GIBON Ransomware sendo distribuído por Malspam

Um novo ransomware foi descoberto pelo pesquisador da ProofPoint,  Matthew Mesa,  chamado GIBON. Este ransomware está sendo distribuído atualmente via malspam com um documento malicioso anexado, que contém macros que irão baixar e instalar o ransomware em um computador. Infelizmente, mais informações sobre o malspam atualmente não estão disponíveis no momento.

No entanto, fornecemos informações abaixo sobre o funcionamento do ransomware e graças a  Michael Gillespie , é desencriptável. Então, se você é uma vítima, você pode baixar um decodificador aqui . Se você precisar de ajuda, entre em contato conosco no nosso tópico de suporte e ajuda do GIBON Ransomware .

Por que é chamado GIBON Ransomware?

Quando um novo resgate é descoberto, nem sempre é fácil criar um bom nome para ele. Às vezes, os pesquisadores usarão as cordas encontradas nos executáveis ​​e outras vezes o malware em si nos dará pistas sobre o que devemos chamar.

Com o GIBON Ransomware, é o último como seu nome nos é fornecido dois lugares. O primeiro lugar é a seqüência de agente do usuário de GIBON que é usada quando se comunica com o servidor Command & Control.

Figura 1 – Comunicação com o servidor C2
Fonte: Bleeping Computer

A segunda localização que nos informa o nome é no painel de administração do próprio Ransomware, que é mostrado abaixo. No site abaixo, você pode ver claramente que ele se chama “Máquina de criptografia” GIBON ‘”. Para aqueles que são curiosos, o logotipo abaixo é da empresa de televisão russa VID.

Figura 2 – Painel de Administração do Gibon
Fonte: Bleeping Computer

Como o GIBON Ransomware criptografa um computador

Embora os detalhes completos sobre a sua entrega não estejam disponíveis, posso fornecer algumas informações sobre como o GIBON Ransomware criptografa um computador. Quando o GIBON for iniciado, ele se conectará ao Servidor de Comando e Controle do ransomware e registrará uma nova vítima enviando uma seqüência codificada base64 que contenha o carimbo de data / hora, a versão do Windows e a seqüência de “registro”. A presença da seqüência de registro indica ao C2 que esta é uma nova vítima infectada pela primeira vez.

O C2 enviará uma resposta que contém uma seqüência codificada base64 que será usada pela GIBON como a nota de resgate. Ao fazer com que o servidor C2 forneça a nota de resgate em vez de ser codificado no executável, o desenvolvedor pode atualizá-la sem a necessidade de compilar um novo executável.

Figura 3 – Resposta com a Nota de Resgate
Fonte: Bleeping Computer

Uma vez que uma vítima é registrada com o C2, ele gerará localmente uma chave de criptografia XOR e enviará para o servidor C2 como uma string codificada base64. Essa chave será usada para criptografar todos os arquivos no computador. Como o pedido anterior, o C2 responderá com a nota de resgate.

Agora que a vítima foi registrada e a chave transmitida para o C2, o ransomware começará a criptografar o computador. Ao criptografar o computador, ele irá segmentar todos os arquivos, independentemente da extensão, desde que não estejam na pasta do Windows.

Ao criptografar os arquivos, o GIBON anexará a extensão .encrypted ao nome do arquivo criptografado. Por exemplo, um arquivo chamado test.jpg seria criptografado e nomeado como test.jpg.encrypted. Você pode ver uma pasta de arquivos criptografados abaixo.

Figura 4 – Arquivos Criptografados
Fonte: Bleeping Computer

Durante o processo de criptografia, o GIBON conectará rotineiramente ao servidor C2 e enviará um “PING” para indicar que ainda está criptografando o computador.

Para cada pasta que um arquivo está criptografado, ele também gerará uma nota de resgate chamada  READ_ME_NOW.txt. Esta nota de resgate fornecerá informações sobre o que aconteceu com os arquivos da vítima e instruções para entrar em contato com os emails bomboms123@mail.ru ou subsidiária: yourfood20@mail.ru para obter instruções de pagamento.

