RADAR A REVISTA DO CENTRODE HACKING DA EVERISNÚMERO 43 | JUNHO 2020

http://aeroespacial.everis.com

CIBERCRÔNICA

Iniciamos uma nova edição da revista de segurança cibernética everis Aeroespacial, Defesa e Seguridade, transmitindo novamente todo o nosso apoio aos trabalhadores do setor de saúde que estão lutando contra essa pandemia.Nossa primeira notícia é sobre a companhia aérea EasyJet, que anunciou recentemente que foi vítima de um ataque cibernético em larga escala que revelou os dados pessoais de aproximadamente nove milhões de clientes.

Entre os dados vazados estão endereços de e-mail, dados de viagens e, mais seriamente, informações de mais de 2.000 cartões de crédito de viajantes. A empresa informou em comunicado que o ataque cibernético sofrido foi “altamente sofisticado” e que já entrou em contato com os usuários afetados para alertá-los para monitorar suas contas bancárias.

Continuando com o vazamento de informações, um grupo de hackers atacou o site de Allen Grubman, considerado um dos advogados mais importantes do mundo do entretenimento. Os atacantes afirmam ter obtido mais de 750 gigabytes de dados confidenciais, incluindo e-mails, contratos, etc. Como prova da veracidade do roubo, eles vazaram um contrato supostamente pertencente à Madonna. Os autores do ataque reivindicam US $ 21 milhões por não vazar os dados obtidos dos clientes da empresa atacada, entre os quais se destacam estrelas importantes como Elton John, Lady Gaga e Barbara Streisand.

E para encerrar a questão do vazamento de informações, a empresa de cosméticos Natura, uma das maiores do Brasil, vazou acidentalmente centenas de gigabytes de informações de seus clientes. Os dados filtrados incluem informações pessoais e dados relacionados aos pagamentos efetuados.

Esse vazamento, que afetou mais de 250.000 pessoas, ocorreu porque as informações estavam acessíveis na Internet sem a necessidade de credenciais de qualquer tipo. A empresa brasileira recomendou a todos os seus clientes que modifiquem suas senhas de acesso e prestem atenção especial a qualquer pagamento feito com seus cartões de crédito.

Mudando de assunto, um ataque cibernético de origem desconhecida comprometeu pelo menos uma dúzia de supercomputadores de diferentes instituições de pesquisa europeias. Os países afetados foram Alemanha, Suíça e Reino Unido.

Os supercomputadores afetados são sistemas extremamente poderosos usados para realizar cálculos de alta velocidade, por exemplo, para testar modelos matemáticos de fenômenos físicos ou simular projetos complexos. Acredita-se que o objetivo desse ataque seja usar seu grande poder para minar criptomoedas.

Na Espanha, durante as semanas em que ficamos confinados em casa, um grupo de hackers localizados na Comunidade Valenciana fraudou cerca de 2,2 milhões de euros com ataques a empresas europeias.

RADAR MAGAZINE | 2

Hackersfraudou cerca de 2,2 milhões de euros com ataques a empresas europeias

http://aeroespacial.everis.com

A Guarda Civil explicou como eles conseguiram desmantelar a organização, que também usou dezenas de pessoas que estavam em uma situação econômica ruim, devido à crise da COVID-19, para movimentar o dinheiro obtido de maneira fraudulenta e dessa maneira salvaguardar a sua própria identidade.

Terminamos com uma notícia do Google. A multinacional tecnológica apresentou o Google Interland, um videogame gratuito para as crianças aprenderem sobre segurança cibernética. Especificamente, a plataforma inclui quatro minijogos especialmente focados em crianças de 8 a 10 anos e projetados para ajudá-los a adquirir conhecimento sobre diferentes campos de segurança: evitando mentiras que circulam na Internet, aprendendo a definir senhas fortes ou gerenciar melhor as redes sociais, evitando o compartilhamento de informações pessoais e privadas.

