'undefined'
Procurar
Serviços
Blog
WordPress
WordPress
A maioria dos websites institucionais entregues à Hardsecure para testes utilizam o Wordpress como o seu próprio CMS (sistema de gestão de conteúdos), na sua maioria porque é o serviço mais simples e mais popular para criar o seu próprio website ou blog, alimentando 42% de todos os websites na Internet. Mesmo que não seja um programador, pode facilmente alterar o seu site com o vasto ecossistema de temas e plugins do WordPress. Na secção abaixo, vamos ver algumas das vulnerabilidades mais comuns verificadas durante os pentests. Vulnerabilidades comuns: Brute Force Attacks, que envolvem múltiplas tentativas e abordagens de erro usando centenas de combinações para adivinhar o nome de utilizador ou passwords corretos. Cross-Site Scripting, também conhecido como ataque XSS. Neste tipo de ataque, o atacante carrega código JavaScript malicioso que, quando carregado no lado do cliente, começa a recolher dados e possivelmente a redirecionar para outros websites maliciosos. WordPress/plug-ins desatualizados são mais suscetíveis de serem afetados por uma ameaça à segurança. Com o tempo, os hackers encontram forma de explorar o seu núcleo e acabam por executar o ataque a websites que ainda utilizam versões desatualizadas. Enumeração do utilizador, é uma forma de encontrar os dados dos utilizadores no seu website. Estas três técnicas de enumeração são uma forma muito rápida de identificar os utilizadores de um WordPress: JSON API, Formulário de Login e Arquivos de Autores. Malware, é um código malicioso que é injetado em temas, plugins desatualizados ou script e extrai dados do website ou insere conteúdo malicioso. DoS/DDoS, DoS é realizado usando uma única fonte, enquanto o DDoS é um ataque organizado realizado por múltiplas máquinas em todo o mundo. Hardening Framework A segurança deve ser algo recorrente! Pode ter problemas graves quando deixa de verificar a segurança do seu website. Neste capítulo, vamos falar das principais medidas para proteger o seu WordPress ou outros CMS. A primeira medida refere-se a passwords fortes, autenticação de dois fatores e com que frequência alteramos as nossas senhas. Estas são três dicas fáceis que devemos utilizar no nosso dia-a-dia. A segunda medida concentra-se nas atualizações. E nem sempre está relacionado com novas funcionalidades; esta poderia conter correções de segurança e estabilidade que são essenciais. No WordPress, temos de ter em atenção os plugins, temas e PHP que cada versão tem 2 anos de suporte. Se o seu website tiver vários utilizadores, não é recomendável todos serem administradores. Bem como alterar o caminho de login, não resolverá todos os problemas, mas pode ajudar contra bots e/ou scripts. Bloquear caminhos URL com a ajuda do WAF é um bom começo para manter os IPs desconhecidos fora, tal como a página de início de sessão. O ficheiro mais importante é o config.php, pode mover este ficheiro, atualizar as chaves de segurança do WordPress para melhorar a encriptação, alterar permissões nestes ficheiros, desativar XML-RPC, ocultar versões do WordPress (quanto menos pessoas souberem a configuração do seu website WordPress melhor), adicionar cabeçalhos de segurança, tais como: Política de segurança de conteúdo X-XSS-Protection Strict-Transport-Security Opções de X-Frame Public-Key-Pins X-Content-Type Utilizar plugins de segurança como iThemes Security e/ou WordFence Security e não esquecer de utilizar sempre ligações seguras (HTTPS, SFTP). Notas finais Existem mais de 55,000 plugins WordPress! A melhor escolha que pode fazer é utilizar os que têm altos índices de satisfação e que são frequentemente atualizados porque, como vimos acima, estas atualizações são importantes para a integridade do seu website.Lembre-se de instalar apenas os necessários e se quiser jogar com segurança, é melhor criar um ambiente de testes ou desenvolvimento para testar primeiro. Por: Ricardo Araújo, Pentester na Hardsecure.
Os Ciber-Seguros estão a piorar os ataques de Ransomware?
Os Ciber-Seguros estão a piorar os ataques de Ransomware?
