A liderança transformacional e o desempenho organizacional

O santo graal da pesquisa acadêmica sobre gerenciamento é encontrar evidências confiáveis ​​de que certas práticas de gerenciamento ou liderança realmente melhoram o desempenho de uma organização.

A palavra-chave aqui é “credível”. Durante anos, encontrar este santo graal foi inibido por métodos usados ​​para pesquisas gerenciais que desafiam a credibilidade de quaisquer achados supostos. Tradicionalmente, houve vários problemas com os dados em que essa pesquisa se baseia. As medidas de tipos de práticas que as organizações utilizam geralmente foram baseadas em pesquisas em que os membros da organização se auto-reportam sobre quais práticas são usadas. As medições do desempenho basearam-se de forma semelhante em auto-relatos de pesquisa de quão bem os entrevistados sentem que a organização está fazendo.

Esta abordagem é muito problemática. Os dados tanto das práticas da organização como do seu desempenho são coletados dos mesmos entrevistados. Isso cria uma tendência real de inflação dramática de associações entre práticas e desempenho.

A causa subjacente das respostas, tanto sobre práticas quanto sobre o desempenho, é geralmente a atitude geral do entrevistado com a organização. Então, se eles gostam de sua organização, eles responderão que a organização usa várias práticas que tendem a ser vistas positivamente, e também informar que sua organização funciona bem. Mas não há separação suficiente entre esses dois tipos de relatórios; Informar uma coisa é associada a reportar outra, independente de qualquer influência causal real das práticas de desempenho.

Essa preocupação é mais exacerbada quando a medida do desempenho também é o julgamento subjetivo do desempenho do entrevistado. Muitas pesquisas baseadas no inquérito ao ponto de vista do empregado federal têm esses problemas.

Nos últimos anos, os estudiosos tentaram mitigar esses problemas ao reunir dados sobre práticas de uma fonte diferente daquela usada para coletar dados sobre desempenho e usando dados de desempenho objetivos e não subjetivos. Isso está produzindo uma mini-revolução em bolsa de estudos sobre a gestão do setor público.

Em um belo artigo que recentemente entrou em linha na Revista da Administração Pública, Rusi Sun da Universidade de Michigan em Dearborn e Alexander Henderson da Long Island University exemplificam as melhorias que estão ocorrendo na bolsa de estudos de gestão. Eles observam se um estilo de liderança dos diretores da escola chamado de “liderança transformacional” está associado a melhores pontuações padronizadas para estudantes nessas escolas.

“Liderança”, é claro, significa muitas coisas diferentes para pessoas diferentes, por isso é importante observar as características do tipo de liderança que o artigo discute. A “liderança transformacional” na literatura de liderança acadêmica refere-se a um estilo que vai além das cenouras e das varas como formas de motivar os funcionários.

Líderes transformacionais motivam os membros da organização a olhar além de seu interesse próprio para considerar os objetivos organizacionais. Eles fornecem uma visão atraente que gera entusiasmo e fortalece o compromisso com os objetivos da organização, além de promover a estimulação intelectual dos funcionários.

Os autores observam que, tipicamente, a literatura sobre a liderança transformacional enfatiza as relações individuais entre líderes e seguidores. No entanto, sua pesquisa examina uma forma alternativa em que líderes transformacionais buscam melhorar o desempenho da organização – implementando práticas e processos organizacionais que incentivem um melhor desempenho. Esses esforços não se concentram apenas no nível de varejo individual, mas no nível grossista de mudar o funcionamento da organização como um todo. As três práticas organizacionais que o artigo associa com a liderança transformacional estão usando informações de desempenho para gerenciar a organização, envolvendo partes interessadas externas (pais) no trabalho da escola e construindo uma cultura colaborativa dentro da escola.

Observe como os autores reuniram seus dados. Sua medida do desempenho da organização não é um relatório subjetivo de professores ou diretores, mas a pontuação média dos alunos em testes padronizados, controlando as diferenças entre as escolas (como o status socioeconômico dos pais) que têm impacto nas pontuações. Eles medem a medida em que o diretor tem um estilo de liderança transformacional (como promover uma visão atraente) através de uma pesquisa de professores – subordinados dos líderes – em vez de auto-relatórios dos diretores. Eles medem as práticas específicas de liderança transformacional (usando informações de desempenho e promovendo o envolvimento das partes interessadas e uma cultura colaborativa) de diferentes maneiras. Para medir o envolvimento das partes interessadas, eles usam uma pesquisa de pais sobre a medida em que os diretores se comunicam com os pais e os envolvem em reuniões, e não os auto-relatos dos principais. Para medir o uso de informações de desempenho e cultura colaborativa, eles pesquisam professores em vez de diretores.

Os autores argumentam que os líderes em transformação são mais propensos a promover essas práticas porque comunicam uma visão inspiradora para subordinados que ultrapassa o interesse próprio e fortalece o compromisso com os objetivos da organização. A prática de usar informações de desempenho pode melhorar o desempenho ao inspirar professores a comprometer-se com a melhoria e aprendizagem organizacional e aceitar que vale a pena dedicar tempo ao uso de informações para esforços de melhoria. A prática do envolvimento dos pais pode promover um melhor desempenho do aluno, indicando aos professores e aos pais que a missão da organização é importante e que a participação dos pais pode ajudar na realização da missão.

Então, o que o Sun e Henderson acham? A liderança transformacional de um diretor foi associada a pontuações de teste padronizadas mais altas, embora somente na medida em que os diretores traduzissem seu estilo de liderança nas práticas organizacionais de usar informações de desempenho e envolvendo pais. (Não achou que promover uma cultura colaborativa entre professores ajudasse o desempenho dos alunos).

Esses resultados controlam, como um bom estudo acadêmico deve, para várias variáveis ​​que possam influenciar os resultados, como o status socioeconômico dos pais. (Curiosamente, o estudo descobriu que as escolas onde os pais tinham status socioeconômico mais baixo tinham maior participação dos pais na escola).

A linha inferior: os estilos de liderança podem ser importantes para o desempenho de uma organização. O próximo passo para os pesquisadores – dar conclusões como essa mordida mais prática – é perguntar se é possível que os gerentes públicos sejam treinados para melhorar seus estilos de liderança. Curiosamente, um grupo de pesquisadores dinamarqueses está estudando apenas essa questão no contexto do setor público na Dinamarca. Em um blog subseqüente, vou ver o que eles estão aprendendo.

É bom ver que, pelo menos, alguns acadêmicos que estudam gerenciamento público agora estão fazendo perguntas práticas de forma acadêmica e rigorosa.

Fonte: FCW

Tradução e revisão: Fernando Torres F. Silva e Bruna G. Zerbini Torres

11 Ferramentas Ofensivas de Segurança para SysAdmins

Ferramentas ofensivas de segurança são usadas por profissionais de segurança para testar e demonstrar fraquezas de segurança. Os administradores de sistemas e outros profissionais de TI se beneficiarão de ter uma compreensão de pelo menos os recursos dessas ferramentas. Os benefícios incluem a preparação de sistemas para se defender contra esses tipos de ataques e ser capaz de identificar os ataques no caso de um incidente.

