Arquivo mensal Julho 2018

PorWagner Lindemberg

Entenda o que é SQL Injection e a importância de tomar precauções

Precauções e Implicações de ataques SQL Injection

Ter um ambiente virtual com uma segurança do maior nível possível se tornou mais que uma questão de vontade: hoje em dia, é um requisito para sobrevivência no mercado. Entre os ataques mais nocivos, um que é muito comum (porém pouco divulgado) é o SQL Injection.

Com todas as notícias sobre ransomwares e ataques DDoS que temos atualmente, as invasões do banco relacional são, de certa forma, esquecidas pela mídia, mas seus danos podem trazer muitas dores de cabeça para gestores e diretores de TI.

Entenda mais a respeito:

Possíveis implicações de sofrer um ataque SQL Injection

As possíveis implicações de se estar exposto a uma vulnerabilidade de SQL Injection podem ser resumidas conforme abaixo:

  • Exposição de registros confidenciais registrados nas bases de dados;
  • Exposição do banco de dados da empresa aos concorrentes;
  • Modificação de dados (Inserir / Atualizar / Excluir) registrados nas bases de dados da empresa;
  • Obtenção de acesso arbitrário ao sistema operacional;
  • Obtenção de acesso arbitrário ao uso da rede.

Quando uma empresa lida com dados pessoais e financeiros de seus clientes, a situação se torna ainda pior. Vazamentos de dados de cartões de crédito podem ocorrer, assim como dados íntimos e familiares, manchando a imagem organizacional — às vezes, de forma irreversível.

A integridade dos dados é perdida no momento em que eles são acessados indevidamente, pois podem estar corrompidos. É possível que valores de cobranças e pagamentos sejam alterados, acabando com toda a visão financeira da empresa e a deixando sem saber o quanto deve pagar e receber de clientes e fornecedores.

É possível perceber que os impactos do SQL Injection se estendem por todas as áreas de uma empresa — desde perda de dados até parada total de sistemas. Com esse entendimento, é preciso buscar formas de se precaver e não deixar esse cenário acontecer.

Três maneiras de se prevenir dessas situações

Treinar desenvolvedores e DBAs especificamente sobre o assunto

Mesmo desenvolvedores e administradores de banco de dados experientes precisam estar sempre atentos à segurança do código e da base de dados. Treinar esses profissionais especificamente para esse propósito vai fazer com que eles ganhem uma perspectiva nova sobre o problema, se preocupando mais com validações — seja nas permissões de acesso ou no código-fonte do sistema.

Utilizar boas práticas no desenvolvimento e manutenção de sistemas

Fazer com que o time seja rigoroso no uso de boas práticas da TI também é um remédio eficiente que auxilia na proteção dos dados. Um exemplo disso é a prática do Code Review no time de desenvolvimento, pois um especialista em segurança pode encontrar brechas deixadas no código pelo desenvolvedor.

Realizar testes usando esse tipo de invasão

É possível usar a arma para a proteção do sistema. As equipes de segurança devem usar abordagens de SQL Injection no código desenvolvido, visando descobrir vulnerabilidades antes do código ser liberado para produção.

Na parte dos DBAs, também é preciso testar permissões de acesso, para que cada perfil tenha acesso estritamente àquilo que necessita. As permissões em excesso são uma das brechas mais utilizadas nesse tipo de ataque.

Nos dias de hoje, prever os problemas se tornou a melhor ferramenta para combatê-los. Com as informações correndo instantaneamente na rede, algumas horas são suficientes para destruir planos de empresas.

É preciso lembrar que de todos os ataques possíveis, o SQL Injection está entre os mais devastadores e entre os mais frequentes tipos de vulnerabilidades. Coibir esse cenário de risco é fundamental para a empresa perseguir seus objetivos no mundo digital.

Fonte: Conviso

PorWagner Lindemberg

Malware rouba dinheiro por meio de transferências bancárias

Pesquisadores identificaram um malware bancário que usa uma nova técnica para burlar as medidas de proteção do navegador e, assim, roubar dinheiro de contas bancárias.

