Recentemente, BlackBerry informou sore uma vulnerabilidade que poderia permitir a execução de códigos maliciosos no BlackBerry Enterprise Server (BES) de forma remota por parte de um hacker.

O que é BlackBerry Enterprise Server?

BES é uma ferramenta que permite a sincronização de diferentes dispositivos de modo sem fios com outros serviços. Alguns deles são Microsoft Exchange, IBM Lotus Domino, entre outras alternativas. Desta forma, este tipo de serviços são amplamente utilizados no meio corporativo devido a utilidade que oferecem.

Especificamente a vulnerabilidade reside sobre o BlackBerry MDS Connection Service e BlackBerry Messaging Agent. O problema encontra-se na forma com que se realiza o manejo de imagens TIFF nos sites, mensagens instantâneas e também e-mails. A continuação, junta-se a tradução livre do português sobre parte da mensagem que divulgou a BlackBerry:

“Estas vulnerabilidades podem permitir a um hacker executar um código arbitrário utilizando os prvilégios com o que funciona a conta do servidor Enterprise da BlackBerry.”

Mediante esta vulnerabilidade os atacantes poderiam alojar malware sobre um servidor Enterprise de BlackBerry e abrir uma porta de acesso para ingressar de forma remota. Este poderia ter maior repercursão dependendo da topologia e características da rede onde, no pior cenário, o ciberdeliquente poderia ter acesso a outras sessões da rede. Outro potencial perigo é que um ataque deste tipo culmine com a queda do mesmo.

Anteriormente haviam outros tipos de vulnerabilidade no BlackBerry. Entretanto, é importante esclarecer que estas falhas não residem no próprio dispositivo, somente estão presentes e são exploradas no BlackBerry Enterprise Server.

É importante que as empresas tomem consciência sobre este tipo de vulnerabilidade já que podem ser espaço para códigos maliciosos que permitiriam roubar informação sigilosa ou inclusive ter conhecimento sobre as atividades que se realizam.

BlackBerry tem informado que não recebeu nenhum tipo de relatório sobre ataques realizados por parte de clientes que utilizam o já mencionado serviço. Contudo, é importante que aquelas empresas que estão utilizando o BES atualizem seu software assim que possível. Por outro lado, oferta-se outro tipo de solução para aquelas empresas que não podem realizar uma atualização de forma imediata.

Este tipo de caso  acompanha o que havia sido afirmado em nosso informe de Tendências 2013 sobre o vertiginoso crescimento de malware em dispositivos móveis. Além disso, recomendamos a leitura de nosso Guia de dispositivos móveis para aqueles que desejam abordar ainda mais a temática. Finalmente, para aquelas organizações que estejam implementando BYOD (Bring your own device), sugerimos a leitura de nosso artigo de segurança em BYOD assim como também os primeiros passos para adotá-lo no âmbito corporativo.

Fernando Catoira

Analista de Segurança

Categories: Malware, Vulnerabilidades
No Comments »

A mais recente moda no local de trabalho dá pelo nome de BYOD: Bring Your Own Device, o que em português significa, traga os seus próprios dispositivos (para o trabalho). Esta tendência é especialmente popular entre os colaboradores, dado que  permite ler o e-mail pessoal de um modo mais conveniente e ainda navegar pela Internet com um menor controle por parte da entidade patronal. O BYOD permite ainda aos colaboradores trabalharem em um dispositivo que conhecem realmente bem.

Porém esta tendência não é apenas vista com bons olhos por parte dos colaboradores, já que muitos empregadores consideram que pode ajudar a poupar dinheiro à empresa, evitando a compra “desnecessária” de hardware e software.

O BYOD tem vindo a assumir cada vez mais importância na sociedade atual, e para além das empresas, este fenômeno pode ser observado nas escolas, especialmente se considerarmos que a vontade dos alunos utilizarem as últimas novidades em informática, leva-os a usarem os seus próprios computadores, ligando-os à rede escolar.

