3 lições que counter-strike, global offensive (CS-GO) tem a ensinar sobre segurança da informação

Salve pessoal,

Em virtude da pandemia, a steam liberou , gratuitamente, um dos seus maiores clássicos: O counter-strike.

Recebendo a informação do amigo Gustavo Magella, acabei por baixar o jogo e voltei a ter momentos divertidissimos, matando e morrendo, nesse jogo que conheço desde sua versão 1.0.

E onde, inclusive, fiz grandes amigos, fiz parte de clã, participei de campeonato e muito mais, com um time com media de idade na casa dos 30 anos, onde a maioria dos jogadores era abaixo dos 20.

Como bom observador que sou, vi que a dinâmica do jogo, desde a última versão que joguei (1.6) mudou MUITO, bem como sua jogabilidade. Mas algumas coisas continuaram as mesmas.

E elas me fizeram refletir sobre o que um FPS (first-person shot) teria a ensinar sobre segurança da informação.

Abaixo vão meus pensamentos.

 

1 – Team play

Não importa o quão bom você seja. A menos que você tenha um time PÉSSIMO do outro lado, DIFICILMENTE você vencerá o jogo sozinho. Não importa se você é terrorista ou contra-terrorista. Se você não joga em equipe, a Vitória é um sonho distante. E assim é no universo de segurança da informação. Por melhor profissional que VOCÊ seja, sua equipe, sua empresa, seu negócio PRECISA trabalhar em conjunto. Não adianta ter o melhor UTM/NGFW do mundo, se seu usuário não foi treinado pra não clicar naquele e-mail suspeito. Ninguém vence essa batalha sozinho. Você também não irá.

 

2 – Os terroristas/atacantes SEMPRE estão em vantagem

Seja em mapas de desarmar bomba ou resgatar reféns, os terroristas estão em vantagem. No de resgate a vantagem é AINDA maior. Basta ficar esperando, bem posicionado, e dificilmente os contra terroristas conseguirão sucesso na missão. A menos, é claro, que você PLANEJE adequadamente seu ataque para impedir o sucesso dos terroristas. Há quem não concorde, claro, com essa minha visão. De maneira geral, penso que há mais vantagens em jogar como terrorista do que como contra-terrorista, do ponto de vista do jogo. Mas é apenas a minha opinião 😊.

Assim é no ambiente corporativo. Todos os dias, os atacantes, dos mais diversos níveis de conhecimento, estão por ai, scaneando redes, buscando brechas (e as encontrando) para explorar e ganhar acesso ao seu ambiente, pelos mais diversos motivos. Você tem que ACERTAR o tempo todo. Eles precisam que você cometa UM erro. A vantagem é SEMPRE deles. Seu trabalho , como profissional de SI, é garantir que seja tão dificil bypassar os controles do seu ambiente, que a grande maioria dos atacantes vai desistir e partir para outro alvo. O Planejamento de sua arquitetura de segurança é sua maior arma para garantir a proteção de sua organização.

 

3 – Não importa o que você faça, sempre haverá um “cheater”

Na época em que eu jogava regularmente, já existiam os famosos “cheaters”. Aqueles que enxergavam pelas paredes, cuja mira ia imediatamente para sua cabeça ao ficar frente a frente com você (gerando os famosos headshots), dentre outras coisas.

Hoje em dia, isso continua existindo. Parece não haver limites para aqueles que desejam “burlar” o sistema, tentando parecer melhores do que são, utilizando de estratégias e truques não muito “ortodoxos”.

Assim é o mundo de segurança da informação.

Os atacantes SEMPRE buscam utilizar das mais diversas técnicas, muitas delas bastante “sujas”, no intuito de conseguir contrapor seus controles de segurança. Isso inclui, por exemplo, ransomwares, cujo objetivo é fazer você desejar o bastante ter acesso a algo importante para você, ao ponto de pagar alguns milhares de dólares de resgate, ou os mais diversos tipos de phishing, onde assuntos do momento, como o corona virus, são utilizados indiscriminadamente para que eles obtenham êxito em suas tentativas de intrusão.