RADAR MAGAZINE | 3

http://aeroespacial.everis.com

Os aplicativos de rastreamento de contatos são projetados como um complemento ao processo manual de coleta de informações que os especialistas em saúde realizam quando um paciente é positivo para uma doença com alta taxa de contágio. Normalmente, esses processos manuais são realizados por meio de um questionário que identifica as pessoas com as quais o indivíduo esteve em contato direto recentemente.

O princípio básico dos aplicativos de rastreamento é notificar aqueles que correm risco de infecção no ambiente do paciente o mais rápido possível, para que possam tomar as medidas apropriadas, como isolar-se ou fazer testes. Comparados aos processos manuais, os aplicativos acrescentam o benefício adicional de que eles não exigem que o paciente conheça todos com quem entraram em contato.

Isso requer que o aplicativo saiba e registre quando dois usuários estão à distância, o que representa um risco de contágio e quando uma pessoa com quem eles entraram em contato recentemente foi diagnosticada com a doença. Você também deve permitir que o proprietário do smartphone no qual o aplicativo está instalado notifique aqueles com quem você entrou em contato que você foi diagnosticado como um portador. Tudo isso deve ocorrer, salvaguardando o anonimato de todos os participantes.

“Confie em mim, é seguro”Embora encontremos respostas muito díspares de cultura para cultura, a rejeição é geralmente a primeira reação de alguém que se propõe a instalar um aplicativo que reportará seus movimentos às autoridades.

Os motivos são muitos: dúvidas sobre se o aplicativo realmente faz o que diz, falta de confiança no uso e tratamento corretos dos dados, medo de possíveis negligências que possam permitir o vazamento de dados em servidores centralizados etc.

Isso dificulta que um aplicativo lançado pelas autoridades de saúde de um país atinja 60% de adoção, o que, de acordo com as simulações epidemiológicas da Universidade de Oxford1, é necessário para que seja totalmente eficaz.

Se observarmos o registro dos aplicativos de rastreamento de contatos mantidos pelo Instituto de Tecnologia de Massachusetts2, podemos determinar que a maioria dos governos está ciente disso e tomou medidas para tornar suas propostas atraentes do ponto de vista da privacidade.

É especialmente digno de nota que apenas dez deles usam os serviços de localização do dispositivo, os demais optam pelo uso da tecnologia Bluetooth, para que as informações sobre onde o indivíduo está localizado sejam removidas da equação, colocando o foco em contatos a curta distância.

Além disso, para aliviar as preocupações que os usuários finais possam ter sobre o que o aplicativo está fazendo em seus dispositivos, muitas das propostas adotaram um modelo transparente, tornando público o código fonte do software.

Infelizmente, na maioria dos casos, essa transparência termina no aplicativo instalado no dispositivo, deixando o tratamento das informações e a operação do servidor em uma promessa de destruir os dados quando não forem mais relevantes.

A união faz a forçaEm resposta a este último problema de processamento de dados no servidor, duas propostas emergem muito semelhantes entre si e focadas em coletar apenas contatos pessoais e evitar o envio dessas informações para armazenamento centralizado, a menos que absolutamente necessário.

Uma das primeiras propostas a serem adotadas nos desenvolvimentos de alguns governos foi o DP-3T3. É uma especificação técnica projetada por um consórcio de tecnólogos, especialistas jurídicos, engenheiros e epidemiologistas que propõe a criação de um sistema descentralizado no qual prevalece o anonimato dos usuários, ao mesmo tempo em que oferece controle total sobre as informações que eles compartilham.

ARTIGOSeu smartphone: uma arma (de dois gumes) contra o coronavírus

RADAR MAGAZINE | 4

Uma das propostas mais controversas decorrentes da pandemia causada pelo surto mundial de SARS-COV-2 foi a de aplicativos de rastreamento de contatos. É realmente possível uma solução tecnológica eficaz para prevenir novas infecções, preservando o anonimato da população?