Recentemente uma família de malwares bancários – ou bankers – foi descoberta. A ameaça usa uma nova técnica para manipular o navegador, fazendo com que as transações bancárias sejam enviadas para as contas dos invasores, sem que o usuário suspeite.

Ao invés de usar métodos complexos para monitorar a atividade do navegador, esse malware intercepta eventos específicos do loop de mensagens do Windows, de maneira que consegue verificar, nas janelas do programa, as atividades bancárias realizadas. Uma vez que a atividade bancária é detectada, o malware injeta um JavaScript malicioso no site. Todas essas operações são realizadas sem que o usuário perceba.

Em janeiro de 2018, a ESET identificou o grupo responsável por este malware. Em seus primeiros ataques, os cibercriminosos utilizavam uma ameaça que roubava criptomoedas, substituindo o endereço das carteiras na área de transferência. Por alguns meses, o grupo se concentrou em criar malwares de área de transferência, até que, finalmente, introduziu a primeira versão do banker. Como resultado, houve um pico na taxa de detecção em comparação com projetos anteriores dos mesmos criminosos. Isso ocorreu devido ao fato de que os atacantes eram muito ativos no desenvolvimento do malware bancário e introduziam novas versões quase diariamente.

O malware é distribuído por meio de campanhas maliciosas de spam via e-mail, que contêm como anexo um downloader JavaScript disfarçado de uma família comumente conhecida como Nemucod. Segundo as análises, as campanhas de spam são direcionadas principalmente contra usuários poloneses.

Caracteriza-se por manipular o sistema simulando as ações de um usuário. O malware não interage em nenhum ponto com o navegador no nível do processador, portanto, não requer privilégios especiais e cancela qualquer otimização do navegador por terceiros; que geralmente se concentram em métodos convencionais de injeção. Outra vantagem para os invasores é que o código não depende da arquitetura do navegador ou de sua versão, além disso, um único padrão de código funciona para todos os navegadores.

Uma vez identificado, o malware implementa um script específico para cada banco, já que cada site bancário é diferente e tem um código fonte diferenciado. Esses scripts são injetados em páginas nas quais o banker identificou uma solicitação para iniciar uma transferência bancária, como o pagamento de uma conta. O script secretamente injetado substitui o número da conta do destinatário por um diferente e, quando a vítima decide fazer a transferência bancária, o dinheiro será enviado para o atacante. Qualquer medida de segurança contra pagamentos não autorizados, como duplo fator de autenticação, não será útil nesse caso, pois o proprietário da conta está enviando a transferência voluntariamente.

O número de contas bancárias maliciosas é alterado com frequência e praticamente todos os ataques têm uma nova. O malware só vai roubar dinheiro se o valor da transferência bancária estiver dentro de um determinado intervalo – eles geralmente são escolhidos entre valores de 2,8 a 5,6 mil dólares. O script substitui a conta bancária de recebimento original e, também, o campo de entrada desses números por um falso que mostra a conta bancária original, para que o usuário veja o número válido e não suspeite de nada.

“Essa descoberta nos mostra que, no decorrer da batalha entre a indústria de segurança e os autores de bankers, novas técnicas maliciosas não precisam ser altamente sofisticadas para serem efetivas. Acreditamos que, na medida em que os navegadores estão mais protegidos contra a injeção de códigos convencionais, os autores de malware irão atacar de maneiras diferentes. Nesse sentido, o Win32/BackSwap.A simplesmente nos mostrou uma das possibilidades”, diz Camilo Gutierrez, chefe do Laboratório de Pesquisa da ESET na América Latina.

Fonte: Globalmask

PorWagner Lindemberg

Minicurso Pentest no Mundo Real no Root@RSI

Minicurso Pentest no Mundo Real no Root@RSI

A WL Tech estará presente no Root@RSI, maior evento de segurança da Informação de Fortaleza. Nessa oportunidade, apresentaremos o minicurso sobre Pentest em Aplicações Web. Ministrarão o minicurso Wagner Lindemberg e Leonardo Garcia (sócios proprietários da WL Tech Serviços em Tecnologia da Informação Ltda.).

