Security Intelligence for your Business

Esse mês o firewall fará 25 anos de existência, e em comemoração a esse aniversário, a McAfee publicou esse belo infográfico.

Se analisarmos o infográfico, poderemos notar que a introdução e evolução dos firewalls coincidem com alguns eventos de segurança, como por exemplo:

  • 1995: Primeiro conceito/WM de vírus a se disseminar através do  Microsoft Word
  • 2000: Primeiro ataque de denial-of-service descoberto
  • 2008: Conficker infecta entre 9 e 15 milhões de sistemas Microsoft

Clique no infográfico para ampliar.

infografico-firewalls-25-anos

relatorio-verizon-pci-compliance-2014

O relatório de PCI Compliance da Verizon para 2014 utiliza dados e informações extraídas de avaliações de clientes globais de diversas verticais, feitos pela própria Verizon.

Estar em conformidade com o PCI é um ponto importante, independente da vertical da sua empresa. No entanto, os resultados que a Verizon apresentam, mostram que quase 9 em cada 10 empresas não passam em sua primeira avaliação inicial do PCI.

O relatório abaixo ajuda a aprender com os erros dessas empresas, bem como proteger os dados de cartão.

Para fazer o download basta clicar aqui.

Relatório-MFE-Q3-13

Os hackers estiveram ocupados durante o terceiro trimestre de 2013, a julgar pela quantidade e pela sofisticação das novas ameaças. Quatro tendências fundamentais destacam a importância de se proteger dados confidenciais, e isso vale para todos, desde empresas a indivíduos.

Os destaques incluem:

  • A vulnerabilidade do Android que motivou o aumento de 30% nos ataques contra esse popular sistema operacional móvel.
  • Como o crescimento do malware “assinado” levanta questões sobre a validade dos certificados digitais.
  • Por que o spam global apresentou um pico de 125% no último trimestre.
  • Como as moedas virtuais possibilitam níveis nunca vistos de atividade criminosa na Deep Web.

Para ler o relatório, clique nos links abaixo:

 

adobe

Quase 150 milhões de usuários foram afetados pelo vazamento de dados de clientes da Adobe, um número 20 vezes maior do que a empresa havia admitido inicialmente.

No site http://adobe.cynic.al, o programador @Hilare_Belloc criou uma ferramenta que verifica se o seu endereço de email estava na lista do banco de dados de 10Gb que vazou na semana passada. Se o seu endereço de email não estiver na lista você está seguro, mas se estiver, você deve trocar a sua senha o quanto antes, pois há grandes chances da sua senha estar comprometida.

Erro de criptografia

Além de permitir que os dados fossem roubados, a Adobe também cometeu outros dois grandes erros no armazenamento dos dados. O primeiro problema é que todas as senhas foram criptografadas com a mesma chave, e para piorar a situação, o método utilizado na criptografia não protege os dados adequadamente.

O método utilizado, chamado de ECB, faz com que senhas iguais sejam idênticas após a criptografia. Ou sejam se o banco de dados possui quase 2 milhões de senhas criptografadas e que aparecem iguais, como por exemplo “EQ7fIpT7i/Q”, os pesquisadores sabem que todas essas pessoas possuem a mesma senha. A partir daí basta analisar as dicas de senha dos usuários (que não estavam criptografadas) e tentar descobrir a senha.

Nesse exemplo em específico, as dicas continham informações como: “numbers”, “12”, “654321” e “123456”, sendo que o último provavelmente é a própria senha, que foi utilizada por quase 2 milhões de usuários.

O PCI Security Standards Council (PCI SSC) publicou a versão 3.0 dos seus padrões, o PCI Data Security Standard (PCI DSS) e o Payment Application Data Security Standard (PA-DSS). O novo padrão já está disponível para download no site do PCI SSC, e entra em vigor no dia 01/01/2014. A versão 2.0 continuará ativa até 31/12/2014, garantindo que as empresas possam se preparar adequadamente para a transição.