Prós e Contras do BYOD

Segundo um estudo conduzido em 2012 pela British Telecom, 60% dos colaboradores têm permissão para ligarem os seus dispositivos à rede empresarial, número este que deverá aumentar para 82% nos próximos dois anos.

No estudo ESET, realizado em parceria com a Harris Interactive, foram inquiridos diversos adultos empregados e residentes nos Estados Unidos, de onde se concluiu que 80% utilizam algum dispositivo pessoal em funções relacionadas com o trabalho. Enquanto os utilizadores mais informados e colaboradores dos departamentos técnicos deram origem a esta tendência, os gestores e outros elementos ligados à administração seguiram-na rapidamente.

O estudo da British Telecom concluiu ainda que apesar desta rápida adoção, 25% dos utilizadores estão conscientes  de alguns riscos significativos para a segurança. Eis as estatísticas de utilização por país:

Normalmente, o surgimento de uma nova tendência trás consigo vantagens e desvantagens. O BYOD não é exceção.

No campo das vantagens importa considerar que a grande maioria dos dispositivos são pequenos, leves e simples de transportar. Têm ainda uma autonomia que dá para um dia de trabalho. Os colaboradores preferem utilizar os seus próprios dispositivos, para que não tenham de se habituar a outros sistemas que não estão habituados a usar, o que iria ter um impacto negativo na produtividade.

Já as desvantagens, são muitas e variadas. É, por exemplo, difícil – senão impossível – gerir o conteúdo e a configuração dos dispositivos. Não obstante , são ainda mais difíceis de proteger e torna-se difícil controlar o trafego efetuado. Mas existem mais fatores a considerar, sendo que uma característica importante se refere a questões de compatibilidade. Imaginemos que todos os computadores têm a mesma aplicação instalada, porém com versões diferentes. Isto significa que o utilizador A pode fazer um documento que o utilizador B e C não consigam abrir, o que iria afetar a produtividade.

Imaginemos ainda que um colaborador está fora da empresa e necessita acessar a um documento que se encontra disponível na rede empresarial. A solução mais lógica seria utilizar um cliente VPN e assim obter o arquivo pretendido. Mas e se não existir um cliente VPN para o dispositivo pessoal do colaborador? Nesse caso ele pode ter de copiar os documentos para o próprio dispositivo, antes de sair da empresa. Isto poderá dar origem a um potencial risco de segurança. Mesmo que não se tratem de documentos, os utilizadores poderão configurar as contas de e-mail da empresa nos seus próprios computadores, o que irá contribuir para o armazenamento local de muitas informações sensíveis. Não será difícil adivinhar o que poderá acontecer à empresa no caso de perda ou roubo do dispositivo em questão.

Uma diversidade de dispositivos

A diversidade de dispositivos existentes no mercado, torna a configuração das redes empresariais num problema complexo. Neste campo, alguns dos riscos são notoriamente mais óbvios do que outros.

Se olharmos, por exemplo, apenas para os smartphones, há muitas variáveis a ter em conta quando o utilizador liga o seu dispositivo a uma porta USB do computador da empresa. O equipamento que foi ligado pode servir como:

Um dispositivo de armazenamento externo cujos dados são gravados na memória interna;

Um dispositivo de armazenamento externo cujos dados são gravados na memória externa, como por exemplo, em cartões MicroSD;

Um modem quando a configuração do smartphone permite que os dispositivos USB utilizem a Internet via 3G/4G;

Uma estação de retransmissão Wi-Fi (hotspot público);

Um hub de ligações Bluetooth;

Um hub de ligações infra-vermelhos (embora estas sejam muito pouco populares).

Mas não são só os smartphones que oferecerem perigos para as empresas, já que outros dispositivos, podem causar grandes problemas, como por exemplo, os porta-retratos digitais.

Existem muitos colaboradores que gostam de levar este tipo de dispositivos para o local de trabalho, de modo a sentirem-se em casa.

