Arquivo do autor Leonardo Garcia

PorLeonardo Garcia

Um pouco sobre o WannaCry

O que é o WannaCry?

O ransomware WannaCry visa redes que usam SMBv1, um protocolo que ajuda PCs a se comunicarem com impressoras e outros dispositivos conectados na rede. Essa versão, que vem de 2003, deixa computadores expostos a hackers, uma vulnerabilidade chamada MS17-010. A Microsoft lançou um patch para corrigi-la em março para as versões do Windows que ainda têm suporte, mas qualquer pessoa que não tenha instalado o patch tornou-se um alvo fácil para os hackers que criaram o WannaCry.

Conhecido também como WanaCrypt0r 2.0 ou WCry, o WannaCry tira proveito de PCs que usam Windows para criptografar arquivos e impedir que os usuários os acessem, a menos que paguem US$ 300 em bitcoins em 3 dias. Depois disso, o preço dobra.

Quais são os alvos do WannaCry?

Durante um grande surto de ransomware em maio de 2017, Rússia, China, Ucrânia, Taiwan, Índia e Brasil foram os países mais afetados. O WannaCry afetou tanto pessoas quanto organizações governamentais, hospitais, universidades, empresas ferroviárias, firmas de tecnologia e operadoras de telecomunicações em mais de 150 países. O National Health Service do Reino Unido, Deutsche Bahn, a empresa espanhola Telefónica, FedEx, Hitachi e Renault estavam entre as vítimas.

De onde vem o WannaCry

Especialistas notaram que o ransomware WannaCry se comporta como um worm, usando dois métodos de ataque encontrados no arsenal que vazou da NSA (ETERNALBLUE e DOUBLEPULSAR). Eles também encontraram evidência que liga o surto de ransomware ao Grupo Lazarus da Coreia do Norte.

Em 2014, os hackers (conhecidos por usar bitcoin em suas operações) apagaram mais de um terabyte de dados do banco de dados da Sony Pictures. Eles também criaram um backdoor maligno em 2015 e se envolveram em um ataque cibernético de US$ 81 milhões no Banco Central de Bangladesh em 2016.

Como reconhecer o WannaCry

Você provavelmente não reconhecerá o WanaCrypt0r 2.0 antes da infecção, pois ele não exige sua interação para isso. Esse tipo de ransomware comporta-se com um worm, se espalhando através de redes e chegando ao seu PC, onde finalmente criptografará seus arquivos. Quando infectado, você receberá um aviso e não poderá acessar seus arquivos, ou pior: não poderá fazer login em seu computador de maneira alguma.

Como evitar o WannaCry

Para ficar seguro contra ataques do WannaCry, é vital manter seu software, especialmente seu sistema operacional, atualizado. A Microsoft disponibilizou recentemente patches até mesmo para versões mais antigas do Windows, sem suporte oficial. Certifique-se de usar um antivírus, pois isso ajudará a detectar qualquer atividades suspeita no computador.

Fontes: Avast, Kaspersky

PorLeonardo Garcia

Tipos de conexão de rede no VirtualBox

Assim como o Hyper-V tem vários tipos de switches, o VirtualBox também possui uma série de configurações para conectar sua maquina virtual na rede. Neste post vou explicar rapidamente as opções de rede disponíveis.

Quando você cria uma maquina virtual, tem algumas opções na seção Networking:



Antes de começar a explicar as opções, vamos definir alguns conceitos:

  • Guest: Se refere a maquina virtual
  • Host: Computador onde a VM está rodando
  • External: Rede externa. Internet.