Os novos requerimentos incluem (em inglês):

PCI DSS 

  • Req. 5.1.2 – evaluate evolving malware threats for any systems not considered to be commonly affected
  • Req. 8.2.3 – combined minimum password complexity and strength requirements into one, and increased flexibility for alternatives
  • Req. 8.5.1 – for service providers with remote access to customer premises, use unique authentication credentials for each customer*
  • Req. 8.6 – where other authentication mechanisms are used (for example, physical or logical security tokens, smart cards, certificates, etc.) these must be linked to an individual account and ensure only the intended user can gain access
  • Req. 9.3 – control physical access to sensitive areas for onsite personnel, including a process to authorize access, and revoke access immediately upon termination
  • Req. 9.9 – protect devices that capture payment card data via direct physical interaction with the card from tampering and substitution*
  • Req. 11.3 and 11.3.4 – implement a methodology for penetration testing; if segmentation is used to isolate the cardholder data environment from other networks, perform penetration tests to verify that the segmentation methods are operational and effective*
  • Req. 11.5.1 – implement a process to respond to any alerts generated by the change-detection mechanism
  • Req. 12.8.5 – maintain information about which PCI DSS requirements are managed by each service provider, and which are managed by the entity
  • Req. 12.9 – for service providers, provide the written, agreement/acknowledgment to their customers as specified at requirement 12.8.2*

PA-DSS 

  • Req. 5.1.5 – payment application developers to verify integrity of source code during the development process
  • Req. 5.1.6 – payment applications to be developed according to industry best practices for secure coding techniques
  • Req. 5.4 – payment application vendors to incorporate versioning methodology for each payment application
  • Req. 5.5 – payment application vendors to incorporate risk assessment techniques into their software development process
  • Req. 7.3 – application vendor to provide release notes for all application updates
  • Req. 10.2.2 – vendors with remote access to customer premises (for example, to provide support/maintenance services) use unique authentication credentials for each customer
  • Req. 14.1 – provide information security and PA-DSS training for vendor personnel with PA-DSS responsibility at least annually

*Indica requerimentos com datas futuras e serão consideradas melhores práticas até Julho/2015.

Confiram abaixo o infográfico do PCI-DSS v3.0 (clique na imagem para ampliar).

PCIDSS

A Secure1 está participando do Security Leaders 2013, apresentando suas soluções e serviços.

20131107-110141.jpg

linkedin-intro

O LinkedIn lançou um novo app chamado de Intro. Eles dizem que o app consegue “fazer o impossível”, mas para quem trabalha com segurança (como eu), isso tem um nome bem conhecido: email hijacking (ou um famoso ataque man-in-the-middle).

Por que? O app reconfigura o seu iDevice (iPhone, iPad e iPod Touch) para que TODOS os seus emails passem pelos servidores do LinkedIn. Ou seja, após instalar o app, TODOS os seus mails (enviados e recebidos) serão transmitidos via IMAP e SMTP pelos servidores do LinkedIn, onde eles irão analisar e indexar os seus email para fazerem o que acharem melhor com essas informações (algo semelhante, senão pior do que o Google já faz).

Vejam abaixo alguns pontos importantes para vocês NÃO instalarem o App:

  1. O LinkedIn estará alterando o conteúdo do seus emails, pois isso será necessário para incluir os perfis do LinkedIn. Isso sem contar na possibilidade de hackers utilizarem essa brecha de segurança para criar novos ataques.
  2. Quebra da segurança do serviço de email, pois o App estará adicionando informações ao email, quebrando a verificação de assinaturas do email original. Isso sem contar que emails criptografados deverão ser abertos para adicionar esse conteúdo, quebrando a criptografia e consequentemente a confidencialidade e integridade do email.
  3. O LinkedIn estará armazenando as suas informações, apesar da empresa falar que se trata apenas de meta-dados. Obviamente o LinkedIn não diz quais informações são armazenadas.
  4. A única forma do app funcionar é alterando o perfil de segurança do dispositivo. Essa é a única maneira de conseguir rotear todos os emails através dos servidores da empresa. O problema é que esses perfis podem fazer praticamente TUDO no seu aparelho, e não somente redirecionar emails (quem trabalhar com desenvolvimento de apps sabe muito bem disso).
  5. Se você utiliza o seu celular com email da empresa, provavelmente você estará violando as políticas de segurança da sua empresa, e você poderá ser perder o seu emprego por isso.

