Depois do recente caso em que o Dropbox confirmou fuga de informação, os controles sobre o serviço de hospedagem na nuvem foram melhorados. Porém, quando empresas utilizam este serviço, é importante que considerem certos aspectos relacionados ao tipo de informação armazenada, assim como os funcionários devem ter em mente que a plataforma deve ser tratada com um espaço de armazenamento público.

As empresas devem levar em conta as seguintes considerações na hora de utilizar plataformas onde se armazena informação sensível e crítica, como é o caso do Dropbox:

Monitorar o uso do Dropbox

Deve-se considerar a qualidade e a quantidade da informação que a organização está compartilhando na plataforma. O risco tem relação direta com a quantidade de informação que se aloja na nuvem tendo em conta que quanto mais informação se hospede na rede, mais difícil será o controle.

Considerar a segurança do serviço em nuvem

Há estudos que têm mostrado uma grande porcentagem das pessoas que utilizam esse tipo de serviço para hospedar informação sensível consideram que o próprio serviço é o responsável pela segurança da informação depositada. Contudo, um número equivalente de pessoas diz não ter conhecimento sobre o tipo de segurança implementado pela plataforma. Desta forma, é necessário que a organização avalie se a segurança oferecida pelo serviço está de acordo com as medidas de segurança que a empresa necessita.

Tratar o Dropbox como um depósito de informação pública

É importante que a organização conscientize seus funcionários que vão utilizar o serviço a respeito do caráter sensível das informações hospedadas. No caso de ser informação crítica, existe a alternativa de encriptá-la antes de hospedá-la no serviço em nuvem como o Dropbox.  Ainda assim, há aquela parcela de empresas que optam por não hospedar nenhum dado sensível em servidores de terceiros. O objetivo é estar consciente da problemática e tomar a decisão mais de acordo com a organização.

Estar atento à ética dos funcionários

A pergunta que a empresa deve se fazer ao autorizar a utilização deste tipo de serviços é: “É possível detectar a informação que um funcionário pode filtrar através desses serviços?”. Ainda que esse problema seja fácil de controlar, Dropbox oferece um serviço chamado “Dropbox for teams”, que é idôneo para as organizações e oferece algumas características, como administração centralizada, segurança aprimorada, integração com Active Directory, dentre outras opções.

Todos os aspectos anteriormente mencionados devem ser levados em conta pela organização antes de implementar a utilização dos serviços em nuvem disponíveis atualmente. A segurança de uma empresa deve ser gerenciada, e a informação é um dos seus ativos de maior relevância. Dessa forma, será possível prevenir incidentes como fuga de informação, entre outros, que atentam contra o estado de segurança da informação corporativa.

Fernando Catoira
Analista de Segurança

Categories: Alertas, Fuga de informação
No Comments »

O famoso serviço de armazenamento de arquivos em nuvem reconheceu através de seu blog oficial que um pequeno número de suas contas foram comprometidas devido a usuários e senhas de outros sites terem sido roubados e utilizados para iniciar sessão na plataforma Dropbox.

O Dropbox, caracterizado pela facilidade de sincronização de arquivos em nuvem, informou que algumas semanas atrás alguns usuários emitiram queixas referentes à chegada de spam em suas contas de e-mail que somente eram utilizadas para o serviço. Segundo o blog do Dropbox, uma das contas comprometidas teria sido a de um funcionário da própria empresa. Dessa forma, os criminosos tiveram acesso a um documento que continha endereços de e-mail dos usuários, o que permitiu iniciar a cadeia de spam.

A partir desse incidente, a empresa entrou em contato com os usuários afetados para auxiliá-los no que fosse preciso. Além disso, foram feita algumas melhorias na segurança:

• Autenticação dupla: Opcionalmente podemos exigir dois testes de identidade, como, por exemplo, a senha e um código de verificação temporário enviado ao telefone celular.
• Novos mecanismos automatizados que ajudam a identificar atividade suspeita.
• Um novo site que permite visualizar todas as sessões ativas da conta do usuário.
• Em casos particulares será necessária a mudança de senhas devido à sua força ou por não ter sido alterada em muito tempo.

Esse tipo de fuga de informação já ocorreu em outros casos, pelo que é recomendável o uso de senhas únicas para cada serviço utilizado. A reutilização de uma mesma senha em vários serviços acarreta o risco de comprometer o acesso a cada um deles se alguma das senhas for exposta.

