Bússola — Edição #7
Aumento na comercialização de dados na Dark Web
Segundo um estudo divulgado pela empresa russa Positive Technologies, no primeiro trimestre de 2020, o número de postagens anunciando à venda de credenciais e o acesso direto a alguma rede corporativa, aumentou 69% em comparação com o trimestre anterior. Isso pode representar um risco significativo para as empresas, especialmente neste período, com a forte adoção do trabalho remoto. São comercializados principalmente acessos a empresas industriais, empresas de serviços, finanças, educação e tecnologia da informação.
Verificando por geolocalização, o alvo principal são as empresas americanas (mais de um terço do total), seguidas pela Itália e Reino Unido (5,2% cada), Brasil (4,4%) e Alemanha (3,1%).
Todo ano, a equipe de segurança da Verizon, lança um relatório chamado Relatório de Incidentes de Violação de Dados, mais conhecido como DBIR (Data Breach Investigations Report). O DBIR 2020 mostra que as credenciais roubadas são um dos principais métodos envolvidos em violações de dados. Mais de 80% das violações envolvem ataques de força bruta ou a utilização de credenciais roubadas.
Brasil é líder em empresas atacadas por ransomware
De acordo com a recente análise realizada por Dmitry Bestuzhev, diretor da equipe global de pesquisa e análise da Kaspersky na América Latina, houve aumento constante nos últimos meses de ataques direcionados de ransomware, sendo o Brasil o país líder de tais ataques. Como já havíamos mencionado na edição #3, atualmente o Maze Ransomware é um dos mais atuantes e tem se aproveitado do aumento significativo de sistemas acessíveis via serviço Remote Desktop Protocol (RDP).
A “extorsão dupla”, onde os cibercriminosos ameaçam publicar os dados comprometidos, caso o pedido de resgate não seja atendido, já virou uma tática popular na maioria dos ransonwares. Para saber mais sobre essa tática, ouça ou assista nosso MorphusCast.
Spam e Phishing Q1 2020
A Kaspersky, empresa russa produtora de softwares de segurança, famosa por seu antivírus, lançou um relatório com informações sobre spam e e-mail phishing durante o primeiro trimestre de 2020.
Neste, a Rússia liderou os cinco principais países em quantidade de spam enviado. Representou 20,74% de todo o tráfego não solicitado. Em 2o lugar, vieram os EUA (9,64%), seguidos pela Alemanha (9,41%). Em 4o lugar, ficou a França (6,29%) e em 5o, a China (5,22%), que geralmente é um dos 3 primeiros no ranking. O país com a maior proporção de usuários atacados por phishers, não pela primeira vez, foi a Venezuela (20,53%). Em segundo lugar, ficou o Brasil (14,95%), que geralmente está entre os Top 3.
Outro dado importante retirado do DBIR 2020, é que o phishing é o principal meio utilizado por cibercriminosos em violações de dados.
Diante do atual cenário de trabalho remoto, que deve permanecer na maioria das empresas mesmo depois da pandemia, muitas delas passaram a ter vários ambientes que devem proteger e muitas perderam o gerenciamento centralizado dos ativos tecnológicos, e todos esses pontos devem ser encarados com uma outra postura de segurança.
Deve-se priorizar as atualizações de sistemas e aplicativos e adotar boas práticas de segurança interna, externa e em seus terceirizados; utilizar conexões seguras para acessos remotos (ex.: VPN), revisar políticas de acesso remoto, ajustar e revisar constante os filtros de e-mail, entre outros.
Do ponto de vista de conscientização dos usuários, deve-se utilizar senhas fortes, senhas exclusivas e a verificação de 2º fator (2FA,) sempre que possível. Também é recomendado a adoção de gerenciadores ou cofre de senhas.
Microsoft Patch Tuesday de Junho
Toda 2ª terça-feira de cada mês, a Microsoft lança regularmente patches (correções de falhas) de software para seus produtos.
Você pode acompanhar mensalmente estas correções através do nosso dashboard acessível aqui.
No Patch Tuesday de Junho foram corrigidas 130 vulnerabilidades, das quais 12 são críticas. Este é o Microsoft Patch Tuesday de 2020 com o
maior número de correções. De acordo com a Microsoft, nenhuma destas vulnerabilidades foi divulgada anteriormente ou está sendo explorada.
A maioria das 130 vulnerabilidades corrigidas, tem o impacto de escalação de privilégio. Porém, um total de 24 vulnerabilidades com potencial de execução remota de código (RCE) foram corrigidas nesse Patch Tuesday.
O CVSS v3 mais alto deste mês (8,60), em uma escala de 0 a 10, foi atribuído a uma vulnerabilidade de severidade “importante” e de impacto “information disclosure” no protocolo SMBv3 (CVE-2020–1206).
O protocolo SMB (Server Message Block), é um protocolo de rede que fornece a base para compartilhamento de arquivos, navegação, serviços de impressão e comunicação entre processos através de uma rede.
Esta é mais uma vulnerabilidade crítica neste protocolo em menos de 3 meses. Apelidada de “SMBleed”, afeta o Windows 10 e Server versões 1903 e 1909.
Exploração da vulnerabilidade SMBGhost
Apelidada de “SMBGhost” a vulnerabilidade rastreada como CVE-2020–0796, é uma vulnerabilidade de execução remota de código (RCE) na maneira como o protocolo SMBv3 (Microsoft Server Message Block 3.1.1) lida com determinadas solicitações.
