Drones – chega de escândalos pela interrupção de aeroportos: estamos aqui para proteger você.

Há algumas semanas, este dispositivo misterioso, brilhante, claramente de alta tecnologia e futurista complementa a mobília minimalista do meu escritório em nossa sede. É tão brilhante e sofisticado e elegante e pós-moderno que sempre que recebo um visitante – o que não acontece frequentemente devido à nossa política geral do WFH – é a primeira coisa que eles notam, e a primeira pergunta é sempre, simplesmente, obviamente – “o que é isso?!”->

Leia em:Drones – chega de escândalos pela interrupção de aeroportos: estamos aqui para proteger você.

OpenTIP, segunda temporada: Pode entrar!

Um ano atrás, conversei com especialistas em segurança cibernética para informá-los sobre uma nova ferramenta que desenvolvemos. Nosso Portal Aberto de Inteligência de Ameaças (OpenTIP) oferece as mesmas ferramentas para análise de ameaças complexas (ou arquivos meramente suspeitos) que nossos ciberninjas GReAT usam. E muitas outras pessoas também os usam agora, testando zilhões de arquivos todos os meses.

Mas muita coisa mudou no ano passado, com praticamente todo o mundo tendo que trabalhar remotamente por causa do coronavírus, o que torna a vida mais difícil para os especialistas em segurança cibernética. Manter a segurança das redes corporativas tornou-se cem vezes mais problemático. Por mais precioso que fosse o tempo antes do COVID-19, ele é ainda mais valioso agora – e hoje, a solicitação que mais recebemos de nossos usuários mais sofisticados é simples e direta: acesso à API e limites de taxas mais elevados.

Vocês pediram, e nós atendemos.

Nova página inicial do Open Threat Intelligence Portal (Portal Aberto de Inteligência de Ameaças)

A nova versão do OpenTIP oferece registro de usuário, e eu recomendo fortemente que os visitantes regulares se registrem; uma grande parte da versão paga do Portal de Inteligência de Ameaças fica disponível quando você faz o registro.

Leia em:OpenTIP, segunda temporada: Pode entrar!

Flickr photostream

  • F1 Grand Prix Turkey 2020
  • F1 Grand Prix Turkey 2020
  • F1 Grand Prix Turkey 2020
  • F1 Grand Prix Turkey 2020

Instagram

Zen e a Arte de manter o contato com sócios

Justamente no momento em que as coisas pareciam estar no processo de retomada, uma segunda onda do vírus assola o mundo de novo. Em Moscou, as autoridades estão pressionando suavemente (pelo menos por agora) as empresas a manterem seus trabalhadores em casa, as escolas estão se preparando para voltar às aulas no Zoom novamente e nossa sede ainda está praticamente vazia (especialmente no âmbito de  P&D). Portanto, parece que não vamos sair dessa e que, quando o fizermos, continuaremos com máscaras e luvas, mantendo o distanciamento social e o apertar de mãos será substiuído por um simples aceno de cabeça, pelo menos no outono e inverno. Hmm: o que é melhor: COVID durante o verão ou durante o inverno? Complicado, certo? Bem, é melhor eu não me alongar nesse tópico porque é pouco produtivo.

“Um dia olharemos para 2020 e dificilmente acreditaremos no que aconteceu!” É provável. É mais, espero. Não?…

Ficamos surpresos com a rapidez  que o mundo inteiro “virou de cabeça para baixo” o e todos os terríveis efeitos na humanidade. Porém, como sempre sou daqueles que vêem o copo meio cheio em vez de meio vazio, hoje irei me concentrar em alguns dos aspectos positivos que surgiram durante a pandemia, pelo menos do ponto de vista de uma empresa como a nossa. Por exemplo, as novas habilidades e capacidades que tivemos que desenvolver enquanto trabalhamos em casa e com fronteiras fechadas sendo uma empresa internacional. Há sete meses ninguém voa para quase nenhum lugar, nossos escritórios estão quase vazios e não conseguimos realizar nossas conferências e jantares, nem interagir pessoalmente com nossos parceiros e clientes. Mesmo assim, a empresa segue forte e tão bem que, de fato, metas estão sendo superadas! Mas como? Te digo…

1. P&D. Praticamente todo mundo trabalha em casa! E trabalhando melhor do que antes, a julgar por (i) a introdução mais rápida de novos recursos em nossos produtos, (ii) a maior velocidade de retrabalho de código e (iii) a eficiência de nosso desenvolvimento, crescimento estimado de 15% . Opa! Basta dar uma olhada nos anúncios de nossos novos produtos, especialmente os de sistemas de controle industrial e empresarial. Alguns membros da equipe K (não muitos) estão de volta ao escritório, especialmente porque a ‘economia digital’ ainda não é totalmente digital – muitos formulários e documentos ainda precisam de assinaturas manuais, infelizmente. Caso contrário, todos seguiriam totalmente de casa!

