Arquivos de tag para “tecnologia”

Um sistema de alerta precoce para cyber-rangers (também conhecido como – Adaptive Anomaly Control)

Provavelmente, se você normalmente trabalha no escritório, ele ainda deve estar meio vazio – ou completamente – vazio, como o nosso. Na nossa sede, as únicas pessoas que você vê são os guardas de segurança ocasionais, e o único barulho que você ouve é o zumbido dos sistemas de refrigeração de nossos servidores altamente carregados, pois todo mundo está conectado e trabalhando em casa.

Você nunca imaginaria que, sem serem vistas, nossas tecnologias, especialistas e produtos estão trabalhando 24/7 protegendo o mundo cibernético. Mas eles estão. Porém, ao mesmo tempo, os bandidos estão tramando novos truques desagradáveis. Da nossa parte, temos um sistema de alerta precoce em nossa coleção de ferramentas de proteção cibernética. Mas chegarei a isso daqui a pouco…

O papel de uma mulher ou homem da área de segurança de TI se assemelha, de certa forma, ao de um guarda florestal: capturar os caçadores furtivos (malware) e neutralizar a ameaça que eles representam para os habitantes da floresta. Então, antes de tudo, você precisa encontrá-los. Claro, você pode simplesmente esperar até que o rifle de um caçador caia e corra em direção à origem do som, mas isso não exclui a possibilidade de que você chegue tarde demais e que a única coisa que possa fazer seja limpar a bagunça.

Você pode ficar completamente paranóico: colocando sensores e câmeras de vídeo por toda a floresta, mas pode se sentir reagindo a todo e qualquer farfalhar que apanha (e logo perde o sono, e o juízo). Mas quando você percebe que os caçadores furtivos aprenderam a se esconder muito bem – na verdade, a não deixar nenhum vestígio de sua presença – fica claro que o aspecto mais importante da segurança é a capacidade de separar eventos suspeitos de eventos regulares e inofensivos.

Cada vez mais, os caçadores cibernéticos de hoje estão se camuflando com a ajuda de ferramentas e operações perfeitamente legítimas.

Alguns exemplos: a abertura de um documento no Microsoft Office, o acesso de administrador remoto ao administrador do sistema, o lançamento de um script no PowerShell e a ativação de um mecanismo de criptografia de dados. Depois, há a nova onda do chamado malware sem arquivo, deixando literalmente zero traços no disco rígido, o que limita seriamente a eficácia das abordagens tradicionais de proteção.

Exemplos: (1) o agente de ameaças da Platinum usou tecnologias sem arquivo para penetrar nos computadores das organizações diplomáticas; e (2) documentos de escritório com carga maliciosa foram usados para infecções por phishing nas operações do DarkUniverse APT; e há muito mais. Mais um exemplo: o criptografador de ransomware sem arquivo ‘Mailto’ (também conhecido como Netwalker), que usa um script do PowerShell para carregar código malicioso diretamente na memória de processos confiáveis do sistema.

Agora, se a proteção tradicional não estiver à altura da tarefa, é possível tentar proibir aos usuários toda uma gama de operações e introduzir políticas rígidas de acesso e uso de software. No entanto, considerando isso, os usuários e os bandidos provavelmente encontrarão maneiras de contornar as proibições (assim como a proibição do álcool sempre foi contornada também :).

Muito melhor seria encontrar uma solução que possa detectar anomalias nos processos padrão e que o administrador do sistema seja informado sobre elas. Mas o que é crucial é que essa solução seja capaz de aprender a determinar automaticamente com precisão o grau de “suspeita” dos processos em toda a sua grande variedade, para não atormentar o administrador do sistema com gritos constantes de “lobo!”

Bem, você adivinhou! – temos uma solução: Adaptive Anomaly Control, um serviço construído a partir de três componentes principais – regras, estatísticas e exceções.

Leia em:Um sistema de alerta precoce para cyber-rangers (também conhecido como – Adaptive Anomaly Control)

Brincando de esconde e esconde – com malwares sem arquivos

Códigos maliciosos… chegam por todo os lugares…

É um pouco parecido com um gás, que sempre preenche o espaço em que se encontra, mas diferente: sempre passa por “buracos” (vulnerabilidades) em um sistema de computador. Portanto, nosso trabalho (aliás, um deles) é encontrar esses buracos e abri-los. Nosso objetivo é fazer isso de forma proativa; isto é, antes que o malware os tenha descoberto ainda. E se o malware encontrar esses buracos, estaremos aguardando, prontos para atacá-lo.