Na realidade, o nível de complexidade de senhas não está ligado unicamente ao seu tamanho. Tanto é que há estudos que demonstram que senhas de seis caracteres podem ser decifradas em quatro segundos. Ainda assim, é possível afirmar que as senhas continuam sendo um ponto fraco dos usuários. Além disso, em muitos casos, o usuário utiliza uma grande quantidade de serviços, e por isso é recomendável gerenciar adequadamente essas senhas. Por isso, recomendamos a leitura de nosso post que explica o que fazer com tantas senhas para poder ler algumas sugestões e tirar o maior proveito das senhas para que sejam seguras e fáceis de lembrar.

Fernando Catoira
Analista de Segurança

Categories: Alertas, Fuga de informação
No Comments »

A realidade do mercado atual exige que as empresas realizem a avaliação de segurança de seus sistemas. Dessa forma, é possível avaliar qual é o nível de segurança da organização. Esse tipo de avaliação é denominado Penetration Test (teste de penetração).

O que é um Penetration Test?

Um teste de penetração consiste em provas de ataque contra os mecanismos de defesa existentes no ambiente que está sendo analisado. Essas provas compreendem desde a análise de dispositivos físicos e digitais, até a análise do fator humano utilizando engenharia social. O objetivo desses testes é verificar sob situações extremas qual é o comportamento dos mecanismos de defesa, especificamente, buscando encontrar vulnerabilidades. Além disso, são identificadas as faltas de controle e as brechas que podem existir entre a informação crítica e os controles existentes.

Por que é necessário realizar um Penetration Test?

Há muitos casos em que as organizações sofrem incidentes que poderiam ter evitado se os mecanismos de proteção fossem reforçados no devido momento. Os incidentes compreendem casos tais como fuga de informação, acessos não autorizados, perda de dados, entre muitos outros. A análise dos mecanismos de proteção deve ser uma tarefa proativa permitindo ao pentester (pessoa que realiza a auditoria) encontrar as vulnerabilidades e oferecer uma solução antes que um cibercriminoso se aproveite da deficiência.

Quais atividades fazem parte de um Penetration Test?

Um Penetration Test compreende múltiplas etapas com diferentes tipos de atividades em diferentes ambientes. A profundidade com que são feitas as atividades irá depender de certos fatores, dentre os quais se destaca os riscos que os métodos usados durante a avaliação podem gerar ao cliente.

É estabelecido um acordo prévio com o cliente para realizar as diferentes fases da análise, que são descritas a seguir:

• Fase de reconhecimento: Possivelmente, esta é uma das etapas que demanda mais tempo. Ainda assim, são definidos objetivos e são coletadas todas as informações possíveis que logo serão utilizadas ao longo das fases seguintes. A informação pela qual se busca abrange desde nomes e endereços de e-mail dos empregados da organização, até a topologia da rede, endereços IP, dentre outros. Vale destacar que o tipo de informação ou a profundidade da pesquisa irão depender dos objetivos definidos na auditoria.
• Fase de rastreamento: Utilizando a informação obtida no passo anterior, buscamos possíveis vetores de ataque. Essa etapa envolve o rastreamento de portas e serviços. Em seguida, é realizado o rastreamento de vulnerabilidades que permitirá definir os vetores de ataque.
• Fase de enumeração: O objetivo desta etapa é a obtenção dos dados referentes aos usuários, nomes dos computadores, serviços de rede, dentre outros. A esta altura da auditoria, são feitas conexões ativas com o sistema e executadas consultas dentro dele.
• Fase de acesso: Nesta etapa finalmente é feito o acesso ao sistema. Esta tarefa é feita a partir da exploração das vulnerabilidades detectadas que foram aproveitadas pelo auditor para comprometer o sistema.
• Fase de manutenção de acesso: Após ter obtido o acesso ao sistema, se busca uma maneira de manter o sistema comprometido à disposição de quem o tenha atacado. O objetivo é manter o acesso ao sistema durante a operação.

Ainda que as fases que compõem um Penetration Test sejam as mencionadas anteriormente, cabe destacar que a partir dos resultados obtidos é gerada a documentação correspondente com os detalhes que compreendem a auditoria. Esta documentação é a que o cliente irá ver, e a que servirá como guia para tomar futuras decisões pertinentes.

Finalmente, é importante tomar os cuidados necessários para evitar sofrer ataques e incidentes na organização. Ainda assim, a segurança deve ser gerenciada contemplando a necessidade de se fazer auditorias periodicamente. O mais aconselhável é contratar empresas especializadas em serviços de auditoria de segurança, para que identifiquem vulnerabilidades na infraestrutura da rede, para poder trabalhar com direção à melhoria da proteção das informações corporativas.