Figura 5 – Nota de Resgate Fonte: Bleeping Computer

Quando o ransomware terminou de criptografar um computador, ele enviará uma mensagem final para o servidor C2 com a string “finish”, um timestamp, a versão do Windows e a quantidade de arquivos criptografados.

Neste momento, atualmente não se sabe quanto de ransomware os desenvolvedores estão exigindo. Como afirmado anteriormente, a boa notícia é que este ransomware pode ser descriptografado usando este desencriptador.

Como se proteger do GIBON Ransomware

Para se proteger de GIBON, ou de qualquer ransomware, é importante que você use bons hábitos de computação e software de segurança. Em primeiro lugar, você sempre deve ter um backup confiável e testado de seus dados que podem ser restaurados no caso de uma emergência, como um ataque de ransomware.

Você também deve ter um software de segurança que contenha detecções comportamentais, como  Emsisoft Anti-Malware ,  Malwarebytes ou HitmanPro: Alert. 

Por último, mas não menos importante, certifique-se de praticar os seguintes bons hábitos de segurança online, que em muitos casos são os passos mais importantes de todos:

  • Backup, Backup, Backup!
  • Não abra anexos se não souber quem os enviou.
  • Não abra anexos até confirmar que a pessoa realmente o enviou,
  • Digitalize anexos com ferramentas como o VirusTotal.
  • Verifique se todas as atualizações do Windows estão instaladas assim que elas saem! Certifique-se também de atualizar todos os programas, especialmente Java, Flash e Adobe Reader. Os programas mais antigos contêm vulnerabilidades de segurança que são comumente exploradas por distribuidores de malware. Portanto, é importante mantê-los atualizados.
  • Certifique-se de usar algum tipo de software de segurança instalado.
  • Use senhas rígidas e nunca reutilize a mesma senha em vários sites.

Fonte: BLEEPINGCOMPUTER

Malspam

Perfil curto

Spam é o termo geral usado para especificar e-mails não solicitados. Malware Spam ou MalSpam é o termo usado para designar malware que é entregue por meio de mensagens de e-mail.

 

História

Embora a primeira instância de um malware que seja entregue por spam seja desconhecida, o vírus de mala direta Melissa de 1999 é reconhecido como o primeiro malware amplamente distribuído por e-mail. Melissa digitalizaria listas de contatos de e-mail e enviaria uma cópia de si mesmo para os primeiros 50 contatos dentro da lista. Embora Melissa não tenha destruído arquivos ou outros recursos, o vírus teve o potencial de desativar os servidores de correio corporativo e outros, consumindo recursos enquanto procurava contatos adicionais e enviando cópias do vírus para outros.

Os vírus Copy-Cat usando o email como o método de disseminação rapidamente surgiram logo após. Com cada vírus no momento de competir por taxas de infecção e manchetes da CNN, o e-mail rapidamente provou ser um método viável para entregar anexos maliciosos a usuários desavisados. O worm de envio de massa do ILOVEYOU que saiu em 2000 infectou dezenas de milhões de computadores em todo o mundo e causou bilhões de dólares em danos.

A partir desse ponto, o e-mail foi um vetor primário para a entrega de malwares e, infelizmente, há poucos sinais de que a tendência está a diminuir. O e-mail provou ser um vetor altamente valioso e altamente bem sucedido para a instalação de malware para usuários desavisados.

Métodos de ataques para o MalSpam podem ser definidos. Tudo de campanhas gerais do MalSpam, cobrindo milhões de endereços comprados de provedores de endereço de e-mail, para campanhas direcionadas altamente sofisticadas, cobrindo uma ou duas pessoas, são extremamente comuns.

A pesquisa da empresa Radicati indica que cerca de 205 bilhões de e-mails são enviados a cada dia . E de acordo com a ITU, cerca de 80% de todas as mensagens de e-mail são spam . Embora seja difícil identificar um número exato de e-mails que entregam o MalSpam, é claro que os autores de malwares continuam a ver suficientes instalações bem sucedidas de seus programas maliciosos para garantir a continuação de tais empreendimentos.

Método comum de infecção

O MalSpam, por definição, é malware entregue por e-mail e, como tal, este será sempre o vetor de infecção para malware com esta classificação.

