abril 20, 2021

[Segurança] Ataques de subdomain takeover

Imagina que você vai no cartório e no Correios e registra que existe uma casa na Rua José das Couves, número 51. Mas tem um detalhe: esse número não existe na rua! Aí um espertinho descobre isso, vai lá na rua e constrói uma casa e bota a plaquinha de número 51 na porta. Você tem o endereço, seus amigos mandam carta para você (faz de conta, né, porque hoje em dia ninguém manda carta), a sua compra na loja de e-commerce vai para esse endereço, mas a casa é de outra pessoa. Em vez de isso tudo chegar para você, o “espertinho” é quem fica com a sua correspondência.

Esse exemplo é bem tosco, criado por um amigo, o Julio Carvalho, que também me indicou alguns dos links que usei nesse post. Tudo isso para ilustrar o significado de um ataque de...


Subdomain Takeover

Em português, seria algo como "sequestro de subdomínios".

Esse é um ataque que acontece com frequência, aonde uma empresa cria um subdomínio apontando para algum serviço online, mas esse serviço não está ativo ou o serviço existente foi desativado. Esse subdomínio, portanto, aponta para lugar nenhum. O atacante, então, vai nesse serviço e cria uma entrada com o nome da empresa, conseguindo que o subdomínio válido aponte para um serviço malicioso. Tais casos frequentemente acontecem com serviços em nuvem oferecidos por terceiros, como o GitHub e com os serviços de bucket S3 da AWS. Nesses dois casos, por exemplo, o atacante descobre que o domínio está errado e cria um repositório com conteúdo malicioso no GitHub ou na AWS – mesmo que usando uma conta própria nesses serviços.


Com esse tipo de ataque, um ciber criminoso pode criar uma página de phishing, um site falso ou um repositório em nome da empresa, mas que esteja hospedando um conteúdo malicioso – só para citar 3 exemplos de consequências indesejáveis para as empresas.

De fato, com a popularização dos serviços de computação em nuvem e repositórios de dados em nuvem, esse ataque ganhou força. É o caso da Amazon Simple Storage Service (Amazon S3), o serviço de armazenamento de dados da Amazon.

No caso da AWS, o ataque de subdomein takover explora a forma que a AWS trabalha com a nomenclatura dos buckets S3. É possível criar uma URL virtual para identificar e dar acesso ao seu bucket, utilizando o formato https://bucketname.s3.Region.amazonaws.com (por exemplo, "ttps://suaempresa.s3.us-west-2.amazonaws.com"), que é equivalente a URL https:// s3.Region.amazonaws.com/bucketname.

Nesse caso, um atacante pode descobrir que sua empresa tinha uma URL cadastrada no DNS, via CNAME, apontando para um bucket desativado. Assim, ele pode “sequestrar” o seu bucket na AWS criando outro bucket com o nome (bucketname) equivalente ao previamente cadastrado pela sua empresa (por exemplo, “suaempresa”) dentro da “amazonaws.com”. Quem cair numa página que tenha esse link ou quem acessar diretamente o link (por exemplo, "ttps://suaempresa.s3.us-west-2.amazonaws.com" oi "https:// s3.us-west-2.amazonaws.com/suaempresa") vai cair numa URL com o nome da sua empresa, mas o conteúdo será malicioso.

O segredo para prevenir esse ataque é, principalmente, ter uma gestão muito cuidadosa dos seus registros DNS, aqueles que apontam o nome (URL) de um site ou serviço para o serviço em si. E também o monitoramento frequente dos seus ativos na nuvem e dos seus registros no DNA, para garantir que os seus domínios continuam válidos. Normalmente esse cadastro de subdomínios é feito pelos campos CNAME do DNS.

Para saber mais:

abril 16, 2021

[Geek] Os Pássaros não são reais

Para mim, de todas as teorias da conspiração, esta é a mais engraçadas e mais non-sense que eu já vi.

Resumindo.... Um grupo de americanos acredita que o governo trocou todos os pássaros do país por drones, pássaros robóticos usados para espionar a população.

Essa teoria tem um nome, site e diversos seguidores: de...