Não é surpreendente, que o Ransomware continue a ser a ciber-ameaça mais comum, e que nenhuma empresa ou rede esteja a salvo dela. O que começou com algumas disquetes comprometidas em que foi pedido às vítimas que pagassem 189 dólares, é agora uma indústria de cibercrime de mil milhões de dólares com potencial para causar danos em todo o mundo. De acordo com os relatórios da SonicWall, 2021 tem sido o ano mais ativo em termos de ransomware, com ataques a aumentar 148% no terceiro trimestre de 2021, sendo os valores de pedidos de resgate os maiores até à data. Dada a forma como o cibercrime avança, as organizações começam a mudar para uma abordagem de ciber resiliência e de assumir um ataque como inevitável. As estratégias de defesa melhoraram, o backup de dados críticos para as empresas é agora quase uma norma, e a adesão a apólices de ciber-seguros também está a aumentar. O ciber-seguro existe para salvaguardar as empresas das consequências dos ciberataques, incluindo a cobertura dos custos financeiros de lidar com os incidentes. Mas muitos peritos afirmam que os seguros podem estar a alimentar a indústria do cibercrime, uma vez que as organizações confiam nas suas apólices de ciber-seguros para simplesmente pagarem o pedido de resgate, em vez de adotarem as medidas de segurança que poderiam evitar o ataque em primeiro lugar. Sabemos porque é que submundo do cibercrime tem tanto sucesso (além de ser uma indústria de triliões de dólares) ... São altamente organizados; partilham informação e conhecimentos, e sabem a quem atacar: as organizações que reconhecem como potencialmente mais rentáveis ou com maior probabilidade de pagar um ransomware. Assim, parece lógico que os gangs de ransomware procurem ativamente organizações com apólices de ciber-seguros, uma vez que é a melhor forma de garantir que ganharão dinheiro com campanhas de encriptação. A indústria dos seguros também está preocupada, uma vez que os pedidos e exigências de ransomware não só estão a tornar-se mais frequentes, como também muito mais caros. Como resultado, as Seguradoras já estão a aumentar os seus valores e a exigir provas detalhadas das estratégias de cibersegurança utilizadas pelas empresas que querem comprar ciber-seguros. A seguradora multinacional AXA chegou a anunciar que já não criaria novas apólices de ciber-seguros com cobertura contra extorsão e, coincidência ou não, foi atingida por um ataque de ransomware algumas semanas depois. Também temos agora novos tipos de extorsão, como a Dupla Extorsão, que se tornou padrão. Antes de encriptar os dados, gangues como o REvil extraem informação sensível da rede antes de encriptar os ficheiros. Desta forma, além de encriptarem os dados para o pedido resgate, podem encorajar os seus alvos a pagar o mesmo para evitar a exposição pública dos dados extraídos. A disponibilidade de ciber-seguros não parece estar a ajudar a melhorar a cibersegurança, pelo menos neste momento. Para muitas empresas, a ideia de uma violação de dados e que estes fiquem publicamente disponíveis na Internet faz com que um resgate elevado pareça valer a pena, e se o Seguro o cobrir, não pensarão duas vezes em recorrer ao mesmo. Por: Mara Melão, Cybersecurity Account Executive for EMEA na Hardsecure.
Clickjacking
Clickjacking
Um website é um conjunto de arquivos HTML conectados através de links de hipertexto, armazenados em um servidor web, ou seja, um computador permanentemente ligado à Internet. Com o avanço das tecnologias, o uso dos websites tornou-se parte do nosso dia a dia. Nesse contexto, a segurança dos websites passou a ser um dos principais requisitos para os utilizadores, programadores e para as organizações. Os utilizadores mal intencionados estão a utilizar métodos cada vez mais sofisticados para comprometer a segurança dos websites e uma das técnicas utilizadas por estes utilizadores mal intencionados é o clickjacking. O clickjacking, também conhecido como um "UI redress attack", é uma técnica maliciosa cujo objetivo é enganar um utilizador web para selecionar algo diferente do que o utilizador percebe que está a selecionar, revelando assim informações confidenciais. O clickjacking permite que um hacker insira uma camada invisível no website, entre seus comandos e o que o utilizador vê no ecrã do dispositivo. Um dos exemplos mais conhecidos do clickjacking foi um ataque contra a página de definições de plugins da Adobe Flash. Ao carregar esta página num iframe invisível, um intruso poderia enganar um utilizador a alterar as definições de segurança do Flash, permitindo que qualquer animação Flash utilizasse o microfone e a câmara do computador. De acordo com a natureza do ataque, o clickjacking possui vários tipos: - Cursorjacking: Esta