2. Todos os especialistas da equipe GReAT  estão trabalhando remotamente, graças a nossa IA inteligência HuMachine , que detecta automaticamente 99,999% do malware que coletamos diariamente; isto é, muitos arquivos suspeitos que recebemos de todos os tipos de fontes diferentes, mas principalmente de nosso KSN baseado em nuvem; então, um grande obrigado a todos os nossos usuários que estão conectados à nossa infraestrutura de cloud! Com sua ajuda, colaboramos estreitamente com nossos usuários para criar soluções de cibersegurança realmente robustas frente aos ataques atuais. Além disso, fazemos isso constantemente, automaticamente e online.

A propósito: a cada dia nosso processamento é de literalmente milhões de arquivos (de todos os tipos, incluindo muito lixo), dos quais selecionamos cerca de 400.000 (quatrocentos mil!) novos programas maliciosos diariamente. Todos os dias! Ainda hoje! E dadas as condições de quarentena de um vírus biológico em todo o mundo, é um bom trabalho detectá-los, já que a maioria de nós passa muito mais tempo online do que há um ano.

3. Interação com sócios e clientes. Isso é o mais interessante. Com orgulho por nossa empresa e nossa equipe K, posso anunciar que conseguimos ver as oportunidades do período atual do coronavírus e a nosso favor! Não apenas aprendemos a trabalhar de forma eficaz com nossos parceiros e clientes online, mas conseguimos fazer esse trabalho ainda melhor do que antes. Assim, não apenas salvamos o mundo das ciberpandemias, mas também lutamos contra o mal.)

Agora fazemos quase tudo online: reuniões, debates, treinamentos, apresentações, incluindo instalação e manutenção remota de nossos produtos, inclusive nossa linha industrial. Eu poderia dizer que tivemos sucesso nesta área ou, como Tina Turner cantou uma vez, somos “simplesmente os melhores”, mas não vou: não quero atrair energia ruim para nossos sucessos online! E como um exemplo prático de nossa conectividade, deixe-me dizer algo sobre nossa conferência anual para distribuidores na Rússia e nos países de língua russa da União Soviética.

// Curta anedota: Nossa primeira conferência para distribuidores russos foi realizada em 2007 perto de Moscou. Desde então, as conferências têm “alçado novos voos” , ocorrendo em: Montenegro, Jordânia, Geórgia, Turquia, Emirados Árabes Unidos, Omã … Sempre foi ótimo e elas foram realizadas em ambientes divertidos e calorosos. Agora, é claro, não podemos visitar lugares tão ensolarados no exterior. Por isso decidimos realizar o evento em Moscou e transformá-lo em uma conferência “híbrida” online-offline (semelhante à que tivemos em setembro em Sochi).

Essa é a receita para preparar uma conferência de negócios (neste caso, para nossos distribuidores, mas pode ser usada para outras conferências e programas) no tempo do COVID-19. Ingredientes:

  • Um número mínimo de participantes fisicamente presentes.
  • O máximo de informações.
  • Trabalho em equipe.
  • Uma equipa técnica profissional (gravação, etc.) encarregada das emissões online.
  • Midori Kuma!

Objetivos:

  • Busque uma composição variável dos seus clientes. Convide um bom número online.
  • Transmitir a mensagem de que o trabalho remoto devido ao coronavírus não teve um impacto negativo no negócio, mas nos fez aprender a operar em novas condições e alcançar maior eficiência.
  • Envolvendo nossos parceiros e distribuidores com algo novo e útil que possa ajudá-los (a) a desenvolver seu próprio negócio e (b) fornecer a seus clientes serviços de melhor qualidade. Basicamente, como um “talk show” para uma audiência de massa.

Aí está: a receita do sucesso. Espera. Esqueci de uma coisa. Oh sim: fotos!