Embora a Microsoft tenha divulgado e fornecido atualizações para esta vulnerabilidade em março de 2020, os cibercriminosos estão mirando sistemas ainda sem correção com a o novo PoC (Proof of Concept) de um exploit divulgado publicamente.
Duas falhas críticas recém descobertas no Zoom
Pesquisadores de segurança cibernética da Cisco Talos descobriram
2 vulnerabilidades críticas no software Zoom.
A primeira falha (CVE-2020–6109), está relacionada a utilização de GIFs na plataforma, podendo permitir que possíveis invasores consigam enganar o aplicativo a salvar arquivos maliciosos disfarçados de GIF em qualquer local no sistema da vítima.
A 2ª vulnerabilidade (CVE-2020–6110), trata do recurso de extração de arquivos zip do Zoom, que não valida o conteúdo do arquivo antes de
extraí-lo, permitindo que o invasor plante arquivos maliciosos nos computadores das vítimas. A correção para as falhas mencionadas está aplicada na versão 4.6.12 do aplicativo cliente Zoom.
REFERÊNCIAS:
Lei das Fake News
O Projeto de Lei n° 2.630/2020 — Lei Brasileira de Liberdade, Responsabilidade e Transparência Digital na Internet, é a bola da vez nesta semana.
O senador Alessandro Vieira propôs o Projeto para tratar sobre assuntos de publicações digitais nas redes sociais e as devidas responsabilidades dos provedores de aplicação e para estabelecer normas, diretrizes, mecanismos de transparência, perante informações falsas, caluniosas, causadoras de danos individuais e coletivos, comumente chamadas de fake news.
Esse assunto não é novidade no meio parlamentar e jurídico. Em março de 2019, foi instaurado um inquérito na suprema corte brasileira, STF, para apurar a propagação em massa de notícias falsas e ameaças à ministros do STF. À época, a Procuradora da República, Raquel Dodge, mostrou a inconstitucionalidade da investigação iniciada pelo próprio STF.
A investigação teve o ministro Alexandre de Moraes como relator do caso. Esse inquérito tem causado polêmicas desde o início em relação ao sigilo que foi imposto, mesmo contrariando os princípios constitucionais do direito à informação e ao princípio da transparência. A disputa e a busca de demonstração de forças entre os poderes da República, Executivo, Legislativo e Judiciário, é notória.
Na visão do Senador propositor do Projeto de Lei, este vem para tentar equalizar e deixar as regras mais claras para aqueles que divulgam, propagam e compartilham notícias falsas, inclusive de forma culposa. Numa análise jurídica e técnica, não se consegue observar esse objetivo na proposta.
Por outro lado, o PL andou bem quando citou no artigo 2º a evidência da consideração dos princípios e garantias do Marco Civil da Internet, L 12.965/14, e da Lei Geral de Proteção de Dados, LGPD, L 13.709/18. Isso porque a necessidade e a harmonia das Leis que tratam de forma direta ou indireta da questão dos dados pessoais e do uso da internet, devem andar juntas.
O Projeto de Lei visa combater a desinformação, mas, infelizmente, trouxe problemas de interpretação e generalidades ao longo do texto, como:
“conteúdo, em parte ou no todo, inequivocamente falso ou enganoso, passível de verificação, colocado fora de contexto, manipulado ou forjado, com potencial de causar danos individuais ou coletivos, ressalvado o ânimo humorístico ou de paródia”, de acordo com o artigo 4º , inciso II.
As sanções previstas no artigo 28 são sérias e começam com as devidas advertências, com direito à medidas corretivas, multas, suspensão temporária das atividades, chegando à proibição dos provedores de aplicação e serviços de exercerem suas atividades no Brasil.
Há limitações técnicas e temporais no texto do Projeto de Lei que precisam ser entendidas, como por exemplo, os limites para o número de encaminhamentos de mensagens privadas e em quais períodos haverá limitação de envio. Um exemplo dessa limitação são os períodos eleitorais, onde a quantidade de mensagens e tempo irá alterar. O número máximo de usuários por grupos, é outro exemplo que precisa ser melhor entendido e organizado dentro do texto do PL.
A grande interrogação refere-se às revisões e aos tratamentos automatizados feitos pelos provedores de aplicação com a utilização de bots (aplicações de programa de computador que simulam ações humanas repetidas vezes de forma padrão, robotizada), e que numa 2a avaliação pelos provedores, deverão fazê-las pelos Verificadores de Fato Independentes. Quem são esses? O próprio Projeto de Lei os define no seu artigo 4º, inciso IX como:
“pessoa jurídica que realiza uma verificação criteriosa de fatos, de acordo com os parâmetros e princípios desta Lei”
Mais uma vez o texto trouxe definições genéricas e confusas que levam à algumas questões relevantes como: Que tipo de pessoas ou equipe terá condições de avaliar as circunstâncias da desinformação? Existirá alguma qualificação especial? Algum impedimento como filiação a um partido político, por exemplo? Haverá identificação das fontes de financiamento dessas empresas que farão essas verificações de fato independentes? Até que ponto não impedirá que conteúdos legítimos sejam proibidos? Ou até mesmo servir de uma forma mascarada, censurando conteúdos e informações de direito de todos os brasileiros?
Essas são algumas questões ainda sem resposta e que colocam em dúvidas o Projeto de Lei, mostrando uma fragilidade inicial de um assunto tão relevante como o tratamento das fake news.
Vamos aguardar as medidas e emendas ao Projeto de Lei que seguirão em breve.