Birds Aren't Real

Em português, "Os Pássaros não são reais".

O site deles tem várias páginas explicando a teoria - e uma lojinha que me deixou com vontade de comprar várias coisas legais - e engraçadas.

O site e a FAQ explicam diversos detalhes sobre essa teoria da conspiração: Os seguidores desta teoria da conspiração acreditam que, entre 1959 e 2001, o governo americano matou mais de 12 bilhões de aves e as substituiu por robôs, forçando a extinção de diversas espécies de pássaros. Para que a população não perceba, os pássaros utilizam uma "tecnologia futurista" que mistura partes robóticas com organismos biológicos - assim as pessoas não percebem que um pássaro morto é um drone. As fezes doa pássaros são usadas para marcar alvos de vigilância - não é a toa que eles alegam que 87% das fezes caem em cima de carros, segundo "documentos confidenciais que vazaram em 2018".

Ah, se você tem um pássaro em casa, cuidado, pois ele é um robô da NSA que está te vigiando, e portanto, evite conversar sobre assuntos confidenciais perto dele!

abril 13, 2021

[Segurança] Programa nuclear do Irã sofre um novo ciber ataque!

Há 11 anos atrás uma usina de refinamento de urânio virou notícia: em Novembro de 2010 a usina de Natanz, no Irã, teve uma grande parte de suas centrífugas utilizadas para enriquecer urânio destruídas por um ataque do vírus Stuxnet - ao alterar a velocidade de rotação das centrífugas de forma aleatória, o Stuxnet conseguiu destruir aproximadamente 1.000 das 4.700 centrífugas existentes.

Desde então, o Stuxnet virou sinônimo de guerra cibernética. O ataque foi o resultado de um longo plano criado em conjunto pelas forças de espionagem de Israel e dos Estados Unidos, numa operação que recebeu o nome de "Olimpic Games".

Ontem, 12 de Abril, diversos portais de notícia divulgaram que a usina de Natanz sofreu um novo ciber ataque na manhã de domingo, 11/04, que atingiu seu sistema de energia e causou um grande dano - possivelmente uma grande explosão no sistema de energia do complexo, que alimenta as centrífugas de enriquecimento de urânio. Especula-se que a recuperação do complexo pode durar 9 meses..

Embora não haja confirmação oficial, a suspeita é que o ciber ataque foi realizado pela força de ciber inteligência de Israel. Além disso, acredita-se que Israel está por trás do assassinato de diversos cientistas nucleares iranianos nos últimos anos.

O ataque aconteceu um dia após o governo do Irã celebrar o "dia da energia nuclear" e quando estavam prestes a inaugurar um novo modelo de centrífuga, capaz de enriquecer o urânio mais rapidamente.

Para saber mais:

[Segurança] Bomb Denial of Service (BDoS) attack

Recentemente o FBI prendeu um americano que planejava "derrubar 70% da Internet" explodindo um datacenter da Amazon.

A história parece bizarra demais para ser verdade, mas é sim: é bizarra e é verdade.

O americano Aaron Pendley, do Texas, pretendia explodir um datacenter da Amazon Web Services (AWS) localizado em Ashburn, Virginia. O FBI ficou sabendo desse plano maluco quando, em Janeiro desse ano, o terrorista amador postou uma mensagem num fórum online monitorado pelo FBI, o MyMilitia - um fórum usado por radicais de direita nos EUA. Em seguida, ele compartilhou seus planos com um participante do fórum, que o denunciou para o FBI.

Um agente disfarçado do FBI, que participava do fórum, entrou em contato com esse usuário e se ofereceu para vender explosivos plásticos C-4. Detalhe: o Aaron queria destruir o datacenter da AWS para tirar do ar os sistemas da CIA, FBI e do governo americano.


O agente do FBI marcou um encontro no dia 8 de Abril para fazer a venda do suposto explosivo, e aí o Aaron foi preso. Ele pode ser condenado a até 20 anos de prisão.

Os consultores e vendedores de planos e soluções de Recuperação de Disastres devem estar adorando essa história, e vamos vê-la em muitas apresentações comerciais de agora em diante.