Se por um lado os porta-retratos digitais mais simples que não têm funcionalidades de acesso a redes sem fio não apresentam perigo, as mais completas, que inclusivamente podem aceder à Internet, representam uma séria ameaça.

Estes porta-retrato digitais possuem normalmente um pequeno sistema operacional que utiliza determinadas bibliotecas que podem conter potenciais problemas de segurança e que poderão permitir, por exemplo, que a mesma seja explorada de forma maliciosa. Se considerarmos que o dispositivo pode estar ligado à rede empresarial existem diversas possibilidades infindáveis e preocupantes. Se a moldura for programada para analisar a rede, pode tentar encontrar arquivos abertos com acesso a dados confidenciais. Pode ainda ser usada como backdoor, como pequeno servidor C&C, centro de spam, entre outras. Para piorar toda esta situação não existem soluções antimalware para estes dispositivos. Em termos práticos isto significa que estes equipamentos infectados poderão levar a adiante as suas ações maliciosas sem serem detectados.

Aplicações que se ligam à Internet

Muitas aplicações comunicam frequentemente com a Internet, na maioria dos casos para obterem, por exemplo, dados relacionados com a meteorologia, ou para acessarem ao e-mail. Estas comunicações são normalmente efetuadas de forma não segura. Utilizando ferramentas como o WireShark é possível acessar a todos os detalhes dessas comunicações (incluindo senhas), o que poderá levar cibercriminosos a apoderarem-se de informações confidenciais importantes. Porém os dispositivos que se ligam à Internet podem também ter a capacidade de rodar aplicações como o WireShark, armazenando todas as comunicações empresariais no dispositivo, para que sejam transmitidas posteriormente a terceiros.

Atualizações do firmware ou do sistema operacional

Mesmo que o administrador de sistemas classifique os dispositivos pessoais dos colaboradores como seguros e confirme que não estão sendo efetuadas quaisquer ações impróprias, pode surgir uma nova atualização de firmware ou a nível do sistema operaciona que traga funcionalidades indesejadas.

Uma atualização pode fazer, por exemplo, com que um sistema operacional passe a ter uma sincronização permanente com a tão famosa “cloud”, transportando eventualmente informações confidenciais para fora do equipamento. É certo que esta poderá ser uma funcionalidade interessante no caso do dispositivo se avariar ou for roubado e quiser voltar a recuperar todas as informações. Porém, não se torna tão interessante se considerarmos que um utilizador mal intencionado pode conseguir acessar a estes dados. Mesmo que o dispositivo esteja protegido por PIN ou por uma senha, existem programas que conseguem ludibriar estes mecanismos.

É impossível um equipamento de segurança corporativa conhecer todos os recursos introduzidos frequentemente pelos novos sistemas operacionais, aplicações ou firmware, especialmente se não estiverem familiarizados com os dispositivos em questão.

Porquê CYOD?

O CYOD, ou em português, “Escolha o seu próprio dispositivo”, é um modelo que tem como objetivo resolver os eventuais problemas que podem surgir do BYOD. Deste modo, existe uma lista pré-selecionada de dispositivos que os colaboradores poderão eventualmente utilizar. Estes dispositivos são normalmente, bem conhecidos pelos administradores de sistema e foram escolhidos por serem fáceis de gerir, controlar e pela elevada compatibilidade. Permitem também uma implementação eficaz das políticas de segurança vigentes na empresa.

Os funcionários que não quiserem um destes equipamentos, pré-selecionados pelo departamento de TI da empresa e pretendem utilizar os seus próprios dispositivos terão de aceitar que não poderão acessarr à rede empresarial. Em simultâneo, deverão ser instruídos sobre segurança de TI no trabalho.

Windows to Go

Outro problema associado ao BYOD é criado pelos colaboradores que trabalham a partir de casa, ou em mobilidade com o seu próprio computador e conseguem acessar à rede da empresa, muitas vezes através de um hotspot público.