técnica permite mudar a posição do cursor para um lugar diferente do local onde o utilizador percebe. Assim, o utilizador acredita que está a fazer uma ação enquanto está realmente a fazer outra. - Likejacking: Este tipo de ataque visa coletar os cliques dos utilizadores e direcioná-los para “gostos” em páginas do Facebook ou outras redes sociais. - Cookiejacking: Neste caso, o utilizador é levado a interagir com um elemento UI, fornecendo ao intruso cookies armazenados no navegador. Assim um intruso consegue realizar ações no site alvo em nome do utilizador. - Filejacking: Com este tipo de ataque, o utilizador permite ao intruso aceder ao seu sistema de ficheiros local. - Ataques de gestor de passwords: Este tipo de ataque tem como objetivo enganar os gestores de passwords para tirar partido da sua funcionalidade de preenchimento automático. É difícil reconhecer o clickjacking porque é muitas vezes invisível, contudo, pode conter elementos que revelam sua presença ao utilizador. Por exemplo, alguns anúncios e chamadas com erros ortográficos podem ser indício de que há uma tentativa de roubo de clique. Nas redes sociais, o clickjacking pode ser reconhecido quando alguém compartilha um conteúdo estranho, geralmente com um link de acesso. Devem ser realizados testes para determinar se as páginas do site são vulneráveis a ataques deste tipo de vetor. Os pentesters podem investigar se uma página-alvo pode ser carregada num iframe, criando uma página web simples que inclui um iframe que contenha a página alvo. Um exemplo de código HTML para criar esta página web de teste é a seguir apresentado: Há três métodos que podem ser usados para se defender contra clickjacking: - Impedir que o navegador carregue a página num iframe utilizando os cabeçalhos HTTP (X-Frame-Options ou Política de Segurança de Conteúdos- CSP). - Impedir que os cookies de sessão sejam incluídos quando a página é carregada num iframe usando o atributo de cookie SameSite. - Implementação do código JavaScript na página para tentar evitar que seja carregado num iframe (conhecido como "frame-buster"). Estes métodos são todos independentes uns dos outros, e sempre que possível mais de um deles devem ser implementados de modo a fornecer a defesa em profundidade. A ação do clickjacking pode causar vários danos, visto que através de um clique podemos ser infetados por diferentes malwares e até mesmo permitir que terceiros façam uso da câmara ou do microfone do nosso dispositivo. Nem mesmo o nosso email e as nossas redes sociais estão imunes a este tipo de ataque. Por: Daniel Morais, Pentester na Hardsecure.
O regime da reprodução e/ou retenção do Cartão de Cidadão à luz do RGPD
O regime da reprodução e/ou retenção do Cartão de Cidadão à luz do RGPD
Desde sempre que, as entidades públicas e/ou privadas, para prestar a maioria dos seus serviços, nos pedem uma cópia do nosso Cartão de Cidadão. Mas será que é mesmo necessário, as entidades ficarem ou reterem o nosso documento identificativo? A verdade é que este é um hábito entranhado na sociedade desde os tempos em que o nosso documento identificativo era o Bilhete de Identidade. Este sim seria o verdadeiro documento identificativo onde constava (para além do número de identificação civil), nome, fotografia, assinatura, filiação, naturalidade, residência (freguesia e concelho), data de nascimento, estado civil, altura e validade do documento – apenas e só documentos identificativos do titular. Contudo, com o Cartão de Cidadão, à vista, temos outros dados, para além dos identificativos, tendo que ter outros cuidados. De acordo com o art. 2.º da Lei n.º 7/2007, de 05 fevereiro: “O cartão de cidadão é um documento autêntico que contém os dados de cada cidadão relevantes para a sua identificação e inclui o número de identificação civil, o número de identificação fiscal, o número de utente dos serviços de saúde e o número de identificação da segurança social.” Se a principal questão, quando nos pedem uma cópia do Cartão do Cidadão é, justamente, para provar a identidade do seu titular, porque deveremos nós permitir o acesso aos restantes dados, os quais constam no Cartão de Cidadão? Aliás, a Lei n.º 7/2007, de 05 fevereiro, com as suas atualizações, prescreve, no seu art. 5.º (Proibição de Retenção), o seguinte: “1. A conferência de identidade que se mostre necessária a qualquer entidade pública ou privada não permite a retenção ou conservação do cartão de cidadão, salvo nos casos expressamente previstos na lei ou mediante decisão de autoridade judiciária. 