[Segurança] Ataques recordes

Nos últimos dias, recebemos notícias mostrando que os dois principais ataques existentes hoje em dia, DDoS e roubo de informação, atingiram níveis nunca antes vistos: O Yahoo! teve 500 milhões de contas expostas. Acredita-se que o ataque aconteceu em 2014 e os dados vazados incluem e-mails, datas de aniversário, senhas criptografadas e até mesmo as "perguntas secretas" (perguntas e respostas,

Reino Unido sofreu “uma fraude financeira a cada 15 segundos” no primeiro semestre de 2016

fraude

Mais de 1 milhão de incidentes de fraude financeira foram registrados no Reino Unido nos primeiros seis meses de 2016 (ou uma ocorrência a cada 15 segundos) de acordo com números divulgados pelo Financial Fraud Action UK (FFA) – órgão fundado por bancos e empresas de pagamento para aumentar a conscientização na prevenção de fraudes.

O montante representa aumento de 53% no total de incidentes registrados no mesmo período de 2015, quando a FFA computou pouco mais de 660 mil fraudes envolvendo cartões de débito, crédito, cheques e transações por telefone e online.

Esforços para proteger os clientes do sistema financeiro conseguiram salvar  £7 em cada £10 mas, segundo a diretora da FFA – Katy Worobec – “conforme os sistemas de segurança dos bancos ficam mais avançados, os fraudadores mudam o foco de atenção e passam a enganar as pessoas para que elas entreguem seus dados pessoais”, o que aumenta o número de fraudes via e-mail, SMS e telefone.

Como resultado, em 2015 as perdas causadas por fraudes totalizaram £775 mi.

“Cibercriminosos sofisticaram  seus ataques, fazendo-se passar por bancos ou fornecedores e levando os consumidores a revelar seus dados pessoais. Esses golpes também se provaram efetivos nas empresas, onde vemos executivos sendo alvo de fraudes que os levam a entregar informações sensíveis que dão acesso às redes corporativas”, disse o diretor de cibersegurança da Fujitsu, Rob Norris, em entrevista ao site Help Net Security.


[Segurança] Roadsec em 2017

Malemal chegamos na metade do ano e, quem teve a oportunidade de ir no Mind The Sec nesta semana ficou sabendo em primeira mão de duas grandes novidades do pessoal da Flipside: No ano que vem será realizada a primeira edição do Mind The Sec no Rio de Janeiro, mais precisamente no dia 18/5/2017; Já saiu a agenda do Roadsec para 2017!!! Isso nesmo: a Flipside já anunciou as datas e locais das

[Cyber Cultura] Guy Fawkes, de Judas a símbolo dos Hacktivistas

Desde a popularização do Grupo Anonymous eu fiquei intrigado sobre o porquê da escolha do Guy Fawkes como símbolo do grupo. Na cultura britânica, o Guy Fawkes não é considerado um herói, mas apenas um criminoso que tentou realizar um atentado contra o governo - e até hoje a sua prisão é comemorada na Inglaterra no dia 05 de novembro (algo parecido com o que fazemos no Brasil, com a "malhação

Série LOGtopus – Quando eventos se encontram com a Elastic Stack, Python API e Threat Intelligence

elastic_stack_face

Caros leitores,

Com imenso prazer que iniciaremos uma série de postagens que apelidamos  de “LOGtopus – Quando eventos se encontram com a Elastic Stack, Python API e Threat Intelligence”.  LOGtopus é a mistura do nome do time de pesquisas em eventos e segurança na Clavis chamada de Octopus Labs e a palavra LOG.

octopus-v1A ideia dessa série é compartilhar o dia a dia do time de pesquisas do Octopus SIEM, onde abordaremos a Elastic Stack (Beats, Logstash, Elasticsearch e Kibana), o entendimento de diferentes tipos de fontes de dados (explicação de logs diversos) e como adicioná-los à Elastic Stack, para correlação de eventos conforme sua preferência e necessidade.  Paralelo a isso, daremos dicas e compartilharemos códigos utilizando API Python para criação de alertas e uso em conjunto com OSINT (Open Source Intelligence).

Dando início a série, faremos uma introdução sobre o que é a famosa Elastic Stack:

Antigamente a combinação era conhecida como ELK, que seria Elasticsearch / Logstash / Kibana, porém com a adição do Beats, começaram a chamar de “Elastic Stack”.