Esta seleção de ferramentas quando utilizada por um invasor moderadamente qualificado tem o potencial de causar estragos em uma rede de organizações.

Se você estiver interessado em testar essas ferramentas, elas estão todas disponíveis para baixar e usar GRATUITAMENTE. A maioria é de código aberto com algumas exceções. Elas não devem ser usadas ​​contra sistemas que você não tem permissão para atacar. Você poderia acabar na prisão.

As medidas de mitigação listadas para cada ferramenta são ponteiros de alto nível para técnicas que um administrador de sistemas deve considerar para se defender contra essas poderosas ferramentas. Mais informações podem ser encontradas nos sites do projeto para cada uma das ferramentas.
Embora algumas das recomendações possam parecer comuns; Muitas vezes, os conceitos básicos são ignorados.

1. Metasploit Framework

Uma ferramenta de código aberto para desenvolvimento de exploração e testes de penetração O Metasploit é bem conhecido na comunidade de segurança. Metasploit tem explorações para ataques baseados em servidores e clientes; Com módulos de comunicação com recursos compactados (meterpreter) que tornam divertidos os sistemas pwning! A estrutura agora inclui Armitage para exploração de rede de ponto e clique. Esta é a ferramenta ir para se quiser entrar em uma rede ou sistema de computador.

Defesa contra Metasploit:

Mantenha todo o software atualizado com os últimos patches de segurança.
Use senhas fortes em todos os sistemas.
Implante serviços de rede com configurações seguras.

2. Ettercap

Um conjunto de ferramentas para o homem nos ataques do meio (MITM). Depois de ter iniciado um homem no ataque do meio com a Ettercap, use os módulos e as capacidades de script para manipular ou injetar o tráfego sobre a marcha. Sniffing dados e senhas são apenas o começo; Injetar para explorar FTW!

Defesa contra Ettercap:

Compreenda que a intoxicação por ARP não é difícil em uma rede comutada típica.
Bloqueie as portas da rede.
Use configurações de switch seguras e NAC se o risco for suficiente.

3. Sslstrip

Usando HTTPS faz as pessoas se sentir tranquilas, entusiasmadas e seguras. Usando sslstrip, essa segurança pode ser atacada, reduzindo a conexão a uma sessão HTTP não criptografada, pelo qual todo o tráfego é legível. Detalhes bancários, senhas e e-mails de seu chefe tudo em claro. Ainda inclui uma característica bacana onde o favicon na conexão não criptografada é substituído por um cadeado apenas para que o usuário mantenha o sentimento de tranquilidade e entusiasmadas.

Defendendo contra Sslstrip:

Esteja ciente da possibilidade de ataques MITM (arp, proxies / gateway, wireless).
Procure alterações repentinas no protocolo na barra do navegador. Não é realmente uma mitigação técnica!

4. Evilgrade

Outro ataque de homem ao meio (MITM). Todo mundo sabe que manter o software atualizado é uma das maneira de ficar seguro. Este pequeno utilitário falsifica a atualização e fornece ao usuário uma atualização não tão boa. Pode explorar a funcionalidade de atualização em cerca de 63 peças de software, incluindo Opera, Notepad ++, VMware, Virtualbox, iTunes, Quicktime e Winamp! Realmente chicoteia o burro de chamas!

Defendendo contra o Evilgrade:

Esteja ciente da possibilidade de ataques MITM (ataques de arp, proxy / gateway, wireless).
Execute apenas atualizações para o seu sistema ou aplicativos em uma rede confiável.

5. SET – Social Engineer Toolkit

Torna a criação de um ataque de ataque social do lado social bem facil. Cria a lança phish, envia o email e serve a exploração maliciosa. SET é a arma de ataque do lado aberto do cliente de escolha de escolha.

Defendendo contra SET:

Treinamento de conscientização do usuário em torno de ataques de phishing de lança.
Forte controle de filtragem de e-mail e Web.

6. Sqlmap

SQL Injection é um vetor de ataque que existe há mais de 10 anos. No entanto, ainda é a maneira mais fácil de obter despejos de bancos de dados inteiros de informações. Sqlmap não é apenas uma ferramenta altamente precisa para detectar a injeção sql; Mas também tem a capacidade de despejar informações do banco de dados e até mesmo lançar ataques que podem resultar em acesso ao shell do sistema operacional no sistema vulnerável.

Defendendo contra o sqlmap:

Filtre todas as entradas em sites dinâmicos.
Use mod_proxy ou outros controles de filtragem baseados na Web para ajudar a bloquear ataques de injeções mal-intencionadas (não é ideal, muitas vezes, esses são capazes de ignorar firewalls de aplicativos da Web (WAF).

7. Aircrack-ng

Quebrando furos em redes sem fio por diversão e lucro. Um conjunto de ferramentas que permite todos os tipos de ataques de rede sem fio.

Defesa contra Aircrack-ng:

Nunca use WEP.
Ao usar o WPA2 com chaves pré-compartilhadas, assegure-se de que as senhas são fortes.

8. OclHashcat

Precisa obter algumas senhas dos hashes que você pegou com o sqlmap? Use esta ferramenta para abri-los. Mais de 48 algoritmos de hashing diferentes suportados. Utilizará a GPU (se suportada) na sua placa gráfica para encontrar esses hashes muitas vezes mais rápido do que a sua antiga CPU obscena.

Defendendo contra OclHashcat:

As senhas são o elo mais fraco. Utilize senhas complexas, proteja as senhas hash e salt dos hashes.

9. Ncrack

Senhas de rede de força bruta com esta ferramenta da Fyodor, o criador do Nmap. As senhas são o link mais fraco e o Ncrack facilita as senhas de força bruta para RDP, SSH, http (s), SMB, pop3 (s), VNC, FTP e telnet.

Defendendo contra Ncrack:

Use senhas fortes em todos os lugares.
Implementar bloqueios baseados em tempo em falhas de senha de serviço de rede.

10. Cain e Abel

Senhas de cracking, cheering VOIP e Man in the Middle (MITM) contra RDP são apenas alguns exemplos de muitos recursos desta ferramenta somente do Windows.

Defendendo contra Cain e Abel:

Esteja ciente da possibilidade de ataques MITM (ataques arp, proxy / gateway não confiável, sem fio).
Use senhas fortes em todos os lugares.

11. Tor

Empurre seu tráfego através desta rede de cebolas, projetada para fornecer anonimato ao usuário. Observe que o tráfego do nó de saída não está criptografado ou protegido. Certifique-se de entender o que faz antes de usá-lo, o Tor fornece anonimato e não uma comunicação criptografada.

Defesa contra Tor:

É possível implementar o bloqueio de nós de saída Tor em seu firewall, se o tráfego Tor estiver vinculado a uma ameaça ao seu ambiente.
Se você estiver interessado em testar essas ferramentas de segurança ofensivas, você deve dar uma olhada na distribuição do Kali Linux. Ela inclui muitas dessas e outras ferramentas pré-instaladas.

