAS PARA ATAQUES DE SAD DNS

 


Um grupo de acadêmicos da Universidade da Califórnia e da Universidade Tsinghua descobriram uma série de falhas críticas de segurança que podem levar a um renascimento dos ataques de envenenamento de cache DNS.

Chamada de "ataque SAD DNS" (abreviação de Side-channel AttackeD DNS), a técnica permite que um agente malicioso execute um ataque fora do caminho, redirecionando qualquer tráfego originalmente destinado a um domínio específico para um servidor sob seu controle, permitindo-lhes escutar e adulterar as comunicações.

"Isso representa um marco importante - o primeiro ataque de canal lateral de rede que pode ser armado e tem sérios impactos de segurança", disseram os pesquisadores. "O ataque permite que um invasor off-path injete um registro DNS malicioso em um cache DNS."



Identificado como CVE-2020-25705, os resultados foram apresentados na Conferência ACM sobre Segurança de Computadores e Comunicações (CCS '20) realizada esta semana.

A falha afeta os sistemas operacionais Linux 3.18-5.10, Windows Server 2019 (versão 1809) e mais recente, macOS 10.15 e mais recente e FreeBSD 12.1.0 e mais recente.

Os resolvedores de DNS normalmente armazenam em cache as respostas às consultas de endereço IP por um período específico como um meio de melhorar o desempenho da resposta em uma rede. Mas esse mesmo mecanismo pode ser explorado para envenenar os caches, personificando as entradas DNS do endereço IP de um determinado site e redirecionando os usuários que tentam visitar esse site para outro site de escolha do invasor.

No entanto, a eficácia de tais ataques foi afetada em parte devido a protocolos como DNSSEC (Domain Name System Security Extensions), que cria um sistema de nomes de domínio seguro ao adicionar assinaturas criptográficas aos registros DNS existentes e defesas baseadas em randomização que permitem o DNS resolvedor para usar uma porta de origem e ID de transação (TxID) diferente para cada consulta.

Observando que as duas medidas de mitigação ainda estão longe de serem amplamente implementadas devido a razões de "incentivos e compatibilidade", os pesquisadores disseram que planejaram um ataque de canal lateral que pode ser usado com sucesso contra as pilhas de software de DNS mais populares, tornando assim resolvedores de DNS públicos como o 1.1.1.1 do Cloudflare e o 8.8.8.8 do Google vulneráveis.

O ataque SAD DNS funciona fazendo uso de uma máquina comprometida em qualquer rede que seja capaz de acionar uma solicitação de um encaminhador ou resolvedor DNS, como uma rede sem fio pública gerenciada por um roteador sem fio em um café, um shopping center ou um aeroporto.

Em seguida, ele aproveita um canal lateral na pilha de protocolo de rede para verificar e descobrir quais portas de origem são usadas para iniciar uma consulta DNS e, subsequentemente, injetar um grande número de respostas DNS falsificadas por força bruta dos TxIDs.

Mais especificamente, os pesquisadores usaram um canal usado nas solicitações de nome de domínio para restringir o número exato da porta de origem, enviando pacotes UDP falsificados, cada um com endereços IP diferentes, para um servidor vítima e inferir se as sondagens falsificadas atingiram a porta de origem correta com base nas respostas ICMP recebidas (ou na falta delas).

Este método de varredura de porta atinge uma velocidade de varredura de 1.000 portas por segundo, levando cumulativamente um pouco mais de 60 segundos para enumerar todo o intervalo de portas que consiste em 65536 portas. Com a porta de origem assim desrandomizada, tudo o que um invasor precisa fazer é inserir um endereço IP malicioso para redirecionar o tráfego do site e executar um ataque de envenenamento de cache DNS.

Mitigação do Ataque

Além de demonstrar maneiras de estender a janela de ataque que permite a um invasor verificar mais portas e também injetar registros adicionais para envenenar o cache DNS, o estudo descobriu que mais de 34% dos resolvedores abertos na Internet são vulneráveis, 85% dos quais composto de serviços DNS populares como Google e Cloudflare.