Aceitar que isso existe é o primeiro passo para combater, de forma efetiva, esse tipo de ação. Novamente, a arquitetura de segurança e seu Planejamento são a melhor arma que você tem (a AWP, para quem tem boa mira, no cs-go) para vencer essa batalha. Um bom Planejamento, uma boa cobertura de todos os itens importantes do ambiente, sem NUNCA esquecer das pessoas, não vão impedir que os “cheaters” façam os pontos deles e deem seus “headshots” maliciosos. Mas certamente vão te dar mais controle e proteção contra a grande maioria deles.

 

[]´s

Alberto Oliveira

 

 

 

 

 

Publicado em Uncategorized | Deixe um comentário

Um desabafo dos produtores de conteúdo!

Saudações pessoal,

Tomei conhecimento, hoje, que um dos livros do profissional,amigo e irmão, Yuri diógenes, estava sendo LIVREMENTE distribuido em um grupo de um curso de uma empresa aqui no Brasil.

Antes de dar minha opinião, eu gostaria de informar que isso é CRIME. Distribuir conteúdo de maneira não autorizada é CRIME.

Dito isto, gostaria de gerar a seguinte provocação para você, que tem o costume de consumir conteúdo PIRATA:
Imagino que você , profissional, trabalhe para receber o salário no fim do mes, certo?
Você se esforçou, gastou as horas do seu dia, e , obviamente, espera receber o seu reconhecimento financeiro.
E, se por acaso, ao fim do mes, no final de todo seu esforço e dedicação, você recebesse ZERO reais pelo seu trabalho?
Como você ficaria? Feliz? Satisfeito? Contente?

Acho que não.

Pois é. Nem quem produz conteúdo, quando encontra algo compartilhado por ai, sem autorização, e sem o devido reconhecimento.

Pessoas, ESCREVER, GRAVAR, PRODUZIR,EDITAR, DÁ BASTANTE TRABALHO! São muitas horas dedicadas a entregar conteúdo de qualidade,
seja da maneira que for. Não desvalorize o trabalho e esforço do outro. Tem um número absurdo de conteúdos de qualidade REALMENTE gratuitos! Não é necessário piratear conteúdos privados/vendidos para ter acesso a informação de qualidade.

Então, antes de compartilhar algo que possui direito autoral, se pergunte o seguinte: Fosse o MEU trabalho realizado, SEM ser remunerado, como eu me sentiria?

E não esqueçam: É CRIME compartilhar conteúdo regido por direitos autorais, previsto na lei, e pode levar a sanções jurídicas.

Aquele abraço!

Publicado em Uncategorized | Deixe um comentário

Pagamento por proximidade e o perigo que ninguem vê

Saudações pessoal,

 

Vivemos em um mundo altamente conectado. E , cada dia que passa, temos mais e mais recursos novos para facilitar o nosso dia a dia. Um desses recursos é o de pagamento por proximidade.

Smartphone, Smartwatch ou simplesmente um cartão com esse recurso disponivel. Aproxima da maquininha e, como num passe de mágica, conta paga. O princípio é parecido com as chaves de automóvel que funcionam por presença. Saindo do carro, o mesmo desliga.

cartao rfid

Isso, obviamente, simplifica DEMAIS as transações. Sem senhas ou assinaturas e está tudo resolvido.

Mas, como tudo que vem para o bem, tem o lado ruim , abrimos o campo para novas possibilidades de roubo.

Temos um video rodando em diversos grupos de whatsapp onde uma pessoa esta realizando uma transação bancária num ATM e alguém chega com uma maquineta e encosta na carteira, no bolso da pessoa. E já se foi um pagamento realizado com o cartão , sem a permissão, conhecimento ou autorização do dono. Isso poderia ter acontecido sem, necessariamente, ter a maquineta. Poderia ter sido apenas os dados do cartão coletados. Isso também funciona no caso dos carros. Existem especialistas em coletar essas informações para conseguir abrir (e ligar) os carros, sem a chave original presente.

rfid-hack-credit-cards

E agora?