Essas ferramentas são usadas por profissionais da segurança em todo o mundo para demonstrar fraquezas de segurança.

Fonte: Hacker Target

Traduzido e revisado: Fernando Torres F Silva

O fator humano é fundamental para uma boa segurança

Esqueça os ataques através do seu firewall. E sobre o cara que telefona para o serviço de suporte de TI, alegando ser um gerente sênior e ganha acesso a sua informação desse jeito? Esta é a engenharia social – explorando vulnerabilidades humanas em vez de tecnologias.

A maioria dos profissionais de segurança concorda que as pessoas são o elo mais fraco – então por que continuamos ignorando esta área de segurança? Ou, na melhor das hipóteses, dar-lhe um serviço labial através de programas de conscientização de segurança sem coração?

Todos sabemos que os atacantes se concentrarão no seu elo mais fraco. Por exemplo, eles não segmentam on-line diretamente. Em vez disso, eles atacam os clientes do banco, usando técnicas de phishing para enganá-los a entregar suas credenciais.

Alternativamente, um atacante pode simplesmente telefonar e solicitar detalhes de segurança. Mesmo uma contra medida de segurança “avançada”, como não pedir todas as suas informações secretas ao mesmo tempo em contato com você, está sendo contornada por fraudadores que descobriram que é possível chamar alguém mais de uma vez. Engenhoso!

Então, quem é culpado de ignorar sistematicamente a segurança humana? Eu começaria com especialistas de TI típicos que eles não gostam muito de usuários, e abordar fraquezas humanas não está em sua agenda.

RH (convenientemente) acha que a segurança da informação é um problema de TI. Com o fraco histórico de investimento no treinamento do Reino Unido, encontrar uma fatia do orçamento de treinamento para abordar a segurança humana pode ser um verdadeiro desafio.

A indústria de segurança da informação gosta de vender “soluções” de hardware e software caras. As pessoas da TI adoram sua tecnologia, então os fornecedores fazem fila para satisfazer esta necessidade e fazem uma boa vida no processo.

Talvez os especialistas em segurança possam salvar o dia. Mas com o guia do exame CISSP nos dizendo que é mais fácil preparar funcionários para resistir a ataques de engenharia social do que configurar um firewall, então talvez não.

O padrão ISO 27001 (BS 7799) pode ajudar? Afinal, trata-se de sistemas de gerenciamento de segurança da informação. Talvez não. Apenas um dos 133 controles aborda a questão das vulnerabilidades humanas, e isso simplesmente se concentra na conscientização geral da equipe.

A resposta começa com a união da segurança de TI, física e humana sob um verdadeiro sistema de gerenciamento de segurança de informações. Para ser justo, isso é algo que a ISO 27001 pode entregar, se for devidamente atendida, com base em uma avaliação adequada dos riscos.

Você também pode pensar sobre como você aloca seu orçamento de segurança. É equilibrado em proporção com as ameaças que enfrenta e a disseminação de vulnerabilidades dentro da sua organização?

Você pode pensar sobre segurança humana da mesma maneira que você poderia proteger um servidor web. Desenvolva uma compreensão completa das vulnerabilidades humanas, com um equilíbrio adequado entre as melhorias sistêmicas para proteger as fraquezas humanas, e treinamento efetivamente direcionado e conscientização.

Fonte: Computer Weekly

Tradução e revisão: Fernando Torres F. Silva e Bruna G. Zerbini Torres

Uma Introdução aos Desafios da Forense Digital

A Forense Digital é uma técnica que faz a identificação de crimes feitos por meio de um computador.

De acordo com Fahdi, Clarke & Furnell (2013), os desafios da Forense Digital podem ser categorizados em três partes:

  • Desafios técnicos – por exemplo, diferentes formatos de mídia, criptografia, esteganografia, anti-forense, aquisição e análise ao vivo.
  • Desafios legais – por exemplo, questões de jurisdição, questões de privacidade e falta de legislação internacional padronizada.
  • Desafios de recursos – por exemplo, volume de dados, tempo necessário para adquirir e analisar meios de comunicação forense.

Desafios técnicos

Com o vasto desenvolvimento das tecnologias informáticas na última década, o uso da tecnologia foi definido como bom e ruim. Enquanto algumas pessoas usam a tecnologia para inventar coisas que beneficie a humanidade, os criminosos também usam a tecnologia para atingir seus próprios objetivos. Um dos principais problemas é que, assim que uma tecnologia é desenvolvida para identificar e investigar criminosos, há outra técnica que ajuda os criminosos a esconderem-se. Este é um enorme desafio que os oficiais da polícia enfrentam hoje.

Ao contrário de muitas outras fontes de evidência física, a evidência digital é fácil de modificar, remover ou ocultar, possivelmente sem deixar pistas que possam identificar o criminoso. Portanto, o anti-forense tornou-se um grande desafio para a forense digital.

De acordo com Rekhis & Boudriga (2010), as técnicas anti-forense podem ser classificadas em categorias conforme listadas abaixo:

  • Criptografia;
  • Esteganografia;
  • Canal Secreto;
  • Dados escondidos no espaço de armazenamento;
  • Limpeza de dados residuais;
  • Ofuscação dos rastros;
  • Atacando as ferramentas;
  • Atacando os investigadores.

 

Criptografia

De acordo com o TechTerms (2014), a criptografia é um processo de codificação de informações que só podem ser decodificadas e lidas por alguém que possui a chave de decodificação correta. A criptografia é usada para esconder ou tornar a evidência ilegível no sistema comprometido.

Balogh & Pondelic (2011) declararam que: Em 2007, ocorreu um incidente, quando a Alfândega dos EUA encontrou pornografia infantil em posse de um cidadão canadense Sebastian Boucher na fronteira entre Canadá e EUA, o material estava em seu laptop, recolhido como evidencia. Ele foi acusado de transportar pornografia infantil. O problema apareceu quando os examinadores tentaram abrir a unidade Z e descobriram que a unidade estava protegida com criptografia PGP (Pretty Good Privacy). Embora uma coleta forense do disco tenha sido feita, o examinador não conseguiu ter acesso aos dados da unidade criptografada.

Os atacantes usam muitos métodos de criptografia diferentes, mas para conseguirem utilizar os dados, os pesquisadores devem descriptografar os dados. É uma atividade demorada e às vezes não conseguem descriptografar os dados. 

 

Criptografia

Esteganografia (Steganography)

“A Esteganografia é uma técnica de criptografia que pode ser usada juntamente com a criptografia como um método extra-seguro para proteger os dados” (Janssen, 2014). Esteganografia é uma técnica que é usada para ocultar qualquer informação dentro de um portador de arquivos sem modificar sua aparência externa. Os atacantes usam a esteganografia para ocultar seus dados ocultos (cargas úteis) dentro do sistema comprometido. Ao investigar crimes informáticos, o investigador deve identificar esses dados ocultos para revelar a informação para referência adicional.