Por: Centro de Hacking

http://aeroespacial.everis.com

Por sua vez, e inspirados no DP-3T, a Apple e o Google se uniram para oferecer aos desenvolvedores uma API4 unificada que permite que os serviços dos dois gigantes sejam usados para desenvolver facilmente aplicativos de rastreamento de contatos. As duas empresas revelaram sua intenção de implementar a chamada Exposure Notification API em futuras atualizações de seus respectivos sistemas operacionais e compartilharam alguns detalhes, como a possibilidade de habilitá-lo ou desabilitá-lo por região, dependendo das necessidades de cada país ou dos requisitos de segurança e privacidade exigida pelos governos.

O princípio básico de ambas as soluções, que já foram adotadas em várias aplicações de rastreamento de contatos, é semelhante. A ideia é que, usando Bluetooth, o aplicativo emita periodicamente identificadores aleatórios enquanto registra os transmitidos por outros dispositivos. Todas as informações dos identificadores emitidos e recebidos são armazenadas localmente no dispositivo.Quando um usuário do aplicativo testa positivo para a doença, a autoridade de saúde correspondente fornece ao indivíduo um código de uso único (para impedir que um usuário mal-intencionado envie falsos positivos) que ele pode usar para enviar um servidor remoto os identificadores emitidos nos últimos dias, que permanecem registrados em um banco de dados público.

Para verificar se o usuário entrou em contato com um caso confirmado, o aplicativo consulta periodicamente

o banco de dados que contém os identificadores enviados pelos usuários diagnosticados com a doença e o compara com os códigos que recebeu recentemente. Se houver várias correspondências consecutivas, equivalentes a um tempo de exposição maior que 15 minutos (o tempo estabelecido pela Organização Mundial de Saúde), o software gera uma notificação para o usuário tomar as medidas apropriadas.

Tudo depende da nuancePrivacidade, como segurança, não é absoluta. A partir do momento em que um aplicativo começa a registrar nossos movimentos, são criadas informações que colocam em risco nossa privacidade.

O principal risco de sistemas anonimizados são os chamados ataques de link, que podem permitir, se o acesso a uma quantidade suficiente de informações para extrapolar com outras fontes, associar uma série de dados anônimos a uma pessoa. Por exemplo, mesmo que os dados não deixem o dispositivo, um adversário com acesso aos dois registros pode usá-los para confirmar que duas pessoas estavam próximas a qualquer momento e, se a localização de uma delas for conhecida, pode-se inferir que o outro estava no mesmo lugar.

Esse risco aumenta ainda mais quando falamos de bancos de dados centralizados, especialmente aqueles que contêm dados históricos de localização. Se não estiverem adequadamente protegidos, tanto nos níveis de infraestrutura quanto no legislativo, eles podem se tornar um sério risco à liberdade e privacidade dos usuários.

Por fim, não devemos esquecer que esses sistemas contêm informações altamente confidenciais, por isso é imperativo garantir, tanto quanto possível, que todo o sistema esteja livre de vulnerabilidades, incluindo o terminal no qual o aplicativo é executado.

Hora de refletirVivemos um tempo de eventos sem precedentes e o pedido das autoridades de saúde de sacrificar nossa privacidade em favor da luta contra a rápida expansão do SARS-COV-2 não é exceção.

No entanto, há espaço para reflexão sobre quanta privacidade tínhamos antes. Quais informações publicamos on-line e enviamos às empresas? O que o Google, Apple ou Microsoft sabem sobre nós e nossos movimentos? Podemos confiar que eles não usarão essas informações de maneira fraudulenta?

Não há uma resposta clara para essas perguntas, mas não há dúvida de que na área de privacidade também haverá um antes e um depois. Felizmente, com poucas exceções, muitos governos estão optando por abordagens que priorizam o anonimato acima de tudo, o que fornece um raio de esperança e sugere que estamos caminhando na direção certa.