O grande problema está no fato que o LinkedIn simplesmente NÃO fala exatamente quais informações são armazenadas, como e o que será feito com elas. Todas as informações que eles passam sobre o aplicativo são vagas e ambíguas. Adicionalmente, será que o LinkedIn está forçando o tráfego através de conexões seguras (SSL/TLS)? Você consegue escolher quais contas de email serão roteadas? Existem dezenas de considerações a serem feitas.

Sugestão: NÃO instale o app nos seus dispositivos.

No segundo trimestre de 2013, a comunidade global de criminosos cibernéticos se empenhou em quatro estratégias principais para extrair dinheiro e informações confidenciais de suas vítimas. Suas táticas incluíram:

  • Ataques agressivos contra usuários de dispositivos móveis baseados no Android.
  • Grande expansão de sites maliciosos ou infectados para distribuir malware.
  • Campanhas de grande volume de spam, promovendo drogas farmacêuticas falsificadas.
  • Uso extensivo de ransomware para extrair dinheiro das vítimas.

Cada uma dessas tendências visa vítimas muito diferentes usando táticas de ataque distintas,
mas todas elas trazem perigo tanto para indivíduos como para empresas. Além desses ataques contra consumidores e empresas, as comunidades de criminosos cibernéticos e hacktivistas também lançaram ataques importantes contra a infraestrutura do Bitcoin e uma ampla gama de alvos
no Oriente Médio, refletindo o contínuo estado de conflito naquela região.

Ataques móveis

Após um primeiro trimestre relativamente calmo, o McAfee Labs descobriu que o malware baseado em Android retornou à taxa de crescimento observada em 2012. Neste trimestre, cerca de 18.000 novas amostras de malware do Android foram catalogadas. As ameaças mais recentes baseadas no Android se dividem em quatro categorias gerais:

  • Malware bancário, que intercepta a mensagem SMS contendo o token requerido para fazer login na conta bancária do cliente. Ao fazer isso, as quadrilhas de criminosos cibernéticos podem acessar diretamente e esvaziar as contas bancárias das vítimas. Os pesquisadores do McAfee Labs identificaram quatro elementos importantes de malware que “encaminham” o token de login para as quadrilhas de criminosos cibernéticos.
  • Aplicativos de encontros e entretenimento adulto que induzem os usuários a assinar serviços pagos de encontros que, na verdade, não fornecem qualquer serviço.
  • Versões modificadas de aplicativos legítimos que roubam dados do usuário. Uma versão modificada do aplicativo KakaoTalk coleta informações confidenciais do usuário (contatos, registros de chamadas, mensagens SMS, aplicativos instalados e localização) e faz o upload dos dados para o servidor do atacante.
  • Programas falsos de instalação de aplicativos que na verdade instalam spyware para coletar e entregar os dados do usuário a criminosos cibernéticos.

Malware-Android

Sites suspeitos

O McAfee Labs rastreia com muito cuidado os sites suspeitos, de hora em hora. Neste trimestre, os pesquisadores do Labs observaram um aumento de 16% em URLs suspeitos, levando o total para quase 75 milhões. Esse aumento mostra como os sites “infectados” importantes continuam sendo um mecanismo de distribuição de malware. Isso também pode indicar o sucesso da comunidade de criminosos cibernéticos em suas tentativas de infectar e desvirtuar sites legítimos.