Eu prefiro batizar esse "ataque" de...


Bomb Denial of Service (BDoS) attack


Que comecem os jogos!

abril 12, 2021

[Geek] 60 anos do vôo de Yuri Gagarin

Hoje, 12/04, fazem 60 anos que o primeiro homem foi para o espaço. Em 12 de Abril de 1961, às 9h07 no horário de Moscou, o cosmonauta russo Yuri Gagarin entrou para a história ao iniciar o seu voo a bordo da pequena cápsula Vostok 1 rumo ao espaço - com uma frase que entrou para a história: "Lá vamos nós". A decolagem aconteceu na base de Baikonur, na república soviética do Cazaquistão, que na época era uma instalação secreta.


Foi ele quem descobriu, pela primeira vez, que "a Terra é azul".

Um piloto de jatos da força aérea russa, major com apenas 27 anos de idade na época, Gagarin completou uma volta ao redor da Terra e, 108 minutos após o lançamento, pousou em solo russo – marcando a hegemonia da União Soviética (URSS) na recém inaugurada corrida espacial. Na época, o cosmonauta não possuía controle nenhum sobre a nave – ele apenas ficava sentado enquanto o centro espacial russo manobrava a nave.

Algun anos antes, em 1957, os russos já tinham assustado o mundo ao colocar em órbita o satélite artificial Sputnik, o primeiro satélite em órbita da Terra. 

Veja mais em:

abril 09, 2021

[Segurança] App vaza dados da Williams antes de lançamento do novo carro de F1

Esse é um caso interessante aonde uma falha em um app desenvolvido por terceiros impactou o lançamento de um carro de Formula 1 - mostrando uma relação importante entre segurança de aplicações e o negócio.

A Williams estava pronta para fazer um grande lançamento de seu novo carro de Fórmula 1 no dia 05 de Março deste ano, com o uso de um aplicativo de realidade virtual para que as pessoas "vissem" o seu novo carro para a temporada 2021.

Entretanto, uma pessoa conseguiu "invadir" o app na véspera do lançamento, permitindo acesso a imagens com os detalhes do carro, antes do lançamento.

As informações vazaram e as fotos do modelo 3D do novo carro foram compartilhados na Internet. O app de realidade virtual foi tirado do ar, causando uma situação embaraçosa para a Williams.

  

Não foi necessária uma invasão complexa. O incidente aconteceu pois uma pessoa fez uma rápida engenharia reversa do app de realidade virtual e encontrou o arquivo com os modelos em 3D. O atacante, identificado como Astorphobis, descreveu como conseguiu obter os dados:




abril 07, 2021

[Segurança] Raio X do mercado de Bug Bounty

No início de março a HackerOne lançou a nova versão de seu The 2021 Hacker Report, um relatório que descreve o mercado de Bug Bounty, do ponto de vista da HackerOne.


Veja algumas informações interessantes do relatório, que traça um perfil da comunidade de hackers e pesquisadores que participam dos programas de Bug Bounty gerenciados pela HackerOne:
  • Houve um aumento de 63% no número de hackers que enviaram vulnerabilidades válidas na HackerOne no ano passado, que atingiu mais de 1 milhão de hackers registrados na plataforma;
  • Os hackers ganharam US$ 40 milhões apenas em 2020. Nove participantes ganharam mais de 1 milhão de dólares desde 2019, e um pesquisador ultrapassou a marca de US$ 2 milhões em 2020;
  • A maioria (82%) da comunidade se define como hackers em tempo parcial e 35% mantêm um emprego em tempo integral;
  • 55% da comunidade possui menos de 25 anos;
  • A maior motivação, 85%, é de aprender e expandir suas habilidades. 76% são motivados pelas recompensas, 62% participam com objetivo de avançar em suas carreiras. Os hackers também são motivados pelo desejo de fazer o bem, com 47% hackeando para proteger e defender empresas e indivíduos de ameaças cibernéticas;
  • Das 10 principais vulnerabilidades, a categoria de "divulgação de informações" ("information disclosure") teve o maior aumento em envios válidos, com um crescimento de 65% comparado com o ano passado. Embora ainda não seja uma das dez principais vulnerabilidades relatadas, os relatórios de configuração incorreta aumentaram 310% em 2020, impulsionados pela mudança para a nuvem provocada pela pandemia.

