Geral 3min de Leitura - 03 de março de 2020

Os cinco “não tão novos” ataques mais perigosos de 2020

Mãos com luvas de couro digitando em teclado.

This post is also available in: Português Español

Conferência de Segurança dos EUA lista tipos de invasões que ganharam novas releituras e seguem sendo ameaças a temer.

Terminou no último dia 28 a RSA Conference 2020 San Francisco, conferência dedicada à segurança da informação que reuniu mais de 36 mil participantes e 700 palestrantes. É tida como uma das grandes referências do setor no mundo, sendo que um de seus destaques é a sessão anual chamada de “As 5 principais novas técnicas de ataque mais perigosas e como combatê-las”, liderada por especialistas do Instituto SANS.

Entretanto, neste ano muitas não eram exatamente novas, tratando-se de ameaças antigas que ressurgiram. Além disso, embora o título da sessão seja sobre os cinco principais novos ataques, os pesquisadores foram além, chegando a 7. Confira:

Retorno de Comando e Controle (C2)

Ed Skoudis, instrutor do Instituto SANS, destacou o que ele chamou de “era de ouro do C2” como uma das principais novas ameaças. C2, que significa controle de comando, é geralmente associado à atividade de botnet controlada a partir de um ponto de comando central.

Skoudis identificou várias maneiras pelas quais as empresas podem se proteger do problema. Entre as sugestões estão meios para controlar intensamente o tráfego de saída e procurar sinais e anomalias em logs. Ele também sugeriu que os profissionais de segurança estimulem a criação de listas brancas de softwares para limitar o que pode ser executado dentro da empresa.

Viver da terra

Outra tendência que Skoudis identificou é o conceito de viver da terra, que se refere ao fato de os invasores fazerem uso de ferramentas que já estão presentes em uma empresa e depois abusar delas para obter ganhos maliciosos. É uma alusão a grupos de nômades que consomem apenas o que a terra tem a oferecer, sem alterar o que já estava lá quando chegaram. “Se você é um invasor, o que você pode fazer é usar os recursos do próprio sistema operacional para atacar essa máquina e espalhar para outros sistemas”, disse. Esse conceito de viver da terra também não é totalmente novo, tendo sido relatado em meados de 2015.

Existem vários métodos que as companhias podem fazer para se proteger. Um conjunto de recursos citados por Skoudis é o projeto LOLBAS, que fornece ferramentas para ajudar a identificar e limitar o risco de ataques do tipo.

Persistência Profunda

Com a ameaça de persistência profunda, Skoudis alertou que o malware agora pode ser incorporado nos dispositivos de uma maneira que não estava acontecendo antes. Por exemplo, ele observou que agora é possível incorporar um malware em um cabo de carregamento USB, por exemplo. No caso de um cabo desses, mesmo que uma empresa consiga eliminar qualquer malware instalado em um determinado sistema, com a persistência profunda na próxima vez que o cabo for conectado ele reinfectará tudo novamente.

Skoudis disse que é importante que colaboradores e diretores não conectem nada ao sistema, pois antes é preciso garantir que os cabos e outros periféricos sejam checados e adquiridos de fontes confiáveis.

Integridade de dispositivos móveis

Heather Mahalik, instrutora sênior e diretora de inteligência digital do Instituto SANS, destacou o risco de dispositivos móveis como uma de suas principais ameaças.

Como os telefones celulares se tornaram uma parte essencial da vida cotidiana, ela observou que, se um telefone cair nas mãos erradas, poderá ser catastrófico. Ela não estava apenas falando apenas sobre dispositivos perdidos ou roubados, mas também sobre o risco de aparelhos recondicionados que não tiveram os dados do proprietário anterior apagados de maneira correta. Ela também mencionou o risco da vulnerabilidade checkm8 nos dispositivos Apple IOS, que é uma vulnerabilidade que permite o jailbreak do checkra1n.

Falhas na autenticação de dois fatores

A autenticação de dois fatores (2FA) é uma prática recomendada para ajudar a melhorar a segurança do usuário, mas também não é infalível. Mahalik observou que simplesmente ter um código que precisa ser digitado em 2FA não é suficiente. Ela também alertou que existem alguns aplicativos que exigem apenas um número de telefone, o que é um risco se um usuário desistir de seu número e a operadora reemitir a um novo cliente meses depois. No Brasil, quando um número é cancelado, em aproximadamente 6 meses ele volta à disposição das operadoras para ser comercializado.

“Você precisa de uma senha e de um 2FA”, disse ela. “Se tem apenas um ou outro, não há uma segurança eficaz”. Mahalik sugeriu que, quando os usuários obtiverem um novo número de telefone, garantam que entrem em todos os aplicativos com 2FA e mudem para o novo número.

Vulnerabilidades do perímetro corporativo

Johannes Ullrich, membro integrante do Instituto SANS, identificou o risco de vulnerabilidades no perímetro das empresas como uma das principais ameaças. No ano passado, ele enfatizou que houve vários problemas relatados publicamente em dispositivos corporativos de firewall e perímetro de segurança.

Além de aplicar patches, Ullrich sugere que os usuários nunca exponham uma interface administrativa em um dispositivo de perímetro corporativo à Internet pública.

APIs de host local

As ameaças emergentes finais identificadas por Ullrich são APIs de host local incorporadas em aplicativos corporativos. Embora a intenção das APIs seja habilitar funcionalidades como o suporte a agentes técnicos, elas também abrem as empresas a riscos em potencial.

Para ajudar a limitar ameaças do tipo, Ullrich sugere que os usuários, sempre que possível, identifiquem tudo o que precisa entrar em um sistema e monitorem como os aplicativos lidam com recursos externos. Os especialistas reafirmam, assim, que todo cuidado é pouco quando o assunto é segurança digital, e que qualquer vulnerabilidade, por menor que seja, representa um risco em potencial – no qual os cybercriminosos podem estar de olho neste exato momento.

This post is also available in: Português Español