Leia em:Zen e a Arte de manter o contato com sócios

Ransomware: sem piadas

Primeiro, um breve contexto…

Em 10 de setembro, o ransomware/malware DoppelPaymer criptografou 30 servidores de um hospital, na cidade alemã de Dusseldorf, e devido a isso, a taxa de transferência de pacientes doentes caiu drasticamente. Há uma semana, devido a esta invasão, o hospital não conseguiu admitir uma paciente que precisava de uma operação urgente, e teve que encaminhá-la para um hospital em uma cidade vizinha. Ela morreu no caminho. Foi o primeiro caso conhecido de perda de vidas humanas como resultado de um ataque de ransomware.

Um caso muito triste, de fato – especialmente quando você olha mais de perto: houve o próprio “acidente” fatal (presumindo que os criminosos não previram uma fatalidade causada por suas ações horríveis); houve também uma clara negligência quanto ao cumprimento das regras básicas de higiene de cibersegurança; e também é evidente a incapacidade por parte das autoridades responsáveis ​​em aplicar a lei para combater com êxito os criminosos envolvidos neste crime.

Os hackers atacaram a rede do hospital por meio de uma vulnerabilidade (também conhecida como Shitrix) nos servidores Citrix Netscaler, que foi corrigida em janeiro. Parece que os administradores do sistema esperaram muito tempo antes de finalmente instalar a patch e, nesse meio tempo, os criminosos conseguiram entrar na rede e instalar uma backdoor.

Até aqui, apresentamos apenas fatos. A partir de agora, continuaremos com uma conjectura que não pode ser confirmada, mas que parece um tanto provável…

Não é possível descartar que, depois de algum tempo, que o acesso à backdoor não tenha sido vendido a outros hackers em fóruns clandestinos como “acesso à backdoor em uma universidade”. O ataque, de fato, foi inicialmente direcionado à vizinha Heinrich Heine University. Foi essa universidade que foi especificada no e-mail dos cibercriminosos exigindo um resgate pela devolução dos dados que eles criptografaram. Quando os hackers descobriram que era um hospital – não uma universidade – eles rapidamente entregaram todas as chaves de criptografia (e então desapareceram). Parece que os hospitais com Trojan não são tão atraentes para os cibercriminosos – eles são considerados ativos muito “tóxicos” (como ficou claro, da pior forma – com uma morte).

É provável que o grupo de hackers que tem como língua materna o russo, Evil Corp, esteja por trás do DoppelPaymer, um grupo com dezenas de outros cibercriminosos de alto perfil (incluindo na rede da Garmin). Em 2019, o governo dos Estados Unidos emitiu uma acusação para indivíduos envolvidos na Evil Corp e ofereceu uma recompensa de cinco milhões de dólares pela ajuda para capturá-los. O curioso é que as identidades dos criminosos são conhecidas e, até recentemente, eles se gabavam e exibiam seu estilo de vida estilo gangster – inclusive nas redes sociais.

Fonte

Leia em:Ransomware: sem piadas

Cibersegurança – a nova dimensão da qualidade automotiva

Muitas pessoas parecem pensar que o automóvel do século 21 é um dispositivo mecânico. Claro, ele adicionou eletrônicos para isso e aquilo, alguns mais do que outros, mas ainda assim, no final do dia, é uma obra de engenharia mecânica: chassis, motor, rodas, volante, pedais … A eletrônica – até mesmo os ‘computadores’ – apenas ajudam toda a parte mecânica. Eles devem fazer isso – afinal, os painéis hoje em dia estão repletos de monitores digitais, com quase nenhum indicador analógico à vista.

Bem, sendo bem honesto: não é bem assim!

Um carro hoje é basicamente um computador especializado – um ‘cibercérebro’, controlando a mecânica e a parte elétrica que tradicionalmente associamos à palavra ‘carro’ – o motor, os freios, os indicadores de direção, os limpadores de para-brisa, o ar condicionado e, na verdade, todo o resto.

No passado, por exemplo, o freio de mão era 100% mecânico. Você o puxava – com sua ‘mão’ (imaginou?!), e emitia um tipo de ruído áspero. Hoje você pressiona um botão. 0% mecânico. 100% controlado por computador. E é assim com quase tudo.

Agora, a maioria das pessoas pensa que um carro sem motorista é um computador que o dirige. Mas se há um humano atrás do volante de um carro moderno, então é o humano que dirige (não um computador), “claro, seu bobo!”

Lá vamos nós de novo… também não!

Como a maioria dos carros modernos de hoje, a única diferença entre aqueles que se dirigem e aqueles que são dirigidos por um ser humano é que, neste último caso, o ser humano controla os computadores de bordo. Já no primeiro, os computadores de todo o carro são controlados por outro computador principal, central, muito inteligente, desenvolvido por empresas como Google, Yandex, Baidu e Cognitive Technologies. Este computador recebe o destino, observa tudo o que está acontecendo ao seu redor, e então decide como navegar até o destino, em que velocidade, por qual rota e assim por diante com base em algoritmos mega-inteligentes, atualizados em nano-segundos.

Uma curta história da digitalização de veículos motorizados

Então, quando começou essa mudança da mecânica para o digital?

Alguns especialistas na área consideram que a informatização da indústria automobilística foi iniciada em 1955 – quando a Chrysler começou a oferecer um rádio transistor como opcional em um de seus modelos. Outros, talvez pensando que um rádio não é realmente um recurso automotivo, consideram que foi a introdução de ignição eletrônica, ABS ou sistemas eletrônicos de controle do motor que marcaram a informatização do automóvel (por Pontiac, Chrysler e GM em 1963, 1971 e 1979, respectivamente).

Não importa quando começou, o que se seguiu foi mais do mesmo: mais eletrônicos; então as coisas começaram a se tornar mais digitais – e as fronteiras entre as duas tecnologias mais difusas. Mas em minha opinião, o início da revolução digital em tecnologias automotivas foi em fevereiro de 1986, quando, na convenção da Society of Automotive Engineers, a empresa Robert Bosch GmbH apresentou ao mundo seu protocolo de rede digital para comunicação entre os componentes eletrônicos de um carro – a CAN (Controller Area Network). E é preciso dar o devido valor àqueles rapazes da Bosch: ainda hoje este protocolo é totalmente relevante – utilizado em praticamente todos os veículos em todo o mundo!

// Um breve resumo sobre a digitalização automotiva após a introdução da CAN:

Os meninos da Bosch nos deram vários tipos de buses CAN (baixa velocidade, alta velocidade, FD-CAN), enquanto hoje existem os FlexRay (transmissão), LIN (bus de baixa velocidade), optical MOST (multimídia) e, finalmente, on-board Ethernet (hoje – 100mbps; no futuro – até 1 Gbps). Quando os carros são projetados hoje em dia, vários protocolos de comunicação são aplicados. Entre eles estão a comunicação por cabo (sistemas elétricos em vez de ligações mecânicas), que nos trouxe os pedais de aceleração eletrônicos, pedais de freios eletrônicos (usados ​​pela Toyota, Ford e GM em seus híbridos e automóveis elétricos desde 1998), freios de mão eletrônicos, caixas de câmbio eletrônicas, e direção eletrônica (usada pela primeira vez pela Infinity em seu Q50 em 2014).

Buses e interfaces BMW

Leia em:Cibersegurança – a nova dimensão da qualidade automotiva

Aprenda a usar as regras YARA – como prever cisnes negros

Já se passou muito, muito tempo desde que a humanidade teve um ano parecido com este. Acho que nunca conheci um ano com uma concentração tão alta de cisnes negros de vários tipos e formas. E não me refiro ao tipo com penas. Estou falando sobre eventos inesperados com consequências de longo alcance, de acordo com a teoria de Nassim Nicholas Taleb, publicada em 2007.

Exemplo: este vírus horrível que mantém o mundo em lockdown desde março. Acontece que há toda uma família extensa de coronaviridae – várias dezenas delas – e novas são encontrados regularmente. Gatos, cachorros, pássaros e morcegos, todos as pegam. Os humanos não são exceção. Algumas causam resfriados comuns. Outras se manifestam… de forma diferente. Portanto, certamente precisamos desenvolver vacinas para elas, assim como temos para outros vírus mortais, como varíola, poliomielite e outros. Claro, mas ter uma vacina nem sempre ajuda muito. Olhe para a gripe – ainda não há  nenhuma vacina que inocule as pessoas depois de quantos séculos? E, de qualquer maneira, mesmo para começar a desenvolver uma vacina, você precisa saber o que está procurando, e isso parece mais arte do que ciência.

Então, por que estou dizendo isso? Qual é a conexão com… bem, inevitavelmente será uma ciber-curiosidade ou uma viagem exótica, certo?! Hoje começamos com a primeira.