2. É igualmente interdita a reprodução do cartão de cidadão em fotocópia ou qualquer outro meio sem consentimento do titular, salvo nos casos expressamente previstos na lei ou mediante decisão de autoridade judiciária.” Ou seja, a Lei proíbe a reprodução do Cartão de Cidadão em fotocópia ou qualquer outro meio, como a digitalização, sem o consentimento do titular (salvo as exceções legais). A Lei n.º 7/2007, de 05 fevereiro, quando refere que as entidades públicas ou privadas estão proibidas de reter ou conservar o documento identificativo para verificar a identidade do titular, elas deverão introduzir os dados no sistema informático, formulário ou plataforma, na presença do titular dos dados. Nem mesmo online é legítima a exigência, uma vez que o Cartão de Cidadão tem chip e código PIN, o qual permite fazer a identificação à distância. Ora, no que reporta ao consentimento do titular dos dados, de acordo com a definição constante do art. 4.º n.º 11 do Regulamento Geral de Proteção de dados (RGPD) é: “uma manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento”. Este conceito deve ser conjugado com vários outros preceitos do RGPD, bem como os considerandos, porém temos sempre que dar destaque aos arts. 6.º, 7.º, 8.º, 9.º e 22.º do RGPD. Sejamos realistas, nestes casos, o consentimento para fornecer uma cópia ou reprodução por qualquer outra forma do Cartão de Cidadão é uma ficção. Pouco importa que o titular consinta formalmente, quando, na esmagadora maioria das vezes não tem hipótese de não o fazer sem incorrer em pesados riscos (os dados são pedidos por uma entidade pública para que um projeto prossiga, p.e.), ou o consentimento é necessário para aceder a bens e serviços indispensáveis, como o contrato de fornecimento de energia, p.e. Mas todos nós sabemos que a realidade é bastante diversa de todo o exposto, devendo tomar outra atitude perante a exigência do Cartão de Cidadão. Em primeiro lugar, quando nos exigem a cópia do Cartão de Cidadão, devemos sempre relembrar que esse pedido é contrário à Lei, mas, se mesmo assim a exigência persistir, devemos questionar qual a Lei que identifica essa obrigatoriedade. Na maior parte das situações não existirá qualquer argumento legal, estando assim aberto o caminho para exigir o Livro de Reclamações, fazer a denúncia ou apresentar queixa nas autoridades judiciais, sendo ao Instituto dos Registos e Notariado (IRN) quem cabe instaurar e instruir o processo de contraordenação, arrecadando o mesmo 40% das coimas como receita própria. É certo e consabido (menos por quem nos exige a cópia do nosso Cartão de Cidadão), que o legislador quis acautelar os perigos existentes e cada vez mais atuais, do furto de identidade. É bastante fácil substituir a fotografia e assinar um contrato com os dados pessoais do verdadeiro titular, causando consequências imensuráveis até se apurar a responsabilidade criminal e não só. Os perigos do furto de identidade são uma realidade cada vez mais presente no nosso dia-a-dia, devendo tomar as devidas medidas para nos salvaguardar, mas este tema fica para uma próxima vez. Por: Mara Almeida Pereira, Legal & Compliance Security Auditor na Hardsecure
A importância da centralização da comunicação - SOC
A importância da centralização da comunicação - SOC
Quando uma organização planeia a sua estratégia e os processos de comunicação interna, é comum que surjam dúvidas sobre qual o melhor caminho a seguir, principalmente se for pretendido criar mecanismos de comunicação centralizada. A comunicação é de extrema importância para as empresas de cibersegurança e principalmente para as equipas de SOC, que são a primeira linha de defesa informática em tempo real, pois com a informação estruturada, para além de reduzir possíveis erros operacionais, simplifica as relações entre as diferentes equipas e departamentos que atuam em prol do mesmo fim (exemplo: equipas/departamentos de SOC, Pentest e Cyber Intel), como, garantir uma melhor compreensão do ambiente, defesa e proteção da infraestrutura dos seus clientes. Assim, surge a seguinte questão: "empresas que fornecem serviços de cibersegurança devem centralizar a comunicação ou mantê-la descentralizada?" Para ajudar a responder à questão, seguem algumas das suas características. De um modo geral a Centralização possibilita: Tomadas de decisões e informação divididas entre departamentos; Responsabilidade superior na gestão, por departamento; Maior autonomia para os colaboradores, que deste modo faz apelo à contribuição de cada um, com ideias, produtos ou processos, mas apenas na sua atividade; Acesso limitado à informação (documentos, dados, etc.) relativamente a outros departamentos; Menor partilha de informação interdepartamental; Risco de desencontro de informações; Probabilidade acrescida do surgimento de informação duplicada (dados, emails, entre outros). Já na Descentralização: Maior comunicação entre colaboradores; Comunicação