Na verdade, é uma proteção proativa e a capacidade de prever as ações dos invasores e criar uma barreira antecipada que possa distinguir a cibersegurança genuinamente de excelência e alta tecnologia do marketing BS.

Hoje quero falar sobre outra maneira pela qual nossa proteção proativa protege contra outro tipo de malware, particularmente astuto. Sim, quero falar sobre algo chamado código malicioso sem arquivo (também conhecido como sem corpo) – uma raça perigosa de malware fantasma que aprendeu a usar as desvantagens de arquitetura do Windows para infectar computadores. E sobre a nossa tecnologia patenteada que combate essa ciberdoença específica. E farei como você gosta: coisas complexas explicadas simplesmente, de maneira leve e emocionante de um ciberthriller com elementos de suspense).

Primeiro, o que significa sem arquivo?

Bem, o código sem arquivo, uma vez inserido em um sistema de computador, não cria cópias de si mesmo na forma de arquivos em disco, evitando assim a detecção por métodos tradicionais como, por exemplo, com um monitor antivírus.

Então, como existe esse ‘malware fantasma’ dentro de um sistema? Na verdade, ele reside na memória de processos confiáveis! Sim. Eek.

No Windows (na verdade, não apenas no Windows), sempre existiu a capacidade de executar código dinâmico, o qual, em particular, é usado para compilação just-in-time; isto é, transformar o código do programa em código de máquina não imediatamente, mas como e quando for necessário. Essa abordagem aumenta a velocidade de execução de alguns aplicativos. E para oferecer suporte a essa funcionalidade, o Windows permite que os aplicativos insiram o código na memória de processo (ou mesmo em outra memória confiável de processo) e o executem.

Dificilmente isso pode ser considerado uma ótima ideia, do ponto de vista de segurança, mas o que você pode fazer? É assim que milhões de aplicativos escritos em Java, .NET, PHP, Python e outras linguagens e para outras plataformas estão trabalhando há décadas.

Previsivelmente, os cibercriminosos aproveitaram a capacidade de usar código dinâmico, inventando vários métodos para abusar dele. E um dos métodos mais convenientes e, portanto, mais difundidos que eles usam, é algo chamado injeção reflexiva. É o quê?! Deixe-me explicar (isso é bastante interessante, por favor, tenha paciência comigo:)…

Iniciar um aplicativo ao clicar no ícone – bem simples e direto, certo? Parece simples, mas, na verdade, existe todo o tipo de coisas: um carregador de sistema é acionado, no qual pega o respectivo arquivo do disco, carrega-o na memória e executa-o. E esse processo padrão é controlado por monitores antivírus, que verificam a segurança do aplicativo em tempo real.

Agora, quando há uma “reflexão”, o código é carregado ignorando o carregador do sistema (e, portanto, também ignorando o monitor antivírus). O código é colocado diretamente na memória de um processo confiável, criando um “reflexo” do módulo executável original. Essa reflexão pode ser executada como um módulo real carregado por um método padrão, mas não estará registrado na lista de módulos e, como mencionado acima, não possui um arquivo em disco.

Além disso, diferentemente de outras técnicas para injetar código (por exemplo, via shellcode), uma injeção de reflexão permite criar códigos funcionalmente avançados em linguagens de programação de alto nível e estruturas de desenvolvimento padrão sem praticamente nenhuma limitação. Então, o que você tem é: (i) nenhum arquivo, (ii) ocultação por trás de processos confiáveis, (iii) invisibilidade às tecnologias de proteção tradicionais e (iv) caminho livre para causar estragos.

Então, naturalmente, as injeções reflexivas foram um mega sucesso entre os desenvolvedores de códigos maliciosos: primeiro eles apareceram em pacotes de exploração, depois ciberespiões entraram no jogo (por exemplo, Lazarus e Turla) e depois cibercriminosos avançados (como uma forma prática e legítima de executar códigos complexos!), e depois pequenos cibercriminosos.