Esteganografia

Canal Secreto

“O canal secreto nos protocolos de comunicação permite que os invasores escondam dados na rede e possivelmente ignorem as técnicas de detecção de intrusão. Normalmente, um protocolo de rede é escolhido e seu cabeçalho é modificado para divulgar mensagens entre atacantes, explorando o fato de que poucos campos do cabeçalho são modificados durante a transmissão. “(Rekhis & Boudriga, 2010).

Os atacantes usam esses canais secretos para manter uma conexão oculta entre o invasor e o sistema comprometido. Difícil de ser identificado.

Canal Secreto

Dados escondidos no espaço de armazenamento

Os atacantes escondem alguns dados dentro das áreas de armazenamento e os tornam invisíveis para os comandos e programas usuais do sistema. Isso torna a investigação mais complexa e demorada, e às vezes os dados também podem ser corrompidos. O Rootkit é uma das técnicas mais utilizadas para ocultar dados no espaço de armazenamento.

De acordo com a Microsoft (2014), os criadores de malware usam rootkits para ocultar o malware dentro dos PC das vítimas. É muito difícil identificar os rootkits e a maioria dos usuários de computadores não sabe como remover esses rootkits. Como mencionado por Kassner (2008), os rootkits do modo usuário são capazes de ocultar “processos, arquivos, drivers de sistema, portas de rede e até mesmo serviços de sistema”.

Limpeza de dados residuais

Quando o atacante usa um computador para seu objetivo, alguns processos ocultos (por exemplo, arquivos temporários, histórico de comandos) estão sendo executados sem o conhecimento do invasor. Mas um invasor inteligente pode evitar esse risco, eliminando as faixas que foram feitas pelo processo e fazendo funcionar o sistema como se não fosse usado para tal propósito. O artigo de Lee, em 2013, indica que Jake Davis, de 20 anos, foi condenado por hackear computador por seu papel no notório grupo LulzSec “. Além disso, Lee (2013) diz que ele foi “proibido de criar arquivos criptografados, limpar com segurança os dados ou excluir seu histórico da internet”.

Ofuscação dos rastros – Atacar as ferramentas

De acordo com Rekhis & Boudriga, (2010), a técnica mais comum é a ofuscação da fonte do ataque. Aqui, o invasor usa algumas informações falsas para enganar o investigador (por exemplo, cabeçalhos de e-mail falso, alteração de extensões de arquivo). Por isso, às vezes, o investigador pode perder alguns dados que têm valor forense.

Desafios de recursos

Dependendo do cenário, o volume de dados envolvidos no caso pode ser grande. Nesse caso, o investigador deve analisar todos os dados coletados para coletar provas. Pode levar muito mais tempo para a investigação. Uma vez que o tempo é um fator limitante, torna-se outro grande desafio no campo da forense digital.

Na técnica forense de memória volátil, uma vez que os dados armazenados na memória volátil são efêmeros, as atividades do usuário são substituídas pela memória volátil. Portanto, os pesquisadores podem analisar apenas informações recentes que são armazenadas na memória volátil. Isso reduz o valor forense dos dados para a investigação.

Ao coletar dados da fonte, um investigador deve certificar-se de que nenhum dos dados seja modificado ou faltado durante a investigação, e os dados devem estar bem protegidos.

As fontes de dados que estão danificadas não podem ser facilmente utilizadas nas investigações. Portanto, é um problema importante quando um investigador encontra uma fonte valiosa que não é utilizável.

Desafios legais

A privacidade também é importante para qualquer organização ou vítima. Em muitos casos, pode ser necessário que o especialista em Forense Digital compartilhe os dados ou comprometa a privacidade para chegar à verdade. Uma empresa privada ou um usuário individual pode gerar muitas informações privadas no uso do dia a dia. Então, pedir a um investigador para examinar seus dados pode arriscar sua privacidade sendo revelada.

Casey (2011) afirmou que:

Em 2000, durante uma investigação sobre o notório Online Wonderland Club, Grant argumentou que todas as evidências encontradas em sua casa deveriam ser suprimidas porque os investigadores não conseguiram provar que ele era a pessoa associada às atividades on-line ilegais em questão. No entanto, a acusação apresentou evidência corroborante suficiente para provar seu caso.

Torna-se um desafio quando o investigador “acidentalmente” descobre ou tropeça em alguns fatos relacionados ao crime, mas não tem permissão para usá-los contra o atacante devido a problemas de privacidade. Isso afeta todo o processo de investigação e limita o investigador até certo ponto.

Conforme afirmado por Bui, Enyeart & Luong (2003), considerações éticas devem ser examinadas devido à riqueza de informações coletadas das investigações forenses. Para garantir a integridade dos dados, estes devem ser coletados e armazenados com cuidado e legalmente. Conforme mencionado por Bui, Enyeart & Luong (2003), é importante estar ciente da privacidade de suspeitos e vítimas. Além disso, Bui, Enyeart e Luong (2003) declararam que os investigadores precisam ter um bom conhecimento de várias leis e “estatutos que governam a coleta de evidências eletrônicas, incluindo a quarta alteração da constituição”.

Referências

Fonte

O que é a Confidencialidade, Integridade e Disponibilidade dos Dados?

O que é isso?

Talvez você pode ter ouvido especialistas em Segurança da Informação fazer referencias à CIA (Confidentiality, Integrity and Availability) ou CID (português) e geralmente não estão falando sobre a Classificação Internacional de Doenças ou Central Intelligence Agency.

O CID é um benchmark (banco de testes, avaliação de atividades) amplamente utilizado para avaliar a Segurança dos Sistemas de Informação, com foco nos três objetivos principais como a Confidencialidade, Integridade e Disponibilidade das informações.

 

Confidencialidade dos dados

A confidencialidade refere-se a limitar o acesso e a divulgação de informações aos usuários autorizados – “as pessoas certas” – e impedindo o acesso ou a divulgação a pessoas não autorizadas – “as pessoas erradas”.

Subjugar o objetivo da confidencialidade são os métodos de autenticação, como IDs de usuários e senhas, que identificam de maneira exclusiva os usuários de um sistema de dados e que suportam métodos de controle que limitam o acesso de cada usuário identificado aos recursos do sistema de dados.

Também é critico para a confidencialidade – e integridade e disponibilidade de dados – são proteções contra ataques de softwares maliciosos (malwares), spywares, spams e phishing.

Integridade dos dados

A integridade refere-se à confiabilidade dos recursos de informação.  Saiba mais aqui.

Inclui o conceito de “integridade dos dados”, ou seja, que os dados não foram alterados de forma inadequada, seja por acidente ou deliberadamente maligna. Também inclui “origem” ou “integridade da fonte”, ou seja, que os dados realmente vieram da pessoa ou entidade que você acha, e não de um impostor.

A integridade pode até incluir a noção de que a pessoa ou entidade em questão inseriu a informação certa – ou seja, que a informação refletiu as circunstâncias reais (em estatísticas, este é o conceito de “validade”) e que, nas mesmas circunstâncias, geraria Dados idênticos (o que os estatísticos chamam de “confiabilidade”). 

Em uma visão mais restritiva, no entanto, a integridade de um sistema de informação inclui apenas preservação sem corrupção de qualquer coisa que seja transmitida ou entrada no sistema, certo ou errado.