Para combater o SAD DNS, os pesquisadores recomendam desabilitar as respostas ICMP de saída e definir o tempo limite das consultas DNS de forma mais agressiva.

Os pesquisadores também criaram uma ferramenta para verificar os servidores DNS vulneráveis a esse ataque. Além disso, o grupo trabalhou com a equipe de segurança do kernel do Linux para um patch que randomiza o limite de taxa global ICMP para introduzir ruídos no canal lateral.

A pesquisa "apresenta um canal lateral novo e geral baseado no limite de taxa global de ICMP, implementado universalmente por todos os sistemas operacionais modernos", concluíram os pesquisadores. "Isso permite varreduras eficientes de portas de origem UDP em consultas DNS. Combinado com técnicas para estender a janela de ataque, leva a um poderoso renascimento do ataque de envenenamento de cache DNS."

segunda-feira, 12 de outubro de 2020

TREINAMENTO GRATUITO DE EXPRESSÕES REGULARES EM SHELL SCRIPT

 


Amanhã, 13/10/2020, terá início uma série de 4 vídeo aullas que abordaram os conceitos teóricos e práticos sobre o uso das expressões regulares em Shell Script. O instrutor do treinamento é nada mais nada menos que o Júlio Neves, também conhecido com o Papai do Shell. Autor de uma dos maiores best sellers Programação Shell Linux e do treinamento Cursos Programação Shell Linux.

Expressões Regulares são extremamente úteis para a extração de informação de textos em geral, como códigos de programas, arquivos de log, planilhas, enfim, qualquer tipo de documento. Com expressões regulares nós podemos também procurar por um texto do qual não nos lembramos exatamente como é, mas temos uma ideia das variações possíveis. Um bom administrador de sistemas não pode deixar de conhecê-las, pois podem ser usadas para diminuir a quantidade de regras de um sistema de firewall, incluindo aí a configuração de proxy. 

Segue abaixo o cronograma das aulas bem como o link para inscrição:

AULA 1 (13/10) - metacaracteres representantes

AULA 2 (20/10) - metacaracteres quantificadores

AULA 3 (27/10) - metacaracteres âncora

AULA 4 (03/11) - demais metacaracteres

>>> LINK PARA INSCRIÇÃO <<<

CISCO SORTEIA DOIS TREINAMENTOS COM FOCO EM CIBERSEGURANÇA


 
Outubro é o mês nacional de conscientização sobre Segurança Cibernética. Comemore com a Cisco e comece a desenvolver suas habilidades de segurança de TI. Inscreva-se para o sorteio e tenha a chance de ganhar um pacote de estudos de certificação Cisco grátis + voucher de exame incluído.

Basta preencher o formulário de cadastro para poder ganhar um dos seguintes treinamentos:

- CyberOps Associate - CBROPS Training Bundle

- CCNP Security - SCOR Training Bundle

O valor aproximado de varejo dos pacotes é de até US$ 935. Cinco vencedores serão selecionados aleatoriamente em 4 de novembro de 2020.

>>> FORMULÁRIO DE INSCRIÇÃO <<<

EVENTO CYB3R UNLEASHED


 
A CYB3R Security Operations, completou 2 anos de existência em setembro de 2020. Nesse evento iremos relembrar um pouco de nossas conquistas até o momento e anunciar novidades que virão nos próximos meses de expansão, e novos recursos disponíveis para os membros da rede.

Participe conosco  para entender como a CYB3R, através da CYB3R Security Network está revolucionando a área de segurança da informação, e como você pode fazer parte disso. Increva-se agora mesmo para participar da CYB3R Unleashed e concorra a descontos em treinamentos, acesso a plataforma CYB3R SGPD Platform e diversos brindes.