RADAR MAGAZINE | 5

http://aeroespacial.everis.com

TENDÊNCIASTOP 3: ATAQUES DE SPAM POR PAÍSES

BASES DE DADOS DELEVERIS SOC

TOP 3 ATAQUES DE AMEAÇAS WEB

HACKING4ALL

Top 3 de países com maior probabilidade de detectar um ataque à rede no mês passado:

Número de entradas no banco de dados do SOC durante o mês para identificar fontes maliciosas:

RADAR MAGAZINE | 8

Fuente: securelist

Fuente: everis SOC

IP ADDRESSES

DOMAINS

DATA LEAKS(Credeciales y Carding)

5.069.8792.768.922

1217

Fuente: securelist

rotegendo nosso forte: como proteger nossa rede wifi em casa.Nestes tempos, a segurança da nossa rede doméstica é uma das nossas maiores prioridades, não apenas porque a usamos no trabalho, mas hoje em dia podemos dizer que a vivemos. Devemos ter em mente que qualquer precaução ou segurança é pouca quando há tantas coisas em jogo, como nossas contas bancárias, o trabalho acima mencionado, compras online, conversas com a família etc. Como podemos evitar riscos ou pelo menos minimizá-los através da configuração de rede?

Mude o nome da rede WiFi e a senha padrão:Muitas pessoas não sabem os motivos que tornam necessário alterar o nome da nossa rede (SSID) e a senha do WiFi. Às vezes, os usuários se perguntam por que veem conexões chamadas ‘Meu Wifi’ ou similar, ou por que devem alterar a senha se o grande número alfanumérico fornecido por padrão parecer muito robusto. O motivo é que o nome que vem por padrão fornece pistas para os possíveis invasores conhecerem as vulnerabilidades do nosso router, pois geralmente revela a qual empresa eles pertencem. Às vezes, você pode até ter ferramentas associadas a cada fabricante que permitem descobrir a senha padrão.

Altere o IP de acesso, o nome do router e a senha padrão e desative o WPS:Caso um invasor possa acessar nossa rede e descobrir o IP padrão de acesso ao router, ele pode redefinir ou modificar as preferências do dispositivo ao seu gosto, negando acesso, entre outras possibilidades. Para evitar isso, será necessário alterar o usuário e a senha padrão do router na configuração. Você também deve desativar a opção de acessar com um PIN WPS. Essa opção facilita a conexão com o Wi-Fi, pois você não precisa se lembrar de uma senha. No entanto, as facilidades são para ambos os lados. Os criminosos cibernéticos e os vizinhos bisbilhoteiros podem facilmente descobrir o PIN e conectar-se ao nosso router.

Limite o alcance da rede WiFiOutra questão importante a ser lembrada ao ativar um ponto de acesso Wi-Fi é o alcance do sinal. O nível do sinal deve ser bom o suficiente para conectar-se à Internet e aos serviços de rede, mas também precisamos controlar a intensidade do sinal fora de nossa casa. Quanto mais fraco o sinal wifi fora de nossa casa, menos provável é que alguém sem permissão tente conectar-se ou executar qualquer ação que tenha um impacto negativo sobre nós.

Resumo de pontos para garantir o nosso wifi:• Altere a senha e o nome (SSID) que você usa para se conectar

à rede. Use um nome que não revele informações sobre o fabricante ou seu provedor de Internet.

• Altere o nome de usuário e a senha para acessar as configurações do router.

• Altere o endereço IP padrão para acessar o router.• Use uma senha forte para proteger a rede Wi-Fi e o acesso ao

router, sendo um e outro diferente. Eles devem ter mais de 12 caracteres e consistir em uma combinação aleatória de letras minúsculas, maiúsculas, números e símbolos. Você pode criar uma senha forte a partir de uma frase. Por exemplo, convertendo algo como «A grandes males, grandes remédios» em uma combinação como esta: 4Gr4nd3sM4l3sGr#nd€sR3m3d1*s.