Disponibilidade dos dados

A disponibilidade refere-se, sem surpresa, à disponibilidade de recursos de informação. Um sistema de informação que não está disponível quando você precisar é pelo menos tão ruim quanto nenhum. Pode ser muito pior, dependendo de quão confiável a organização se tornou em um computador operacional e infra-estrutura de comunicação.

Quase todas as organizações modernas são altamente dependentes dos sistemas de informação em funcionamento. Muitos literalmente não podiam operar sem eles.

A disponibilidade, como outros aspectos da segurança, pode ser afetada por problemas puramente técnicos (por exemplo, uma parte defeituosa de um computador ou dispositivo de comunicação), fenômenos naturais (por exemplo, vento ou água) ou causas humanas (acidentais ou deliberadas).

Embora os riscos relativos associados a essas categorias dependam do contexto particular, a regra geral é que os seres humanos são o elo mais fraco. (É por isso que a capacidade e a vontade de cada usuário de usar um sistema de dados com segurança são críticas).

Prevenção versus detecção

Os esforços de segurança para garantir a confidencialidade, integridade e disponibilidade podem ser divididos em orientados para prevenção e aqueles focados na detecção. Este último pretende descobrir e corrigir rapidamente os lapsos que não poderiam ser impedidos, ou pelo menos não. 

O equilíbrio entre prevenção e detecção depende das circunstâncias e das tecnologias de segurança disponíveis. Por exemplo, muitas casas derrubaram facilmente os bloqueios de portas e janelas, mas contam com um alarme de roubo para detectar (e sinalizar a ajuda depois) intrusões através de uma janela ou porta comprometida.  

A maioria dos sistemas de informação emprega uma série de métodos de prevenção de intrusão, dos quais os IDs de usuário e as senhas são apenas uma parte. Eles também empregam métodos de detecção como  trilhas de auditoria para retirar atividade suspeita que pode sinalizar uma intrusão.

Segurança no contexto

É fundamental lembrar que os níveis “adequados” ou “adequados” de confidencialidade, integridade e disponibilidade dependem do contexto, assim como o equilíbrio adequado entre prevenção e detecção.

A natureza dos esforços que os sistemas de informação suportam; Os riscos naturais, técnicos e humanos para esses empreendimentos; Governando os padrões legais, profissionais e costumeiros – tudo isso condicionará o modo como os padrões da CIA são definidos em uma situação particular.

Uma questão de segurança (literalmente) mais próxima da casa pode ser útil a este respeito: a sua residência pessoal é segura? Em algumas situações, fechaduras simples nas portas e janelas fechadas seriam suficientes para uma resposta “sim”. Em outros, seriam necessários bloqueios de travagem suplementares, janelas de alta resistência, alarmes anti-roubo, um cão vicioso e uma arma pessoal para uma resposta afirmativa.

E se a mesma pergunta fosse questionada sobre o banco em que você mantivesse suas economias? Suspeitamos que seu padrão de segurança seja diferente do que para sua casa. Então, é para segurança da informação e CIA: o contexto é (quase) tudo.

Fonte

O que é um sistema de prevenção de intrusão?

O que é um sistema de prevenção de intrusão?

Noções básicas do sistema de detecção e prevenção de intrusão

Um sistema de prevenção de intrusão (IPS) é uma tecnologia de segurança/prevenção de ameaças que examina os fluxos de tráfego de rede para detectar e prevenir exploits de vulnerabilidade. Os exploits de vulnerabilidade geralmente vêm na forma de entradas maliciosas em um aplicativo ou serviço alvo que os invasores usam para interromper e obter o controle sobre um aplicativo ou máquina. Depois de um exploit bem-sucedido, o invasor pode desabilitar o aplicativo alvo (resultando em um estado de negação de serviço) ou pode acessar todos os direitos e autorizações disponíveis para o aplicativo comprometido.

Prevenção

O IPS frequentemente se localiza diretamente atrás do firewall e proporciona uma camada complementar de análise que seleciona negativamente o conteúdo perigoso. Diferentemente de seu predecessor, o Sistema de Detecção de Intrusão (IDS) – que é um sistema passivo que examina o tráfego e informa sobre ameaças – o IPS é colocado em linha (no caminho de comunicação direto entre origem e destino), analisando ativamente e realizando ações automaticamente em relação a todo o fluxo de tráfego que entra na rede. Especificamente, essas ações incluem:

  • Enviar um alarme ao administrador (como poderia ser em um IDS)
  • Derrubar pacotes maliciosos
  • Bloquear o tráfego a partir do endereço de origem
  • Redefinir a conexão

Como um componente de segurança em linha, o IPS deve funcionar de forma eficiente para evitar a degradação do desempenho de rede. Ele também deve trabalhar rápido, porque os exploits podem ocorrer quase em tempo real. O IPS também deve detectar e responder de forma precisa, de modo a eliminar ameaças e falsos positivos.

Detecção

O IPS tem vários métodos de detecção para encontrar exploits, mas a detecção baseada em assinatura e a detecção baseada em anomalias estatísticas são os dois mecanismos dominantes.

A detecção baseada em assinatura se baseia em um dicionário de padrões (ou assinaturas) exclusivamente identificáveis no código de cada exploit. Quando um exploit é descoberto, sua assinatura é gravada e armazenada em um dicionário de assinatura que está sempre aumentando. A detecção de assinaturas para o IPS se divide em dois tipos:

  • Assinaturas voltadas para exploit identificam exploits individuais ativando-se nos padrões exclusivos de uma tentativa específica de exploit. O IPS pode identificar exploits específicos encontrando uma correspondência com uma assinatura voltada para exploit no fluxo de tráfego
  • Assinaturas voltadas para vulnerabilidade são assinaturas mais amplas cujo objetivo é destacar a vulnerabilidade no sistema que está sendo visado. Essas assinaturas permitem que as redes se protejam de variantes de um exploit que podem ainda não ter sido diretamente observadas, mas também levanta o risco de falsos positivos. 

A detecção de anomalias estatísticas toma amostras aleatórias do tráfego de rede e as compara com um patamar de desempenho pré-calculado. Quando a amostra da atividade do tráfego de rede está fora dos parâmetros de um patamar de desempenho, o IPS realiza uma ação para resolver a situação. 

O IPS foi originalmente construído e lançado como um dispositivo independente em meados da década de 2000. Isso, no entanto, foi antes do advento das implementações de hoje, que agora são normalmente integradas nas soluções de gerenciamento de ameaças unificado (UTM) – para pequenas e médias empresas – e nos firewalls de última geração (ao nível de grandes corporações).

Fonte

Tudo o que você precisa saber sobre o ransomware Petya

Um novo tipo do ransomware Petya começou a se propagar em 27 de junho de 2017, infectando muitas organizações.

Figura 1. Top 20 países com base em números de organizações afetadas

Semelhante ao WannaCry, o Petya usa o recurso Eternal Blue como um dos meios para propagar-se. No entanto, ele também usa técnicas clássicas de disseminação em rede pelo SMB, o que significa que pode se espalhar dentro das organizações, mesmo que eles tenham feito correções contra o Eternal Blue.