Agora, do outro lado das barricadas, encontrar uma infecção sem arquivos não é um passeio em um ciberparque. Portanto, não é de se admirar que a maioria das marcas de cibersegurança não estejam muito entusiasmadas. Algumas dificilmente conseguem fazer isso.

Leia em:Brincando de esconde e esconde – com malwares sem arquivos

Flickr photostream

  • Dubai
  • Dubai
  • Dubai
  • Dubai

Instagram Photostream

ATMs inseguros deveriam estar de quarentena também!

A cada ano, acompanhado por alguns parceiros de viagem, costumo pegar mais de 100 voos ao redor do mundo. E, hoje em dia, praticamente em todos os lugares fazemos pagamentos por cartão ou telefone, principalmente por aproximação como Apple ou Google Pay. Na China você pode pagar até pelo WeChat quando estiver no mercado comprando frutas e verduras para idosos. E, com o avanço do famoso biovírus, o uso do dinheiro virtual se torna ainda mais popular.

Por outro lado, você vai se surpreender: em Hong Kong, você precisa pagar o táxi em dinheiro – sempre! Em Frankfurt, ano passado estivemos em dois restaurantes diferentes que só aceitavam dinheiro. Oi?!? Tivemos que fazer uma longa busca para encontrar um caixa eletrônico e sacar alguns uuros em vez de apreciar um drink após o jantar. Uma crueldade! 🙂 De qualquer forma, tudo isso que relatei foi para provar que, apesar do avanço dos sistemas de pagamento em todo o mundo, ainda há a necessidade de um bom e velho caixa eletrônico em todos os cantos também, e parece que isso não vai mudar tão cedo.

Mas onde estou querendo chegar com essa conversa? É claro: cibersegurança!…

Caixas Eletrônicos = dinheiro ⇒ eles foram hackeados, eles têm sido hackeados e eles continuarão a ser hackeados, e tudo o mais. De fato, as invasões só estão piorando: uma pesquisa mostra como o número de ATMs que sofreram ataque des malwares entre 2017 e 2019 mais que dobrou (aumento da ordem de 2,5 vezes mais casos)

Pergunta: Seria possível monitorar constantemente o interior e o exterior de um caixa eletrônico? “Claro que sim”, deve ter sido sua resposta. No entanto, a realidade é um pouco diferente…

Ainda existem diversos caixas eletrônicos nas ruas, nas lojas, em passarelas e em estações de metrô com uma conexão bem lenta. Eles mal possuem velocidade de banda suficiente para gerenciar as transações; eles dificilmente possuem mecanismos de vigilância para monitorar o exterior.

Então, considerando essa lacuna de monitoramento devida à conexão de rede, nós entramos em ação para preencher esse vazio e aumentar o nível de segurança dos caixas eletrônicos. Nós aplicamos as melhores práticas em otimização (que somos mestres – com 25 anos de experiência), e também reduzimos drasticamente a quantidade de tráfego necessário com nossa solução preventiva contra ameaças em caixas eletrônicos – o Kaspersky Embedded Systems Securtiy, também conhecido como KESS.

Confira: a velocidade mínima exigida de conexão de internet para o nosso KESS é… 56 kbp/s (!!!). Meu Deus! Essa é a velocidade do meu modem de conexão discada em 1998!

Só para comparar, a velocidade média da internet 4G atualmente em países desenvolvidos está entre 30.000 e 120.000 kbp/s. E a tecnologia 5G promete mais de 100 mihlões de kbp/s (centenas de gigabites) (isto é, se eles não destruírem todas as torres antes). Mas não deixe que a velocidade de internet pré-histórica o engane: a proteção fornecida não poderia ser melhor. Inclusive, muitos gerenciadores eficazes poderiam aprender uma coisa ou outra conosco sobre otimização sem perda de qualidade.

Leia em:ATMs inseguros deveriam estar de quarentena também!

No topo do Top 3: transparente, para quem quiser ver

Você pode até achar que nós tivemos sorte. Que estávamos no lugar certo, na hora certa quando começamos nossa pequena empresa, já que hoje nos tornarmos o principal fornecedor de cibersegurança do mundo. Você estaria errado. Para dizer o mínimo. Deixe eu contar uma história.

Na verdade, voltando naqueles dias, logo no início de nosso trabalho com antivírus, estabelecemos uma meta para nós mesmos. Um objetivo incrivelmente ambicioso.