• Desative a opção PIN WPS.• Verifique a opção de criptografia WPA2-PSK, é a mais segura

até o momento.• Limite o alcance da rede WiFi.

Top 3 principais ataques de ameaças web no último mês:

123

50,53%

16,90%

19,40%

Ilhas Cayman

Etiópia

China

http://aeroespacial.everis.com

RADAR MAGAZINE | 9

VULNERABILIDADESQuando se descobre uma nova vulnerabilidade, se acrescenta ao banco de dados CVE com um identificador único que facilitia compartilhar os dados.

VMware

Citrix

CVE-2020-6819 CVE-2020-6820

Vulnerabilidade em VMware Tools Data de publicação:21/05/2020

Referênciahttps://www.mozilla.org/en-US/security/advisories/mfsa2020-11/ Gravidade: ALTA

Descrição

Versões Afetadas

Solução

Uma nova vulnerabilidade foi relatada no Apache Tomcat relacionada à execução remota de código. Dessa maneira, um invasor pode enviar uma resposta específica que permita esse comportamento devido à desserialização do arquivo que está sob seu controle.

Versões do Apache Tomcat:• de 7.0.0, a 7.0.103• de 8.5.0, a 8.5.54• de 9.0.0.M1, a 9.0.34• de 10.0.0-M1, a 10.0.0-M4

Atualize para as seguintes versões:• 7.0.104• 8.5.55• 9.0.35• 10.0.0-M5.

CVE-2020-7473 CVE-2020-8982CVE-2020-8983

Vulnerabilidade no Citrix ShareFilesData de publicação:05/05/2020

Referência https://thehackernews.com/2020/05/citrix-sharefile-vulnerability.html Gravidade: ALTA

Descrição

Versões Afetadas

Solução

Novas vulnerabilidades foram identificadas no Citrix ShareFiles, a solução de compartilhamento de arquivos de funcionários. A exploração das vulnerabilidades comprometeria as áreas de armazenamento do controlador e o acesso a documentos e diretórios confidenciais.

Versões 5.9.0, 5.8.0, 5.7.0, 5.6.0, 5.5.0 e anteriores

VMware Workstation Player, atualizar para as versões 5.10.0, 5.9.1, 5.8.1 o posteriores.

SamsungCVE-2020-8899 Vulnerabilidade em smartphones Samsung

Data de publicação:06/05/ 2020

Referência https://nvd.nist.gov/vuln/detail/CVE-2020-8899 Gravidade: CRÍTICA

Descrição

Versões Afetadas

Solução

Uma nova vulnerabilidade foi identificada nos smartphones Samsung que permitiria comprometer os dispositivos sem que o usuário realizasse nenhuma ação. É produzido pelo codec de imagem Qmage pertencente ao Skia, uma biblioteca usada para gráficos em aplicativos móveis.Com essa vulnerabilidade, o código arbitrário pode ser executado remotamente, obtendo os mesmos privilégios que o usuário e podendo acessar os dados pessoais armazenados no dispositivo.

Dispositivos com Samsung com Android versão 8.x, P9.0 y 10.0

Atualize os dispositivos para a versão mais recente do sistema operacional.

https://www.mozilla.org/en-US/firefox/enterprise/#download http://aeroespacial.everis.com

RADAR MAGAZINE | 10

PATCHESAlguns fabricantes proporcionam informção para ajudar aos clientes a priorizar as atualizações de seguraça de seus sistemas. A seguir apresentam-se alguns dos patches de segurança mais importantes:

GooglePatche de segurança Várias vulnerabilidades nos produtos Zoom

Referênciahttps://www.us-cert.gov/ncas/current-activity/2020/05/06/google-relea-ses-security-updates-chrome Gravidade: ALTA

Descrição

Versões Afetadas

Solução

Uma nova atualização de segurança foi lançada no Google Chrome que corrige três vulnerabilidades. Especificamente, eles estão relacionados a um buffer overflow no SCTP e Type Confusion no Blink, ambos categorizados com alta gravidade.

