Novo relatório sobre vulnerabilidades: "As organizações continuam a tornar a vida dos atacantes mais fácil"

sexta-feira, 29 de janeiro de 2016




Agora pode baixar o novo estudo sobre o "Relatório de Tendências: Vulnerabilidades 2014-2015", elaborado pela nossa equipe de especialistas. Neste trabalho são analisados os dados de mais de 100 empresas que representam os principais setores de atividade e regiões geográficas referentes ao período de 2014-2015.

O relatório revela onde as organizações devem colocar o foco para melhorar seu nivel de segurança. Em 85,25 % dos resultados obtidos apontam para, 5 tipos de vulnerabilidades que apresentamos a seguir:

Erros de Gestão da Informação e vazamentos de Metadados
Esses erros ocorrem quando há uma má gestão da informação de uma organização que está acessível ao público. Nossas conclusões ao analisar esses dados são:

  • Falta de consciência dos riscos e problemas. Os atacantes planejam seus ataques através de uma fase de reconhecimento inicial do objetivo onde vai obter informações para preparar suas ações subsequentes.
  • O fator humano ainda é usado por atacantes como um ponto de entrada, direcionando as campanhas de phishing por meio de informações do vazamento de informações e metadados.

Erros de configurações
Em 78,56% das vulnerabilidades detectadas indicam que a grande maioria das falhas encontram-se na própria configuração de sistemas e aplicações. A origem da maioria das vulnerabilidades analisadas não se deve a vulnerabilidades existentes por falhas no desenho do código realizado pelos desenvolvedores, mas por conta de más práticas dos administradores de sistemas e aplicações na fase de configuração.

Injeções de código, XSS e problemas de criptograficos
As vulnerabilidades devidas à validação inadequadas de dados de entrada (injeções de código, XSS, etc.) e os problemas de criptograficos são bem conhecidos no mundo da segurança e receberam uma extensiva discussão da mídia. No entanto, este feito não se traduziu em uma redução das vulnerabilidades.

A análise realizada através dos resultados obtidos reflete mais uma vez que esses tipos de erros continuam a representar um grave problema de segurança para as organizações.

Você também pode se interessar por:

Novo relatório "Escopo, escala e riscos sem precedentes: Assegurar a Internet das Coisas" em conjunto da Telefónica e equipe de analistas da ElevenPaths.

quinta-feira, 28 de janeiro de 2016



Esta semana apresentamos em Londres e Madrid, aos meios de comunicação e aos profissionais do setor, o nosso novo Whitepaper "Escopo, escala e riscos sem precedentes: Assegurar a Internet das Coisas" em conjunto da Telefónica e equipe de analistas da ElevenPaths. Participam no Whitepaper profissionais do setor da área de Chema Alonso (ElevenPaths CEO), Antonio Guzmán (ElevenPaths Scientific Director), Andrey Nikishin (Kaspersky Lab), John Moor (IoT Security Foundation), Jaime Sanz (Intel Iberia), Luis Muñoz (University of Cantabria), Belisario Contreras (CICTE) e Bertrand Ramé (SIGFOX).

» Pode baixá-lo (em versão Portuguesa) da web da ElevenPaths.

A realidade de milhões de dispositivos hiperconectados entre si e com a Internet, surge o verdadeiro desafio de oferecer soluções de segurança que permitam responder às necessidades de heterogeneidade e escalabilidade que impõe a Internet das Coisas. Este quadro de insegurança tem levado a nossa equipe de analistas a realização desta pesquisa sobre o âmbito, a escala e riscos da Internet das Coisas.

Alguns detalhes do relatório:
  • Dispositivos IoT em ambientes corporativos, tais como impressoras, câmeras, sistemas de redes, telefones IP representam um novo quebra-cabeça para os departamentos de TI e um novo caminho de ataques para os cibercriminosos.
  • A curto prazo, é necessária - estabelece medidas relativas à securitização da rede e da infraestrutura de TI e de longo prazo, fazer um esforço para padronizar as medidas de proteção de dispositivos, atingindo uma segurança end-to-end.
  • A filosofia Security by design nunca deve ser uma barreira para a inovação de soluções da Internet das coisas
  • Quando todo mundo fala sobre a insegurança na Internet das coisas, a equipe ElevenPaths trabalha para propor soluções que visam garantir a implantação segura de suas soluções da Internet das coisas.