Famílias associadas

Muitas famílias e tipos de malware foram entregues por email. Não há limite ou restrição aos tipos de malware que podem ser enviados por e-mail. Isso inclui:

  • Ransomware
  • Trojans / Bots
  • Info Stealers
  • Spyware / Click-Hijackers

Remediação

A remediação depende do tipo de software malicioso que foi recebido. Os usuários são aconselhados a verificar dentro do perfil específico do MalwareNet que melhor se adapte ao malware recebido para obter informações adicionais.

Consequências

As conseqüências de uma infecção originária do MalSpam dependerão do tipo de malware recebido. Os usuários são aconselhados a verificar dentro do perfil específico do MalwareNet que melhor se adapta ao malware em questão para obter informações adicionais.

Evasão

Nunca baixe ou visualize anexos de remetentes desconhecidos. Sempre trate anexos de remetentes conhecidos como possivelmente suspeitos, a menos que a informação tenha sido solicitada diretamente. Nunca execute arquivos executáveis. E mesmo que o documento aconselhe o contrário, não habilite Macros nos produtos do Office. Se houver uma dúvida, entre em contato com o remetente antes de abrir o anexo para solicitar mais informações. Digitalize anexos com um produto anti-malware respeitável, como o Malwarebytes Anti-Malware, ou escaneie o arquivo contra uma coleção de produtos em www.virustotal.com.

Fonte: Malwarebytes

Alerta nº 07/2017 – Ataques de Ransomware Bad Rabbit

Descrição do Problema

Recebemos relatórios de infecções de ransomware, conhecidos como Bad Rabbit, em alguns países. Aparentando ser variante de Petya, Bad Rabbit é um software malicioso ransomware que infecta um computador e restringe o acesso do usuário à máquina infectada até que um resgate seja pago para desbloqueá-lo.

Sempre desencorajamos o pagamento do resgate, pois não garante a restauração do acesso. O uso de software sem as atualizações de segurança e sem suporte aumenta o risco de proliferação de ameaças, como ataques de ransomware à segurança da informação.

O CTIR Gov RECOMENDA a revisão de seus alertas nº 02/2016 – Ataques de Ransomware através de campanhas de Phishing, nº 02/2017 – Ataques de Ransomware Wanna Decryptor, e nº 04/2017 – Ataques de Ransomware Petrwrap/Petya, disponíveis em www.ctir.gov.br, e que descrevem os recentes eventos de ransomware.

Notifique os incidentes do Ransomware no endereço ctir@ctir.gov.br. O CTIR Gov fornecerá informações atualizadas à medida que elas se tornem disponíveis.

O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente através da utilização de algoritimos de encriptação (crypto-ransoware), para fins de extorsão.

Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de
métodos online, tipo “Bitcoins”.

Métodos de Ataques

Com base em análises realizadas, o Bad Rabbit se espalha para outros computadores na rede, tirando cópias de si mesmo na rede usando seu nome original e executando as cópias descartadas usando o Windows Management Instrumentation (WMI) e o Service Control Manager Remote Protocol. Quando o protocolo remoto do Service Control Manager é usado, ele usa ataques de força bruta para levantamento das credenciais.

Entre as ferramentas Bad Rabbit incorporadas, se encontra o utilitário de código aberto Mimikatz, para a extração de credenciais. Também existem evidências dele usando o DiskCryptor, uma ferramenta legítima de criptografia de disco, para criptografar os sistemas de destino.

É importante notar que Bad Rabbit não explora quaisquer vulnerabilidades, ao contrário de Petya que usou o EternalBlue como parte de sua rotina.

Sugestões para Mitigação do Problema

  • Mesmo não sendo comprovado o uso de vulnerabilidades, até o momento, mantenha seus sistemas atualizados para a versão mais recente ou aplique os patch conforme orientação do fabricante.
  • Isolar a máquina da rede, ao primeiro sinal de infecção por malware;
  • Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos;
  • Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento lateral de propagação do malware;
  • Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos;
  • Manter o antivírus, aplicação de “Patchs” de segurança e a “blacklist” (filtro “antispam”) de e-mail atualizados;
  • Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação /execução de binários e ou executáveis desconhecidos; e 
  • Por fim, realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mail suspeitos ou não reconhecidos como de origem esperada.