interdepartamental facilitada, contribuindo assim para um objetivo geral comum; Gestão de documentos, dados, emails e transmissão de comunicações; Partilha de informações nos meios que considerem mais adequados e eficazes; Melhor supervisão da informação interna partilhada. Conclusão Estas são apenas algumas das vantagens e desvantagens ao adotar uma comunicação centralizada ou descentralizada. A centralização reduz custos e tempo com possíveis erros por falta de informação, como, por exemplo, a repetição de trabalhos ou a criação de incidentes de segurança (Falsos Positivos) gerados pela atividade de um colaborador do departamento de Pentest durante a sua “atividade normal”, sem que haja comunicação interna sobre o que está em curso, pois ao testarem os sistemas de um cliente, acabam por gerar diversos alarmes para os técnicos que estão a monitorizar a rede do mesmo. Apesar da descentralização ser uma prática muito utilizada por diversas empresas, na área de cibersegurança a centralização da comunicação e das informações é um fator crucial para um melhor funcionamento e contributo global dos diversos serviços prestados. Por: Hugo Moreira, Incident Response Analyst na Hardsecure
SOC as a Service
SOC as a Service
Com a atual evolução digital, o número de ataques e ameaças às organizações aumentaram de uma forma exponencial. Como forma de resposta, estas decidiram tomar medidas adequadas por forma a protegerem os seus dados e os seus sistemas de segurança, evitando assim perdas e prejuízos. Assim surge o SOC as a Service, no qual consiste num serviço contínuo de monitorização, deteção, análise e relatórios, dando resposta a incidentes e procedendo à gestão de vulnerabilidades, permitindo assim um comportamento inovador e trazendo diversas vantagens para a área de Segurança de Informação. Como funciona o SOC as a Service? O SOC as a Service é um serviço fundamentado em monitorização, executado de forma remota nas redes, aplicado a todos os equipamentos e outros ativos ligados à organização monitorizada (âmbito dentro de um scope pré-estabelecido). Ou seja, o SOC recolhe eventos de diferentes fontes, analisa, identifica as anomalias e filtra este processo por forma a gerar alertas. Sempre que os equipamentos produzem logs e eventos, estes são recolhidos e correlacionados através de regras de segurança permitindo uma avaliação rápida de milhões de eventos, com o objetivo de identificar irregularidades e posteriormente serem analisadas pelos operadores de SOC. A mais-valia do SOC as a Service deve-se à constante monitorização dos eventos juntamente com os recursos de segurança usados nas organizações, recursos estes que podem ser diversos, entre eles Firewalls, Antivirus, ativos de rede, servidores, aplicações, entre outros. Através dos mecanismos de correlação, este analisa os dados sobre os eventos, enviando estes resultados para uma plataforma chamada Security Information and Event Management (SIEM), com o objetivo de transmitir todos os ataques a um sistema ou rede. Vantagens do SOC as a Service Nos dias de hoje, onde cada vez mais se verificam ataques a infraestruturas ou mesmo roubo de informação, torna-se necessário a constante visibilidade do ambiente de forma a proteger e reduzir a exposição das informações e mitigar os riscos. Assim, através do serviço SOC as a service, todas estas componentes são abrangidas, pois o SOC proporciona uma visão generalizada de todo o ambiente de forma segura e robusta, através de uma operação 24x7, protegendo assim contra os criminosos que podem permanecer escondidos dentro do nosso ambiente corporativo. Portanto, podemos determinar diversos benefícios com a aquisição do SOC as a Service, tais como: Vigilância Constante – monitorização dos sistemas 24x7; Segurança – análise e identificação de ofensas originadas por terceiros; Garantia de Integridade, Disponibilidade e Confidencialidade; Flexibilidade no modelo de gestão do serviço – 100% outsourced, híbrido ou equipa em casa; Avaliação e melhoria continua como componente preventiva; Acesso a profissionais de Cibersegurança altamente qualificados; Acesso a tecnologias de monitorização e inteligência; Relatórios estratégicos para partilha com C-levels; Mais informação qualificada para o suporte na tomada de decisão. O SOC as a Service parte do princípio da continua deteção, contenção, visibilidade, correção e agregação de inteligência. Assim, pode-se concluir que as organizações com este serviço, são muito mais eficientes no que diz respeito a identificar ataques e responder aos incidentes, possuindo uma capacidade preventiva face a novos vetores de ataque. Por: Renato Rodrigues, Incident Analyst na Hardsecure
Poderão ser os Sistemas de IA eticamente corretos?