Já existem soluções de proteção , tais como carteiras com material que bloqueiam o sinal dos cartões e capas de chave que também controlam o campo de expansão do sinal, garantindo que apenas após ser retirada da sua carteira ou capa, a chave ou cartão irão funcionar normalmente.

Utilizando uma carteira com o recurso de proteção, o pagamento por proximidade passa a funcionar APENAS quando você retira ele e aproxima da máquina para pagar. Mesmo que você encoste sua carteira na máquina, ela vai garantir que não exista a comunicação entre seu cartão e o equipamento, evitando assim o roubo do seu dinheiro ou uma transação não autorizada. Da mesma forma, impede que alguém colete as informações dos seus cartões. Funciona da mesma forma para a capa da chave. Como ela impede que o sinal “busque” o sinal do carro, evita que alguém mal intencionado possa conseguir as informações da sua chave e abrir ou ligar seu carro sem sua autorização. Legal, não é?

Vou correndo comprar, Alberto?

Bem, se você utiliza ou pretende utilizar esses itens, a minha resposta é SIM.

Busquem fabricantes de qualidade e testem antes de se sentir protegidos. De preferência, procurem adquirir em lojas de sua confiança.

Ainda não é tão facil ou simples de encontrar nas lojas do Mercado. No Mercado livre você encontra varias opções, para diversos gostos e bolsos.

Boa sorte!

Abraços,

Alberto Oliveira, CISSP

 

 

Publicado em Uncategorized | 2 Comentários

Conheça o Threat Landscape da Watchguard!

Saudações, pessoal?

Que tal conhecer mais sobre o que está acontecendo no mundo da segurança de redes , hoje? Conheça o Threat Landscape da WatchGuard Technologies
#watchguard #security #threatmap #threats #ameaças #segurança #redes

Acessa aqui:

 

Abraços,

Alberto Oliveira, CISSP

Publicado em Uncategorized | Deixe um comentário

Everything that has a beginning, has an end – Former Microsoft MVP

 

WhatsApp Image 2018-07-02 at 06.47.42

 

1 de outubro de 2006, chega em minha caixa postal um e-mail.
“Congratulations! You´ve been awarded as an Microsoft MVP”.
Uma mistura de surpresa, emoção, felicidade e orgulho. Puxa!
Agora eu sou MVP da Microsoft! E em ISA Server, produto que eu gostava muito e contribuia bastante em foruns e listas.

E assim se iniciou a jornada que terminou ontem. Foram 12 felizes e intensos
anos, com muitas informações compartilhadas, MUITO aprendizado e muitos
amigos feitos e mantidos. Obviamente nem tudo são flores e , por muitas vezes
discordei de várias e várias atitudes que foram tomadas (e mantidas). Mas a
vida é feita disso mesmo. Concordar e discordar mas, acima de tudo, respeitar.

Ciclos existem para que haja a renovação do fôlego, das idéias, dos objetivos
e, claro, da energia. E sinto que chegou o momento de dar lugar para novas vozes,
novas caras, novas “pegadas” e novas “energias”.

Deixo o programa com o sentimento de que cumpri meu papel como MVP Microsoft, sobretudo por , diversas vezes, falar de coisas que ninguém queria ou sabia por conta da
pouca ou nenhuma audiência.

Meu último grande evento como MVP foi o #mvpconf 2018, onde tiver o prazer de palestrar para um público altamente qualificado e tive uma incrível surpresa ao ver minha palestra sobre “internet das coisas, ou das ameaças” LOTAR ao ponto de ter pessoas de pé assistindo.

De verdade, eu não esperava. E compartilhei isso com os que lá estavam. E falei que meu objetivo naquela sessão era “assustar” 3 pessoas, que pudesssem “assustar” mais 3 e assim por diante.

Participar desse evento para mim foi a famosa “despedida épica”. Estar entre meus grandes e melhores amigos de 12 anos de programa, conhecer a nova “turma” de MVP´s e me conectar com várias pessoas da comunidade foi, de longe, a melhor despedida que eu poderia ter. E por ela sou e serei eternamente grato à todos que fizeram o MVPConf ser o sucesso que foi.