Spam em volume

Após três anos de redução no volume, as campanhas globais de spam parecem estar de volta. Após um pico no primeiro trimestre, os spammers globais continuaram seus ataques neste trimestre, entregando mais de 5,5 trilhões de mensagens de spam, representando aproximadamente 70% do volume global de e-mails. Entretanto, como é comum, o volume de spam variou muito por região. A Ucrânia e a Bielorrússia, por exemplo, tiveram um aumento maior do que 200% nesse período. O Japão teve um aumento de 142%. Inversamente, a França teve uma queda de 25% e os Estados Unidos, uma redução de 16%.

Volume-Email-Global

Ransomware (vírus sequestrador)

O ransomware é uma séria ameaça da Internet que continua a piorar. O número de novas amostras únicas neste trimestre é maior que 320.000, mais do que o dobro do primeiro trimestre de 2013. Durante os dois últimos trimestres, o McAfee Labs catalogou mais amostras de ransomware do que em todos os períodos anteriores combinados. A principal razão do crescimento do ransomware é que ele é um meio muito eficiente para os criminosos ganharem dinheiro, porque eles usam vários serviços anônimos de pagamento.

Crescimento do malware no PC

Embora a comunidade de criminosos cibernéticos continue a focar sua atenção em dispositivos móveis, não houve redução no número de novos ataques contra as plataformas tradicionais do PC. Neste trimestre, o McAfee Labs catalogou

18,5 milhões de novas amostras de malware, levando o total de “espécimes” da McAfee a mais de 147 milhões de elementos únicos de malware.

Novos-Malwares

Outras tendências

Além das quatro principais tendências deste trimestre mencionadas acima, vários outros desdobramentos são dignos de nota:

  • Ataques contínuos contra serviços financeiros e empresas de mídia, agora conhecidos como Operação Troy, na Coreia do Sul.
  • Uma tendência muito sofisticada de ataques contra a infraestrutura global do Bitcoin.
  • Amostras de malware digitalmente “assinadas” aumentaram 50%, para 1,2 milhão de novas amostras. Essa tendência inevitavelmente irá abalar a confiança na infraestrutura global de certificados confiáveis.

Talvez o mais interessante dos ataques comerciais neste trimestre tenha sido o pico de ataques contra os serviços de câmbio do Bitcoin. No final de fevereiro, o Bitcoin (BTC) ultrapassou seu pico histórico de valor de negociação, a mais de US$ 33 por 1 BTC. Alguns dias depois, o serviço de câmbio BitInstant foi forçado a fechar depois que atacantes conseguiram extrair mais de US$ 12.000 em BTC.

Em abril, o Mt. Gox, com sede em Tóquio e o maior serviço de câmbio do Bitcoin, foi alvo de vários ataques distribuídos de negação de serviço (DDoS) que atrapalharam os negócios. O primeiro ataque ocorreu por volta do dia 3 de abril; naquele momento, a taxa de câmbio do BTC estava acima de US$ 140. No dia 10 de abril, o valor saltou para US$ 266, antes de fechar em US$ 125 no dia seguinte. Esse forte interesse resultou em 20.000 novas contas criadas a cada dia.

A atividade súbita nesse mercado atraiu o interesse de criminosos cibernéticos de todos os tipos. Eles fizeram mais ataques DDoS contra o Mt. Gox. O Silk Road, um mercado do submundo que usa o Bitcoin como moeda virtual, foi desativado várias vezes por ataques DDoS. É bastante claro que os serviços de câmbio do Bitcoin continuarão a ser visados pela comunidade de criminosos cibernéticos, enquanto estes últimos acreditarem que podem extrair valores diretamente, seja por meio de hacking ou mantendo-os reféns de outros ataques DDoS.

Uma cópia do relatório completo pode ser encontrada clicando aqui.

10. O seu próximo firewall deve fornecer exatamente as mesmas funções de firewall em um fator de forma virtualizado e em hardware.