Referências

  • http://dsic.planalto.gov.br/legislacao/RequisitosMnimosSIparaAPF.pdf/view
  • http://www.ctir.gov.br/arquivos/alertas/2016/ALERTA_2016_02_AtaquesRansomware.pdf
  • http://www.ctir.gov.br/arquivos/alertas/2017/ALERTA_2017_02_RansomwareWNCRY.pdf
  • http://www.ctir.gov.br/arquivos/alertas/2017/ALERTA_2017_04_RansomwarePetrwrap.pdf
  • http://blog.trendmicro.com/trendlabs-security-intelligence/bad-rabbit-ransomware-spreadsvia-network-hits-ukraine-russia/
  • https://www.us-cert.gov/ncas/current-activity/2017/10/24/Multiple-Ransomware-InfectionsReported

 

Fonte

Alerta de Vulnerabilidade – Adobe Flash Player – CVE-2017-11292

Alerta de Vulnerabilidade – Adobe Flash Player

TIPO: Vulnerabilidades
SISTEMAS AFETADOS: Adobe Flash Player (todas as versões até à 27.0.0.159)
ECOSSISTEMA: Windows, Mac OS, Linux
 
Descrição:Foi identificada uma vulnerabilidade no procedimento de verificação de bytecodes que permite a utilização de valores não confiáveis.

Impacto:Esta vulnerabilidade, se explorada corretamente, permite a execução de código arbitrário.

Resolução:Atualizar o Adobe Flash Player para uma versão posterior à 27.0.0.159.

 
Referências:CVE-2017-11292 Details:
https://nvd.nist.gov/vuln/detail/CVE-2017-11292

Alerta nº 06/2017 – Vulnerabilidade WPA2 KRACK

Descrição do Problema

Foi encontrada uma vulnerabilidade no protocolo WPA2. Esta vulnerabilidade foi descoberta pelos pesquisadores Mathy Vanhoef of imec-DistriNet, da Universidade Católica de Leuven, Belgica.

Quando um cliente se conecta a uma rede WI-FI um aperto de mão (handshake) é feito para verificar se o dispositivo tem a senha correta. Além disso, o cliente recebe uma chave criptográfica que é utilizada para proteger qualquer dado subsequente. A falha permite que o atacante resete essa chave e, com isso, descriptografe todo o tráfego da vítima. 

Métodos de Ataques

Quando um cliente se conecta a uma rede, ele executa a negociação chamada 4-way handshake para negociar uma nova chave de sessão. Ele instala essa chave após receber a mensagem 3 do handshake. Uma vez que a chave esteja instalada, ela será usada para criptografar quadros de dados usando um protocolo de confidencialidade. No entanto, como as mensagens podem ser perdidas ou descartadas, o ponto de acesso (AP) retransmitirá a mensagem 3 se não receber uma resposta adequada como confirmação. Como resultado, o cliente pode receber a mensagem 3 várias vezes. Cada vez que recebe esta mensagem, ela reinstalará a mesma chave de sessão e recebe o número de pacote de transmissão incremental (nonce) e recebe o contador de repetição usado pelo protocolo de confidencialidade de dados.

Para a realização do ataque, ou seja, para forçar o reenvio da mensagem 3 do 4-way handshake, um atacante precisa realizar um ataque de man-in-the-minddle (MitM) de forma a se posicionar entre o cliente e o AP. A partir de então, os pacotes podem ser repetidos, descriptografados e / ou forjados. A mesma técnica também pode ser usada para atacar a chave de grupo, PeerKey, TDLS e BSS.

Sistemas afetados

As implementações do iOS (Apple) e da Microsoft, não permitem a retransmissão da mensagem 3, o que vai contra a especificação do protocolo mas acaba livrando os dispositivos destes fabricantes de parte das vulnerabilidades encontradas. Já a implementação do Linux e do Android 6.0 ou superior é bastante afetada.

