Um laptop comprometido é o suficiente para derrubar todas as defesas

cansado

Pelo menos é o que a empresa de segurança cibernética, Crowdstrike, demonstrou em um dos casos detalhados em seu relatório Cyber Intrusion Services Casebook 2018, e que vem nos lembrar o quanto é importante mantermos em mente que dispositivos móveis, sejam eles corporativos ou particulares, devem receber cuidado especial quando tentarem se conectar às redes internas.

Tudo começou quando um dos colaboradores de uma grande empresa de vestuário, de posse de um dos laptops corporativos, resolveu clicar em um link de email de um dos parceiros comerciais da referida companhia. As empresas citadas tiveram suas identidades preservadas.

Não haveria nada demais nesta ação, a não ser que o referido equipamento contasse com proteções apenas quando estivesse dentro dos limites da rede interna, algo que não era o caso no momento, visto que o colaborador estava acessando a Internet a partir de uma cafeteria, e que o link constante no citado email não fosse um phishing, que redirecionaria este mesmo colaborador para um site previamente comprometido.

Os pesquisadores da Crowdstrike relataram que o referido site havia sido afetado por vulnerabilidades relativas a gerenciadores de conteúdo como WordPress e Joomla, e que foi vítima de uma campanha envolvendo engenharia social e malwares, conhecida como FakeUpdates.

A mecânica do ataque consistia em que o visitante fosse enganado para acreditar que seu navegador web precisava de atualização, o que permitia aos criminosos a instalarem trojans e ferramentas de controle no equipamento da vítima.

Quando retornou para o ambiente corporativo, o laptop passou a servir como porta de entrada para que os atacantes iniciassem o comprometimento da rede, permitindo que estes acessassem dezenas de sistemas, que puderam ser afetados através da utilização das permissões de usuário da vítima.

A partir daí se iniciou a coleta de credenciais privilegiadas, e a obtenção de acesso a servidores, com o ataque se entranhando ainda mais na rede corporativa. Privilégios de administrador local facilitaram as ações dos criminosos, permitindo que estes obtivessem controle do domínio, e deixando a companhia completamente exposta. Os atacantes infectaram o servidor da loja de varejo, com o intuito de coletar dados de cartões de crédito.

Os pesquisadores identificaram um grupo de criminosos cibernéticos chamado Indrik Spider como sendo os autores do ataque, cujas operações remontam a 2014, e que se suspeita ter rendido milhões de dólares aos atacantes.

O relatório não esclareceu se o objetivo do ataque foi alcançado, e se dados de cartões de crédito foram coletados da companhia. Porém nos faz refletir nas políticas de segurança aplicadas nas empresas, nos mecanismos implantados para impor estas políticas, e no comprometimento da alta direção na imposição destas políticas.

Recursos de segurança, como endpoints, antivírus e firewalls, devem ser providos para proteger os equipamentos corporativos quando fora do perímetro das redes da empresa.

Por mais que o dispositivo móvel tivesse sido comprometido no exterior da companhia, mecanismos de regulação de acesso como um NAC (Network Access Control), vinculados a recursos de sanitização de equipamentos, e segregação de redes, poderiam ter evitado a contaminação da rede interna através do isolamento e desinfecção do dispositivo.

A utilização de credenciais com privilégios de administrador local também deve ser restrita ao mínimo de pessoal necessário, e visando apenas atender a demandas específicas.

Políticas para BYOD (Bring Your Own Device) devem ser cuidadosamente desenhadas, visando garantir que os dispositivos atendam a requisitos mínimos de segurança, antes que possam obter acesso à rede interna e, ainda assim, restringir este acesso ao mínimo de recursos necessários.

Estas e outras formas de proteção devem ser empregadas, visando elevar o quanto possível os níveis de segurança dos ativos envolvidos, mitigando os riscos a que estes são expostos diariamente, devendo, portanto, ser avaliadas e aplicadas de acordo com o perfil de cada empresa, bem como considerando os recursos e alternativas disponíveis para estas implementações.

Para acessarem ao artigo original, em inglês, dirija-se ao site da ZDNet.

Anúncios

IPFire 2.17 Core 87 lançada! Março, 2015.

ipfire

Michael Tremer anunciou, no final de fevereiro deste ano, mais uma atualização de versão da distribuição IPFire. Desenhada para a atuação como um firewall, esta nova versão traz várias atualizações e correções. Entre estas, podem ser destacadas a atualização do kernel Linux, agora disponibilizando em sua versão 3.14, além de trazer o gerenciador de inicialização GRUB 2.

A nova versão do kernel amplia ainda mais o suporte a hardware, já que vários drivers foram portados para ela, o que contribui para uma maior estabilidade do sistema. O instalador desta distribuição também foi melhorado, permitindo uma experiência mais agradável ao usuário.

Para acessar a lista com as melhorias implementadas, basta seguir o link a seguir, que o redirecionará para a página com o anúncio oficial de lançamento.

Freak ainda afeta centenas de provedores de serviços em nuvem

Segurança na web

Segundo uma pesquisa realizada pela SkyHigh Networks, centenas de provedores de hospedagem em nuvem ainda estão vulneráveis à falha de segurança denominada Freak, que possibilita a atacantes forçarem os navegadores web a utilizarem chaves criptográficas com um nível de encriptação já obsoleto, permitindo então que estas sejam decriptografadas para o roubo de dados sensiveis, como credenciais bancárias, entre outras.

Embora a equipe de desenvolvimento do OpenSSL tenha corrigido a falha em janeiro, a pesquisa revelou que 766 tipos de serviços em nuvem, em um universo de 10.000 tipos de serviços avaliados, ainda estavam sob risco de sofrerem este tipo de ataque. A média é de 122 tipos de serviços vulneráveis por companhia provedora de hospedagem em nuvem, e revela que as empresas estão com processos lentos na correção da falha em seus serviços.

Um em cada dez domínios listados no top 1.000.000 ( um milhão ) da Alexa, ou seja, algo em torno de 9,5% destes, ainda estão vulneráveis à falha, segundo os dados coletados no dia de hoje. A Alexa é uma companhia da Amazon, que fornece ferramentas para análises variadas em websites.

Através da análise dos um milhão de websites melhor colocados no ranking da Alexa, resultados que são atualizados diariamente, um outro website verificou que a correção da falha ainda não havia sido aplicada em centenas deles, além de informar que 26,3% de todos os servidores web ainda permanecem vulneráveis a este tipo de ataque.

“Se o website ou serviço em nuvem que você estiver acessando, for construído sobre o Apache, e muitos são, a Freak é uma séria vulnerabilidade”, disse Nigel Hawtorn, diretor de estratégia na SkyHigh Networks. “Até que as correções sejam aplicadas, será como utilizar tecnologia dos anos 90 contra hackers modernos, o que não representa desafio”.

A companhia contatou cada uma das empresas, provedoras de serviços em nuvem afetadas, e está trabalhando junto às mesmas para assegurar de que estejam cientes quanto a vulnerabilidade e que apliquem as correções necessárias.

Para acessar o artigo original, em inglês, siga o link para o site The Register.