Caso de negócio:

O crescimento explosivo da virtualização e computação em nuvem introduz novos desafios de segurança que são difíceis ou impossíveis para os firewalls de legado gerenciar de forma efetiva devido à funcionalidade inconsistente, gerenciamento desigual e falta de pontos de integração com o ambiente de virtualização. Para proteger o tráfego que entra e sai do datacenter, bem como o tráfego dos ambientes virtualizados, o seu próximo firewall deve oferecer suporte exatamente às mesmas funcionalidades em um fator de forma virtualizado e em hardware.

Requisitos:

A instalação e desativação dinâmica de aplicativos em um datacenter virtualizado aumenta os desafios de identificar e controlar aplicativos usando uma abordagem centralizada em endereços IP e portas. Além de oferecer os recursos já descritos em 10 coisas que o seu próximo firewall deve fazer, em fatores de forma virtualizados e em hardware, é imprescindível que o seu próximo firewall forneça profunda integração com os ambientes de virtualização para agilizar a criação de políticas centralizadas nos aplicativos conforme novos aplicativos e máquinas virtuais são consolidados e desativados. Esta é a única forma de garantir o suporte de arquiteturas de datacenter em evolução com flexibilidade operacional e, ao mesmo tempo, abordar riscos e requisitos de conformidade.

Os firewalls devem possibilitar os aplicativos e os negócios com segurança

Os seus usuários continuam a adotar novos aplicativos e tecnologias, muitas vezes para realizar suas funções no trabalho, mas sem se preocupar muito com os riscos corporativos e de segurança associados. Em alguns casos, se a sua equipe de segurança bloquear esses aplicativos, o seu negócio poderá ser prejudicado.

Os aplicativos agora são a forma como os seus funcionários desempenham suas funções no trabalho e mantêm a produtividade perante prioridades profissionais e pessoais concorrentes. Por causa disso, a permissão segura de aplicativos é cada vez mais a postura de política correta. Para possibilitar aplicativos e tecnologias com segurança na rede – e os negócios que são realizados através desses aplicativos e tecnologias -, as equipes de segurança precisam instituir políticas apropriadas de administração da utilização e também precisam ser capazes de aplicá-las.

As 10 coisas que o seu próximo firewall deve fazer descrevem as capacidades críticas que permitirão às organizações possibilitar o uso de aplicativos com segurança e também os negócios. A próxima etapa é traduzir estes requisitos em medidas praticáveis; selecionando um fornecedor através de um processo de RFP e avaliando formalmente ofertas de soluções, resultando, consequentemente, na compra e implantação de um firewall de próxima geração.

Veja também:

 

9. O seu próximo firewall deve fornecer o mesmo rendimento e desempenho com controle de aplicativos totalmente ativado.

Caso de negócio:

Muitas organizações têm dificuldade com o compromisso forçado entre desempenho e segurança. Com demasiada frequência, ativar recursos de segurança no firewall significa aceitar rendimento e desempenho significativamente menor. Se o seu firewall de próxima geração for criado da forma certa, este compromisso será desnecessário.

Requisitos:

A importância da arquitetura também é bastante óbvia aqui—de uma forma diferente. Utilizar em conjunto um firewall baseado em porta e outras funções de segurança de diferentes origens tecnológicas geralmente significa que há camadas de rede redundantes, mecanismos de verificação e políticas—o que pode ser interpretado como baixo desempenho. Da perspectiva de software, o firewall deve ser projetado para fazer isso desde o início. Além disso, dados os requisitos de tarefas que requerem uso intensivo do computador (por exemplo, identificação de aplicativos, prevenção contra ameaças em todas as portas, etc.) realizadas em volumes de alto tráfego e a baixa tolerância à latência associada à infraestrutura crítica, seu próximo firewall também deve possuir o hardware projetado para a tarefa—o que significa apresentar processamento dedicado e específico para rede, segurança e verificação de conteúdo.

Veja também: