Todos os posts tagados blackhat

Vale a pena retaliar ataques cibernéticos?

No Computer World (Brasil):

Alguém que sofre um ataque cibernético e tem a chance de realizar uma vingança deve se aproveitar dessa prerrogativa para retaliar o ataque e tentar descobrir detalhes do seu algoz?

Essa foi uma ideia polêmica, que concentrou muitas discussões na conferência para profissionais de segurança da informação Black Hat, que acontece em Washington DC, capital dos Estados Unidos. Palestrantes discutiram se as organizações devem contra-atacar adversários e como fazê-lo.

Um dos temas levantados foi a exploração de vulnerabilidades que existem em ferramentas de ataque e botnets para tentar determinar o que o atacante estava pretendendo, além de alimentá-lo com dados falsos, ou até mesmo mergulhar na rede do atacante para colher informações.

Segundo o fundador e CEO da empresa francesa de segurança Tehtri, Laurent Oudot, é até uma questão de direito para as empresas descobrir o que o cyber atacante quer ou mesmo contra-atacar. “Queremos fazer isso e explorar suas redes. Queremos conhecer os logs relacionados aos ataques e descobrir o que mais ele anda fazendo”. Oudot defende a prática dizendo que “os inimigos, mesmo, não são hackers éticos”.

O pesquisador de segurança Matthew Weeks, que recentemente se juntou às forças armadas dos Estados Unidos, também falou sobre a questão dos contra-ataques, mas reconheceu que a maioria das ideias relacionadas poderiam ser enquadradas como ilegais de acordo com a lei da maioria dos países.

Independentemente da legalidade, o contra-ataque gera outros riscos: ao realizá-lo, a empresa abre ainda mais brechas para o atacante, podendo gerar uma espécie de ciclo vicioso que, como piores consequências, poderia consumir todos os recursos de rede da organização.

Durante as discussões, levantou-se também sobre evidências de agências governamentais de todo o mundo, buscando formas de virar a mesa nos cyber ataques com retaliações. Segundo rumores, até os EUA estão criando forças específicas para atacar criminosos virtuais.

Uma longa batalha se desenha
Enquanto se discutia sobre o potencial de contra-ataques como redutor do ritmo dos ataques cibernéticos, palestrantes da Black Hat disseram que os atacantes ainda encontram muita facilidade para entrar nas redes das empresas – em muitos casos com e-mails isca muito simples. Com esse caminho, eles chegam a dados muito valiosos em um ritmo lento que pode levar meses, senão anos. De acordo com a empresa de segurança Mandiant, paciência é a chave para pegá-los.

Segundo a organização, que compartilha seus estudos com a comunidade em relatórios, o criminoso que consegue acesso por meio de um e-mail isca focado em determinado profissional para ganhar controle de um computador Windows, começa a se locomover pela rede pelos dados mais importantes, reúne-os em um local temporário na máquina comprometida, para depois tentar tirar os documentos dos domínios da rede local em algum tipo de arquivo compactado, como um RAR.

Ao falar do tópico, o consultor da Mandiant, Sean Coyne, disse que há casos em que os criminosos estavam presentes há meses, ou até mesmo anos. Coyne relata sobre uma empresa, cujo nome não pode revelar, que teve 120 GB de dados roubados, principalmente em documentos Word, nesse formato. “O problema é que a maioria dos usuários não liga o fato de que uma lentidão repentina na máquina pode estar relacionada a um ataque”.

Sobre outra situação, Coyne relata que uma companhia vítima possuía uma solução para proteger arquivos RAR, mas o criminoso percebeu que um dos alertas havia sido desligado e simplesmente mudou o tipo de arquivo para algo que não era monitorado. “Alguns invasores vão tentar levar tudo da rede, para depois escolher o que é bom para eles, enquanto outros escolhem bem o que querem roubar de dados. Cada um tem seus próprios métodos e estilos”, aponta Coyne.

Quando questionado sobre soluções do tipo DLP (prevenção contra perda de dados) como ferramenta para monitorar e bloquear saída de dados, os especialistas mostram ceticismo. Coyne afirma que elas simplesmente “não foram desenhadas para se confrontar com ataques direcionados”. O principal conselho de Coyne para as organizações é que, se houver a suspeita de que há criminosos tentando entrar na rede, mudanças repentinas só vão afastar mais a empresa de descobrir as fontes dos problemas, já que os criminosos perceberão e vão mudar de tática. Ter a paciência para tomar as ações na hora correta é uma manopbra de risco, mas muito pior é fazer jogo de gato e rato com os assaltantes cibernéticos.

Websites da NASA comprometidos e a servir malware e spam

Segundo o Sucuri, alguns websites da NASA, mais propriamente da secção de Jet Propulsion Lab, foram comprometidos e estão a ser utilizados para Spam SEO e para propagação de malware.

Evento Black Hat apresenta o mod_antimalware

Neil Daswani apresentou no evento Black Hat, um relatório sobre o módulo para servidores web – mod_antimalware.
Este módulo pode colocar malware em quarentena mesmo antes deste se propagar pelos visitantes de um website infectado.

Ultrapassar o filtro Anti-XSS do IE8

Conforme foi demonstrado no evento Blackhat Europe, aqui fica o link para os slides que ironicamente ultrapassam o filtro Anti-XSS do browser da Microsoft.

Podcast com RSnake

Acabei de ouvir o podcast [aqui] que o Robert Hanson aka RSnake deu ao PaulDotCom onde fala de segurança web, da evolução dos websites (modo em que são programados e as novas tecnologias), dos browsers e  como começou nesta área influenciado por um amigo blackhat.