O minicurso apresentará as principais definições e detalhes sobre como funciona o processo de Pentest num cenário real. Durante o minicurso serão apresentadas as seguintes fases de um Pentest:

  • Reconhecimento;
  • Scanning;
  • Análise de Vulnerabilidades;
  • Exploração.

O cenário será a realização de um Pentest em um site real (site esse de propriedade da nossa empresa – WL Tech).

Mais informações:

Site: rsi.dc.ufc.br/root
Facebook: facebook.com/rootrsi

PorWagner Lindemberg

Senado aprova projeto que regulamenta a proteção de dados

 

O Plenário do Senado aprovou, nesta terça-feira (10/7), o Projeto de Lei da Câmara 53/2018 que define regras para proteção de dados pessoais por empresas de internet e faz com que usuários tenham instrumentos para questionar o mau uso de suas informações. Pelo projeto, as empresas só podem coletar e armazenar os dados necessários para a prestação dos serviços que ofereçam.

texto, que altera o artigo 7º, X e o artigo 16, II, da Lei 12.965/14, foi aprovado por unanimidade nos termos do conteúdo votado na Câmara dos Deputados, no fim de maio. O projeto agora vai para sanção presidencial e entrará em vigor um ano e meio depois da publicação da lei no Diário Oficial da União. O presidente Michel Temer tem 30 dias úteis para sancionar o projeto. Essas serão as primeiras alterações formais no Marco Civil da Internet.

A nova lei disciplina a forma como as informações são coletadas e tratadas, especialmente em meios digitais, como dados pessoais de cadastro, número de telefone, endereço, estado civil, informações patrimoniais e até mesmo textos e fotos publicadas em redes sociais.

Com isso, dados de menores de idade não podem ser mantidos nas bases de dados das empresas sem o consentimento dos pais. A lei também protege os dados relativos à saúde das pessoas, que só poderão ser usados para pesquisas.

A lei prevê, ainda, a criação da Autoridade Nacional de Proteção de Dados, uma autarquia cuja principal função será fiscalizar o cumprimento da legislação e aplicar as sanções, e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. O descumprimento de qualquer uma das regras da nova lei poderá acarretar em multa de até 2% do faturamento da empresa responsável.

Segundo o advogado Omar Kaminski, gestor do Observatório do Marco Civil da Internet, havia uma lacuna “inadmissível” na proteção de dados. Para ele, é importante atentar para vacatio legis de um ano e meio, pois “proporcionará tempo mais que suficiente para a adaptação ou compliance“.

“A nova lei de proteção de dados representa um necessário avanço e traz benefícios à sociedade e à economia do país”, afirma Leonardo Palhares, presidente da Câmara Brasileira de Comércio Eletrônico (camara-e.net) e sócio do Almeida Advogados.

O advogado Thiago Sombra, especialista em proteção de dados, elogia a aprovação da lei. Em entrevista à ConJur, ele havia criticado a disparidade do sistema legal brasileiro em relação à União Europeia, que acaba de aprovar a GDPR. Com o novo texto, diz Sombra, o Brasil se torna mais competitivo.

“A aprovação coloca o Brasil em linha com os demais países que também possuem um marco regulatório. O projeto em a virtude de conciliar fomento à inovação e proteção de direitos, numa perspectiva mais voltada à realidade brasileira”, afirma o advogado, sócio da área de proteção de dados e cibersegurança do Mattos Filho.

Mas, segundo ele, deve haver vetos por parte do governo. “O texto final tem problemas como o da inconstitucionalidade pertinente à criação da autoridade de proteção de dados e seu autofinanciamento por meio de multas aplicadas.”

 O que muda

 A advogada Patricia Peck Pinheiro, especialista em Direito Digital, em tabela, comparou o projeto com a legislação europeia e mostra seus impactos para empresas e usuários, que terão 18 meses para se adequarem.

Para ela, o projeto é benéfico pois busca o equilíbrio entre a transparência devida aos titulares dos dados e a segurança jurídica para quem os trata.

Fonte: CONJUR