Vetor de infecção inicial

A Symantec confirmou que o MEDoc, um pacote de software de imposto e contabilidade, é usado para a inserção inicial do Petya em redes corporativas. O MEDoc é amplamente utilizado na Ucrânia, indicando que as organizações desse país eram o principal alvo.

Depois de obter uma posição inicial, Petya usa uma variedade de métodos para se espalhar por redes corporativas.

Propagação e movimento lateral

Petya é um worm, o que significa que tem a capacidade de se auto-propagar. Ele faz isso criando uma lista de computadores alvo e usando dois métodos para se espalhar para esses computadores.

Endereço IP e coleta de credenciais

O Petya cria uma lista de endereços IP para se espalhar, que inclui principalmente endereços na rede de área local (LAN), mas também IPs remotos. A lista completa é construída da seguinte forma:

  • Todos os endereços IP e servidores DHCP de todos os adaptadores de rede;
  • Todos os clientes DHCP do servidor DHCP se as portas 445/139 estiverem abertas;
  • Todos os endereços IP dentro da sub-rede conforme definido pela máscara de sub-rede se as portas 445/139 estiverem abertas;
  • Todos os computadores que você possui uma conexão aberta com a rede;
  • Todos os computadores no cache ARP;
  • Todos os recursos no Active Directory;
  • Todos os recursos do servidor e da estação de trabalho na vizinhança de rede;
  • Todos os recursos no Windows Credential Manager (incluindo computadores do Remote Desktop Terminal Services).

Uma vez que a lista de computadores alvo foi identificada, a Petya cria uma lista de nomes de usuários e senhas que pode usar para se espalhar para esses destinos. A lista de nomes de usuário e senhas é armazenada na memória. Ele usa dois métodos para coletar credenciais:

  • Reúne nomes de usuário e senhas do Windows Credential Manager;
  • Goteia e executa um dumper de credencial de 32 ou 64 bits.

Movimento lateral (aborda a leitura e pentest dos hosts lateralmente)

Petya usa dois métodos principais para se espalhar por redes:

  • Execução através de compartilhamentos de rede: ele tenta se espalhar para os computadores alvo copiando-se para [COMPUTER NAME] \\ admin $ usando as credenciais adquiridas. Em seguida, ele é executado remotamente usando PsExec ou a ferramenta Windows Management Instrumentation Command Line (WMIC). Ambas são ferramentas legítimas;
  • Exploração do SMB: tenta espalhar-se usando variações das façanhas EternalBlue e EternalRomance.

O Petya verifica a presença dos seguintes processos que são utilizados pelos produtos Norton e Symantec Endpoint Protection:

  • Ns.exe;
  • Ccsvchost.exe.

Se encontrado, Petya não usará as façanhas EternalBlue e EternalRomance para se espalhar.

Infecção inicial e instalação

O Petya foi executado inicialmente através do rundll32.exe usando o seguinte comando:

Rundll32.exe perfc.dat, #1

Uma vez que a DLL foi carregada, primeiro tentará se remover do sistema infectado. Isso é feito abrindo o arquivo e substituindo seu conteúdo por bytes nulos antes de finalmente excluir o arquivo do disco. Substituir o arquivo por bytes nulos é usado como uma tentativa de frustrar a recuperação do arquivo usando técnicas forenses.

Em seguida, tenta criar o seguinte arquivo para ser usado como uma flag indicando que o computador foi infectado:

C:\Windows\perfc

Infecção e criptografia MBR

Uma vez instalado, o Petya prossegue para modificar a gravação mestre de inicialização (MBR). Isso permite que ele sequestre o processo de carregamento normal do computador infectado durante a próxima de reinicialização do sistema. O MBR modificado é usado para criptografar o disco rígido enquanto simula uma tela CHKDSK. Em seguida, exibe uma nota de resgate para o usuário.

A modificação do MBR não é bem sucedida se a ameaça for executada como um usuário normal, mas a ameaça ainda tentará se espalhar pela rede

Neste ponto, uma reinicialização do sistema é agendada usando o seguinte comando:

"/C at 00:49 C:\Windows\system32\shutdown.exe /r /f"

Ao programar e não forçar uma reinicialização, ele fornece tempo para permitir que o Petya se espalhe para outros computadores na rede antes que a criptografia do modo usuário ocorra.

Encriptação de arquivos

O Petya realiza criptografia de duas formas:

  • Depois que o Petya se espalhou para outros computadores, a criptografia do modo usuário ocorre onde os arquivos com uma extensão específica são criptografados no disco.
  • O MBR é modificado para adicionar um carregador personalizado que é usado para carregar um simulador CHKDSK. Este simulador é usado para ocultar o fato de que a criptografia de disco está ocorrendo. Isso é feito após a criptografia do modo usuário ocorrer e, portanto, a criptografia é dupla: modo usuário e disco completo.

Criptografia de modo de usuário

Uma vez que a propagação ocorreu, o Petya, em seguida, lista todos os arquivos em qualquer unidade fixa (por exemplo, C:\) e verifica qualquer uma das seguintes extensões de arquivo (ignorando o diretório %Windir% dessa unidade):

.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .nrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox. Vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip

Se alguma das extensões de arquivo corresponder à da lista de arquivos, a criptografia ocorre.

Wiper vs ransomware

Como mencionado, a criptografia realizada pelo Petya é dupla; Em primeiro lugar, os tipos de arquivos específicos são criptografados no modo usuário após ocorrer a propagação, a chave é criptografada com uma chave pública incorporada, Base64 codificada e anexada ao arquivo README.TXT.

Após a reinicialização do sistema ocorrer, o MBR infectado é carregado, a criptografia do disco começa e a nota do resgate é exibida para o usuário. A “chave de instalação” referenciada na nota de resgate exibida para o usuário é uma sequência gerada aleatoriamente. Uma chave Salsa20 gerada aleatoriamente é usada para criptografia de disco. Como não há relação entre a “chave de instalação” e a tecla Salsa20, o disco nunca pode ser descriptografado. Isso demonstra que Petya é mais precisamente um Wiper do que um Ransomware.

FAQs

Estou protegido do Petya Ransomware?

Os produtos Symantec Endpoint Protection (SEP) e Norton protegem proativamente os clientes contra tentativas de espalhar Petya usando o Eternal Blue. A tecnologia de detecção de comportamento SONAR também protege proativamente contra infecções de Petya.

Os produtos Symantec usando a versão de definições 20170627.009 também detectam componentes de Petya como Ransom.Petya.

O que é Petya?

Petya existe desde 2016. Difere do ransomware típico, pois não apenas criptografa arquivos, mas também sobrescreve e criptografa o registro mestre de inicialização (MBR).

Neste último ataque, a seguinte nota de resgate é exibida em computadores infectados, exigindo que US $ 300 em bitcoins sejam pagos para recuperar arquivos:

Figura 2. Nota de resgate exibida em computadores infectados com o Ransomware Petya, exigindo US $ 300 em bitcoins

Como o Petya se espalha e infecta computadores?