Eu me lembro muito bem. Meu amigo de longa data, Alexey De Mont De Rique, e eu estávamos na parada esperando nosso tram, o número seis, não muito longe da estação de metrô Sokol, em Moscou, no ano de 1992 – quando trabalhamos 12 a 14 horas por dia (‘Papai trabalhando!’, era como meus filhos me chamavam). Sugeri a Alexey que “precisamos estabelecer uma meta”. Sua resposta foi algo do tipo: ‘Ok.

Que objetivo, exatamente, você realmente acha que precisamos definir, e quão persistentes devemos ser para alcançá-lo? A resposta dele foi mais ou menos essa. Repliquei sem pestanejar: “Nosso objetivo deve ser criar o melhor antivírus do mundo!” Alexey riu. Mas ele não tentou tirar essa ideia da minha cabeça. Em vez disso, simplesmente partimos em nossa jornada para alcançar a meta – trabalhando duro e sempre com esse objetivo em nosso horizonte. E funcionou!

Mas como, exatamente?

Com muito trabalho árduo, com inventividade e de alguma forma conseguindo sobreviver e prosperar durante aqueles tempos difíceis na Rússia [Rússia dos anos 90: o colapso da União Soviética e sua economia de comando, as lutas para mudar ‘instantaneamente’ para uma economia de mercado, inflação, desemprego, ilegalidade…]. Trabalhamos sem parar. Eu detectei novos vírus; Alexey codificou a interface do usuário; e o editor de banco de dados antivírus, Vadim Bogdanov (Assembler Jedi), usou a Força para reunir as várias ferramentas de computador necessárias para me dar condições para eu executar meu trabalho. Sim, no início dos anos 90, éramos apenas três! Então depois éramos quatro, depois cinco, então…

Agora, lembre-se de como eu comecei este post dizendo que nosso sucesso não era questão de sorte? Nem de estar no lugar certo, na hora certa? Bem, confesso, havia alguma sorte envolvida: em 1994, foram realizados os primeiros “Jogos Olímpicos de Antivírus” do mundo – testes independentes de software de segurança na Universidade de Hamburgo. Claro, tivemos a oportunidade de ter realizado esse teste independente. Mas não foi sorte termos vencido!

Sim. Conseguimos o ouro (um costume que nos acompanha até hoje – como detalharei neste post). Então, quase desde o início, obtivemos os melhores resultados em Hamburgo. Era fascinante. Seguimos recebendo medalhas de ouro em outros testes independentes assim como nessa época. Viva!

Leia em:No topo do Top 3: transparente, para quem quiser ver

Notícias do lado sombrio: quem disse que você poderia vender meus dados?

Dia 28 de janeiro é o aniversário da minha tia Olga. E também é o Dia Internacional da Privacidade de Dados. E minha tia Olga ainda não sabe disso! Mas ela deveria! Para o ambiente digital, dados são a moeda do novo milênio. Conhecimento acumulado de trilhões de cliques e transações – é uma mina de ouro para qualquer negócio. E negócios multimilionários – vários deles – são baseados na venda desses ciber-recursos.

Empresas de TI globais têm mais acesso a dados pessoais que os países. Como resultado, esse assunto é extremamente importante; e também é tóxico.

E, onde tiver dinheiro – sempre haverá gente do mal. Cibercriminosos que tentam se dar bem a partir do roubo de informações pessoais seguem se multiplicando. Mas até mesmo companhias respeitáveis podem tirar vantagens desses dados, e a maioria parece sair ilesa. Mas falamos mais disso depois…

Agora, gostaria de fazer uma pergunta simples – que ao menos na TI global, ainda não há resposta: ‘O que é bom e o que é ruim?’, Quero dizer: onde está a linha entre a moral humana universal e a ética de negócios? Onde está essa linha tênue?

Infelizmente, a questão da ciberética e da cibermoral é ambígua.

Enquanto isso, posso garantir que, com a introdução do 5G e aumentos ainda mais acentuados no número de dispositivos de IoT, nossos dados serão coletados ainda mais. E mais e mais …

Leia em:Notícias do lado sombrio: quem disse que você poderia vender meus dados?

Querido, Papai Noel: Eu gostaria de um sandbox, por favor

Olá pessoal, ou eu deveria dizer – ho ho holá, pessoal? Alguns disseram que existe uma ligeira semelhança… mas eu já discordo!