O estado dos sistemas operacionais nestas situações é completamente desconhecido para os administradores de sistemas e na maioria dos casos nem os próprios donos dos computadores sabem se estão infectados ou não. Basta alguém ter usado o computador para navegar por páginas menos aconselháveis para o equipamento ter ficado infectado por uma backdoor, sem que o utilizador tenha percebido.

O Windows 8 inclui uma nova funcionalidade denominada “Windows To Go” que permite às empresas criarem um ambiente de trabalho completo, no qual se incluem aplicações e utilitários, que ocorre a partir de uma drive USB. Assim que o sistema operacional é carregado, todas as políticas de segurança e ferramentas de gestão entram em vigor. Isto torna o equipamento do colaborador tão seguro, como se estivesse utilizando o próprio computador da empresa.

O Windows To Go vem ainda com algumas camadas extra de segurança. Para prevenir uma potencial perda de dados, se o pendrive USB for removido, os processos em execução serão congelados. Se ele voltar a ser introduzida num espaço de tempo igual ou inferior a 60 segundos, o sistema irá continuar a trabalhar. Se nenhuma destas condições se verificar, o sistema irá encerrar prevenindo o roubo de informações confidenciais. Um pendrive com o Windows To Go pode também ser protegido pelo Bitlocker.

O Windows To Go significa que não existem riscos quando é utilizado no computador pessoal de um colaborador?

Na realidade existem alguns riscos. Assumindo que o ambiente de trabalho do Windows To Go foi configurado corretamente, de modo a que seja sempre estabelecida uma ligação VPN segura entre o computador e a empresa, existe o problema da ligação à Internet não estar devidamente protegida. Enquanto a rede empresarial esta segura através da utilização de uma firewall, o computador pessoal pode ser utilizado em ambientes inseguros, abrindo a porta a riscos e ameaças que poderão infectar o computador.

Conclusão

Se considera que o BYOD é um problema que irá ocorrer apenas no futuro, não se engane porque o futuro já chegou e todos os riscos que referimos anteriormente são bem reais. É praticamente impossível prevenir que os colaboradores levem os seus equipamentos pessoais para o trabalho. Se for proibida a utilização de tablets ou smartphones existem, por exemplo, relógios que têm funcionalidades de telemóvel e até uma porta USB.

Está ao alcance das empresas valorizarem o BYOD e reestruturarem as políticas empresarias. Caso contrário e mais cedo do que possa esperar, as informações confidenciais da sua empresa, poderão cair nas mãos erradas.
Ao mudar para um modelo CYOD onde os diferentes dispositivos que podem acessar à rede empresarial são controlados pelos administradores de sistemas, os riscos podem ser minimizados para níveis aceitáveis, ao mesmo tempo que se continua a oferecer flexibilidade aos colaboradores.

Righard Zwienenberg

Categories: Vulnerabilidades
No Comments »

O caso que vamos comentar é nada mais nada menos que um novo ataque hacker, algo que já temos observado nos últimos tempos. Contudo, pelas características de como o ataque foi realizado, vale a pena uma menção. Resultado como parte da campanha #OpMadCow, um grupo do Anonymous entrou e tomou o controle da conta oficial no Twitter do Burger King, aparentemente, através de uma senha frágil (aparentemente era utilizada a palavra “whopper”). Além do dano na imagem da marca que causa este tipo de incidente, neste caso, os hackers tiveram o trabalho de modificar toda a conta e fazer publicidade do principal concorrente da marca:  McDonald’s.

Como pode-se observar, os hackers colocaram na conta oficial (@BurgerKing) o logo, o nome e o website do concorrente. Este incidente é um além dos outros que ocorrem diariamente às pessoas que não utilizam senhas fortes em seus serviços críticos, e no caso de contas corporativas põe-se mais em evidência o problema.

As campanhas de conscientização em segurança são um pilar essencial em qualquer Sistema de Gestão da Segurança da Informação, e neste caso põe-se em evidência como educar sobre o uso de senhas a um Gestor de Redes Sociais pode ser tão importante como para um administrador de rede.