>>> INSCRIÇÕES PARA O EVENTO <<<

quarta-feira, 23 de setembro de 2020

ENTENDA OS DIFERENTES TIPOS DE RANSOMWARE


Ransomware é um dos tópicos mais debatidos no mundo da TI. Isso se deve ao impacto em grande escala causado pelo ransomware WannaCry, que paralisou milhares de empresas em todo o mundo. O ransomware está em constante evolução e é difícil controlar as diferentes variedades desta ameaça.

Embora cada variante de ransomware tenha sua própria maneira de se espalhar, todas as variantes de ransomware contam com táticas de engenharia social semelhantes para enganar os usuários e manter seus dados como reféns. Vejamos os diferentes tipos de variantes de ransomware:

CryptoLocker

O botnet CryptoLocker é uma das formas mais antigas de ataques cibernético que existe nas últimas duas décadas. O ransomware CryptoLocker surgiu em 2013, quando os hackers usaram a abordagem de botnet CryptoLocker original no ransomware.

CryptoLocker é a forma mais destrutiva de ransomware, pois usa algoritmos de criptografia fortes. Freqüentemente, é impossível descriptografar (restaurar) o computador e os arquivos infectados com ransomware Crypto sem pagar o resgate.

WannaCry

WannaCry é a variante de ransomware mais conhecida em todo o mundo. O WannaCry infectou cerca de 125.000 organizações em mais de 150 países. Alguns dos nomes alternativos dados ao ransomware WannaCry são WCry ou WanaCrypt0r.

Bad Rabbit

Bad Rabbit é outra variante de Ransomware que infectou organizações em toda a Rússia e Europa Oriental. Geralmente, ele se espalha por meio de uma atualização falsa do Adobe Flash em sites comprometidos.

Cerber

Cerber é outra variante de ransomware que visa usuários do Office 365 baseados em nuvem. Milhões de usuários do Office 365 foram vítimas de uma elaborada campanha de phishing realizada pelo ransomware Cerber.

Crysis

Crysis é um tipo especial de ransomware que criptografa arquivos em unidades fixas, removíveis e de rede. Ele se espalha através de anexos de e-mail maliciosos com extensão de arquivo duplo. Ele usa algoritmos de criptografia fortes, dificultando a descriptografia em um período de tempo razoável.

CryptoWall

CryptoWall é uma forma avançada de ransomware CryptoLocker. Ele passou a existir desde o início de 2014, após a queda da variante CryptoLocker original. Hoje, existem várias variantes do CryptoWall. Inclui CryptoDefense, CryptoBit, CryptoWall 2.0 e CryptoWall 3.0.

GoldenEye

GoldenEye é semelhante ao ransomware Petya. Ele se espalha por meio de uma campanha massiva de engenharia social que tem como alvo os departamentos de recursos humanos. Quando um usuário baixa um arquivo infectado pelo GoldenEye, ele executa silenciosamente uma macro que criptografa os arquivos no computador da vítima.

Jigsaw

O Jigsaw é um dos tipos mais destrutivos de ransomware, que criptografa e exclui progressivamente os arquivos criptografados até que o resgate seja pago. Ele começa a excluir os arquivos um após o outro a cada hora até a marca de 72 horas - quando todos os arquivos restantes são excluídos.

Locky

Locky é outra variante de ransomware projetada para bloquear o computador da vítima e impedir que ela o use até que o resgate seja pago. Geralmente, ele se espalha por meio de mensagens de e-mail aparentemente benignas disfarçadas de fatura.

Quando um usuário abre o anexo de e-mail, a fatura é excluída automaticamente e a vítima é direcionada para habilitar macros para ler o documento. Quando a vítima habilita macros, Locky começa a criptografar vários tipos de arquivo usando criptografia AES.

Além da lista de ataques mencionada acima, Petya, NotPetya, TeslaCrypt, TorrentLocker, ZCryptor, etc., são algumas das outras variantes de ransomware que são bem conhecidas por suas atividades maliciosas.

No vídeo abaixo há mais detalhes no funcionamento dos Ransomwares e é parte integrante do curso Segurança em Redes de Computadores o qual aplica na prática os principais conceitos da área de segurança da informação. 

>>> CURSO SEGURANÇA EM REDES DE COMPUTADORES<<<

terça-feira, 22 de setembro de 2020

MPDFT AJUÍZA 1ª AÇÃO CIVIL PÚBLICA COM BASE NA LGPD

 


O Ministério Público do Distrito Federal e Territórios ofereceu a primeira ação civil pública com pedido de tutela, baseada na Lei Geral de Proteção de Dados Pessoais, nesta segunda-feira, 21 de agosto. A lei, que entrou em vigor na sexta-feira, enquadra como lesiva a conduta de uma empresa sediada em Belo Horizonte (MG).

De acordo com a ação movida pela Unidade Especial de Proteção de Dados e Inteligência Artificial (Espec) do MPDFT, a empresa comercializa informações pessoais como nomes, e-mails, endereços postais ou contatos para SMS, bairro, Cidade, Estado e CEP’s das vítimas por meio de site na internet. Acredita-se que só em São Paulo, 500 mil pessoas nascidas no município tenham sido expostas indevidamente. Foram identificadas vítimas em todas as unidades da Federação.

O site da empresa oferece, por exemplo, dados segmentados por profissões, como cabeleireiros, corretores, dentistas, médicos, enfermeiros, psicólogos, entre outros. Os “pacotes” eram vendidos de R$ 42 a R$ 212,90.

Por causa do prejuízo supraindividual que a atividade pode causar, o MPDFT requereu à Justiça o pedido de tutela liminar de urgência. Isso porque, pela LGPD, o tratamento dado às informações cadastrais foi totalmente irregular e pode gerar prejuízos aos titulares. A ação destaca ainda que o direito à intimidade, à privacidade e à imagem, garantidos pela Constituição Federal, foi violado.

O MPDFT pede que a empresa se abstenha de divulgar, de forma paga ou não, os dados pessoais das vítimas. Além disso, solicita o congelamento imediato do domínio do site em que é feita a comercialização, até que haja julgamento pela Justiça.

Para aprender mais sobre a LGPD, recomendamos a leitura dos livros abaixo:

ABIN LANÇA EDITAL PARA MESTRADO EM SEGURANÇA CIBERNÉTICA

 


A Agência Brasileira de Inteligência (ABIN), por meio da Escola de Inteligência (Esint), em parceria com a Universidade de Brasília (UnB), lança edital com 33 vagas para o Mestrado Profissional em Segurança Cibernética. O edital encontra-se disponível no endereço https://ppee.unb.br/?page_id=1473.

É o primeiro mestrado profissional dedicado exclusivamente à Segurança e Inteligência cibernética no Brasil. Serão contemplados na oferta de vagas servidores da ABIN, valorizando os profissionais da Agência; servidores pertencentes a órgãos integrantes do Sistema Brasileiro de Inteligência (SISBIN), fortalecendo a integração do SISBIN; e, por fim, cidadãos da comunidade acadêmica, favorecendo o debate científico e o fomento da inovação.

A divulgação dos resultados de todas as etapas estará disponível no endereço eletrônico http://www.ppee.unb.br.

 Linhas de pesquisa

As linhas de pesquisa contidas no edital alinham-se com uma das diretrizes da Política Nacional de Inteligência (PNI) – aprovada pelo Decreto nº 8.793, de 29 de junho de 2016 –, de “expandir a capacidade operacional da Inteligência no espaço cibernético”.

Também há relação com a Estratégia Nacional de Inteligência (Enint) – aprovada pelo Decreto de 15 de dezembro de 2017 –, que estabelece como um dos eixos estruturantes para a efetividade da Atividade de Inteligência a “Tecnologia e Capacitação”.

domingo, 13 de setembro de 2020

ENTENDENDO A DIFERENÇA ENTRE UM IDS/IPS

 


Tanto o IDS quanto o IPS fazem parte da infraestrutura de rede. A principal diferença entre eles é que o IDS é um sistema de monitoramento, enquanto o IPS é um sistema de controle.