Atualmente, uma das ciberameaças mais perigosas que existem são as de 0-day – vulnerabilidades raras e desconhecidas (para o pessoal da cibersegurança e outros) em softwares que podem causar danos em larga escala, mas que tendem a permanecer desconhecidas até o momento em que são explorados (ou às vezes até depois).

No entanto, os especialistas em cibersegurança têm maneiras de lidar com a ambiguidade e prever os cisnes negros. Neste post, quero falar sobre uma delas: YARA.

Resumidamente, o YARA auxilia na pesquisa e na detecção de malware, identificando arquivos que atendem a certas condições e fornecendo uma abordagem baseada em regras para a criação de descrições de famílias de malware com base em padrões textuais ou binários. (Eita, isso parece complicado. Continue lendo para esclarecimentos.) Portanto, ele é usado para pesquisar malware semelhantes, identificando padrões. O objetivo é poder dizer que certos programas maliciosos parecem ter sido feitos pelas mesmas pessoas, com objetivos semelhantes.

OK, vamos voltar para outra metáfora – outra baseada na água, como o cisne negro: o mar.

Digamos que sua rede seja o oceano, que está repleto de milhares de tipos de peixes e você é um pescador industrial que joga enormes redes no oceano para capturar peixes, mas apenas certas espécies de peixes (malwares criados por grupos específicos de cibercriminosos) são do seu interesse. Agora, a rede de deriva é especial. Ela possui compartimentos e em cada um dos compartimentos só pegam peixes de uma determinada espécie (características de malware).

Então, no final da pescaria, o que você tem é um monte de peixes, todos compartimentados, alguns dos quais são relativamente novos e nunca antes vistos (novas amostras de malware) sobre os quais você não sabe praticamente nada. Mas se eles estiverem em um determinado compartimento, por exemplo “parece com a espécie [grupo de cibercriminosos] X” ou “Parece com a espécie [grupo de cibercriminosos] Y.”

Este artigo ilustra a metáfora do peixe/pesca. Em 2015, nosso guru YARA e chefe do GReAT, Costin Raiu, incorporou o papel de Sherlock para encontrar um exploit no software Silverlight da Microsoft. Você deveria ler esse artigo, mas, resumindo, o que Raiu fez foi examinar cuidadosamente certas correspondências de e-mail vazadas por hackers para montar uma regra YARA praticamente do zero, e isso o ajudou a encontrar a falha, e assim, proteger o mundo do megaproblema. (A correspondência era de uma empresa italiana chamada Hacking Team – hackers hackers hackers!)

Então, sobre essas regras YARA

Há anos ensinamos a arte de criar regras YARA. As ciberameaças que a YARA ajuda a desvendar são bastante complexas, por isso sempre realizamos os cursos presencialmente – offline – e apenas para um grupo restrito dos principais pesquisadores de cibersegurança. É claro que, desde março, o treinamento offline tem sido complicado por causa do lockdown. No entanto, a necessidade de educação quase não desapareceu e, de fato, não vimos nenhuma queda no interesse em nossos cursos.

Isso é natural: os cibervilões continuam a pensar em ataques cada vez mais sofisticados – ainda mais nesse lockdown. Consequentemente, manter nosso know-how especializado sobre YARA para nós mesmos durante a quarentena seria simplesmente errado. Portanto, (1) transferimos nosso formato de treinamento do offline para o online e (2) o tornamos acessível a todos. Não é gratuito, mas para tal curso em tal nível (o mais alto), o preço é muito competitivo e com o mesmo padrão de qualidade que é encontrado no mercado.

Aqui:

Intercepte APTs com YARA como um ninja GReAT

Leia em:Aprenda a usar as regras YARA – como prever cisnes negros

Seus jogos consomem muitos recursos? Descubra o nosso modo de jogo

Quase 30 anos atrás, em 1993, apareceu a primeira encarnação do celebrado jogo de computador Doom. E foi graças a ela que os poucos (imagine!) donos de computadores domésticos da época descobriram que a melhor forma de se proteger dos monstros era usar espingardas e serras elétricas.

Eu nunca fui muito ligado em jogos (simplesmente por falta de tempo e por estar muito ocupado); no entanto, ocasionalmente, após um longo dia de trabalho árduo, colegas e eu passávamos uma hora ou mais como atiradores em primeira pessoa, conectados em nossa rede local. Até lembro dos campeonatos corporativos de Duke Nukem – tabelas de resultados que viravam assunto na hora do almoço na cantina, e até apostas sendo feitas/pagas para quem vencesse! Portanto, os jogos nunca estiveram muito longe.