E agora, o que muda na sua vida, Alberto? De verdade? Nada. Porque compartilhar o que sei faz parte do que eu sou. Eu nunca fiz pelo título. Ele foi uma consequência de um grande prazer que possuo em ensinar o pouco que sei e aprender o muito que a comunidade sempre me ensinou.

Novamente, saio com o sentimento de dever cumprido.

Não sei dizer se é um “adeus” ou um “até logo”.
O que sei é que a paixão que me move segue a mesma e vocês podem continuar contando com meus conteúdos por aqui.

Aquele abraço!

Alberto Oliveira, CISSP
Former Microsoft MVP

Publicado em Uncategorized | 2 Comentários

Ransomware Zenis: O que fazer?

Saudações pessoal,

Foi descoberto recentemente (16/03) um ransomware de codinome ZENIS. O mesmo parece se utilizar de vulnerabilidades existentes em conexões do tipo RDP (remote desktop services / terminal services) e, á partir daí, iniciar seu processo de distribuição.

Ainda não se sabe muito sobre as vulnerabilidades que o mesmo explora e como ele acessa o Sistema operacional da vítima.

Uma característica preocupante desse ransomware é a de ter como um dos focos de ação apagar backups e cópia de sombra nos sistemas infectados, dificultando o processo de recuperação dos dados criptografados. Até o presente momento não existe um decryptor disponível para a ameaça, não sendo possivel acessar os dados, uma vez que o Sistema tenha sido atacado.

Algumas dicas sobre como proceder:

1 – habilite, quando houver, os Recursos de contenção anti ransomware dos sistemas de proteção de endpoint instalados;
2 – EVITE abrir anexos de fontes não confiáveis ou duvidosas;
3 – MANTENHA seus sistemas operacionais o mais atualizados possivel;
4 – Em específico para o ZENIS, EVITE publicar o serviço de desktop remote / terminal services, sem que o acesso ao mesmo seja realizado através de canal Seguro (ex: VPN);
5 – MANTENHA seu backup em mais de um repositório, de preferência fisicamente distinto de seu site principal;
6 – Utilize o script “cryptoblocker” disponível no github (https://github.com/nexxai/CryptoBlocker) para criar a lista de exclusão de extensões dos ransonwares atuais .

Em caso de infecção, desconecte IMEDIATAMENTE o sistema da rede para evitar que o malware siga se espalhando.

Assim que tiver maiores informações sobre formas de contenção dessa ameaça, atualizo vocês.

Boa sorte!

[]´s

Alberto Oliveira, CISSP

Microsoft MVP

Publicado em Uncategorized | Deixe um comentário

Microsoft: Protegendo VOCÊ desde 2003 contra ransomwares e você nem sabia

Saudações pessoal,

 

Semana passada estive em São Paulo, para participar do Microsoft TechSummit e do MVP Community connection. Foi uma semana bastante intensa, com muitos ensinamentos, aprendizado, boas oportunidades, risadas, networking e muita troca de conhecimento e experiências.

Tive a honra de entregar o WorkShop DeepDive Microsoft 365 Intelligent Security para uma turma altamente qualificada, com meu amigo e um dos maiores especialistas em segurança do Brasil, Daniel Donda.

Também pude assistir uma palestra FANTÁSTICA sobre os novos (ou não tão novos) recursos de segurança do Windows 10, com o Windows Defender Exploit Guard, ministrada pelo meu amigo André Ruschel, uma das grandes mentes de segurança e inovação do Brasil hoje. Durante a palestra, o Ruschel demonstrou o comportamento do WannaCry e do ExPetya/NoPetya, e como os novos recursos de segurança controlavam as tentativas de infecção dos ransomwares. Tudo isso feito na hora, feito caldo de cana, :).

Antes da palestra, pudemos trocar algumas idéias e conversar um pouco. E foi quando surgiu o assunto que é tema desse artigo.

Conversando sobre o recurso de protected folders do Windows 10, chegamos a conclusão de que ele nada mais é do que o file screening, recurso de controle de extensões (incluindo mime types) , presente no FSRM (file server resource manager) desde o Windows 2003 R2. O recurso do 10 tem um “plus adicional”, que é restringir quais apps podem escrever na pasta e isso, obviamente,vai auxiliar na proteção. Mas e o 2003 R2??

