Criptosequestro

Criptosequestro: o golpe digital do momento

Em geral existem dois tipos de ataque de criptosequestro: baseados em servidor e baseados em navegador.

Oliver Sartori, Administradores.com, 

Criptosequestro

O nome dado para a nova técnica que secretamente usa seu aparelho ou computador para minerar criptomoedas ao visitar um site infectado é Criptosequestro. Mineradores maliciosos não são novidade, no entanto, uma nova alternativa tem chamado a atenção: a execução de scripts de mineração em javascript, rodando dentro de um site, que consomem processamento (e claro, eletricidade) de máquinas visitantes. Tudo isso sem que o usuário seja notificado do que está acontecendo.

O primeiro, ou um dos primeiros, caso de mineração por javascript no navegador da internet veio do site PirateBay, questionando seus usuários: “vocês preferem propagandas no site ou preferem dar alguns ciclos da CPU todas as vezes que entrarem no site?”. Em teoria é uma boa prática, mas rapidamente foi modificada e inserida de forma ilegal em diversos sites, grandes e pequenos, de todos os tipos.

Leia também: Criptomoedas para remunerar funcionários?

Em geral existem dois tipos de ataque de criptosequestro: baseados em servidor e baseados em navegador. No modelo baseado em navegador, o atacante insere um código de javascript na página web, que então passa a minerar criptomoedas quando os usuários acessam a página. O método baseado em servidor roda o código de mineração diretamente no servidor de infraestrutura.

Mas há formas de as empresas se protegerem. Compartilho algumas dicas abaixo:

- Realize o patch contra vulnerabilidades conhecidas

A gestão de paches é uma área essencial da TI e Segurança que muitas vezes é deixada de lado e se torna um vetor para diversos ataques, inclusive o criptosequestro. Para os hackers, realizar scans em busca de vulnerabilidades conhecidas é uma atividade trivial, então, não se deixe ser pego por isso e mantenha um programa consistente de gestão e aplicação de patches.

- Realize scans de sua rede

Mesmo com uma gestão eficiente de patches e controles rigorosos de acesso aos servidores, códigos de mineração de criptomoedas podem acabar entrando. Um usuário pode simplesmente aceitar instalar um aplicativo que tenha um malware de mineração escondido como download secundário e não é reconhecido por tecnologias de AV, por exemplo.

Contar com scans e ter visibilidade sobre o que está rodando nos servidores ao longo da rede é uma habilidade crítica para auxiliar na detecção de potenciais ataques de criptosequestro. A mineração de criptomoedas é intensiva no uso de recursos, de forma que qualquer CPU que esteja consumindo recursos além do esperado deve ser analisado.

A mineração de criptomoedas está sempre ligada a um pool de mineração. Isso significa que cada módulo individual de mineração vai se conectar a um recurso externo (o pool de mineração) para receber novos blocos e validar os blocos concluídos. A atualização de regras de firewall/IPS é uma boa prática para identificar e bloquear pools conhecidos, limitando o criptosequestro.

- Limite o risco de parceiros e terceirizados

Outra rota de ataque que pode ser tomada é inserir o código em um site por meio de extensões terceiras ou anúncios. Para prevenir que qualquer script não autorizado rode em um website, as empresas podem usar um protocolo conhecido como Content Security Policy. A ideia original por trás do CSP era limitar o risco de Cross Site Scripting, mas também possui aplicação contra qualquer forma potencial de injeção de código. O CSP é definido no host do webserver e pode ser futuramente reforçado com o uso de Sub-ResourceIntegrity, que identifica quando um script foi modificado.

Toda atenção e cuidado sempre! Quanto mais atentos você e seus colaboradores estiverem, mais chances terão de evitar um cibersequestro.

Oliver Sartori — Pesquisador em Segurança da Informação na Real Protect.

Fake News nas Eleições

Google e Facebook adotam medidas contra fake news nas eleições brasileiras

No início da semana, o Engadget divulgou que o Facebook tirou do ar mais de 10 mil contas e páginas falsas no México e outros países latinos.

Fake News nas Eleições
(Foto: Olhar Digital / Wikimedia)

Desde as alegações de que as notícias falsas compartilhadas em redes sociais influenciaram as eleições presidenciais dos Estados Unidos, em 2016, as empresas de tecnologia vêm trabalhando em soluções de combate às fake news. Agora, a preocupação é com as eleições presidenciais brasileiras e em outros países da América Latina.

No início da semana, o Engadget divulgou que o Facebook tirou do ar mais de 10 mil contas e páginas falsas no México e outros países latinos. A justificativa é de que as páginas violavam os padrões de comunidade da rede social e quebravam as “políticas sobre danos coordenados e comportamento não autêntico, bem como ataques baseados em raça, gênero ou orientação sexual”.

A rede social também deixou claro que a limpeza na plataforma é crucial para garantir que as corridas eleitorais na região não sejam prejudicadas.