Fernando Catoira
Analista de Segurança

Categories: Corporativo, Vulnerabilidades
No Comments »

A variedade de dispositivos que permitem manusear facilmente a informação com que o usuário lida diariamente também o coloca em uma posição bastante vulnerável, fazendo com que cometa alguns “pecados” contra a integridade e a confidencialidade de sua informação. A seguir, enumeramos sete pecados que comumente são cometidos pelos usuários no manuseio de sua informação, além de citarmos três simples e eficazes alternativas que, integradas, podem garantir a segurança de suas informações:

1. Acessar a Internet em redes não-seguras: Com a quantidade de dispositivos que o usuário tem à disposição (smartphones, tablet, notebook, netbook, etc) é de se esperar que queira conectar-se em todos, e que, para isso, recorra a se conectar a qualquer rede que encontre disponível, sem levar em conta suas condições de segurança, e dessa forma sua informação pode ficar exposta.
2. Utilizar privilégios de administrador: Muitas vezes o uso dos dispositivos é compartilhado, e para facilitar o trabalho é utilizado um único perfil de acesso, geralmente no modo de administrador – o que abre uma possibilidade maior para ataques. Para o caso de dispositivos móveis, é comum a prática do jailbreak com o objetivo de obter controle total do dispositivo, com as consequências anteriormente mencionadas. Some a isso o costume não muito saudável de armazenar as senhas nos navegadores.
3. Utilizar indiscriminadamente os dispositivos USB: A facilidade para a troca de informações que esse tipo de dispositivo oferece fez com que as pessoas os utilizassem para transportar informações pessoais, de trabalho e confidenciais, sem tomar maiores cuidados para evitar casos de extravio ou infecção por malware.
4. Utilizar o mesmo nome de usuário e senha em muitos serviços: Devido à grande quantidade de sites em que o usuário se cadastra, existe a tendência de utilizar os mesmos dados de nome de usuário e senha. Caso a informação de algum desses sites seja violada, isso pode resultar na exposição de seus dados aos demais sites.
5. Negligenciar os dispositivos: É muito comum levar seus dispositivos de trabalho a todos os lugares que visita, deixando-os sem a devida de segurança, podendo ser vítima de roubo ou alteração de informações confidenciais.
6. Perda ou roubo do dispositivo: Nenhum usuário está isento de que algum de seus dispositivos possa ser extraviado, e, portanto, toda a informação ali contida possa ser violada.
7. Ter informação de trabalho sensível nos dispositivos pessoais: Apesar de a tendência de utilizar dispositivos próprios em locais de trabalho (consumerização, ou BYOD – bring your own device) ter se consolidado, é muito importante saber que tipo de informação é conveniente conservar nos dispositivos pessoais, e no caso de ter informação sensível, tomar as medidas de segurança adequadas.

É necessário para o usuário desenvolver uma estratégia para diminuir os riscos aos quais está exposto, que pode estar baseada nos seguintes três conselhos:

• Sistemas para a proteção dos dados: Há ferramentas que oferecem proteção para detectar e bloquear ameaças, tanto para dispositivos móveis, como para computadores, sejam pessoais ou de escritório.
• Manter sua infraestrutura atualizada: Todos os dispositivos que forem utilizar devem ter seus sistemas operacionais e aplicativos atualizados com os pacotes que periodicamente são lançados pelos fabricantes, para minimizar as falhas e vulnerabilidades existentes.
• Educação: É responsabilidade do usuário ficar atento a quais ameaças pode estar exposto, e quais as alternativas com que conta para se proteger. É preciso complementar o uso da tecnologia com bom senso e educação.

À medida que o usuário se torna mais responsável com o manuseio da informação, ele conseguirá diminuir seu nível de exposição. A integração desses três conceitos é fundamental para não cometer os “pecados” comentados anteriormente, garantindo a integridade de suas informações.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Categories: Educação, Fuga de informação
No Comments »

Com os olhos do mundo (e da imprensa) voltados para as especulações de que as ameaças virtuais Stuxnet e Duqu (e talvez o Flamer) devem sua existência a uma parceria, já finalizada, entre os Estados Unidos e Israel, percebemos que, no mundo do cibercrime, somente o lucro interessa. E nesse mundo, a guerra entre os criminosos e os “mocinhos” continua.

Nossos amigos do Group-IB reportaram que seis criminosos virtuais foram presos. Os membros da antiga quadrilha denominada Hodprot roubaram um total de 125 milhões de rublos de clientes de bancos russos, que, desde 2009, tem sido vítimas de ataques virtuais propagados por esses criminosos. Como o nome da quadrilha sugere, esses criminosos utilizaram inicialmente o código malicioso Hodprot para transformar o trojan Carberp.

O Group-IB ofereceu assistência com análise forense ao Ministério do Interior, e pesquisadores da ESET auxiliaram com a análise do software malicioso usado pela quadrilha. O press release oficial do Ministério pode ser lido aqui.

David Harley
Senior Research Fellow – ESET USA

Categories: Alertas
No Comments »