Antiga Elastic Stack (ELK)

elk

Nova Elastic Stack

the-elastic-stack-thumb

De forma resumida o funcionamento acontece da seguinte maneira: o beats e/ou logstash coletam/recebem os eventos, analisam e enviam para o Elasticsearch indexar. O analista poderá visualizar os dados via Kibana.

beats

O beats foi incorporado há pouco tempo na stack porém ele é muito poderoso, não só para coleta de eventos como também possui uma biblioteca no qual se pode desenvolver diversas funcionalidades. Entre as mais conhecidas estão o packetbeat, filebeat e winlogbeat.

logstashEsta é a parte mais importante quando falamos análise de logs, pois é que são mapeadas as informações de forma correta. Adicionamos contexto, modelamos e geramos o conteúdo indexado. Se algo nesse componente não funcionar, toda a cadeia subsequente poderá apresentar problemas. Em resumo, ela é composta por plugins de entradas, filtros e saída.

esO Elasticsearch é um banco de dados NoSQL, extremamente veloz e prático, executado em modo standalone ou em modo cluster. Um ponto importante é que se faz necessária a configuração de segurança (hardening e monitoramento/filtros).

kibanaAqui há visualizações que auxiliarão na criação de alertas, telas de monitoramentos e drilldown caso um evento ocorra. No kibana há 4 grandes funcionalidades:

1-) Discovery – opção onde é possível fazer uma análise mais detalhada dos eventos, criar filtros iniciais e a partir dessa análise inicial pensar em visualizações;

2-) Views – Baseado nas descobertas ou até mesmo idéias iniciais, podemos criar diferentes tipos de visualizações que nos ajudarão a detectar anomalias e facilitar a detecção de atividades fora do padrão;

3-) Dashboard – Nessa parte é onde colocamos o resultado do processo de entrada dos dados, juntamente com as visualizações criadas para facilitar o dia a dia dos analistas de segurança;

4-) Timelion – essa ferramenta é um coringa que veio para cobrir algumas funções meio engessadas. Com ele podemos fazer diversas funções matemáticas, trabalhar com índices diferentes para ter visualizações de info correlacionadas de fontes de dados diversas, comparar períodos utilizando offset entre diversas outras funcionalidades.

Abaixo dashboard do KIBANA e Timelion

ad

ossec1

Não podemos esquecer também a poderosa REST API que o Elastic Search proporciona, onde trabalharemos bastante na geração de ferramentas para gerar alertas com o Python API e correlacionando do fontes de ameaças, permitindo a criação de inteligência a ameaças e alertas de qualidade.

Na próxima postagem abordaremos os internals e funcionalidades do logstash e alguns exemplos de configurações e testes.

Caso tenha algum conteúdo ou alguma necessidade de postagem por favor fique a vontade para sugerir.

Happy Detection!

Time pesquisa Octopus Labs


Hackers to Hackers Conference acontece em outubro com patrocínio da Clavis

h2hc_face

Acontecerá em São Paulo, nos próximos dias 22 e 23 de outubro no Novotel Morumbi, a 13ª edição da Hackers to Hackers Conference. A conferência, que busca agregar profissionais, empresas, grupos de pesquisa e a comunidade underground com o objetivo de “permitir a disseminação, discussão e a troca de conhecimento sobre segurança da informação”, tem apoio e patrocínio da patrocínio da Clavis.

A H2HC conta com palestras, treinamentos e com a H2HC University – um espaço voltado para o público de nível técnico iniciante a intermediário que visa “auxiliar o crescimento dos atuais e futuros profissionais da área”- , que acontece paralelamente ao evento principal.

Os keynotes desta edição serão o pesquisador Patroklos Argyroudis (PhD em Ciência da Computação pela Universidade de Dublin e pesquisador em criptografia aplicada) – que falará sobre o futuro do exploiting – e  Shay Gueron (professor de matemática na Universidade de Haifa, Engenheiro Sênior na Intel, membro do CPU Architecture Group e especialista em criptografia e algoritmos) – cuja palestra abordará a encriptação de dados.

Além deles, também palestrarão Deivison Franco – analista de segurança sênior do Banco da Amazônia -, Meredith L. Patterson – engenheira de software e pesquisadora em segurança da Nuance Communications e Ricardo L0gan – pesquisador independente.