Sugestões para Mitigação do Problema

  • Mantenha os sistemas atualizados para a versão mais recente ou aplique os patch conforme orientação do fabricante. As principais empresas de sistemas operacionais, smartphones, roteadores já estão desenvolvendo patch para correção da falha;
  • Efetue autenticação em conexões seguras (HTTPS, por exemplo);
  • Utilize uma VPN;
  • Considere estabelecer o modo “Rede Pública” em conexões wi-fi;
  • Por fim, realize campanhas internas, alertando os usuários sobre esta publicação.

Referências

  • http://dsic.planalto.gov.br/legislacao/RequisitosMnimosSIparaAPF.pdf/view
  • https://www.kb.cert.org/vuls/id/228519/
  • https://cwe.mitre.org/data/definitions/323.html
  • https://papers.mathyvanhoef.com/ccs2017.pdf
  • https://www.krackattacks.com/
  • https://morphuslabs.com/sobre-o-wpa2-krack-attack-b999efccb106
  • https://www.gta.ufrj.br/ensino/eel879/trabalhos_vf_2012_2/80211i/funcionamento.html

 

Fonte

Ações para obtenção de confiabilidade

O que é confiabilidade?

Qualidade daquele ou daquilo que é confiável; fiabilidade. (Michaelis – Dicionário Brasileiro da Língua Portuguesa)

Segurança da Informação é a disciplina que se concentra na qualidade (confiabilidade) da prestação de informações e no gerenciamento da continuidade das operações.

Qualidade nesse contexto entende-se como a confidencialidade, integridade e disponibilidade das informações.  Saiba mais aqui.

O que precisamos entender é que as ações para obtenção da confiabilidade devem estar alinhadas ao CID que é abreviação para confidencialidade, integridade e disponibilidade. Também conhecido como a tríade em Segurança da Informação!

A tríade em Segurança da Informação

Figura 1 – A Tríade em Segurança da Informação

 

Seguindo esses critérios, é possível garantir a confiabilidade das informações

Figura 2 – A Tríade em Segurança da Informação – Atributos Importantes

 

Atualmente é aplicado a Segurança da Informação dois atributos importantes: Autenticidade e Não Repúdio. Vamos entender melhor esses conceitos:

Confiabilidade

•      Integridade: Garantir a exatidão da informação;

•      Confidencialidade: Garantir somente acesso autorizado às informações;

•      Disponibilidade: Garantir que a informação esteja sempre disponível;

•      Autenticidade: Garantir que a informação é autentica;

•      Não-repúdio: Garantir que o usuário não negue autoria ou alterações nas informações.

Assim sendo, podemos dizer que todos estes atributos reunidos garantem a confiabilidade das informações

Para que possamos estudar e trabalhar com a tríade, a princípio podemos fazer algumas questões como por exemplo:

•      Confidencialidade: Os usuários que não devem ter acesso aos dados/informações acessam de alguma forma esses dados/informações?

A partir do momento que os dados/informações podem ser acessados/alterados por um usuário que não deveria ter permissão, esses dados/informações já não são mais confidenciais;

•      Integridade: Os dados/informações podem ser modificados de alguma forma que não foi proposta?

Se os dados/informações em seu ciclo de vida sofrem uma alteração indeterminada por usuário sem permissão, esses dados/informações não são mais íntegros;

•      Disponibilidade: Os dados/informações estão acessíveis quando e como se propõem ser?

Quando os dados/informações não podem ser acessados por motivo de falha/interrupção na rede de dados ou nos dispositivos de hardware, esses dados não são mais disponíveis.

•      Autenticidade: Os usuários estão devidamente identificados (autenticados) permitindo o controle de acesso (autorização) aos dados/informações?

É possível verificar a autenticidade através de assinaturas e certificações digitais, que garante a originalidade dos dados/informações;

•      Não-Repúdio (Irretratabilidade): Os usuários podem negar autoria não autorizada a dados/informações e/ou acesso a sistemas sem permissão?

O não-repúdio é a garantia de que determinado usuário não pode negar ter acessado/alterado um dado/informação sem ter permissão, não tendo essa garantia, não obtemos a confiabilidade.

