Mais Arquivos. julho 2020

Um sistema de alerta precoce para cyber-rangers (também conhecido como – Adaptive Anomaly Control)

Provavelmente, se você normalmente trabalha no escritório, ele ainda deve estar meio vazio – ou completamente – vazio, como o nosso. Na nossa sede, as únicas pessoas que você vê são os guardas de segurança ocasionais, e o único barulho que você ouve é o zumbido dos sistemas de refrigeração de nossos servidores altamente carregados, pois todo mundo está conectado e trabalhando em casa.

Você nunca imaginaria que, sem serem vistas, nossas tecnologias, especialistas e produtos estão trabalhando 24/7 protegendo o mundo cibernético. Mas eles estão. Porém, ao mesmo tempo, os bandidos estão tramando novos truques desagradáveis. Da nossa parte, temos um sistema de alerta precoce em nossa coleção de ferramentas de proteção cibernética. Mas chegarei a isso daqui a pouco…

O papel de uma mulher ou homem da área de segurança de TI se assemelha, de certa forma, ao de um guarda florestal: capturar os caçadores furtivos (malware) e neutralizar a ameaça que eles representam para os habitantes da floresta. Então, antes de tudo, você precisa encontrá-los. Claro, você pode simplesmente esperar até que o rifle de um caçador caia e corra em direção à origem do som, mas isso não exclui a possibilidade de que você chegue tarde demais e que a única coisa que possa fazer seja limpar a bagunça.

Você pode ficar completamente paranóico: colocando sensores e câmeras de vídeo por toda a floresta, mas pode se sentir reagindo a todo e qualquer farfalhar que apanha (e logo perde o sono, e o juízo). Mas quando você percebe que os caçadores furtivos aprenderam a se esconder muito bem – na verdade, a não deixar nenhum vestígio de sua presença – fica claro que o aspecto mais importante da segurança é a capacidade de separar eventos suspeitos de eventos regulares e inofensivos.

Cada vez mais, os caçadores cibernéticos de hoje estão se camuflando com a ajuda de ferramentas e operações perfeitamente legítimas.

Alguns exemplos: a abertura de um documento no Microsoft Office, o acesso de administrador remoto ao administrador do sistema, o lançamento de um script no PowerShell e a ativação de um mecanismo de criptografia de dados. Depois, há a nova onda do chamado malware sem arquivo, deixando literalmente zero traços no disco rígido, o que limita seriamente a eficácia das abordagens tradicionais de proteção.

Exemplos: (1) o agente de ameaças da Platinum usou tecnologias sem arquivo para penetrar nos computadores das organizações diplomáticas; e (2) documentos de escritório com carga maliciosa foram usados para infecções por phishing nas operações do DarkUniverse APT; e há muito mais. Mais um exemplo: o criptografador de ransomware sem arquivo ‘Mailto’ (também conhecido como Netwalker), que usa um script do PowerShell para carregar código malicioso diretamente na memória de processos confiáveis do sistema.

Agora, se a proteção tradicional não estiver à altura da tarefa, é possível tentar proibir aos usuários toda uma gama de operações e introduzir políticas rígidas de acesso e uso de software. No entanto, considerando isso, os usuários e os bandidos provavelmente encontrarão maneiras de contornar as proibições (assim como a proibição do álcool sempre foi contornada também :).

Muito melhor seria encontrar uma solução que possa detectar anomalias nos processos padrão e que o administrador do sistema seja informado sobre elas. Mas o que é crucial é que essa solução seja capaz de aprender a determinar automaticamente com precisão o grau de “suspeita” dos processos em toda a sua grande variedade, para não atormentar o administrador do sistema com gritos constantes de “lobo!”

Bem, você adivinhou! – temos uma solução: Adaptive Anomaly Control, um serviço construído a partir de três componentes principais – regras, estatísticas e exceções.