Para maiores informações sobre o evento, clique aqui.


Desativando LD_PRELOAD no Linux

O preloading é um recurso suportado pelo runtime loader  de binários ELF implementado na glibc (GNU C Library), mais especificamente no arquivo rtld.c. Ele consiste em carregar uma biblioteca antes de todas as outras durante o carregamento de um programa executável. Assim é possível injetar funções em programas, inspecionar as funções existentes, etc. Por exemplo, considere o programa ola.c […]

[Cyber Cultura] e-HAL : Encontro Brasileiro de Hardware Aberto e Livre

O primeiro Encontro Brasileiro de Hardware Aberto e Livre (e-HAL) acontecerá de 29 a 31 de Outubro de 2016 em São Paulo - SP, com atividades sobre técnicas e práticas para colaboração e difusão de projetos de hardware aberto e livre (HAL), tanto no contexto acadêmico como no setor produtivo. O evento terá palestras, oficinas, mesas redondas e até mesmo alguns hackatons para divulgar o conceito

Vulnerabilidades em dispositivos IoT poderiam ser “facilmente evitadas” segundo a OTA

smart_cars_face

A falta de testes para verificar exploits comuns, formas inseguras de gerenciamento de credenciais e a falta de encriptação no armazenamento de dados pessoais e sensíveis estão entre as principais causas de vulnerabilidades em dispositivos Iot. Os dados são de um estudo realizado pela organização Online Trust Alliance (OTA), que investigou as causas das vulnerabilidades nesses dispositivos tornadas públicas entre novembro de 2016 e julho de 2015.

O relatório, divulgado no último dia 8, concluiu que todas as vulnerabilidades e problemas relacionados à privacidade poderiam ser facilmente evitados. “Na pressa para trazer dispositivos conectados ao mercado, a segurança e a privacidade são frequentemente neglicenciadas”, afirmou o diretor executivo e presidente da OTA, Craig Spiezle, que fez um alerta: “se as empresas não fizerem uma mudança sistêmica, corremos o risco de ver a erosão da confiança do consumidor na indústria como um todo, devido aos problemas de privacidade e segurança”.

Outras falhas consideradas gritantes encontradas pela investigação foram:

  • Não divulgar com precisão e de forma adequada os dados do consumidor que são coletados e compartilhados;
  • A omissão ou falta de testes rigorosos de segurança durante o processo de desenvolvimento, incluindo – mas não limitado a – testes de intrusão e modelagem de ameaças;
  • A falta de um plano sustentável para abordar vulnerabilidades durante todo o ciclo de vida do produto, incluindo a falta de atualizações de software/firmware e de patches de segurança.

Veja informações completas sobre o estudo no site da OTA.


Novas formas de hacking miram o hardware de dispositivos

hardware_face

Dois estudos apresentados durante a última edição da conferência de segurança Usenix – que aconteceu no mês passado em Austin, Texas – trouxeram novas evidências de que, em breve, ciberataques que miram o hardware de dispositivos podem se tornar uma ameaça real. Ambos os estudos usaram como base uma técnica desenvolvida por pesquisadores do Google chamada “Rowhammer”.

Na técnica, desenvolvida desde o ano passado e apresentada em março deste ano, os pesquisadores da empresa demonstraram que “vazamentos” de energia elétrica de componentes causados com o uso de software poderiam ser usados propositadamente para corromper partes da memória de um computador, o que possibilitaria a um atacante quebrar a segurança de um dispositivo. Estudos posteriores conduzidos na Áustria e na França demonstraram que seria possível executar este ataque com um código JavaScript rodando a partir de um browser.

Os estudos apresentados na Usenix levam o ataque a outro patamar, demonstrando como ele pode ser replicado em serviços de computação em nuvem e ambientes corporativos. Um grupo de Ohio usou a técnica para atacar o Xen – software usado para particionar recursos em servidores cloud – a partir de uma máquina virtual.

O outro estudo, conduzido por pesquisadores da Bélgica e da Áustria, mostrou uma variante do Rowhammer capaz de explorar uma função chamada deduplicação de memória (memory de-duplication) para escrever dados na memória de uma máquina virtual e, posteriormente, usar esses dados para localizar os transístores não só nessa máquina, mas em outras máquinas virtuais que compartilhem bits idênticos de informação.

Veja detalhes dos estudos neste link.