Claro, Natal e Ano Novo estão chegando. Crianças escreveram suas cartas para o Papai Noel com seus pedidos, afirmando que foram bons meninos e boas meninas, e a Rudolph & Co está prestes a fazer sua parte no milagre logístico que acontece por uma noite em todo fim de ano. Mas não são apenas os presentes das crianças de sempre que o Papai Noel e suas renas entregarão este ano. Eles também distribuirão algo que há muito tempo é pedido: uma nova solução para combater ataques cibernéticos avançados – o Kaspersky Sandbox! Vou contar um pouco sobre essa história para vocês.

Basicamente, trata-se de emulação. Você conhece emulação, certo? Eu a descrevi algumas vezes aqui no blog antes, a última vez foi no começo deste ano. Mas, só pra garantir: emulação é um método que incentiva as ameaças a se revelarem: um arquivo é executado em um ambiente virtual que imita um computador real. O comportamento do arquivo suspeito é estudado em uma “sandbox” com um magnífico vidro de proteção. Ao melhor estilo Sherlock Holmes, e ao encontrar ações incomuns (= perigosas) o objeto é isolado para que não cause danos e possa ser analisado mais de perto.

Leia em:Querido, Papai Noel: Eu gostaria de um sandbox, por favor

Somos uma das 100 empresas mais inovadoras do mundo

Oi, pessoal!

Os leitores regulares do meu blog sabem que eu ocasionalmente escrevo sobre alguns de nossos sucessos comerciais menos perceptíveis – mas, não menos importantes: aqueles relacionados às nossas patentes e como nos ajudam a combater – incrivelmente – não apenas cibercrimes, mas também trolls de patentes que nada fazem além de impedir o progresso tecnológico.

Bem, aqui está o mais recente: nos tornamos a primeira empresa russa a entrar no Top 100 de inovadores globais da Derwent! Viva!

Leia em:Somos uma das 100 empresas mais inovadoras do mundo

Earth 2050: Visões do futuro, hoje

Pode ser que já tenha ouvido falar sobre a grande mudança que aconteceu em nossa empresa na semana passada. No entanto, mudanças assim não são novidades para nós! Desde que começamos, há 22 anos, não paramos de mudar, mudar, mudar – e sempre para melhor, naturalmente. Mudar basicamente se tornou nossa profissão! Eis o porquê…

Se não entendêssemos o desenvolvimento da tecnologia, isso dificilmente seria um bom presságio para o nosso futuro – e não estou falando sobre vendas. Neste caso, para início de conversa, talvez ninguém estivesse por aí para comprar nossos produtos.

Brincadeira. 🙂

Tenho certeza de que tudo vai ficar bem. A tecnologia está mudando o mundo para melhor. Claro, novas possibilidades trazem novos riscos, mas sempre foi assim.

Nosso trabalho é reconhecer os riscos, eliminá-los, e evitar que apareçam novamente. Caso contrário, as defesas estarão sempre um passo atrás dos ataques, que é o mesmo que não se defender. Em nossa indústria, é preciso ser capaz de antecipar o que os ciberparasitas pensam e criar armadilhas antecipadamente. Na verdade, esta capacidade foi o que sempre nos diferenciou de nossos concorrentes. Lembra do NotPetya – uma das epidemias globais mais infames dos últimos anos? Nós a detectamos proativamente, sem a necessidade de qualquer aviso.

Gostamos tanto dessa ideia – antecipar o futuro –, que decidimos lançar um projeto nas redes sociais com base nesse conceito: o Earth 2050.

O que é o Earth 2050? É uma plataforma de crowdsourcing (peço desculpas pelo jargão moderno) totalmente aberta para vislumbrar o futuro. Com isso, quero dizer que é um lugar onde qualquer pessoa – seja um ministro ou um gari – pode compartilhar sua visão sobre o que virá, escrevendo, pintando, desenhando ou como quiser. Ou então, se você não estiver particularmente interessado em clarividência, pode curtir e comentar as previsões da galera que está. Há algo para todos.

Então, por que essa abertura é tão importante?

