Sem horário de verão? Verifique sua infra!

access-adult-commerce-1181335

fonte da imagem: https://www.pexels.com

Como sabem este ano o horário de verão foi cancelado, e nem sempre os ativos de infraestrutura de TI que administramos recebem atualizações constantes que não sejam as relacionadas a correções de segurança, portanto é recomendável a verificação destes ativos para evitar divergências nos logs por eles gerados, relativos a aplicações errôneas das alterações de horário, que iniciariam no dia 03 de novembro em grande parte do Brasil.

Em sistemas GNU/Linux, o pacote tzdata (Time Zone Database) é o responsável por este controle, contendo código e dados relativos a hora local de muitas localidades representativas ao redor do mundo e, quando da escrita deste post, o release mais recente junto ao site da IANA (Internet Assigned Numbers) datava de 11/09/2019.

Para conferir se seus sistemas GNU/Linux estão corretamente configurados, para não alterar seus horários mês que vem, dependendo é claro de sua localização em nosso país, basta executar o comando a seguir, sendo este exemplo executado na distribuição Slackware Linux:

# zdump -v /usr/share/zoneinfo/America/Sao_Paulo | grep 2019

Caso o resultado seja algo parecido com este, seus sistemas precisam de atualização do pacote tzdata:

zdump: warning: zone “/usr/share/zoneinfo/America/Sao_Paulo” abbreviation “-03” lacks alphabetic at start

/usr/share/zoneinfo/America/Sao_Paulo Sun Feb 17 01:59:59 2019 UTC = Sat Feb 16 23:59:59 2019 -02 isdst=1 gmtoff=-7200

/usr/share/zoneinfo/America/Sao_Paulo Sun Feb 17 02:00:00 2019 UTC = Sat Feb 16 23:00:00 2019 -03 isdst=0 gmtoff=-10800

/usr/share/zoneinfo/America/Sao_Paulo Sun Nov 3 02:59:59 2019 UTC = Sat Nov 2 23:59:59 2019 -03 isdst=0 gmtoff=-10800

/usr/share/zoneinfo/America/Sao_Paulo Sun Nov 3 03:00:00 2019 UTC = Sun Nov 3 01:00:00 2019 -02 isdst=1 gmtoff=-7200

Como podemos observar, as duas últimas linhas mostradas apontam para a data em que seria o início do horário de verão, motivando então a atualização do pacote citado anteriormente.

Para atualizá-lo, basta utilizar o gerenciador de pacotes da sua distribuição, que em nosso exemplo seria:

# slackpg update (para atualizar as informações dos pacotes disponíveis)

# slackpkg upgrade tzdata

Caso obtenha o resultado abaixo, seus sistemas já estão atualizados:

zdump: warning: zone “/usr/share/zoneinfo/America/Sao_Paulo” abbreviation “-03” lacks alphabetic at start

/usr/share/zoneinfo/America/Sao_Paulo Sun Feb 17 01:59:59 2019 UTC = Sat Feb 16 23:59:59 2019 -02 isdst=1 gmtoff=-7200

/usr/share/zoneinfo/America/Sao_Paulo Sun Feb 17 02:00:00 2019 UTC = Sat Feb 16 23:00:00 2019 -03 isdst=0 gmtoff=-10800

Também é importante a verificação junto a outros ativos que não disponham de atualizações automáticas, como é o caso de switches, roteadores, balanceadores, entre outros, garantindo que as informações de log por eles geradas não sofrerão com distorções, causadas por regras previamente aplicadas, e que este ano não serão necessárias, gerando assim inconsistências junto a sistemas e ferramentas de segurança.

Um laptop comprometido é o suficiente para derrubar todas as defesas

cansado

Pelo menos é o que a empresa de segurança cibernética, Crowdstrike, demonstrou em um dos casos detalhados em seu relatório Cyber Intrusion Services Casebook 2018, e que vem nos lembrar o quanto é importante mantermos em mente que dispositivos móveis, sejam eles corporativos ou particulares, devem receber cuidado especial quando tentarem se conectar às redes internas.

Tudo começou quando um dos colaboradores de uma grande empresa de vestuário, de posse de um dos laptops corporativos, resolveu clicar em um link de email de um dos parceiros comerciais da referida companhia. As empresas citadas tiveram suas identidades preservadas.