Figura 3 – Confiabilidade

 

Ou seja, para obter confiabilidade é necessário ter conformidade com esses cinco atributos. Os dados/informações devem ser íntegros, confidenciais, disponíveis, autênticos e que garantam a não negação de autoria.

Esses conceitos não são complicados, eles são trabalhados diariamente no cotidiano, mesmo que muitos não os reconheçam. É importante interagir com esses conceitos de forma consciente, para uma melhor visão onde será aplicado os esforços. Ou seja, de forma que auxilie na identificação de componentes críticos, esforços e os recursos que valem a pena investir para correção dos problemas identificados.

Por que se preocupar com a confiabilidade?

Todos nós somos responsáveis pela Segurança dos dados/informações que trabalhamos e devemos nos preocupar com elas devido a três fatores:

Risco? É o que estamos tentando impedir que aconteça;

Ameaça? É como quem o faria para atacar;

Vulnerabilidade? É como o que lhes permitem fazer.

Para obtermos confiança em um ambiente, os elementos tecnológicos, processuais e humanos precisam estar seguros.

Elo mais fraco (Fator Humano): Este precisa ser conscientizado com frequência, pessoas mal-intencionadas por meio de engenharia social aproveitam-se da vulnerabilidade humana, através de uma falsa identidade, persuadindo pessoas para obtenção de informações privilegiadas e confidenciais para fins próprios; Saiba mais aqui.

Segurança X Usabilidade: A segurança não se adéqua a facilidade de uso; porque o usuário para facilitar as suas atividades, não se preocupa com segurança, por exemplo utilizando uma mesma senha para várias contas e/ou perfis, ou deixando salvas automaticamente que atualmente é uma funcionalidade dos navegadores.

O oponente: Os atacantes (cibercriminosos) são organizados, são especialistas no que fazem e em muitos casos conseguem o que querem;

Os mecanismos de segurança: As atualizações são imprescindíveis para que os mecanismos de segurança funcionem corretamente, é importante que o ambiente organizacional esteja em conformidade com as políticas de segurança, normas e padrões em vigor, como por exemplo a norma ISO 27001;

Licenças X Cracks/Ativadores: Sistemas ou softwares desatualizados e piratas, são alvos fáceis para pessoas mal-intencionadas. Quem garante que um Crack/Ativador não tenha uma Backdoor.

As Dez Leis Imutáveis de Segurança

N° 1 – Se alguém mal-intencionado puder persuadi-lo a rodar o programa dele em seu computador, esse não será mais seu computador;

N° 2 – Se alguém mal-intencionado puder alterar o sistema operacional de seu computador, esse não será mais seu computador.

N° 3 – Se alguém mal-intencionado tiver acesso físico irrestrito ao seu computador, esse não será mais seu computador;

N° 4 – Se você permitir que alguém mal-intencionado transfira programas para seu site, esse não será mais seu site;

N° 5 – Senhas fracas são mais decisivas do que segurança forte;

N° 6 – Uma máquina é apenas tão segura quanto o administrador é confiável;

N° 7 – Dados criptografados são apenas tão seguros quanto a chave de descriptografia;

N° 8 – Um scanner de vírus desatualizado é apenas um pouco melhor do que nenhum scanner de vírus;

N° 9 – O anonimato absoluto não é prático, na vida real ou na web;

N° 10 – A tecnologia não é um remédio para todos os males.

Ataques comuns

Figura 4 – Principais Ataques

 

As principais ameaças são invisíveis e estão em toda parte.

Estudos de Caso

Sistema para prescrições médicas.

A integridade dos dados será mais crítica. Embora seja importante evitar que outras pessoas leiam quais medicamentos o paciente usa, também é importante que o paciente possa acessar esta lista para realizar a compra dos medicamentos.

Vamos imaginar se alguém mal-intencionado pudesse mudar o conteúdo do sistema (alterando a integridade), isso poderia levar a resultados que ameaçam a vida.

Visitar outras partes do mundo.