Tipos de conexão:

  1. Not attached: Não conectado. A VM não possuirá qualquer tipo de conexão de rede;
  2. NAT: (Network Address Translation) Permite que o Guest acesse a internet, mas não da acesso a rede interna.  Escolha se você quiser que a VM acesse apenas a internet;
  3. NAT Network: Similar a opção anterior, mas neste modo você pode configurar um servidor DHCP local para que a sua VM tenha um IP interno. Isso possibilita, alem do acesso a redes externas, que outras VMs que estão na mesma rede se conectem a esta maquina;
  4. Bridged Adapter: Esta é a opção mais abrangente. Quando selecionada, o VirtualBox utiliza os drivers de rede do Host e fazem um ‘net filter’, interceptando e injetando dados na rede local. Uma VM que possui este modo selecionado, aparece para o Host como se fosse uma maquina física conectada na rede. Um ponto de atenção: Se o Host estiver conectado através de um VPN, pode ser que a sua VM não consiga sair para a rede externa (internet), mas conseguirá acessar a rede interna;
  5. Internal Network: Neste modo, as VMs conseguem ‘conversar’ entre si, mas não são visíveis pela rede do Host. Ao contrário do modo Bridged Adapter, que faz com que os dados passem por uma interface física, no modo Internal Network, todos os pacotes ficam ‘escondidos’ na rede interna criada pelo VirtualBox. Este comportamento oferece um nível a mais de segurança, pois sniffers de pacotes na rede do Host não será capaz de capturar os dados transferidos entre as VMs que estão neste modo;
  6. Host-Only: Esta opção é uma espécie de ‘Internal Network Plus‘. Este modo funciona igual ao Internal Network, porém com a vantagem de permitir que o host (e outros computadores na mesma rede) se conectem as VMs;
  7. Generic Driver: Permite que o usuário selecione qual driver será incluído na VM ou dristribuido em um extension pack. No momento, existem dois sub-modos disponíveis para o Generic Driver:
    • UDP Tunnel: Utilizado para conectar VMs que estão rodando em hosts diferentes;
    • VDE (Virtual Distributed Ethernet) networking: Pode ser utilizado para habilitar conexão com um um switch “Virtual Distributed Ethernet” em um ambiente Linux ou FreeBSD.

Para mais informações sobre o Generic Driver, consulte o manual do VirtualBox.

Os modos Internal NetworkBridged Adapter e Host-Only possuem praticamente a mesma performance. Sendo que o modo Internal Network é um pouquinho mais rápido e usa menos ciclos do CPU, já que os pacotes nunca chegam na pilha da rede do host. O modo Nat é o mais lento deles, mas também é o mais seguro.

Para você que ficou com preguiça de ler o post, uma tabelinha no melhor estilo TL;DR:

Fontes:

https://raccoon.ninja/pt/dev-pt/tipos-de-conexao-de-rede-no-virtualbox

https://www.virtualbox.org/manual/ch06.html

Até a próxima!

PorLeonardo Garcia

Ransomware para smartphones cresceu mais de 3 vezes

Ilustração Ransomware

Nas últimas semanas, o sequestro de aparelhos nunca esteve tão em alta, especialmente pelo WannaCry, que foi responsável pela invasão de vários computadores em muitos locais do mundo. Porém, o vírus do tipo ransomware não é exclusivo para computadores, sendo que os smartphones podem também ser comprometidos.

De acordo com um levantamento divulgado nesta terça-feira (23), pela Kaspersky Lab, esse tipo de golpe, direcionado aos dispositivos móveis, teve aumento de 3,5 vezes entre janeiro e março deste ano.

A empresa de segurança mostra que o número de arquivos ransomware móvel passou de 61,8 mil, no trimestre passado, para 218,6 mil, no início deste ano. Tal aumento ocorre, principalmente, pelo crescimento da família Conjur, que está presente em 86% dos golpes já identificados.

O ransomware Conjur é um bloqueador que configura e também restabelece o PIN do aparelho, o que acaba fornecendo direitos de administrador no dispositivo e também algumas variantes do malware para que os cibercriminosos possam instalar o seu módulo na pasta do sistema. Vale mencionar que a remoção do arquivo é praticamente impossível. O Trojan-ransom.AndroidOS.Fusob.h é o líder dos trojans ainda. Conforme o estudo, ele foi o responsável por 45% de todos os ataques a dispositivos móveis.