Enquanto isso, nosso antivírus apareceu – completo, com grunhido de porco (ative a legenda em inglês no canto inferior direito do vídeo) para assustar até mesmo e o mais temível dos cibermonstros. Os três primeiros lançamentos correram bem. Então veio o quarto. Ele veio com muitas novas tecnologias contra cibermeaças complexas, mas não havíamos pensado bem na arquitetura – e também não a testamos o suficiente. O principal problema era a maneira como o programa consumia recursos, tornando os computadores mais lentos. E o software em geral – e os jogos em particular – estavam se tornando cada vez mais exigentes de recursos a cada dia; a última coisa que alguém precisava era um antivírus ávido por processador e RAM.

Portanto, tínhamos que agir rápido. E foi o que nós fizemos. E então, apenas dois anos depois, lançamos nossa lendária sexta versão, que superou todos os outros antivírus em velocidade (e também em confiabilidade e em flexibilidade). E, nos últimos 15 anos, nossas soluções têm estado entre as melhores em desempenho.

Leia em:Seus jogos consomem muitos recursos? Descubra o nosso modo de jogo

As 5 maiores tecnologias da Kaspersky que nos levaram ao Global Top-100 de inovação

Conseguimos de novo! Conseguimos de novo! Pela segunda vez, estamos no Derwent Top 100 Global Innovators – uma lista prestigiosa de empresas globais, elaborada com base em seus portfólios de patentes. E quando falo de prestigio é porque na lista estamos lado a lado de empresas como Amazon, Facebook, Google, Microsoft, Oracle, Symantec e Tencent; Além disso, esta seleção não é apenas de empresas aparentemente fortes em termos de patentes: é formada sobre o titânico trabalho analítico da Clarivate Analytics, que avalia mais de 14 mil (!) empresas candidatas em todos os tipos de critérios, dos quais o principal é a taxa de citação, também conhecida como ‘influência’. E como se isso já não fosse difícil o bastante, os requisitos mínimos para inclusão no Top-100 aumentaram, em cinco anos, cerca de 55%:

Explicando de uma maneira detalhada, a taxa de citação é o nível de influência das invenções nas inovações de outras empresas. Para nós, é a frequência com que somos mencionados por outros inventores em suas patentes. E ser mencionado formalmente na patente de outra empresa significa que você surgiu com algo novo e genuinamente inovador e útil, o que ajuda a “algo novo e genuinamente inovador e útil”. É claro que tal sistema estabelecido de reconhecimento de outros inovadores não é um lugar para quem tem meras patentes BS. E é por isso que nenhum deles chega perto deste Top-100. Enquanto isso, nós estamos lá entre as 100 maiores empresas inovadoras globais que realmente impulsionam o progresso tecnológico.

Uau, isso é bom. É como um tapinha nas costas por todo o nosso trabalho árduo: o verdadeiro reconhecimento das contribuições que temos feito. Viva!

Ainda desnorteado (e brilhando!) com tudo isso, e com uma certa curiosidade, fiquei me questionando quais seriam as nossas cinco tecnologias patenteadas que são mais citadas – ou seja, as mais influentes. Então eu dei uma olhada. E aqui está o que eu encontrei…

5º lugar – 160 citações: US8042184B1 – ‘Análise rápida do fluxo de dados quanto à presença de malware’.

Leia em:As 5 maiores tecnologias da Kaspersky que nos levaram ao Global Top-100 de inovação

Um sistema de alerta precoce para cyber-rangers (também conhecido como – Adaptive Anomaly Control)

Provavelmente, se você normalmente trabalha no escritório, ele ainda deve estar meio vazio – ou completamente – vazio, como o nosso. Na nossa sede, as únicas pessoas que você vê são os guardas de segurança ocasionais, e o único barulho que você ouve é o zumbido dos sistemas de refrigeração de nossos servidores altamente carregados, pois todo mundo está conectado e trabalhando em casa.

Você nunca imaginaria que, sem serem vistas, nossas tecnologias, especialistas e produtos estão trabalhando 24/7 protegendo o mundo cibernético. Mas eles estão. Porém, ao mesmo tempo, os bandidos estão tramando novos truques desagradáveis. Da nossa parte, temos um sistema de alerta precoce em nossa coleção de ferramentas de proteção cibernética. Mas chegarei a isso daqui a pouco…

O papel de uma mulher ou homem da área de segurança de TI se assemelha, de certa forma, ao de um guarda florestal: capturar os caçadores furtivos (malware) e neutralizar a ameaça que eles representam para os habitantes da floresta. Então, antes de tudo, você precisa encontrá-los. Claro, você pode simplesmente esperar até que o rifle de um caçador caia e corra em direção à origem do som, mas isso não exclui a possibilidade de que você chegue tarde demais e que a única coisa que possa fazer seja limpar a bagunça.