Ao visitar algumas partes do mundo, o indivíduo pode estar em risco substancial de contrair a malária. Isso ocorre porque a ameaça dos mosquitos é muito alta em algumas áreas, e quase certamente o indivíduo não é imune à malária.

Felizmente, é possível controlar a vulnerabilidade com medicação e tentar controlar a ameaça com o uso de repelente de insetos e mosquiteiros.

Com os mecanismos de controle em funcionamento contra a ameaça e a vulnerabilidade, é possível garantir que o risco não ocorra. Obtendo dessa forma a confiabilidade.

E você, na sua opinião, o que é necessário para obter a confiabilidade?

Referências

PMG Academy – Três fundamentos sobre segurança da informação que todo profissional precisa saber. Disponível em: <http://www.pmgacademy.com/pt/blog/artigos/tres-fundamentos-seguranca-da-informação>. Acessado em 19 de agosto de 2017.

Rede Segura – Network. Do original Hack Proofing Your Network – 2nd Edition. Copyright © 2002 da Editora Alta Books Ltda.

Lista de portas perigosas TCP/UDP

A lista abaixo mostra as portas padrões porém contraindicadas para uso. Muitos desses programas podem ser configurados para operar em outras portas. Uma lista muito mais completa pode ser encontrada no site da Simovits Consulting em http://www.simovits.com/nyheter9902.html ou na página de Raf Vantongerloo em http://home.tiscalinet.be/bchicken/trojans/trojanpo.htm.

31/tcp Agent 31, Hackers Paradise, Masters Paradise
1170/tcp Psyber Stream
1234/tcp Ultors Trojan
1243/tcp SubSeven server (default for V1.0-2.0)
1981/tcp ShockRave
2001/tcp Trojan Cow
2023/tcp Ripper Pro
2140/udp Deep Throat, Invasor
2989/tcp Rat backdoor
3024/tcp WinCrash
3150/tcp Deep Throat, Invasor
3700/tcp Portal of Doom
4950/tcp ICQ Trojan
6346/tcp Gnutella
6400/tcp The Thing
6667/tcp Trinity intruder-to-master and master-to-daemon
SubSeven server (default for V2.1 Icqfix and beyond)
6670/tcp Deep Throat
12345/tcp NetBus 1.x, GabanBus, Pie Bill Gates, X-Bill
12346/tcp NetBus 1.x
16660/tcp Stacheldraht intruder-to-master
18753/udp Shaft master-to-daemon
20034/tcp NetBus 2 Pro
20432/tcp Shaft intruder-to-master
20433/udp Shaft daemon-to-master
27374/tcp SubSeven server (default for V2.1-Defcon)
27444/udp Trinoo master-to-daemon
27665/tcp Trinoo intruder-to-master
30100/tcp NetSphere
31335/udp Trinoo daemon-to-master
31337/tcp Back Orifice, Baron Night, Bo Facil
33270/tcp Trinity master-to-daemon
33567/tcp Backdoor rootshell via inetd (from Lion worm)
33568/tcp Trojaned version of SSH (from Lion worm)
40421/tcp Masters Paradise Trojan horse
60008/tcp Backdoor rootshel via inetd (from Lion worm)
65000/tcp Stacheldraht master-to-daemon

 

Fonte: Gary Kessler – Bad Ports

10 coisas que os auditores devem saber

A ISACA postou em Fevereiro de 2017, um Infográfico sobre Auditoria de Segurança Cibernética, apontando 10 coisas que os auditores devem saber, confiram:

1 – Guias/Frameworks de levantamento existentes

Os auditores devem considerar o mapeamento do NIST “Framework for Improving Critical Infrastructure Cybersecurity” para os controles ISO27001: 2013 e COBIT 5 para reduzir o escopo da auditoria, portanto, tornando a auditoria mais gerenciável.

2 – Considerar a próxima legislação

Os auditores devem estudar como as leis atuais, como o GDPR e o PCI-DSS, poderiam ser incorporadas nos programas de segurança cibernética. Além disso, os auditores precisam entender o ambiente regulatório global e as diferenças que podem existir entre regiões geográficas (por exemplo, GDPR – PCI-DSS em toda a UE / EUA / China / Rússia / Índia / Japão, etc.).