O futuro é difícil de prever. Há grandes chances de que as tentativas de uma única pessoa acabem se mostrando equivocadas – compreensível e natural. Mas previsões sobre o futuro feitas por muitas pessoas – mesmo que apenas parcialmente corretas, e mesmo que tenham algo de incompletas ou contraditórias – resultam em uma precisão muito maior. É um pouco como o princípio do aprendizado de máquina. Quanto mais aprende uma máquina, melhor sua capacidade para realizar algo – neste caso, prever o futuro.

Até agora, cerca de uma centena de visionários publicaram quase 400 previsões no Earth 2050 – e há algumas interessantemente beeeem curiosas, devo dizer.

Leia em:Earth 2050: Visões do futuro, hoje

Você é uma startup com a ambição de ser uma empresa internacional?

Há mais ou menos cinco anos, lançamos nossa incubadora de empresas, um projeto que tem como objetivo desenvolver e apoiar as ideias mais interessantes de negócios que ainda estão começando. E, como temo os recursos necessários para ajudá-los, buscamos propostas inovadoras e damos “asas” para essas startups voarem.

Um dos exemplos mais bem-sucedidos da nossa incubadora de empresas é a Polys, uma ideia lançada em 2017, sobre a qual já falamos anteriormente neste blog. É uma plataforma de votação eletrônica online baseada em blockchain que oferece segurança, anonimato: uma proteção perfeita contra hackers. E, o que é mais importante, é fácil de usar e adequada para todos os tipos de votação. Acredito firmemente que o futuro da votação é online e blockchain. Os partidos políticos russos, as associações estudantis e as organizações governamentais regionais já a usaram e temos certeza de que estamos apenas observando os primeiros passos dessa iniciativa da KL.

Já temos outro projeto na incubadora: a Verisium, uma plataforma de Internet das Coisas dedicada ao envolvimento do cliente e à autenticação de produtos. É especialmente útil na indústria da moda, pois ajuda a combater a falsificação de produtos de luxo e oferece às marcas a possibilidade de acompanhar os ciclos de vida dos produtos e entender como eles “vivem” e se comportam. A Verisium já lançou uma série de projetos em conjunto com marcas de design russas que incluem roupas, chips NFC e blockchain.

Fonte

Leia em:Você é uma startup com a ambição de ser uma empresa internacional?

+1 Serviço de Inteligência Empresarial: Apresento nosso novo Raio-X de ciberameaças!

Seres humanos são curiosos. Faz parte de sua natureza buscar respostas para os “porquês” e “comos” a respeito de tudo e qualquer coisa. Isso é duplamente verdade para cibersegurança: entender essas diversas questões acerca de ciberameaças tratam-se dos alicerces sobre os quais a cibersegurança é construída, ou seja, sobre os quais a Kaspersky Lab  se apoia.

A obtenção de respostas para nós reflete esmiuçar um ciberataque em suas partes constituintes, analisar tudo, e se necessário, desenvolver medidas protetivas específicas. É sempre mais interessante tomar essas iniciativas de maneira proativa, baseando-se em erros alheios ao invés de esperar até que sejamos o alvo.

Para lidar com esse desafio temos uma nova solução para empresas. Nessa coleção de ferramentas de ciberprecisão há treinamento de pessoal, serviços de inteligências de segurança capazes de levantar informações detalhadas sobre ataques descobertos, serviços de testes de penetração especializados, auditorias de apps, investigação de incidentes, e mais.

O “mais” aqui inclui nosso novo serviço – KTL (Kaspersky Threat Lookup) – o microscópio para dissecar objetos suspeitos e descobrir sua fonte e rastrear histórico de ciberataques, correlações multivariadas, e graus de perigo para infraestrutura corporativa. Um verdadeiro raio-X de ciberameaças.

Na verdade, todos os nossos usuários possuem a versão “lite” do serviço. O nível de segurança de um arquivo pode ser verificado com nossos produtos domésticos, porém clientes empresariais precisam de uma análise de ameaças mais profundas.

Para começo de conversa, o KTL pode ser usado para verificar arquivos, URLs, endereços de IP e domínios. Pode analisar objetos tendo em mente ataques específicos, bem como consideração de especificidades estatísticas e comportamentais, dados WHOIS/DNS, atributos de arquivos, download chains e outros.

Leia em:+1 Serviço de Inteligência Empresarial: Apresento nosso novo Raio-X de ciberameaças!