Exatamente o que você leu. Desde 2003 temos uma proteção efetiva contra a criptografia ocasionada pela execução dos ransomwares para um dos pontos mais vulneráveis da cadeia de proteção: O file server.

Como funciona o File Screening.

Com essa funcionalidade, você pode limitar o tipo de extensão (e tipo) de arquivo aceito no file server. Como a primeira ação da grande maioria dos ransomwares é alterar a extensão, bingo! Configurando o recurso, você ganha uma proteção relativamente efetiva contra esse tipo de ameaça.

Ah, e não adianta trocar a extensão do arquivo para bypassar esse controle, por exemplo. Como o file screening enxerga mime types, ele identifica exatamente qual o tipo do arquivo, independentemente da extensão. Bacana, não é?

ATENÇÃO: Essa funcionalidade NÃO foi criada para isso e NÃO elimina a necessidade de outras camadas de proteção para seu ambiente. Configure e utilize com responsabilidade, usando como MAIS UM recurso de proteção para seus dados.

 

Quer aprender como configurar? Acessa esse artigo: https://technet.microsoft.com/en-us/library/cc732074(v=ws.11).aspx

Se tiver dúvidas, me avisa que eu dou uma força, :).

Boa leitura!

 

Abraços,

Alberto Oliveira, CISSP

Microsoft MVP

 

 

Publicado em Uncategorized | Deixe um comentário

iOT: Internet of things. Ou seria “Internet of threats”?

Saudações,

Muito tem se falado, nos últimos tempos, sobre o que o iOT nos trás de benefícios. Conectividade, facilidade, agilidade, sociabilidade, automatização, dentre outras, são algumas das muitas vantagens da possibilidade ter dispositivos inteligentes.

Imagine sua geladeira cuidar da gestão de sua feira, automaticamente, regulando o seu estoque de comida e já providenciando os pedidos, sem precisar de sua interação. Melhor que isso, só se ela arrumar as compras também, não é?

Carros conectados que já sabem o melhor trajeto e permitem um piloto automático bastante completo, permitindo momentos de relaxamento e Descanso em uma viagem longa.

Tv´s inteligentes que não só possuem um grande número de aplicativos, como também funções de jogos, navegação e outros itens legais, que nos dão a Liberdade de executar , inclusive, alguns tipos de trabalhos nelas.

E os smartphones? Compromissos, agenda, e-mail, social networking, gps, bancos e por ai vai. A lista de benefícios e possibilidades beira o infinito.

Até mesmo aquários inteligentes já temos, sendo possível controlar a temperatura da água, por exemplo.

E foi justamente um aquário inteligente que motivou esse texto.

Em julho desse ano, em um cassino nos USA, foi invadido através de um , pasme, aquário inteligente. O mesmo possuia uma série de sensores que regulavam temperatura, limpeza e até mesmo a alimentação dos peixes, enviando para um PC . À partir disso, a invasão ocorreu utilizando brechas existentes nesse Sistema, que permitiram o acesso ao computador e, depois disso, foi apenas o ato de “lateralizar” o ataque. Uma vez dentro, foi possível coletar dados sensíveis e evadir os mesmos da rede corporativa.

Você pode ler a matéria aqui: https://www.washingtonpost.com/news/innovations/wp/2017/07/21/how-a-fish-tank-helped-hack-a-casino/?utm_term=.19c3fbf1c78f

 

Porque esse caso chamou a atenção? Porque , cada vez mais, estamos conectado dispositivos à internet, aparentemente, sem muito critério ou cuidado. Sobretudo, por parte do usuário final. O usuário quer facilidade. Usabilidade. Velocidade. Quantos de vocês trocam as senhas padrão de TODOS os sistemas de seus dispositivos inteligentes? A resposta para essa pergunta pode ser bastante assustadora.

 

Certo, Alberto. Devo então voltar à época pré internet e não utilizar nenhum dispositivo inteligente? Não, de jeito nenhum . O ponto não é esse.