» Baixar nota de prensa em PDF

Mais informação em
www.elevenpaths.com


Hot Potato: Mais do que uma elevação de privilégio no Windows, um compêndio de falhas bem aproveitadas

terça-feira, 26 de janeiro de 2016

Esquema de funcionamiento de Hot Potato


Há poucos dias se tornou pública uma elevação dos privilégios, previamente desconhecido e com prova pública de conceito em todas as versões de Windows. Este é um caso especial porque consegue elevação de privilégios através de um compêndio de falhas de projeto do Windows, além de "abrir a porta" a um novo tipo de ataque. Veja os detalhes e como podemos tentar combatê-la.

Três ataques em um

Isso acontece de vez em quando. Uma prova de conceito é publicada para elevar privilégios sem nenhum patch aplicado. A verdadeira dor de cabeça para um administrador de rede se você quiser mantê-la sob controle. Sem ser muito rigoroso, nos veio a cabeça que no final de 2014 ocorreram várias vezes seguidas afetando o Windows e uma mais uma em agosto de 2015. No kernel Linux, o mais recente ocorreu em março de 2015. Mas este caso é especial, porque na realidade é uma combinação de falhas com base em outros históricos conhecidos e um mais moderno dos mencionados em 2014.

Esta última frase (de https://code.google.com/p/google-security-research/issues/detail?id=222) parece que foi a ideia...

NTLM é um protocolo de autenticação inventado pela Microsoft que tem duas versões. O primeiro está obsoleta e desatualizada e tem um problema de reflexão ou de "pass the hash", que trouxe Microsoft dores de cabeça desde que foi descoberto faz alguns anos. Se trata de que alguém tente autenticar com o equipamento do atacante por NTLM, que a informação se faça passar pela vítima ainda que a senha não seja conhecida. Antes se podia aproveitar para passar os hashes para a própria máquina, mas foi mitigado com o patch MS08-068. Uma vez que eles não poderiam usar a autenticação (desafio) que estavam sendo usados nesse momento. Este foi um pequeno golpe para os atacantes, mas o patch jamais impediu ataques entre protocolos. Em outras palavras, a autenticação de WebDAV para SMB (como fizeram no Google) ou de HTTP para SMB, como tem sido feito agora.


A coisa interessante sobre a batata quente é o uso combinado de falhas que são provavelmente nunca serão corrigidos ou que vai custar para serem consertadas, será muito complicado no Windows por conta da compatibilidade. Três tipos de ataques são usados, vejamos:

Falsificar NBNS

Quando um nome ou domínio não responde por DNS ou por resolução direta do arquivo host, ele pede para outros sistemas na rede, através do protocolo de NBNS, questionando quem conhece o IP de que se está buscando. O ataque faz com que seja sempre responda a todos os processos do próprio equipamento (127.0.0.1) para todas as perguntas. Mas eles não se importam se ele não responder com a mesma ID que foi perguntado, então ele responde a todos com o ID gerado pela força bruta (eles são apenas 65536 valores). Como vai por UDP, é rápido e eficaz. E se não for solicitado por NBNS por que ele resolve para DNS? No computador, você pode monopolizar todas as portas UDP. Com eles responde se ao DNS e se não houver livre, o DNS não funciona ... então NBNS vai ser usado como uma tentativa desesperada.

Embora ele não tenha nada a ver com este ataque em particular, o criador deixa a porta aberta a um ataque à internet NBNS (se a vítima tenha a porta UDP 137 aberta, é claro!).

Un WPAD falso

Por outro lado, temos um outro ataque já conhecido. O Windows tenta automaticamente para lhe dizer que proxy deve usar. Ou seja, se espera que um sistema com nome "WPAD" para resolver, conectar e dar a configuração (um arquivo .dat). Eles fazem inclusive serviços essenciais do Windows.