Leia em:Um sistema de alerta precoce para cyber-rangers (também conhecido como – Adaptive Anomaly Control)

Ciberpassado, oitava parte: 1998-2000 (três estreias: reestruturação, escritório no exterior, conferência de parceiros)

Os primeiros anos após a fundação da empresa foram os mais difíceis de todos, porque realmente tivemos que suar de verdade, nos dedicar para valer. Era como se estivéssemos comprimindo uma mola para que ela fosse lançada mais tarde para levar a empresa ao alto e muito além do horizonte e na direção certa de sonhos ambiciosos (tenha cuidado com o que você deseja de verdade :). Após o registro formal da KL em 1997, com muito pouco fizemos muito. Não tínhamos dinheiro e quase nenhum recurso, mas o transportador de segurança cibernética não espera por ninguém: novas tecnologias eram necessárias e o mercado exigia novos produtos. Por isso, trabalhavam duro, na maioria dos fins de semana e quase sem férias. Então, no que estávamos trabalhando? Aqui está um exemplo …

Junho de 1998: a epidemia global do vírus de Chernobyl (CIH). As outras empresas de antivírus não perceberam ou não se incomodaram ou estavam de férias; nós éramos praticamente os únicos com um produto que não apenas detectava, mas também curava sistemas infectados com esse patógeno. O www (ou seja, não apenas o Runet 🙂 traçou links para o nosso site. Foi assim que fomos recompensados por nossas reações super-rápidas a novas ameaças – além de nossa capacidade de lançar atualizações rápidas com procedimentos para o tratamento de ameaças específicas. Embora essa ameaça específica a vírus tenha sido incrível e habilmente instalada na memória do Windows, chamadas de acesso a arquivos de forma geral e arquivos executáveis infectados – todos exigiram um processo de dissecção personalizado que seria impossível fornecer sem a funcionalidade flexível das atualizações.

Então, foi difícil: sim; mas estávamos obtendo resultados e crescendo. E então, dois meses depois, recebemos uma mão amiga (do destino ?!) do tipo mais inesperado …

Agosto de 1998: a crise financeira russa, com desvalorização do rublo, mais a Rússia inadimplente com sua dívida. Foi ruim para a maioria dos russos em geral, mas tivemos muita sorte: todos os nossos parceiros estrangeiros nos pagaram antecipadamente em moeda estrangeira. Nós éramos exportadores. Nossa moeda operacional / de trabalho – um rublo fortemente desvalorizado; nossa renda – dólares, libras esterlinas, ienes etc. Estávamos indo bem!

Mas não descansamos em nossos louros da sorte em meio à crise financeira. Usamos o período também para contratar novos profissionais – caros! – gerentes. Logo tínhamos diretores comerciais, técnicos e financeiros. E logo depois, começamos a contratar gerentes de nível intermediário também. Esta foi a nossa primeira ‘reestruturação’ – quando a ‘equipe’ se tornou uma ‘empresa’; quando as relações amigáveis e orgânicas foram substituídas por uma estrutura organizacional mais formal, subordinação e responsabilidade. A reestruturação poderia ter sido dolorosa; felizmente, não foi: seguimos sem muita saudade dos velhos tempos de clima familiar.

// Com relação a esse tipo de reorganização, reestruturação e ‘greengineering’ – eu recomendo o livro Reengineering the Corporation, de Michael Hammer e James Champy. É realmente muito bom. Outros livros úteis – aqui.

Em 1999, abrimos nosso primeiro escritório no exterior – em Cambridge, no Reino Unido. Mas, como o mercado britânico é talvez um dos mais difíceis de se inserir para estrangeiros, por que ir para lá? Na verdade, foi meio que por acaso (eu vou te contar como a seguir). Ainda assim, tivemos que começar em algum lugar e, de qualquer maneira, nossas primeiras experiências – incluindo muitos erros e lições aprendidas – no Reino Unido ajudaram a tornar o desenvolvimento dos negócios em outros países muito mais suave…