No estudo de análise de riscos sempre é recomendável estimar qual poderia ser o custo de um incidente de Informática,as vezes é muito difícil estimar questões como a imagem da marca.

Ao momento, em menos de meia hora do ataque, a conta do Twitter já somava mais de 9.000 novos followers, de modo que alguns diziam que tratava-se de uma atividade “hacker voluntária” (questão pouco provável, embora as hipóteses sempre aparecem na rede) ou, talvez mais provável ainda que os efeitos colaterais positivos de um incidente deste tipo, o qual poderia não ser tão correto.

Finalmente, para completar as lições aprendidas e aproveitando o comentário anterior, será responsabilidade da Burger King recuperar o controle da conta e aproveitar esses novos followers, questão que poderia ser trabalhada sim, se possuí-se um plano de resposta à incidentes para atuar diante deste tipo de infortúnio. Entretanto, recordamos aos leitores, que o dia do ataque era feriado nos Estados Unidos portanto teve-se que considerar o tempo de recuperação que poderia levar este incidente.

No fim, um novo caso de um ataque hacktivista que, por suas características, tem despertado muitas opiniões nas redes sociais que seguramente serão prejudiciais para a empresa. Nestes casos não só refletem a má escolha das senhas, como ainda , servem para começar a compreender a importância de fazer uso dos mecanismos de dupla autenticação sempre que esteja disponível, já que agregam um nível a mais de segurança às senhas originais. Para tanto, se você possuí uma senha fraca para o Twitter, é hora de trocá-la. E se é um gestor de Redes Sociais, tenha pressa!

Sebastián Bortnik

Gerente de Educação e Serviços.

Categories: Engenharia Social, Pirataria, Vulnerabilidades
No Comments »

Um estudo realizado por investigadores de Swarthmore College na Pensilvania, determinou que é possível obter padrões e números PIN de bloqueio analisando a informação que geram e armazenam determinados sensores dos telefones inteligentes como o acelerômetro.

De acordo com a publicação, o acelerômetro dos telefones inteligentes armazena pelo geral, dados relacionados aos movimentos em três dimensões: de lado a lado, para frente e para trás, para cima e para baixo. Com esta informação, os investigadores levantaram que é possível  adivinhar os padrões de bloqueio e números PIN utilizados para proteger os telefones inteligentes. Durante a prova, a informação registrada pelo acelerômetro do dispositivo foi capturada, exportada e analisada para compará-la com um dicionário previamente armado de toques e golpes. O resultado foi surpreendente, pois um programa desenvolvido pelos investigadores alcançou 5 intenções, 43% de números PIN e 73% de padrões de bloqueio. Contudo, estas porcentagens diminuiram se a pessoa utilizava o telefone inteligente caminhando ou movendo-se de um lugar para outro. Isto porque os movimentos introduzem “ruído” portanto, dificulta-se a obtenção da informação.

Na base do apontado por Dr. Aviv, um dos investigadores, a preocupação por parte dos profissionais de segurança com respeito a este tema está crescendo. O motivo é claro, os dados que registra-se no acelerômetro não são tratados com o mesmo rigor que outros controles. Neste sentido, os sensores tem maior liberdade para obter informação que as aplicações instaladas em um smartphone. Assim mesmo, o Dr. Aviv, afirmou que um usuário não necessita outorgar permissões especiais para que um sensor posso obter informação inclusive se os dados registrados neste momento não tem direta relação com a aplicação que se estava utilizando.