Com esta opção marcada, o computador irá buscar sempre um WPAD
 
Agora, usando o ataque NBNS já descrito, é dito ao equipamento que o wpad esta em 127.0.0.1. E é devolvido .DAT (se configura o proxy ) também com 127.0.0.1. Em que consiste? Que a máquina de destino se converta no seu próprio proxy local e, portanto, observar o seu tráfego. E, para todos os usuários do computador aparecerá que o proxy é 127.0.0.1.

O ataque, abre proxies locais para todos os processos

Levando a autenticação NTLM de HTTP para SMB

Esta é a parte que é uma novidade (embora a ideia tenha sido por conta do Google). O path anteriormente mencionado, MS08-068, corrigiu um ataque típico, mas não a causa raiz do problema. Ninguém conseguiu parar o ataque NTLM entre os protocolos. Se são capturadas as credenciais NTLM através de HTTP e são encaminhadas a um processo SMB do computador, podemos enviar mensagens que serão executados como SYSTEM, porque eles parecem autenticado. Veja aqui a elevação.

O ataque em ação, um usuário comum é adicionado ao grupo de administradores

Agora só precisamos esperar uma solicitação HTTP gerada a partir de um serviço com alto privilegio tentando autenticar por NTLM em algum lugar. Como temos um proxy HTTP no seu computador, capturamos as credenciais e injetamos um comando. Tudo é enviado para o serviço que escuta o SMB interno. Lá está, o comando será lançado com privilégios máximos. Quais os serviços geram solicitações HTTP autenticadas com NTLM privilegiado? Windows Update, ou Windows Defender ... O ataque aqui varia de versão para versão, mas é bastante confiável.

Poderá ser corrigida? Como? O que a Microsoft tem que fazer agora?

Normalmente, uma falha de elevação de privilégio ocorre em algum ponto do sistema por má programação (buffer overflow, configuração inadequada ...). Corrigindo esta parte, a porta é fechada. Mas este problema é especial porque três problemas conhecidos há anos e nunca foram eliminados, alias a experiência nos diz que a Microsoft trabalha de forma lenta para eliminar as elevações de privilégio.

O mais provável é que a Microsoft se veja obrigada a corrigir de alguma forma utilizando hashes NTLM (com desafios em uso) que variam de protocolo para protocolo. Corrigiram o problema "canônica" de “pass the hash” evitando que o servidor SMB envie ao próprio servidor SMB, mas agora afeta a outros protocolos. Fato: O patch foi emitido em 2008 e o problema era conhecido desde 2000. Haviam formas de mitigar-los, mas o ataque existiu por oito anos. E agora, será que vai demorar muito? Outro fato: A elevação de privilégios mencionado no início do artigo e trazidas à luz pelo Google, foram relatados em público porque a Microsoft não corrigiu no prazo de 90 dias, um período de cortesia concedidos aos fabricantes. De qualquer modo, parece que se fechar qualquer uma das portas, abrirão outras formas de combinar outros métodos em um futuro próximo.

O que deve o administrador fazer?

Você não pode ficar à espera do patch. Como qualquer falha pode (e deve) atacar o problema de várias frentes. Aqui estão algumas dicas. Aviso: há muito a fazer, e se não forem feitas corretamente, poderá ser problemático:
  • Para o ataque NBNS: Identificar mal formados ou "floods" deste tipo de pacotes na rede. Existem programas específicos e também os IDS deveriam detectá-los. Tendo registros de DNS para todos os nomes de NetBIOS e evitar resolução. Especialmente para WPAD ou WPAD.dominio.
  • Contra o ataque WPAD, impedir que o Windows localize este arquivo. Parar o serviço "Detecção automática WinHTTP Web Proxy" em computadores e impedir que o Internet Explorer o procurem. By the way, um truque pode ser incorporado WPAD no arquivo de hosts, e configurá-lo para qualquer valor.
  • Forçar o uso de NTLMv2
  • Contra a autenticação NTLM. Forçar o uso de Kerberos e NTLMv2 (se você tiver o equipamento relativamente moderno) e aplicar esta melhoria publicado pela Microsoft há algum tempo. Além disso, a assinatura SMB todas as comunicações.

Opções de segurança relacionadas com a assinatura de comunicações SMB
Mas são parâmetros muito sensíveis, se você tem o equipamento antigo na rede. Você pode quebrar as coisas.
 