Nossa primeira turnê de imprensa ocorreu em Londres, já que estávamos na capital britânica para uma conferência de segurança de TI (InfoSecurity Europe). Na turnê de imprensa, anunciamos orgulhosamente nossa intenção de abrir um escritório no Reino Unido. Mas os jornalistas simplesmente perguntavam o motivo, já que já havia Sophos, Symantec, McAfee e etc. já confortavelmente estabelecidas no país. Então, mudamos para o modo nerd: contamos a eles tudo sobre como nossa empresa era verdadeiramente inovadora, tudo sobre nossas tecnologias e produtos exclusivos e como – por causa deles – somos melhores do que toda a concorrência que eles acabaram de mencionar. Tudo isso foi observado com muito interesse e surpresa (e outro bônus: desde então nunca foram feitas perguntas tolas!). Enquanto isso, na InfoSecurity Europe, dei meu primeiro discurso a um público de língua inglesa composto por … dois jornalistas, que eram nossos amigos no Virus Bulletin, que já sabiam muito sobre nós! Ainda assim, essa foi a primeira e a última vez que nossas apresentações não foram realizadas em casa cheia (mais detalhes: aqui).

No que diz respeito à nossa primeira conferência de parceiros, foi assim que tudo aconteceu …

Em algum momento do inverno de 1998-1999, fomos convidados para a conferência de parceiros do nosso parceiro OEM F-Secure (Data Fellows). E foi assim que aprendemos sobre todo o formato de conferência de parceiros e como é uma ótima idéia: reunir todos, compartilhar todas as informações mais recentes sobre tecnologias e produtos, ouvir as preocupações e problemas dos parceiros e discutir novas ideias. Como não somos de perder tempo – em um ano (em 1999), organizamos nossa própria conferência de parceiros, convidando cerca de 15 parceiros da Europa, EUA e México para Moscou. Aqui estamos todos, na Praça da Revolução, ao lado da Praça Vermelha e do Kremlin:

 

Leia em:Ciberpassado, oitava parte: 1998-2000 (três estreias: reestruturação, escritório no exterior, conferência de parceiros)

Flickr photostream

  • KLHQ
  • KLHQ
  • KLHQ
  • KLHQ

Instagram Photostream

Brincando de esconde e esconde – com malwares sem arquivos

Códigos maliciosos… chegam por todo os lugares…

É um pouco parecido com um gás, que sempre preenche o espaço em que se encontra, mas diferente: sempre passa por “buracos” (vulnerabilidades) em um sistema de computador. Portanto, nosso trabalho (aliás, um deles) é encontrar esses buracos e abri-los. Nosso objetivo é fazer isso de forma proativa; isto é, antes que o malware os tenha descoberto ainda. E se o malware encontrar esses buracos, estaremos aguardando, prontos para atacá-lo.

Na verdade, é uma proteção proativa e a capacidade de prever as ações dos invasores e criar uma barreira antecipada que possa distinguir a cibersegurança genuinamente de excelência e alta tecnologia do marketing BS.

Hoje quero falar sobre outra maneira pela qual nossa proteção proativa protege contra outro tipo de malware, particularmente astuto. Sim, quero falar sobre algo chamado código malicioso sem arquivo (também conhecido como sem corpo) – uma raça perigosa de malware fantasma que aprendeu a usar as desvantagens de arquitetura do Windows para infectar computadores. E sobre a nossa tecnologia patenteada que combate essa ciberdoença específica. E farei como você gosta: coisas complexas explicadas simplesmente, de maneira leve e emocionante de um ciberthriller com elementos de suspense).

Primeiro, o que significa sem arquivo?

Bem, o código sem arquivo, uma vez inserido em um sistema de computador, não cria cópias de si mesmo na forma de arquivos em disco, evitando assim a detecção por métodos tradicionais como, por exemplo, com um monitor antivírus.

Então, como existe esse ‘malware fantasma’ dentro de um sistema? Na verdade, ele reside na memória de processos confiáveis! Sim. Eek.