Não haveria nada demais nesta ação, a não ser que o referido equipamento contasse com proteções apenas quando estivesse dentro dos limites da rede interna, algo que não era o caso no momento, visto que o colaborador estava acessando a Internet a partir de uma cafeteria, e que o link constante no citado email não fosse um phishing, que redirecionaria este mesmo colaborador para um site previamente comprometido.

Os pesquisadores da Crowdstrike relataram que o referido site havia sido afetado por vulnerabilidades relativas a gerenciadores de conteúdo como WordPress e Joomla, e que foi vítima de uma campanha envolvendo engenharia social e malwares, conhecida como FakeUpdates.

A mecânica do ataque consistia em que o visitante fosse enganado para acreditar que seu navegador web precisava de atualização, o que permitia aos criminosos a instalarem trojans e ferramentas de controle no equipamento da vítima.

Quando retornou para o ambiente corporativo, o laptop passou a servir como porta de entrada para que os atacantes iniciassem o comprometimento da rede, permitindo que estes acessassem dezenas de sistemas, que puderam ser afetados através da utilização das permissões de usuário da vítima.

A partir daí se iniciou a coleta de credenciais privilegiadas, e a obtenção de acesso a servidores, com o ataque se entranhando ainda mais na rede corporativa. Privilégios de administrador local facilitaram as ações dos criminosos, permitindo que estes obtivessem controle do domínio, e deixando a companhia completamente exposta. Os atacantes infectaram o servidor da loja de varejo, com o intuito de coletar dados de cartões de crédito.

Os pesquisadores identificaram um grupo de criminosos cibernéticos chamado Indrik Spider como sendo os autores do ataque, cujas operações remontam a 2014, e que se suspeita ter rendido milhões de dólares aos atacantes.

O relatório não esclareceu se o objetivo do ataque foi alcançado, e se dados de cartões de crédito foram coletados da companhia. Porém nos faz refletir nas políticas de segurança aplicadas nas empresas, nos mecanismos implantados para impor estas políticas, e no comprometimento da alta direção na imposição destas políticas.

Recursos de segurança, como endpoints, antivírus e firewalls, devem ser providos para proteger os equipamentos corporativos quando fora do perímetro das redes da empresa.

Por mais que o dispositivo móvel tivesse sido comprometido no exterior da companhia, mecanismos de regulação de acesso como um NAC (Network Access Control), vinculados a recursos de sanitização de equipamentos, e segregação de redes, poderiam ter evitado a contaminação da rede interna através do isolamento e desinfecção do dispositivo.

A utilização de credenciais com privilégios de administrador local também deve ser restrita ao mínimo de pessoal necessário, e visando apenas atender a demandas específicas.

Políticas para BYOD (Bring Your Own Device) devem ser cuidadosamente desenhadas, visando garantir que os dispositivos atendam a requisitos mínimos de segurança, antes que possam obter acesso à rede interna e, ainda assim, restringir este acesso ao mínimo de recursos necessários.

Estas e outras formas de proteção devem ser empregadas, visando elevar o quanto possível os níveis de segurança dos ativos envolvidos, mitigando os riscos a que estes são expostos diariamente, devendo, portanto, ser avaliadas e aplicadas de acordo com o perfil de cada empresa, bem como considerando os recursos e alternativas disponíveis para estas implementações.

Para acessarem ao artigo original, em inglês, dirija-se ao site da ZDNet.

IPFire 2.17 Core 87 lançada! Março, 2015.

ipfire

Michael Tremer anunciou, no final de fevereiro deste ano, mais uma atualização de versão da distribuição IPFire. Desenhada para a atuação como um firewall, esta nova versão traz várias atualizações e correções. Entre estas, podem ser destacadas a atualização do kernel Linux, agora disponibilizando em sua versão 3.14, além de trazer o gerenciador de inicialização GRUB 2.

A nova versão do kernel amplia ainda mais o suporte a hardware, já que vários drivers foram portados para ela, o que contribui para uma maior estabilidade do sistema. O instalador desta distribuição também foi melhorado, permitindo uma experiência mais agradável ao usuário.

Para acessar a lista com as melhorias implementadas, basta seguir o link a seguir, que o redirecionará para a página com o anúncio oficial de lançamento.