Ainda que esta investigação seja uma prova de conceito, também é uma possibilidade mais que tem os atacantes para poder deixar vulnerável a segurança do usuário e deste modo, acessar sua informação confidencial. Se considerarmos que mais de 58% dos usuários da América Latina tiveram furtados seus celulares, a necessidade de implementar uma senha de bloqueio torna-se imprescindível. Alguns smartphones permitem estabelecer vários métodos de bloqueio como os que se mencionam na sequência:

- Bloqueio por padrão: Consiste em unir uma sequência de pontos para formar uma figura que serve para desbloquear o telefone. Tal como se descobriu nesta investigação, o uso de padrões de bloqueio não é recomendável devido a facilidade com que se pode adivinhar uma sequência:

- Desbloqueio facial:  Consiste no registro fotográfico do usuário que se utiliza para desbloquear o telefone. Ainda que este sistema de proteção é mais rápido que estar inserindo uma senha, o nivel de segurança que outorga é inferior al de desbloqueio por número PIN ou senha tal como informa o Android no momento de ativar esta característica:

- PIN: (não confundir com o PIN do cartão SIM ou chip), trata-se de um  bloqueio que funciona através de uma senha numérica. Este método é mais seguro que o desbloqueio facial ou por padrões. Dependendo do telefone, a longitude pode ser maior do que quatro dígitos:

-Senha: É o método mais seguro para bloquear um telefone inteligente. A diferença do PIN, o bloqueio por senha permite estabelecer chaves alfanuméricas, o que dificulta consideravelmente que um terceiro possa vulnerar este sistema de proteção:

Resumindo as características dos métodos de proteção disponíveis, deve-se começar pela premissa de que não estabelecer nenhum tipo de bloqueio é a ação mais insegura e perigosa de todas, portanto, tal situação deve evitar-se sempre. Ainda implementar um código PIN de quatro dígitos permite proteger o smartphone relativamente bem, uma senha alfanumérica composta por mais de quatro caracteres segue sendo a opção mais segura de todas. Em contraposição, a ausência de um sistema de proteção, o bloqueio por padrão e o sistema de reconhecimento facial deve ser evitado. Finalmente o recomendamos a leitura de nosso Guia de Segurança para dispositivos móveis.

André Goujon
Especialista de Awareness & Research

Categories: Fuga de informação, Vulnerabilidades
No Comments »

Durante o fim de semana a rede social dos 14o caracteres reconheceu ter sido vítima de um ataque que afetou as contas de alguns de seus usuários. Em seu blog oficial o Twitter, anunciou que seus sistemas foram violados e foram comprometidas as contas de 250.000 usuários.

Segundo a informação publicada durante o fim de semana os responsáveis por segurança no Twitter detectaram padrões pouco usuais de acesso às contas, o que deu indícios de que algo estranho estava ocorrendo. A partir desta informação os acessos foram catalogados como não autorizados.  Apesar de ter sido muitas contas violadas, a rede social afirma que foram poucos os usuários que foram afetados.

Temos que recordar que no ano passado o Twitter criou o restabelecimento massivo de senhas devido a uma possível brecha de segurança, inclusive àquelas que não foram comprometidas.

Neste mesmo comunicado, o Twitter diz que o ataque foi muito sofisticado e que não parece ser obra de principiantes. Ressaltam que ataques como este tem sido relatados por outras empresas dos Estados Unidos, particularmente meios de comunicação com o Wall Street Journal e o New York Times, que atribuem a responsabilidade dos ataques à seus sistemas a um grupo de chineses.

Ainda em seu comunicado não fica claro como foi debelado o ataque, eles fazem a recomendação de desativar o plugin do Java nos navegadores web. Java somente utiliza-se do entorno dos navegadores de modo a ser um “plugin“, assim, para aqueles usuários que queiram saber mais podem ler o post  Como desativar o Java de nosso navegador?

Como medida de prevenção o Twitter desabilitou as senhas dos usuários afetados e logo enviou a eles mensagens de email para que a restabelecessem. Como medidas adicionais de segurança , a rede social solicita aos usuários que tenham senhas mais seguras e utilizem diferentes senhas para os serviços que possuam na Internet.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Categories: Alertas, Engenharia Social, Fuga de informação, Redes sociais, Vulnerabilidades
No Comments »