No Windows (na verdade, não apenas no Windows), sempre existiu a capacidade de executar código dinâmico, o qual, em particular, é usado para compilação just-in-time; isto é, transformar o código do programa em código de máquina não imediatamente, mas como e quando for necessário. Essa abordagem aumenta a velocidade de execução de alguns aplicativos. E para oferecer suporte a essa funcionalidade, o Windows permite que os aplicativos insiram o código na memória de processo (ou mesmo em outra memória confiável de processo) e o executem.

Dificilmente isso pode ser considerado uma ótima ideia, do ponto de vista de segurança, mas o que você pode fazer? É assim que milhões de aplicativos escritos em Java, .NET, PHP, Python e outras linguagens e para outras plataformas estão trabalhando há décadas.

Previsivelmente, os cibercriminosos aproveitaram a capacidade de usar código dinâmico, inventando vários métodos para abusar dele. E um dos métodos mais convenientes e, portanto, mais difundidos que eles usam, é algo chamado injeção reflexiva. É o quê?! Deixe-me explicar (isso é bastante interessante, por favor, tenha paciência comigo:)…

Iniciar um aplicativo ao clicar no ícone – bem simples e direto, certo? Parece simples, mas, na verdade, existe todo o tipo de coisas: um carregador de sistema é acionado, no qual pega o respectivo arquivo do disco, carrega-o na memória e executa-o. E esse processo padrão é controlado por monitores antivírus, que verificam a segurança do aplicativo em tempo real.

Agora, quando há uma “reflexão”, o código é carregado ignorando o carregador do sistema (e, portanto, também ignorando o monitor antivírus). O código é colocado diretamente na memória de um processo confiável, criando um “reflexo” do módulo executável original. Essa reflexão pode ser executada como um módulo real carregado por um método padrão, mas não estará registrado na lista de módulos e, como mencionado acima, não possui um arquivo em disco.

Além disso, diferentemente de outras técnicas para injetar código (por exemplo, via shellcode), uma injeção de reflexão permite criar códigos funcionalmente avançados em linguagens de programação de alto nível e estruturas de desenvolvimento padrão sem praticamente nenhuma limitação. Então, o que você tem é: (i) nenhum arquivo, (ii) ocultação por trás de processos confiáveis, (iii) invisibilidade às tecnologias de proteção tradicionais e (iv) caminho livre para causar estragos.

Então, naturalmente, as injeções reflexivas foram um mega sucesso entre os desenvolvedores de códigos maliciosos: primeiro eles apareceram em pacotes de exploração, depois ciberespiões entraram no jogo (por exemplo, Lazarus e Turla) e depois cibercriminosos avançados (como uma forma prática e legítima de executar códigos complexos!), e depois pequenos cibercriminosos.

Agora, do outro lado das barricadas, encontrar uma infecção sem arquivos não é um passeio em um ciberparque. Portanto, não é de se admirar que a maioria das marcas de cibersegurança não estejam muito entusiasmadas. Algumas dificilmente conseguem fazer isso.

Leia em:Brincando de esconde e esconde – com malwares sem arquivos

Explorando a Rússia: Turismo ÷ lockdown × Acelerador = 3 vencedores!

No meio da primavera passada, quando estávamos todos presos em casa, ficou claro que as coisas pareciam obscuras para o mundo e permaneceriam assim por muito tempo. As empresas seriam duramente atingidas, para dizer o mínimo, enquanto o setor de turismo sofreria bastante impacto e muitas empresas não passariam pela crise. Então, na K, fizemos o que sempre fazemos: pense seriamente e encontre uma solução para ajudar as indústrias mais impactadas diante do cenário.

No início de maio, anunciei que o acelerador de turismo “Kaspersky Exploring Russia” havia começado a aceitar solicitações. Mas nunca pensei que receberíamos mais de 500, de 47 países (quase um quarto de todos os países do mundo!) Dos cinco continentes (todos, exceto a Antártica!). Ao analisar todas essas propostas, percebi o potencial da indústria do turismo: tantas ideias, startups e projetos. Não impusemos nenhum tipo de limitação geográfica nas propostas: elas poderiam ter vindo, e de fato vieram de diversas partes do mundo, apenas tiveram que apresentar projetos turísticos que deveriam abordar o potencial do turismo russo ou replicáveis na Rússia. Examinamos todos os aplicativos para escolher as 10 principais ideias e essas 10 foram inseridas no programa acelerador.