O software de contabilidade MEDoc é usado para liberar e instalar o Petya nas redes das organizações. Uma vez na rede, usa dois métodos para se espalhar.

Uma das formas pelas quais o Petya se propaga é explorando a vulnerabilidade MS17-010, também conhecida como EternalBlue. Também se espalha através da aquisição de nomes de usuários e senhas e propagação em compartilhamentos de rede.

Quem é afetado?

A Petya está impactando principalmente as organizações na Europa.

Isso é um ataque direcionado?

Não está claro neste momento, no entanto, o agente infector inicial é um software usado exclusivamente na Ucrânia, indicando que as organizações tinham os objetivos iniciais.

Devo pagar o resgate?

A Symantec recomenda que os usuários não paguem o resgate, particularmente porque não há evidências de que os arquivos serão restaurados.

Quais são os detalhes da proteção da Symantec?

Proteção baseada em rede

A Symantec possui a seguinte proteção IPS para proteger os clientes contra esses ataques:

Antivírus

  • Ransom.Petya
  • Ransom.Petya!g1

Tecnologia de detecção de comportamento SONAR

  • SONAR.Module!gen3

Skeptic

  • Trojan.gen

Fonte

Esqueceu a senha? O ataque MITM pode executar uma reinicialização de senha, alertam pesquisadores

O Instituto de Engenheiros Elétricos e Eletrônicos (IEEE) publicou recentemente um artigo detalhando um novo método de ataque do tipo Main-in-the-Middle (MitM) que permite que atores mal-intencionados realizem reinicializações de senha nos dispositivos das vítimas. Em seu artigo, “The Password Reset MitM Attack“, os pesquisadores do College of Management Academic Studies, Israel, explicaram que os cibercriminosos poderiam explorar as semelhanças entre o registro e os processos de redefinição de senha para comprometer contas em vários sites populares e aplicativos de mensagens móveis, incluindo Snapchat, Yahoo, Google, LinkedIn e Facebook.

 

Reforçando o processo de redefinição de senha

Os pesquisadores aconselharam as organizações afetadas a evitar o uso de questões de segurança estáticas em seus sites e a tornar os códigos de redefinição de senha inválidos após um curto período de tempo. Os serviços on-line também devem adicionar notificações por e-mail para o processo de reinicialização. Finalmente, os usuários devem ser obrigados a clicar em um link, não apenas inserir um código, para ativar uma nova senha. Embora os pesquisadores não tenham relatado nenhum ataque real que tenha usado esse método, sua análise de potenciais vulnerabilidades deve informar os profissionais de segurança. 

Fonte 

Petya.2017 é um wiper e não um ransomware

Ransomware-as-a-service logo será renomeado como Lure-as-a-Service

TL; DR: O ransomware foi uma atração para a mídia, esta variante de Petya é um wiper dissimulado.
Update1: poucas horas depois, a pesquisa da Kaspersky levou a uma conclusão semelhante.
Update2: adicionou mais informações sobre o comando wiper e as capturas de tela comparadas das duas chaves que confirmam visualmente a descoberta da Kaspersky e por que a rotina de cópia MBR não faz sentido.

Qual a diferença entre um wiper e um ransomware?

O objetivo de um wiper é destruir e danificar. O objetivo de um ransomware é ganhar dinheiro. Intenção diferente. Motivo diferente. Diferente narrativa. Um ransomware tem a capacidade de restaurar sua modificação, como (restaurando o MBR como no Petya de 2016, ou arquivos de descodificação se a vítima pagar) – um wiper simplesmente destruiria e excluía as possibilidades de restauração.
Ontem, fornecemos uma análise preliminar onde demonstramos que a versão 27 de junho de 2017 da Petya alavancada no SMB explora ETERNALBLUE e ETERNALROMANCE.
Hoje, passamos mais tempo para entender como os arquivos podem ser recuperados e como o MBR e MFT real estavam sendo codificados.

O setor Sloppy bloqueia modificações

Felizmente, há múltiplas análises existentes excelentes a partir de 2016 Petya que foram publicadas no ano passado em vários idiomas, como francês ou inglês [1, 2]. Hoje, a Microsoft publicou uma análise muito descritiva do Petya de 2017, mas por alguns motivos perdeu a parte abaixo.

Depois de comparar a implementação, percebemos que a implementação atual que infectou massivamente múltiplas entidades na Ucrânia foi, de fato, um wiper que acabou de destruir os 24 primeiros blocos do setor do disco enquanto se replicava. Alguns observaram que este era principalmente um Slack Space, pois apenas o primeiro setor é relevante para a maioria das máquinas – exceto poucas exceções. Observo principalmente que, uma vez que isso pode ser usado em alguns cenários, é por isso que considero isso uma sobreposição desleixada.

O primeiro bloco do setor está sendo codificado de forma reversível por XORed com a chave 0x7 e salvo mais tarde no 34º bloco. Mas, uma vez que o substitui por um novo carregador de inicialização (41f75e5f527a3307b246cadf344d2e07f50508cf75c9c2ef8dc3bae763d18ccf) de 0x22B1 bytes basicamente define v19 para 0x19 (25).

16.0: kd:x86> ? 0x22B1 - (0x22B1 & 0x1FF) + 0x1024
Evaluate expression: 12836 = 00003224
16.0: kd:x86> ? 0x00003224 >> 9
Evaluate expression: 25 = 00000019

Isso significaria que 24 blocos do setor após o primeiro bloco do setor estão sendo substituídos propositadamente, eles não são lidos ou salvos em qualquer lugar. Enquanto a versão original do Petya de 2016 lê corretamente cada bloco de setor e os codifica reversivelmente.

2016 O Petya modifica o disco de uma forma que realmente pode reverter suas mudanças. Considerando que, 2017, Petya faz danos permanentes e irreversíveis ao disco.

À esquerda, podemos ver que a versão atual do Petya claramente foi reescrita para ser um wiper e não um ransomware real.

Esquerda (2017 Petya) com o código do wiper – Direita (2016 Petya) que lê e codifica blocos de setor.

Isso significa que a seção MBR do disco é propositalmente escrita pelo novo gerenciador de inicialização 41f75e5f527a3307b246cadf344d2e07f50508cf75c9c2ef8dc3bae763d18ccf.

Não há mais endereço de e-mail para pagamento

Além disso, o endereço de e-mail de pagamento não é mais acessível se as vítimas passassem a enviar pagamentos.

Função Wiper executada em algumas condições

Após uma análise mais aprofundada, (ver Apêndice A) descobrimos também que os invasores implementaram uma função que limpa os 10 primeiros setores de `\\\\. \\ PhysicalDrive0` incluindo o MBR em duas condições:

  • Se o comando hash calculado a partir de um nome de processo em execução (“avp.exe”) retorna 0x2E214B44;
  • Se a função que substitui o MBR real retorna um erro. Provavelmente como uma maneira genérica de detectar EDR tentando impedir modificações no bootloader.