Um Intrusion Detection Systems (IDS) analisa o tráfego de rede em busca de assinaturas que correspondam a ataques cibernéticos conhecidos. O IDS não altera os pacotes de rede de forma alguma. Já o Intrusion Prevention Systems (IPS) também analisa os pacotes, mas pode impedir que este seja entregue, da mesma forma que um firewall impede o tráfego por endereço IP, com base no tipo de ataque que detecta mitigando a ação de uma ameça.

O IDS requer que um ser humano ou outro sistema analise os resultados e determine quais ações tomar a seguir, o que pode ser um trabalho muito massante, dependendo da quantidade de tráfego de rede gerado a cada dia. O IDS é uma ferramenta de análise forense post-mortem melhor para o CSIRT usar como parte de suas investigações de incidentes de segurança.



 

O objetivo do IPS, por outro lado, é capturar pacotes perigosos e descartá-los antes que atinjam seu destino. É mais passivo do que um IDS, simplesmente exigindo que o banco de dados seja atualizado regularmente com novos dados de ameaças. Mantenha-os atualizados e esteja preparado para fazer ajustes manuais quando um novo ataque acontecer e / ou a assinatura do ataque não estiver no banco de dados.

Para aprofundamento do tema, segue um vídeo bem interessante feito pela SegInfo Brasil o qual trás mais detalhes e comparações entre essas ferramentas.  O vídeo é um complemento ao curso Segurança  em Redes de Computadores ideal para quem quer ingressar na área de segurança ou que já trabalha com Redes de Computadores e quer colocar uma segurança a mais em seu ambiente.

>>> CURSO SEGURANÇA EM REDES DE COMPUTADORES <<<

quinta-feira, 10 de setembro de 2020

NIST E AS BOAS PRÁTICAS DE SEGURANÇA NO BGP

A Internet opera em um sistema frágil de confiança, onde todos contam com todos para fornecer informações corretas sobre outras máquinas. O NIST ( National Institute of Standards and Technology’s) desenvolveu recomendações sobre como proteger o BGP (Border Gateway Protocol, RFC 4271- o protocolo padrão para roteamento na Internet - para manter essa confiança.

Este documento descreve como a Route Origin Validation (ROV) pode proteger o BGP de sequestro de rota, onde pessoas má intencionadas, anunciam uma rota maliciosa para enviar tráfego para servidores e roteadores ilegítimos. ROV é uma técnica que pode verificar a autenticidade de cada parada entre o emissor da informação e o receptor.

BGP é o protocolo de roteamento padrão usado por roteadores conectados na internet. As organizações publicam informações sobre a rota mais rápida - mais eficiente - a ser seguida para alcançar sua rede, e os roteadores usam o BGP para encontrar essas informações. Se algo der errado ao longo dessa rota, o roteador pode publicar informações alternativas para que o fluxo de tráfego não seja interrompido.


O BGP foi escrito sob a suposição de que ninguém "mentiria" sobre as rotas, portanto, não há processo para verificar os anúncios publicados. Se alguém publicar informações de rota incorretas, os roteadores moverão o tráfego ao longo dessa rota. Os usuários não sabem que estão sendo enviados para o servidor errado ou que suas informações passaram por redes (ou países) que podem espionar suas atividades. Quando a troca de informações de rota é imprecisa (seja feita de forma maliciosa ou acidental), o tráfego tomará caminhos ineficientes pela Internet, chegará a sites maliciosos que mascaram destinos legítimos ou nunca chegará ao destino pretendido.

NIST Cybersecurity Practice Guide demonstra uma PoC (proof-of-concept) de como BGP Route Origin Validation (ROV) pode ser implementado com Resource Public Key Infrastructure (RPKI) para endereçar e resolver rotas de rede errôneas que estão sendo trocadas. O RPKI foi proposto em 2013 como RFC 6810 para usar pares de chaves criptográficas público-privadas para validar se as redes têm ou não permissão para fazer seus anúncios de rota BGP.