E por duas semanas, os 10 projetos participaram de master classes e conferências online. Cada equipe teve uma série de reuniões de densevolvimento com mentores. Os principais profissionais do setor compartilharam suas experiências e conhecimentos com os participantes para construir um negócio de sucesso. Alguns nomes que participaram da mentoria foram Vikas Bhola, diretor regional do Booking.com; Gemma Rubio, fundadora da Define the Fine; Vadim Mamontov, CEO da Russia Discovery; e outros profissionais do setor. Durante essas duas semanas, os participantes finalizaram seus projetos e apresentaram ao júri, inclusive para mim.

Na semana passada, os finalistas fizeram as suas apresentações e responderam às nossas perguntas no último dia do proceso de incubação. Entre os participantes, selecionamos três vencedores, que receberam prêmios de nossos parceiros. Vou contar um pouco sobre cada um deles …

O primeiro lugar foi ocupado pelo 360 Stories, um aplicativo de realidade aumentada com visitas guiadas ao vivo. Eles afirmam que sua missão é “modernizar a experiência tradicional do turismo, promovendo passeios interativos ao vivo usando guias em tempo real”. Com o 360 Stories, as pessoas agora podem visitar remotamente suas cidades e atrações favoritas, inscrevendo-se para uma experiência turística personalizada com um guia local em tempo real.

É digno de nota: o 360 Stories quase acabou perdendo, adormeceu e desapareceu! A apresentação foi feita às 5:30 da manhã, horário local de Nova York. No meio da madrugada, o Sr. 360 Stories adormeceu, apesar de ter colocado o despertador. Por fim, ele acordou e ligou para os organizadores para perguntar por que tinha 20 ligações não atendidas no telefone: “Você ganhou! Onde você está?”

Leia em:Explorando a Rússia: Turismo ÷ lockdown × Acelerador = 3 vencedores!

Cibernotícias do lado sombrio: vulnerabilidades inesperadas, hacking como serviço e spaceOS

Nosso primeiro mês de verão em confinamento acabou. E, embora as fronteiras do mundo pareçam está se abrindo cada vez mais, nós da Kaspersky decidimos não arriscar e permaneceremos trabalhando em casa. Mas isso não significa que nossa performance diminuiu: afinal, os cibercriminosos com certeza não estão de folga. Não houve grandes mudanças no cenário global de ameaças recentes. Mesmo assim esses cibercriminosos, como sempre, tiram cibertruques de suas cartolas. Então, aqui estão alguns casos do mês passado.

Vulnerabilidade zero-day no “super seguro” Linux Tails

O Facebook com certeza sabe como gastar. E ele gastou uma quantia de seis dígitos quando patrocinou a criação de uma exploração zero-day em uma vulnerabilidade no sistema operacional Tails (Linux, especialmente ajustado para aumentar a privacidade). Essa vulnerabilidade foi usada em uma investigação do FBI, que levou à captura de um pedófilo. Já se sabia há algum tempo que esse criminoso usava esse sistema operacional específico – que é particularmente seguro -. O primeiro passo do Facebook foi usar sua força no mapeamento de contas para conectar todas as que o criminoso usou. No entanto, converter essa cibervitória em um endereço físico não deu certo. Aparentemente, eles ordenaram o desenvolvimento de uma exploração para um aplicativo de player de vídeo. Essa escolha de software fazia sentido, já que o pedófilo pedia os vídeos de suas vítimas e provavelmente os assistia no mesmo computador.

Foi noticiado que os desenvolvedores do Tails não foram informados sobre a vulnerabilidade explorada, mas depois foi descoberto que ela já estava corrigida. Os funcionários da empresa mantêm o controle sobre tudo isso, mas o que está claro é que uma vulnerabilidade encomendada não é a melhor publicidade existente. Ainda existe alguma esperança de que a ameaça tenha sido direcionada para uma única vida, particularmente desagradável, e que isso não se repita para um usuário comum.