Quando tal trojan é executado, ele solicita privilégios de administrador e consegue coletar informações do dispositivo através do histórico de chamadas e suas coordenadas GPS. Após isso, ele carrega os dados em um servidor que pode enviar a ordem para bloqueio do aparelho.

“O panorama de ameaça ransomware móveis ficou longe de ser calmo no primeiro trimestre do ano. O número de ameaças cresceu, com novas famílias e modificações de famílias já existentes. As pessoas precisam ter em mente que os criminosos podem – e cada vez mais vão- tentar bloquear o acesso a seus dados não apenas em um PC, mas também em seu dispositivo móvel”, explica Roman Unuchek, analista da Kaspersky Lab.

Para evitar ataques, a recomendação principal é que os usuários tenham muita cautela ao acessar a web: Não clicar em páginas e links duvidosos, bem como não inserir dados em cadastros sem saber a procedência da página. Também é indicado manter um backup atualizado do aparelho.

Fonte: Oficina da Net

PorLeonardo Garcia

Empresas e órgãos públicos devem ficar atentos à segurança da informação

Segundo especialistas, ataques de hackers costumam afetar computadores desatualizados e sem a devida segurança

Token de segurança

O ciberataque global com o vírus WannaCry, que infectou milhares de computadores em diversos países do mundo no início de maio deste ano, acendeu o alerta para a importância da segurança da informação nas empresas e em órgãos públicos. A cultura de prevenção para diminuir o risco de ataques e prejuízos ainda não está disseminada como deveria no Brasil, segundo Thiago Tavares Nunes de Oliveira, presidente da SaferNet.

O especialista lembra que, nos ataques de maio, só foram infectadas máquinas que estavam com o sistema operacional desatualizado – a atualização estava disponível há dois meses. “Essa é uma constatação que comprova que as boas práticas de segurança que deveriam ser seguidas por todos, tanto usuários finais e principalmente usuários corporativos, não têm sido seguidas”, diz Oliveira, que também é presidente da Câmara de Direitos e Segurança do Comitê Gestor da Internet no Brasil.

Segundo ele, os usuários só percebem a importância de fazer um backup dos dados quando perdem um pen drive ou quando o disco rígido do computador queima. “Isso vai desde as pequenas, médias e grandes empresas até órgãos públicos e o usuário final, que não têm grandes estruturas para dar suporte. E, junto com isso, se vão as fotos da família, os arquivos de trabalho e até informações confidenciais do usuário, que correm o risco de se tornarem públicas”, comenta Thiago Oliveira.

Prevenção e treinamento

Outros especialistas em segurança da informação também alertam para a necessidade de melhorar as práticas de prevenção nas empresas. Para Thais Lopes, diretora da Consultoria FTI, as empresas brasileiras ainda têm um nível de maturidade menor em relação à preocupação com ataques cibernéticos. “Mas, isso está mudando. Estamos dando os primeiros passos em relação à segurança das comunicações das empresas, tanto públicas quanto privadas”, avalia a especialista.

Segurança no governo

O gerenciamento de sites, sistemas e emails do setor público do governo brasileiro é feito pelo Serviço Federal de Processamento de Dados (Serpro). “Trabalhamos para ter um padrão de segurança elevadíssimo”, diz Glória Guimarães, presidente do órgão.

Além da aplicação de “vacinas”, que são antivirus para evitar que as redes e computadores sejam infectados, o Serpro atua com um Grupo de Resposta Rápida a Ataque, que bloqueia imediatamente qualquer entrada de ameaças. “Estamos sempre colocando todas as nossas posições atualizadíssimas em relação à segurança e educação”, comenta a especialista.