Além disso, o Google Brasil anunciou, na última quinta-feira, 28, o lançamento da “Comprova” – uma espécie de coalizão entre a empresa, organizações e veículos de comunicação nacionais para verificar as notícias compartilhadas pelos internautas.

“A iniciativa é uma colaboração do First Draft, um projeto no Centro Shorenstein na Escola Kennedy de Harvard, Abraji (Associação Brasileira de Jornalismo Investigativo), Projor (Instituto para o Desenvolvimento do Jornalismo), Associação Nacional de Jornais e 24 organizações jornalísticas. O projeto é fundamental dentro do escopo da Google News Initiative, que trabalha com redações do mundo todo para elevar a qualidade do jornalismo e combater o conteúdo enganoso”, diz o comunicado da empresa

O grupo produzirá recursos visuais compartilháveis para informar sobre a autenticidade dos boatos e os internautas poderão enviar sugestões sobre boatos e histórias que eles gostariam que fossem verificadas.

Fonte: Olhar Digital

O que podemos aprender com as grandes violações de dados?

Ao considerar todas as falhas de dados a que somos expostos, os riscos e possibilidades de passar por isso têm se tornado cada vez maiores

Seth Ruden, Administradores.com, 8 de março de 2018, às 15h50
 
violações de dados

Não há como ignorar: nossa segurança financeira está diariamente comprometida. Sem dúvida, ao ler isso, muitos de vocês começaram a contar todas as vezes que isso já aconteceu em seu dia a dia – sejam em violações comerciais, como clonagem de cartão de crédito, ou em roubo de dados pessoais, que exigiram proteções extras e, talvez, até bloqueio de acesso a crédito ou outros tipos de danos.

E estas são apenas as violações que chegam ao nosso conhecimento. Ao considerar todas as falhas de dados a que somos expostos, os riscos e possibilidades de passar por isso têm se tornado cada vez maiores. No início de 2014, comentei que estávamos cansados das violações de dados. Hoje, acredito que estamos mais perto da completa exaustão e os consumidores têm se sentido impotentes.

Deveríamos nos perguntar como consumidores: o que exatamente foi comprometido? Que informação caiu no bolso dos infratores e como eles podem usá-la para me atacar? Quando nossos dados são comprometidos uma, duas ou várias vezes, estamos em maior risco? Quão vulneráveis estamos quando colocamos dados e detalhes pessoais nas mãos de hackers e fraudadores?

Normalmente, os consumidores se preocupam mais com os dados demográficos, que podem ser hackeados e usados no momento de autenticações, como no caso de abertura de uma conta ilegítima para pagamento de despesas não autorizadas ou para criar contas bancárias falsas. Precisamos ter consciência de que sempre existe um risco, mesmo que nós, como prestadores de serviços, não percebamos o impacto dele. Então o que podemos aprender com isso?

Autenticadores-zumbi são um presente para hackers

Bom, para começar, por que ainda usamos a autenticação baseada em dados estáticos emitidos por terceiros? Documentos pessoais, número de identidade, endereços domiciliares e a data de nascimento dos usuários são autenticadores-zumbi à disposição de hackers – muito mais do que as senhas em si! Estes dados, que deveriam ser sigilosos, estão disponíveis por meio de fontes públicas ou pesquisáveis... ainda em 2018.

Os hackers também têm bancos de dados para armazenar essas informações. Qualquer pessoa com acesso a um dark site pode pesquisar dados para ver se existe uma data de aniversário, número de identidade ou endereço residencial do alvo desejado. Na verdade, já existe um nome para essa situação: "Credential Stuffing”, ou seja, o ato de interceptar e usar o máximo de elementos de autenticação possíveis para tentar acessar e tomar o controle de uma conta.

Biometria e outras medidas de autenticação devem ser adotadas

Quando pedem dados para me autenticar dá até aflição. Prefiro fazer negócios com uma entidade com um processo de autenticação mais rígido e algo muito mais esperto e sofisticado para validar que eu sou, de fato, eu. Agora temos, inclusive, a biometria – e o cliente pode usá-la por meio de um dispositivo móvel.

Existem, também, a autenticação por perguntas dinâmicas (cujas respostas são conhecidas apenas pelo provedor de serviços e cliente) e a autenticação multifator, capaz de reunirdois ou mais tipos de validação diferentes. Isso pode ser usado para tornar a experiência muito mais eficaz e reduzir o potencial de risco. Eu me sentiria mais seguro vivendo neste mundo de violações, se soubesse que minha instituição financeira me autenticou de diferentes modos? Isso seria mais ágil e eficaz do que as autenticações atuais, com inúmeras perguntas durante o contato com o usuário? Sim, é claro!

Sei que ninguém quer receber uma carta de sua instituição financeira ou procurar por si mesmo em uma página de segurança para determinar se está exposto ao risco após uma grande falha ter sido revelada. Mas, infelizmente, essa é uma realidade. Deixar de usar dados estáticos e passar a utilizar autenticações dinâmicas deve ser considerada a grande lição dessas violações.

Seth RudenGerente de riscos de pagamento da ACI Worldwide

↓
× Como posso te ajudar?