3 – Todos os riscos são subjetivos

Para se qualificar como um “risco”, uma ameaça deve ser associada a uma vulnerabilidade que, se explorada, pode afetar negativamente um recurso de informação. Se não, não é uma ameaça. Muitos auditores se preocupam com ameaças e vulnerabilidades que não representam risco real para um bem, priorizando a conformidade com o risco e desperdiçando tempo precioso e recursos.

4 – Os usuários são (e sempre serão) o grande risco de segurança

Nosso setor é liderado por fornecedores e continuamos buscando segurança através de produtos (firewalls, IDS / IPS, criptografia, anti-malware, DLP, etc.). Investimos em produtos antes de pessoas, enquanto resultados reais e mensuráveis podem ser alcançados investindo em conscientização de segurança da informação. Para contribuir com resultados tangíveis, os auditores devem priorizar as pessoas sobre o produto. A educação de segurança cibernética é a bala de prata.

5 – Controles ainda são importantes em segurança da informação básica

Como parte da segurança geral (incluindo a segurança cibernética), esses controles fornecem uma base de referência válida de controles de segurança que ajudam a reforçar a segurança em complexidade (por exemplo, controles de acesso físicos e lógicos, aplicação de “princípio de privilégio mínimo”).

6 – Precisa de uma política de respostas a incidentes cibernéticos e um plano que é totalmente testável

Os auditores precisam avaliar se um plano adequado de gerenciamento de crises e comunicação está em vigor e claramente comunicado e testado, conforme apropriado. Isso deve permitir uma continuidade de negócios suficiente em caso de violação de segurança cibernética. O gerenciamento de crises deve incluir resposta a incidentes e forense, quando justificado. O monitoramento e a detecção proativa (com ferramentas automatizadas) devem estar em posição.

7 – A estratégia de segurança cibernética precisa de agilidade – o cenário está em mutação

A estratégia precisa ser adaptável e escalável para lidar com novos métodos de ataque, como ransomware / BYOD risk / cloud-third party risk / social media etc. Os auditores precisam estar conscientes de que esta é uma área que está mudando constantemente – não pode assumir que o que atualmente mantém o seu ambiente de TI seguro, continuará a ser seguro sempre.

8 – A conscientização em segurança cibernética depende de uma correta formação

Os funcionários precisam de educação e treinamento suficientes e oportunos para ajudar a combater a ameaça de segurança cibernética que muda constantemente. A segurança precisa ser entrelaçada no tecido em uma organização. Um dos exercícios da caixa de seleção não é suficiente.

Por exemplo:

  • Os funcionários realmente entendem as implicações de uma violação da segurança cibernética?
  • Alguma ideia foi dada a ameaças de insider de uma perspectiva de segurança cibernética?
  • Existe orientação clara sobre o uso de mídias sociais / soluções de Shadow IT / BYOD / como responder a um ataque de phishing ou ransomware?

Os funcionários são recompensados / elogiados por promoverem a segurança em uma organização – eles são incentivados?

9 – Tudo está conectado a tudo

A principal função e objetivo de qualquer dispositivo cibernético é a conectividade. Os dispositivos são como escaladores amarrados juntos no lado de uma montanha – se cair pode trazer qualquer coisa conectada a ele. O Target hack (através de uma conexão de fornecedor de HVAC) demonstra claramente a necessidade de uma visão holística de segurança cibernética. Com a chegada do IoT, é imperativo que os auditores compreendam e abordem a imagem maior.

10 – Consciente das técnicas de roubo de credenciais

Os auditores devem ter conhecimento de técnicas de ataque de roubo de credenciais (por exemplo, pass-the-hash, registro de chaves, passagem de bilhetes, representação de token e ataques de homem ao meio – MITM). Normalmente, o ataque Pass-the-Hash (PtH) e outros roubos de credenciais e reutilização de tipos de ataque usam um processo iterativo de dois estágios. Primeiro, um invasor captura as credenciais de logon da conta em um computador e, em seguida, usa essas credenciais capturadas para se autenticar em outros computadores pela rede.

Fonte e pdf original em inglês: ISACA