E, em geral, para usar o firewall de saída para impedir que qualquer programa desconhecido acesse à rede. Evite executar programas de usuários desconhecidos.... como de costume.
Finalmente, note que é engraçado como esta prova de conceito não está sendo detectado pelo antivírus imediatamente. Embora seja inútil, muitas vezes, detectar rapidamente esses binários para evitar o primeiro ataque de invasores que tentam lançar como é o binário.


Sergio de los Santos
ssantos@11paths.com


tradução por Leandro Bennaton
Leandro.bennaton@11paths.com

Novo relatório: ameaças cibernéticas financeiras Q4 2015

quarta-feira, 20 de janeiro de 2016

Já está disponível na nossa web o novo relatório completo sobre ameaças cibernéticas para o setor financeiro correspondente ao último trimestre de 2015 realizado em parceria pela Kaspersky’s Global Research & Analysis Team (GReAT: Global Research & Analysis Team) e Analyst Team ElevenPaths. Descarregue aqui o novo relatório completo em Inglês.

Resume
Resumidamente este relatório analisa as tendências atuais relacionadas a phishing e banking malware, incluindo ataques a dispositivos móveis, POS (Point of Sales) sistemas e ATMs (caixas eletrônicos). A análise baseia-se principalmente em estatísticas e dados da KSN (Kaspersky Security Network), embora outras fontes de informações confiáveis possam ter sido utilizadas. O prazo para esta análise contém dados obtidos durante o período de 1 de outubro de 2015 a 1º de janeiro de 2016.

Phishing
um grupo de 14 países recebem 88,42 % de todos os ataques de phishing. Sendo que os 11,58% restantes estão distribuídos entre 167 países diferentes. Considerando que o grupo de México, Estados Unidos e Brasil recebe quase que a metade de todos os ataques phishing do mundo inteiro, seguidos pela Alemanha e Canadá.

Figura 1. Percentage of total phishing attacks – Distribution by country in Q4 2015.


O México teve o maior percentual de ataques de phishing de todo o ano, superando o percentual da Alemanha, no último período, que foi o país mais atacado naquele momento.

Nova Zelândia foi o país que sofreu mais ataques de phishing por usuário ao longo do Q3 2015 e também foi ultrapassado pelo México, que mostra um aumento alarmante de usuários afetados por ataques de phishing.

Figure 2. Percentage of users affected by phishing – World.


As mensagens de phishing visando o setor financeiro (bancos, sistemas de pagamento e lojas on-line) foram responsáveis por 43,38% do volume total nesse período, o que representa um aumento de 13,19% em comparação com os dados analisados no 3º trimestre de 2015.

No setor de pagamentos on-line, PayPal, Visa, American Express e MasterCard continuam a ser, de longe, as entidades mais visadas, assim como aconteceu em 2013 e 2014.

Em relação ao e-commerce alvo de ataques de phishing, durante os primeiros meses de 2015 uma das tendências mais marcantes foi o grande aumento de ataques contra a Steam (jogo on-line e plataforma de rede social desenvolvido pela Valve Corporation). Embora os números para Q3 mostrem uma diminuição em tais ataques, durante este último período houve um aumento surpreendente, de 17,59% no período passado para 41,79% no 4º trimestre de 2015. A explicação lógica para este aumento poderia ser a época do Natal e do crescimento das atividades no mundo dos jogos online, a partir do aumento das compras e o crescimento do número de jogadores que interagem com a Steam.

Banking malware
o número de infecções do Zeus Trojan e suas variantes diminuíram no terceiro período consecutivo durante este ano.

Embora o Dyre Trojan tenha diminuido a sua porcentagem (representado a 19,21% de todas as infecções por Trojans bancários realizados em Q4) continua a ser o ator principal na área de malware bancário.

Figure 3. Banking malware global distribution by families in Q4 2015.


Durante este ano várias novas famílias de Malware de Ponto de Venda apareceram: LogPOS, Punkey, FighterPOS, BernhardPOS, GamaPOS, ModPOS e assim por diante até cerca do número de 26 famílias conhecidas de malware incluídos nesta categoria (o nosso motor heurístico identifica várias amostras com semelhante funcionalidade que não pertencem a qualquer outra família).