Você pode ficar completamente paranóico: colocando sensores e câmeras de vídeo por toda a floresta, mas pode se sentir reagindo a todo e qualquer farfalhar que apanha (e logo perde o sono, e o juízo). Mas quando você percebe que os caçadores furtivos aprenderam a se esconder muito bem – na verdade, a não deixar nenhum vestígio de sua presença – fica claro que o aspecto mais importante da segurança é a capacidade de separar eventos suspeitos de eventos regulares e inofensivos.

Cada vez mais, os caçadores cibernéticos de hoje estão se camuflando com a ajuda de ferramentas e operações perfeitamente legítimas.

Alguns exemplos: a abertura de um documento no Microsoft Office, o acesso de administrador remoto ao administrador do sistema, o lançamento de um script no PowerShell e a ativação de um mecanismo de criptografia de dados. Depois, há a nova onda do chamado malware sem arquivo, deixando literalmente zero traços no disco rígido, o que limita seriamente a eficácia das abordagens tradicionais de proteção.

Exemplos: (1) o agente de ameaças da Platinum usou tecnologias sem arquivo para penetrar nos computadores das organizações diplomáticas; e (2) documentos de escritório com carga maliciosa foram usados para infecções por phishing nas operações do DarkUniverse APT; e há muito mais. Mais um exemplo: o criptografador de ransomware sem arquivo ‘Mailto’ (também conhecido como Netwalker), que usa um script do PowerShell para carregar código malicioso diretamente na memória de processos confiáveis do sistema.

Agora, se a proteção tradicional não estiver à altura da tarefa, é possível tentar proibir aos usuários toda uma gama de operações e introduzir políticas rígidas de acesso e uso de software. No entanto, considerando isso, os usuários e os bandidos provavelmente encontrarão maneiras de contornar as proibições (assim como a proibição do álcool sempre foi contornada também :).

Muito melhor seria encontrar uma solução que possa detectar anomalias nos processos padrão e que o administrador do sistema seja informado sobre elas. Mas o que é crucial é que essa solução seja capaz de aprender a determinar automaticamente com precisão o grau de “suspeita” dos processos em toda a sua grande variedade, para não atormentar o administrador do sistema com gritos constantes de “lobo!”

Bem, você adivinhou! – temos uma solução: Adaptive Anomaly Control, um serviço construído a partir de três componentes principais – regras, estatísticas e exceções.

Leia em:Um sistema de alerta precoce para cyber-rangers (também conhecido como – Adaptive Anomaly Control)

Ciberpassado, oitava parte: 1998-2000 (três estreias: reestruturação, escritório no exterior, conferência de parceiros)

Os primeiros anos após a fundação da empresa foram os mais difíceis de todos, porque realmente tivemos que suar de verdade, nos dedicar para valer. Era como se estivéssemos comprimindo uma mola para que ela fosse lançada mais tarde para levar a empresa ao alto e muito além do horizonte e na direção certa de sonhos ambiciosos (tenha cuidado com o que você deseja de verdade :). Após o registro formal da KL em 1997, com muito pouco fizemos muito. Não tínhamos dinheiro e quase nenhum recurso, mas o transportador de segurança cibernética não espera por ninguém: novas tecnologias eram necessárias e o mercado exigia novos produtos. Por isso, trabalhavam duro, na maioria dos fins de semana e quase sem férias. Então, no que estávamos trabalhando? Aqui está um exemplo …

Junho de 1998: a epidemia global do vírus de Chernobyl (CIH). As outras empresas de antivírus não perceberam ou não se incomodaram ou estavam de férias; nós éramos praticamente os únicos com um produto que não apenas detectava, mas também curava sistemas infectados com esse patógeno. O www (ou seja, não apenas o Runet 🙂 traçou links para o nosso site. Foi assim que fomos recompensados por nossas reações super-rápidas a novas ameaças – além de nossa capacidade de lançar atualizações rápidas com procedimentos para o tratamento de ameaças específicas. Embora essa ameaça específica a vírus tenha sido incrível e habilmente instalada na memória do Windows, chamadas de acesso a arquivos de forma geral e arquivos executáveis infectados – todos exigiram um processo de dissecção personalizado que seria impossível fornecer sem a funcionalidade flexível das atualizações.