Versões afetadas anteriores ao Google Chrome 81.0.4044.138 para Windows, Mac e Linux.

Atualizar Atualização para a versão 81.0.4044.138 do Google Chrome.

Publicado:05/05/2020

DrupalPatch de segurança Atualização de segurança crítica para Drupal

Referênciahttps://www.us-cert.gov/ncas/current-activity/2020/05/21/dru-pal-releases-security-updates Gravidade: CRÍTICA

Descrição

Versões Afetadas

Solução

Foi lançada uma atualização para as versões do Drupal que aborda duas vulnerabilidades críticas. Ao explorá-lo, ele pode assumir o controle do sistema devido às vulnerabilidades identificadas pelo projeto jQuery.

Drupal 7, 8.7 e 8.8;

Atualize a atualização para o Drupal 7.70, 8.8.6 y 8.7.14.

Publicado:21/05/2020

Patch de segurança Atualização de vários sistemas operacionais da Apple

Referênciahttps://www.ccn-cert.cni.es/seguridad-al-dia/avisos-ccn-cert/10166-ccn-cert-av-49-20-publicada-la-version-ios-13-5-que-corrige-la-vulnerabilidad-zero-day-de-iosmail.html

Gravidade:

Descrição

Versões Afetadas

Solução

A Apple lançou uma nova atualização que aborda uma vulnerabilidade de dia zero no aplicativo do Mail. Essa vulnerabilidade comprometeria os dispositivos, permitindo que os invasores executassem código remotamente enviando e-mails. Sendo um aplicativo amplamente usado pelos usuários de dispositivos da empresa, a atualização é recomendada com urgência.

Todas as versões anteriores ao iOS 13.5

Atualização a iOS 13.5

Apple Publicado:22/05/2020

CRÍTICA

http://aeroespacial.everis.com

RADAR MAGAZINE | 11

EVENTOSWeb Security and Bug Bounty Webinar4 JUNHO | LONDRES, REINO UNIDO

Em 4 de junho, será realizado um webinar sobre segurança em servidores e páginas da web. Serão mostrados os riscos de ter um conteúdo sensível incorretamente visível e como explorá-lo posteriormente para seu próprio benefício. Inclui dois testes para praticar e aplicar o que foi aprendido. Um evento gratuito que você não pode perder.

web: https://hacktory.clickmeeting.com/web-security-and-bug-bounty/register

Mobile Security eSummit10 JUNHO | CHICAGO, EUA

Conferência gratuita online sobre segurança em dispositivos móveis. Os pontos de download de aplicativos mal-intencionados e sua propagação serão abordados.

web: https://www.cyberriskalliance.com/mobile-security-esummit-june-10-2020/

IDS Implementation12 JUNHO | LONDRES, REINO UNIDO

Em 12 de junho, foi organizado um evento on-line (webinar)sobre a implementação correta de um sistema de detecção de intrusões (IDS) e tudo o que abrange segurança na nuvem, crimes cibernéticos e riscos.

web: http://www.esecurity.rs/?ref=infosec-conferences.com

CS4CA World: Industrial Cyber Security Conference30 JUNHO | REINO UNIDO

Em 30 de junho, será realizado um evento online gratuito de 24 horas, onde especialistas se reúnem para falar sobre resposta a incidentes, recuperação de sistemas críticos, todos apresentados por profissionais do setor.

web: https://world.cs4ca.com/?ref=infosec-conferences.com/

https://infosec-conferences.com/events-in-2018/cieci-spain/https://infosec-conferences.com/events-in-2018/cieci-spain/http://aeroespacial.everis.com

everis CERTCentro HackingCamino de Fuente de la Mora 128050, Madrid, EspanhaTel.: +34 91 749 00 00everis.com

http://aeroespacial.everis.com