A geração do comando hash e a gestão da flag para os diferentes modos podem ser encontradas em nossa versão descompilada aqui.
UPDATE: Após uma pesquisa adicional, determinamos que o comando de hash misterioso é gerado a partir de minúsculas “avp.exe” nome do processo que correspondem ao Kaspersky Anti-Virus.

Incompatibilidade chave

Como o Kaspersky informou, a chave gerada na tela é falsa e gerada aleatoriamente. Depois de ver mais como a chave do arquivo de criptografia foi gerada, também percebemos uma inconsistência que reforça essa afirmação. Isso também pode ser comprovado comparando a “chave de instalação” exibida no README.txt e na tela – como você pode ver, o formato é claramente diferente.
À esquerda é a exibição pelo código MBR que descrevemos acima como descuido, à direita o conteúdo do README.txt com uma chave real gerada pelo ransomware.

Isso significa que, supondo que um decriptador venha a ser liberado, a entrada requerida teria que passar pelo README.txt – não da tela.

Processo de criptografia de buggy

BOOL WINAPI CryptEncrypt(
_In_ HCRYPTKEY hKey,
_In_ HCRYPTHASH hHash,
_In_ BOOL Final,
_In_ DWORD dwFlags,
_Inout_ BYTE *pbData,
_Inout_ DWORD *pdwDataLen,
_In_ DWORD dwBufLen
);

Conforme descrito por Ladislav Zezula, a flag booleana final na função CryptEncrypt é inicializada incorretamente durante a criptografia.

Chave Salsa20 define como “inválido”

A tecla Salsa20 parece ter sido modificada com um editor hexadecimal e não recompilada. O novo valor também é configurado para o valor crítico “-1n3 id-id”, que pode ser lido como “identificador secreto inválido”.

Conclusão

Acreditamos que o ransomware foi de fato uma atração para controlar a narrativa da mídia, especialmente após os incidentes do WannaCry atrair a atenção para algum grupo misterioso de hackers em vez de um atacante estatal nacional como já vimos no passado em casos que envolvem wipers como Shamoon .
O atacante tomou um ransomware existente que ele reembalou.
Ultimamente, o número de ataques contra a Ucrânia aumentou de Power Grids sendo fechado para o carro, um oficial de inteligência militar superior explodindo ontem – o dia em que Petya.2017 infectou a Ucrânia.
O fato de fingir ser um ransomware enquanto sendo de fato um ataque de Estado-nação – especialmente porque a WannaCry provou que o ransomware amplamente difundido não é financeiramente lucrativo – é, em nossa opinião, uma maneira muito sutil do atacante para controlar a narrativa do ataque.
Nota adicional, venha participar da Kaspersky & Comae amanhã quinta-feira 29 @ 10AM EST para um webinar técnico sobre o Petya – sem argumento de vendas. Nós prometemos! Apenas material técnico.

Apêndice A – Chamador

https://blog.comae.io/petya-2017-is-a-wiper-not-a-ransomware-9ea1d8961d3b?gi=6bfe48771c13

Alerta nº 04/2017 – Ataques de Ransomware Petrwrap/Petya

Descrição do Problema

Temos recebido dos órgãos e de nossos colaboradores, alertas sobre ataques de Ransomware Petwrap/Petya, tendo como alvo o Leste da Europa, Rússia, Ucrânia, França, Espanha e Holanda. Esta variação de Ransomware é conhecida por Petrwrap/Petya.
O atacante explora as mesmas vulnerabilidades do Ransonware Wanacry, vulnerabilidades do Microsoft Server Message Block 1.0 (SMBv1), alertado no Boletim MS17-010 da Microsoft, ou através do comprometimento do protocolo da área de trabalho remota (Remote Desktop protocol – RDP), bloqueando o acesso aos arquivos e cobrando o “resgate” em bitcoins.

O que é um Ransomware?

Pode ser entendido como um código malicioso que infecta dispositivos computacionais com o objetivo de sequestrar, capturar ou limitar o acesso aos dados ou informações de um sistema, geralmente através da utilização de algoritimos de encriptação (crypto-ransoware), para fins de extorsão.
Para obtenção da chave de decriptação, geralmente é exigido o pagamento (ransom) através de métodos online, tipo “Bitcoins”.

Métodos de Ataques

Petwrap/Petya atua de forma um pouco diferente, em vez de criptografar arquivos individualmente, nega o acesso ao sistema atacando estruturas de baixo nível no disco, criando seu próprio Kernel com 32 setores.
O Ransomware atua no Master Boot Record (MBR) carregando o Kernel malicioso e criptografando o Master File Table (MFT) tornando o sistema inacessível.
Análise do arquivo petwrap.exe:  (https://www.hybridanalysis.com/sample/027cc450ef5f8c5f653329641ec1fed91f694e0d229928963b30f6b0d7d3a745?envir
onmentId=100).

Recomendações

Manter os sistemas atualizados para a versão mais recente ou aplicar os patch conforme orientação do fabricante.
Isolar a máquina da rede, ao primeiro sinal de infecção por malware;
Verificar o tráfego de máquinas internas para domínios não usuais ou suspeitos;
Monitorar as conexões internas e não usuais entre máquinas da rede, a fim de evitar o movimento lateral de propagação do malware;
Garantir o backup atualizado dos arquivos locais e dos Armazenados em Servidores de Arquivos;
Manter o antivírus, aplicação de “Patchs” de segurança e a “blacklist” (filtro “antispam”) de email atualizados;
Rever a política de privilégios administrativos nas máquinas clientes, a fim de restringir a instalação /execução de binários e ou executáveis desconhecidos; e
Por fim, realizar campanhas internas, alertando os usuários a não clicar em links ou baixar arquivos de e-mail suspeitos ou não reconhecidos como de origem esperada.

Sugestões para Mitigação do Problema

  • Isolar a rede infectada e aplicar o patch conforme Bolentim MS17-010 da Microsoft – Crítico;
  • Bloquear as portas UDP 137, 138 e TCP 139, 445 até solucionar o problema;
  • A recuperação dos arquivos infectados é quase impossível, sem a chave de encriptação, devido ao tipo de criptografia forte utilizada, portanto a política de Backup é a medida mais eficaz para evitar a perda de dados; e
  • Não é recomendável, em nenhuma hipótese, o pagamento de valores aos atacantes.

Referências:

https://www.us-cert.gov/ncas/current-activity/2017/06/27/Multiple-Petya-RansomwareInfections-Reported.
http://thehackernews.com/2017/06/petya-ransomware-attack.html?m=1
http://blog.checkpoint.com/2017/06/27/global-ransomware-attack-spreading-fast/
https://www.checkpoint.com/defense/advisories/public/2017/cpai-2017-0205.html
http://www.ctir.gov.br/arquivos/alertas/2016/ALERTA_2016_02_AtaquesRansomware.pdf
https://www.ccn-cert.cni.es/seguridad-al-dia/comunicados-ccn-cert/4464-ataque-masivo-deransomware-que-afecta-a-un-elevado-numero-de-organizaciones-espanolas.html
https://www.us-cert.gov/ncas/alerts/TA16-091A
https://www.us-cert.gov/ncas/alerts/TA17-132A#revisions
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

Fonte