O relatório também discute um pouco o impacto da pandemia do Coronavírus no mercado de Bug Bounty:
  • 38% dos pesquisadores passaram mais tempo hackeando desde o início da pandemia;
  • 34% ganharam mais recompensas;
  • 34% dos hackers disseram que viram mais bugs como resultado da transformação digital provocada pela pandemia.
Para saber mais:

abril 05, 2021

[Segurança] Aumenta o arsenal de extorsões dos Ransomwares

Eu já comentei aqui no blog que atualmente os ransomwares estão direcionados as empresas, aonde conseguem impor resgates com valores milionários. Por exemplo, recentemente a fabricante de computadores Acer foi infectada pelo ransomware REvil, que solicitou a modesta quantia 50 milhões de dólares pelo resgate dos dados. Este valor é um dos resgates mais caros já identificados em ataques de ransomware!

Para convencer as empresas a pagarem os resgates, já eram conhecidas as técnicas de "double extortion" e até mesmo "triple extorsion", ou seja, se as empresas não pagarem o resgate do ransomware, os ciber criminosos ameaçam:
  • Não descriptografar os dados, e assim a empresa perde acesso definitivo as suas informações (a menos que tenha um backup delas!);
  • Expor os dados publicamente, em fóruns online. Antes de criptografia, os ransomwares roubam os dados e, assim, podem ameaçar vazá-los posteriormente;
  • Incluir ataques de DDoS contra a vítima, e assim, forçar o pagamento;
  • Além disso, já foi noticiado o uso de call centers para ligar para a empresa atacada pelo ransomware.
Qual é a novidade agora? Avisar o cliente que a empresa teve os dados roubados!

Em uma reportagem recente, o Althieres Rohr destacou um caso noticiado no portal Bleeping Computer: uma empresa americana, invadida por ransomware, viu que os autores do ransomware estavam usando as informações roubadas para enviar e-mails alarmistas aos clientes e funcionários. A mensagem do ciber criminoso alerta sobre um iminente vazamento de dados da empresa e pede que o destinatário pressione a empresa para "proteger sua privacidade".

Imagina a treta que isso pode dar....

abril 01, 2021

[Segurança] Dicas do WhatsApp sobre como se proteger... do golpe do WhatsApp

Recentemente o Whatsapp começou uma campanha em redes sociais e sites compartilhando dicas sobre como se proteger do golpe do WhatsApp, que é uma verdadeira ciber pandemia aqui no Brasil.

Essa 1a frase merece um meme...


A campanha do Whatsapp, que você pode ver nessa matéria publicitária no portal G1, é baseada em infográficos com dicas bem objetivas sobre como prevenir e como agir caso você tenha seu WhatsApp clonado:
  • Deixe a sua foto do perfil privada, para que somente seus contatos a vejam. Isso porque um golpe muito comum consiste em colocar a foto da vítima num perfil qualquer e, com acesso aos seus contatos, se identificar como a vítima e dizer que trocou o número de telefone. Em seguida, pedir dinheiro emprestado. Esse golpe é tão simples que é difícil acreditar que alguém cai - mas muita gente, infelizmente, tem caído nesse golpe;
  • Ative o segundo fator de autenticação;
  • Nunca compartilhe o código de autenticação do WhatsApp que você recebe por SMS;
  • Caso você tenha seu WhatsApp clorado, avise seus amigos e familiares imediatamente, tente reativar a sua conta e procure ajuda do WhatsApp.
Eu tenho uma dica extra, que considero muito importante:
  • Se alguém parente ou amigo te pedir dinheiro emprestado pelo WhatsApp, antes de transferir o dinheiro faça uma ligação de voz ou vídeo para ter certeza de que está falando com a pessoa correta.
Veja o infográfico criado pelo pessoal do WhatsApp:


Aproveite e veja também a matéria do G1: Golpes no WhatsApp: veja, em infográfico, dicas sobre como se proteger.


Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.