Desenvolvido em cooperação com AT&T, CenturyLink, Cisco, Comcast, Juniper, Palo Alto Networks e George Washington University, o Draft SP 1800-14 descreve como o ROV pode reduzir o número de sequestros de rota, garantir que o tráfego chegue ao seu destino e ajudar os operadores de rede a decidir o que fazer se outra rede não estiver usando ROV e acionar alertas quando alguém estiver anunciando rotas inválidas. Embora a necessidade de proteger o BGP seja bem compreendida. 

No Brasil, o NIC.br, lançou alguns tutoriais sobre a utilização e implantação das chaves RPKI. [Tutoriais RPKI]

-------------

Recomendamos o Treinamento em Segurança de Redes de Computadores da SegInfo Brasil que ajudara a pôr em prática a base teórica da área de segurança no seu ambiente de trabalho. 



quarta-feira, 9 de setembro de 2020

[EVENTO] - O PILAR HUMANO DA LGPD



Pensa com a gente:

Você investiu ou está investindo em todo mapeamento de dados pessoais da sua empresa. Investiu em novas tecnologias para mitigar o vazamento das informações. Nomeou ou contratou o DPO.

Sabemos dos investimentos e tempo dedicados até aqui. Agora imagine os colaboradores da sua empresa compartilhando, por exemplo, a planilha de funcionários contendo informações pessoais...

Todas as PESSOAS da sua empresa já estão preparadas para apoiar a estratégia de LGPD?

Participe do painel de debates para saber quais papeis e responsabilidades das pessoas e por onde começar, na prática, o processo de educação!

O evento ocorre no dia 16 de setembro de 2020 as 17hs.

>>> LINK DE INSCRIÇÃO <<<

-----------

Querendo aprender mais sobre segurança de redes de computadores? Recomendamos o treinamento Segurança em Redes de Computadores da SegInfo Brasil. Com um metodologia simples, o aluno aprende os conhecimentos teórico aplicado a prática. Assista a um vídeo demostrativo clicando na imagem ou no link:

>>> CURSO SEGURANÇA EM REDES DE COMPUTADORES <<< 




terça-feira, 4 de agosto de 2020

VULNERABILIDADES DE COMMAND INJECTION EM ROTEADORES CISCO SMALL BUSSINESS SÉRIE RV

Várias vulnerabilidades foram detectadas na interface de gerenciamento Web dos roteadores Cisco Small Business RV320 e RV325 e RV016, RV042 e RV082 as quais podem permitir que um invasor remoto, autenticado com privilégios administrativos, execute comandos arbitrários em um dispositivo afetado. As vulnerabilidades existem porque a interface de gerenciamento Web não valida adequadamente as entradas fornecidas pelo usuário nos scripts.

A Cisco lançou atualizações de software que abordam essas vulnerabilidades. Não há soluções alternativas que resolvam essas vulnerabilidades.

Produtos Afetados:


  • RV016 Multi-WAN VPN: 4.2.3.10 e anteriores
  • RV042 Dual WAN VPN: 4.2.3.10 e anteriores
  • RV042G Dual Gigabit WAN VPN: 4.2.3.10 e anteriores
  • RV082 Dual WAN VPN: 4.2.3.10 e anteriores
  • RV320 Dual Gigabit WAN VPN: 1.5.1.05 e anteriores
  • RV325 Dual Gigabit WAN VPN: 1.5.1.05 e anteriores

A Cisco corrigiu essas vulnerabilidades no Cisco RV320, RV325 Dual Gigabit WAN VPN Router Versão 1.5.1.11, RV016, RV042 e RV082 Router Firmware Release 4.2.3.14. Os clientes podem instalar e esperar apenas suporte para versões de software e conjuntos de recursos para os quais adquiriram uma licença. 

As vulnerabilidades foram reportadas em CVE-2020-3274, CVE-2020-3275 e CVE-2020-327