Segundo ela, também é feito um trabalho de educação dos servidores para evitar problemas de segurança. Entre as orientações estão a de desligar os computadores à noite, não abrir emails ou mensagens maliciosas e fazer backup das máquinas para salvar os arquivos. O sistema de troca de mensagens utilizado pelo Serpro, chamado de Expresso, utiliza criptografia para garantir a segurança das informações enviadas e recebidas.

Regras de ouro

Além das empresas, os usuários comuns devem incorporar, no dia a dia, hábitos para garantir a segurança de dados, como o uso de antivirus e a realização periódica de backup dos dados. “É o preço que se paga para se manter seguro online. Da mesma forma que você faz seguro de carro e plano de saúde para não usar, deve fazer o backup para não precisar usar, mas, se precisar um dia, ter aquela segurança”, diz o presidente da SaferNet, Thiago Tavares Nunes de Oliveira.

Ele dá cinco “regras de ouro” para garantir a segurança do uso da internet:

  • Manter o sistema operacional sempre atualizado. As atualizações de segurança dos sistemas tanto de computadores quanto de celulares devem ser feitas regularmente, de preferência de forma automática
  • Manter um antivírus atualizado
  • Ter sistemas de antispyware e antimalware, que protegem contra códigos maliciosos que interceptam as comunicações. É similar ao antivirus, mas tem a finalidade de impedir programas espiões
  • Manter um backup atualizado dos dados, de preferência em um HD externo
  • Ter muito cuidado com os links que você clica. Normalmente, o vetor de propagação dos virus e códigos maliciosos se dá por email e por mensagens instantâneas. Então, isso vem, normalmente, em forma de link

Fonte: Revista Encontro

PorLeonardo Garcia

Falha do Google Apps expõe quase 300 mil domínios

Google Apps

Google Apps

Nomes, endereços, informações de e-mail e números de telefones de 282.867 proprietários de domínios no Google Apps foram expostos devido a uma falha de segurança no Whois, protocolo voltado para consulta de informações sobre domínios, de acordo com a Cisco.
A equipe de pesquisa e segurança da empresa Talos publicou uma nota sobre o assunto indicando que o problema parece ter começado em meados de 2013 e, desde então, tem revelado detalhes de dados de pessoas que optaram pela proteção da privacidade no Whois.

Pesquisadores concluíram que os administradores de domínios foram afetados depois de terem renovado seus dados de registro privado no Whois. Dos cerca de 309.925 domínios registrados no eNom, parceiro do Google, cerca de 94% foram afetados.

A correção já foi solicitada, mas a equipe da Talos alerta que a falha possibilitou extrair informação que podem ser usadas para fins maliciosos, como disparo de spams, phishing e outras formas criminosas de uso de dados. O Google, por sua vez, enviou um e-mail para os usuários afetados explicando a falha.

PorLeonardo Garcia

Quase 100% dos PCs afetados pelo WannaCry eram Windows 7 – XP mal aparece na contagem

WannaCry Message

WannaCry Message

Um dos assuntos mais comentados no ataque de ransomware do WannaCry que quase parou o mundo na semana passada foi a quantidade de computadores não atualizados que a maioria das instituições e empresas ainda deveriam estar usando ao redor do mundo. Aparentemente, no entanto, a quantidade de sistemas usando ainda o Windows XP afetados pelo ransomware pode ser considerada insignificante, segundo analistas da Kaspersky:

O Windows 7 foi de longe o mais atingido, num total de aproximadamente 98% dos sistemas afetados. O sistema ainda recebe suporte da Microsoft e recebeu o patch que protege contra o WannaCry via Windows Update, indicando que a maioria dos usuário atualiza para novas versões do sistema operacional, mas não faz as atualizações de segurança necessárias.

O somatório dos usuários dos sistemas não suportados não soma 2%, mas foi o bastante para incentivar a Microsoft a lançar um patch para eles mesmo com o suporte encerrado. A acusação de que este patch já existia desde o início do ano agora perde um pouco do seu impacto com tão poucos computadores afetados.