Precisamos, no entanto, começar a desenvolver a cultura de alterar o padrão. Senhas e configurações. Exatamente por ser muito fácil de fazer (na maioria dos casos), poderíamos e deveríamos investir esforço nisso. E não pode ser uma iniciativa apenas de quem consome. Precisa, sobretudo, ser de quem produz e de quem dá assistência.

Sinto muita falta de iniciativas mais “user friendly” por parte dos especialistas em segurança da informação. Já ouvi de algumas pessoas, e concordo totalmente, que nós, profissionais de tecnologia, nos colocamos, por diversas vezes, um “pedestal” no melhor estilo “semi-Deus”, acreditando que todas as pessoas do mundo são OBRIGADAS a saber sobre tecnologia e os riscos associados. Considerando que, nos dias de hoje, SEQUER temos disciplinas nas escolas que capacitem nossas crianças a viver nesse mundo hyper conectado, Podemos assim perceber que o “buraco” é bem maior do que conseguimos medir nesse momento.

 

E o que fazer? Ações conjuntas. Fabricantes, especialistas e usuários. O iOT é sim um caminho sem volta. Pelo tanto de benefícios que nos trás. Mas não Podemos ignorar os riscos que o modelo trás junto com ele. Precisamos é de trabalho para mudar esse patamar.

Possível? Sim. Difícil? Muito. Não Podemos ignorar mais essa necessidade. Educação digital fará a diferença num futuro já muito próximo. E depende MUITO de nós, profissionais de tecnologia e segurança, fazer isso acontecer.

 

[]´s

Alberto Oliveira, CISSP

Microsoft MVP

Publicado em Uncategorized | Deixe um comentário

BlueBorne – Vulnerabilidade Bluetooth – Atualize AGORA seu sistema!

Saudações pessoal,

Foi divulgada nos últimos dias uma vulnerabilidade de grandes proporções.

Que atinge todos os dispositivos que possuem a capacidade de se comunicar via Bluetooth.

O nome é BlueBorne.

A principal característica desta vulnerabilidade é a possibilidade de utilização de seus dispositivo, sem que haja a necessidade de interação por parte do dono do dispositivo. Bastando apenas que o Bluetooth esteja ativo.

Há um risco eminente da exploração dessa vulnerabilidade em worms e afins, que se espalhariam pelo ar, apenas pela proximidade dos dispositivos.

RECOMENDO que você DESABILITE suas conexões Bluetooth e não volte a utilizar, até o fabricante de seu dispositivo Bluetooth lançar a correção para o problema.

 

A Microsoft já disponibilizou os updates necessários para a correção.

Você pode encontrar os mesmos aqui: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8628

 

 

Atualize seus sistemas o quanto antes!!!

[]´s

Alberto Oliveira, CISSP

Microsoft MVP

Publicado em Uncategorized | Deixe um comentário

Host Resource Protection no Hyper-V 2016

Olá pessoal,

 

O Windows Server 2016 possui uma série de mudanças e novidades que vieram para melhorar, ainda mais, a segurança e confiabilidade dos ambientes virtualizados.

Uma das funcionalidades que considerei muito interessante e gostaria de compartilhar com vocês é a Host Resource Protection.

Basicamente, essa nova funcionalidade impede que uma VM utilize mais recursos do que deveria, monitorando os níveis de atividade da mesma.

Essa funcionalidade é desativada por padrão. Para ativar ela, utilize o seguinte comando:

 

Set-VMProcessor -EnableHostResourceProtection $true

Após executar o comando, será solicitado o nome da VM que você gostaria de monitorar. Basta digitar ela e clicar no enter. Você pode monitorar quantas VM´s quiser e tiver. Basta ir adicionando seus nomes ao monitoramento.

Caso não queira mais utilizar esse recurso, basta utilizar o seguinte comando:

Set-VMProcessor -EnableHostResourceProtection $false

Enjoy!!

Abraços,

Alberto Oliveira, CISSP

Microsoft MVP, Datacenter Management and Cloud

 

 

 

Publicado em Uncategorized | Deixe um comentário