Então, foi difícil: sim; mas estávamos obtendo resultados e crescendo. E então, dois meses depois, recebemos uma mão amiga (do destino ?!) do tipo mais inesperado …

Agosto de 1998: a crise financeira russa, com desvalorização do rublo, mais a Rússia inadimplente com sua dívida. Foi ruim para a maioria dos russos em geral, mas tivemos muita sorte: todos os nossos parceiros estrangeiros nos pagaram antecipadamente em moeda estrangeira. Nós éramos exportadores. Nossa moeda operacional / de trabalho – um rublo fortemente desvalorizado; nossa renda – dólares, libras esterlinas, ienes etc. Estávamos indo bem!

Mas não descansamos em nossos louros da sorte em meio à crise financeira. Usamos o período também para contratar novos profissionais – caros! – gerentes. Logo tínhamos diretores comerciais, técnicos e financeiros. E logo depois, começamos a contratar gerentes de nível intermediário também. Esta foi a nossa primeira ‘reestruturação’ – quando a ‘equipe’ se tornou uma ‘empresa’; quando as relações amigáveis e orgânicas foram substituídas por uma estrutura organizacional mais formal, subordinação e responsabilidade. A reestruturação poderia ter sido dolorosa; felizmente, não foi: seguimos sem muita saudade dos velhos tempos de clima familiar.

// Com relação a esse tipo de reorganização, reestruturação e ‘greengineering’ – eu recomendo o livro Reengineering the Corporation, de Michael Hammer e James Champy. É realmente muito bom. Outros livros úteis – aqui.

Em 1999, abrimos nosso primeiro escritório no exterior – em Cambridge, no Reino Unido. Mas, como o mercado britânico é talvez um dos mais difíceis de se inserir para estrangeiros, por que ir para lá? Na verdade, foi meio que por acaso (eu vou te contar como a seguir). Ainda assim, tivemos que começar em algum lugar e, de qualquer maneira, nossas primeiras experiências – incluindo muitos erros e lições aprendidas – no Reino Unido ajudaram a tornar o desenvolvimento dos negócios em outros países muito mais suave…

Nossa primeira turnê de imprensa ocorreu em Londres, já que estávamos na capital britânica para uma conferência de segurança de TI (InfoSecurity Europe). Na turnê de imprensa, anunciamos orgulhosamente nossa intenção de abrir um escritório no Reino Unido. Mas os jornalistas simplesmente perguntavam o motivo, já que já havia Sophos, Symantec, McAfee e etc. já confortavelmente estabelecidas no país. Então, mudamos para o modo nerd: contamos a eles tudo sobre como nossa empresa era verdadeiramente inovadora, tudo sobre nossas tecnologias e produtos exclusivos e como – por causa deles – somos melhores do que toda a concorrência que eles acabaram de mencionar. Tudo isso foi observado com muito interesse e surpresa (e outro bônus: desde então nunca foram feitas perguntas tolas!). Enquanto isso, na InfoSecurity Europe, dei meu primeiro discurso a um público de língua inglesa composto por … dois jornalistas, que eram nossos amigos no Virus Bulletin, que já sabiam muito sobre nós! Ainda assim, essa foi a primeira e a última vez que nossas apresentações não foram realizadas em casa cheia (mais detalhes: aqui).

No que diz respeito à nossa primeira conferência de parceiros, foi assim que tudo aconteceu …

Em algum momento do inverno de 1998-1999, fomos convidados para a conferência de parceiros do nosso parceiro OEM F-Secure (Data Fellows). E foi assim que aprendemos sobre todo o formato de conferência de parceiros e como é uma ótima idéia: reunir todos, compartilhar todas as informações mais recentes sobre tecnologias e produtos, ouvir as preocupações e problemas dos parceiros e discutir novas ideias. Como não somos de perder tempo – em um ano (em 1999), organizamos nossa própria conferência de parceiros, convidando cerca de 15 parceiros da Europa, EUA e México para Moscou. Aqui estamos todos, na Praça da Revolução, ao lado da Praça Vermelha e do Kremlin:

 

Leia em:Ciberpassado, oitava parte: 1998-2000 (três estreias: reestruturação, escritório no exterior, conferência de parceiros)