O ponto principal é: não importa o quão super mega seguro um projeto baseado em Linux afirme ser, não há garantia de que não haja vulnerabilidades nele. Para garantir isso, todos os princípios básicos de trabalho e a arquitetura de todo o sistema operacional precisam ser revisados. Erm, sim, na verdade, esta é uma boa oportunidade para fazer isso).

Hacking como serviço

Temos outra história sobre ciberataque sob medida. O grupo de cibercriminosos Dark Basin (supostamente indiano) foi pego com a mão na massa. Esse grupo é responsável por mais de mil hacks sob encomenda. Os alvos incluem burocratas, jornalistas, candidatos políticos, ativistas, investidores e empresários de vários países. Curiosamente, os hackers de Déli usaram ferramentas realmente simples e primitivas: primeiro eles criaram e-mails de phishing feitos para parecer que são de um colega ou amigo, juntaram atualizações falsas do Google Notícias sobre tópicos interessantes para o usuário e enviaram mensagens diretas semelhantes no Twitter. Em seguida, eles enviaram e-mails e mensagens contendo links encurtados para sites de phishing de credenciais que parecem sites genuínos, e foi isso – credenciais roubadas, outras coisas roubadas. E é isso! Nenhum malware complexo ou explorações! E aliás: parece que as informações iniciais sobre o que uma vítima está interessada sempre vieram da parte que ordenou o ciberataque..

Agora, o cibercrime sob encomenda é popular e está por aí há tempos. Nesse caso, os hackers levaram o produto para um outro nível – transportador – terceirizando milhares de acessos.

Fonte

Leia em:Cibernotícias do lado sombrio: vulnerabilidades inesperadas, hacking como serviço e spaceOS

CIBERPASSADO: SEXTA PARTE – Falando com a mídia

Na semana passada, percebi que completei um trimestre inteiro em lockdown / isolamento / quarentena. Três meses em casa, com apenas algumas breves viagens ao escritório deserto, além de todo fim de semana na dacha com a família igualmente isolada. Assim como tem sido para todos, uma existência diária muito extraordinária. Para mim (sem aviões/aeroportos, hotéis, reuniões ou discursos, enfim), poucas viagens.

No entanto, tudo é relativo: em três meses, viajamos mais de 230 milhões de quilômetros (um quarto de uma órbita completa da Terra ao redor do sol)! E isso sem levar em conta o fato de que o próprio Sistema Solar viaja a uma velocidade louca. Uma coisa que não mudou muito desde o início do lockdown são as reuniões de negócios – elas simplesmente foram todas transferidas para o ambiente online. Ah, sim: e todos os nossos negócios em geral estão funcionando como de costume, não afetados por vírus biológicos).

Mas chega de conversa fiada; minhas histórias do ciberpassado; desta vez, entrevistas com jornais, revistas, rádio, TV, além de várias outras apresentações públicas. (Lembrei da minha atividade de “relações com a mídia” ao contar sobre minha semana de entrevistas na CeBIT há muito tempo, outro dia, ao compilar minhas lembranças do CeBIT (Ciberpassado: quarta parte). E acontece que tenho muito a contar sobre experiências interessantes conversando com a mídia e falando em público, e tudo mais (muitas coisas divertidas e incomuns, além de, claro, algumas fotos (brilhantes e polidas) também).

E também tenho todo tipo de histórias com a mídia: de discursos em salas praticamente vazias a estádios lotados! Desde pequenas publicações de mídia locais desconhecidas até conglomerados de nomes de família de mídia global de primeira linha! Desde palestras profissionais nas principais universidades e/ou com públicos especialistas em tecnologia até palestras informais sobre as maravilhas da aritmética em um navio indo para a… Antártica via Passagem de Drake!

Certo. Eu acho que o mais lógico é começar pelo início…

Leia em:CIBERPASSADO: SEXTA PARTE – Falando com a mídia