Figure 4. Geographical distribution. Generic POS verdict (Trojan-Spy.Win32.POS) | Q4 2015.


O Malware móvel
seguiu a tendência observada nos últimos anos, Android tem sido a plataforma mais afetada neste período. A plataforma é alvo de 99,78% de todas as amostras detectadas em qualquer plataforma móvel. No final de 2014, este valor passou a 99,41%.

Figure 5. Mobile banking trojans geographic distribution.


Outro dado a ser considerado é que a Federação Russa representa 86,50% dos usuários infectados, seguido de longe pelo resto dos países. Alemanha, Itália, França, Polónia e Áustria são os países europeus mais infectados.

ElevenPaths Highlights 2015

segunda-feira, 18 de janeiro de 2016


365 dias de ElevenPaths serviram para ir muito longe. Um ano para compartilhar com vocês as realizações e marcos de 2015:
Acreditamos na ideia de um desafio, para reinventar, para quebrar as regras, e estar um passo à frente dos atacantes e das ameaças digitais … e claro, para liderar a revolução da arte digital que oferece uma experiência digital segura. Muito obrigada por confiar em nós da ElevenPaths, teremos mais um ano para conduzir mudanças e vivencia-las juntos. Estamos confiantes que 2016 será um grande ano e queremos compartilhar isso com você.

Atenção! O prazo prorrogou para os nossos concursos Latch e Sinfonier

sexta-feira, 15 de janeiro de 2016

Concurso de Plugins para Latch 2015
Não deixe de enviar seus plugins! O novo prazo para a apresentação das propostas é 15 de fevereiro às 13:00 (Central European Time). Corram!!
Para saber se é o vencedor, fique atento! Os vencedores serão notificados por e-mail no prazo de até 14 dias após o final do concurso . E 10 dias para receber o prêmio.




Concurso Sinfonier Community 2015
O primeiro concurso Sinfonier Community busca desenvolver módulos e topologias inovadoras e funcionais, que tenham aplicação para ambientes de Smart Cities, Economia Digital e Identidades Digitais. Envie os seus módulos e/ou topologias ! O prazo foi prorrogado para a apresentação das propostas para 15 de fevereiro às 13:00 (Central European Time). Corram !!


Boa sorte!

2015: o ano dos vazamentos de informações

quinta-feira, 14 de janeiro de 2016

Os cerca de 220 milhões de credenciais filtrados em mais de 250 violações de segurança durante 2015, reacendeu muitos debates e nos convidam a reflexões. Entre as reflexões sobre o tipo de senhas utilizadas pelos usuários e estas são armazenadas nos servidores. Entre os debates sobre a importância de medidas de segurança como a autenticação de duplo fator autenticação.


Em Dezembro de 2013, ocorreu uma falha grave de segurança, o vazamento de informações pessoais de mais de 70 milhões de clientes da empresa americana Target, incidente que levou à mobilização imediata de recursos para cybersegurança, no valor de cinco milhões de dólares. A partir deste incidente, as empresas passaram a estar cada vez mais conscientes de que precisam para proteger seus ativos de informação, no entanto o ano de 2015 foi marcado por um grande número de violações da segurança, tendo sido uma ameaça para ambos, os usuários e também as empresas. Este quadro de insegurança levou nossa equipe especialista à realização desta pesquisa sobre as mais afetadas por este tipo de vazamento de informações.


Para preparar este documento tiveram que ser recuperados todos os incidentes de segurança publicados que envolveram usuários e que ocorreram no período entre o 1 de Janeiro e 30 de novembro de 2015.

Alguns detalhes do informe:
  • Nos Estados Unidos, o setor mais afetado foi o de Lazer e Jogos.
  • Israel tem sido o principal país, juntamente com o Reino Unido, que receberam maior número de ataques hacktivistas.
  • 42,6% dos vazamentos ocorridos em 2015 continha senhas em texto claro, felizmente o volume total representa apenas 6,5% do total de credenciais subtraída.
  • 80,32 % do total de credenciais obtidas foram roubados em 13 incidentes (5,14%), foi onde mais coletaram credenciais.

Faça o download do relatório completo aqui.