Poderão ser os Sistemas de IA eticamente corretos?
Se é verdade que a Inteligência Artificial (IA) não é um conceito novo, nem tão pouco recente, também é uma constatação que este ramo da Informática assume maior relevância à medida que impacta no nosso quotidiano e na sociedade, de forma cada vez mais complexa e controversa, pois o seu principal objetivo é a execução de tarefas que seriam consideradas inteligentes, caso fossem executadas por um Humano. Paralelamente, o respeito pelos Direitos Fundamentais do Ser Humanos, como a Privacidade e a Proteção de Dados Pessoais, são igualmente temas não recentes e com uma preponderância crescente, que adquirem contornos legais e impõem requisitos técnicos para o seu cumprimento, cada vez mais definidos e incontornáveis. Na verdade, a dicotomia entre o desenvolvimento de sistemas de IA e os valores éticos, é uma constante da atualidade e a busca do seu equilíbrio é um tema ao qual, natural e progressivamente, dedicamos mais tempo, pois a perceção de que é vital para a nossa sobrevivência assim o impõe. A atravessar a Quarta Revolução Industrial (Indústria 4.0), o ritmo a que a Sociedade evolui, a par das possibilidades e soluções tecnológicas e informáticas emergentes, a recolha de dados em larga escala (Big Data), nomeadamente através de dispositivos ligados à Internet (IoTs), a necessidade destes recorrerem à IA para interpretar a informação que recolhem e gerarem respostas, criando redes inteligentes, já não se compadece com a inércia em relação ao que são os requisitos de privacidade e segurança de informação, nem com a isenção de responsabilidade, quer individual, quer coletiva, quanto às nossas ações e quanto à informação de que somos ou nos tornamos responsáveis. Com efeito, o nosso sentido crítico e a forma como agimos e reagimos, determinam as nossas escolhas e o nosso percurso e evolução, enquanto indivíduos. Permitindo-nos assumir um paralelismo a este nível, poderíamos dizer que a IA artificial concretiza “escolhas” com base em algoritmos, enquanto a inteligência humana, com toda a sua complexidade, nos permite conscientemente assumir as nossas escolhas, as nossas decisões e os nossos comportamentos, mediante o contexto e os nossos valores. Ser eticamente correto, é, definitivamente uma dessas escolhas e é, sem margem de dúvida, na sua génese, uma característica humana. Assumimos frequentemente, e fruto de alguma especulação, que aos sistemas de IA são mais aproximados do raciocínio de um Humano e da plenitude do cérebro humano, do que são de facto. Prova deste receio é a necessidade constante de balizar os limites de atuação e do próprio desenvolvimento/suas repercussões, de forma a evitar que se invertam os papéis. Os algoritmos permitem efetivamente a resolução de problemas, com base na leitura e compreensão da linguagem e a aprendizagem, recorrendo a raciocínios lógicos. Mas, qual o caminho a percorrer até obter informação que permita gerar algoritmos a ponto de atingir este patamar? O Próprio Ser Humano, a forma como organicamente se geram os pensamentos, as decisões, serão algum dia, possíveis de “replicar”? E se forem, não estaremos nós a desvirtuar os princípios de Individualidade, de respeito pelos direitos e liberdades do Ser Humano e a subverter os princípios éticos que deverão preceder e acompanhar qualquer processo de desenvolvimento (tecnológico)? Por outro lado, poderá algum dia um algoritmo definir o que precede a tomada de decisão individual e todas as vivências e variáveis quer ambientais, quer individuais, que a determinam? Quando um software desenvolvido com base em IA, por exemplo “machine learning”, “toma decisões” recorrendo a um algoritmo, não estará a considerar o Ser Humano apenas um “robot artificialmente inteligente” e a reduzi-lo a um conjunto de informações e raciocínios lógicos, menosprezando a sua génese? Quando definimos um perfil, com base em inputs e informações recolhidas de um indivíduo, como é o caso do que se obtém a partir dos dados pessoais a que temos acesso e podemos tratar, não estaremos nós também a assumir exatamente este pressuposto, quanto aquele ou aqueles indivíduos? Na verdade, não será de todo irrealista considerar a hipótese de que a IA poderá assemelhar-se à “consciência Humana”, na tomada de decisões. Mas esta semelhança pressupõe ação humana e programação e, no caso de “machine learning”, por exemplo, a aprendizagem está limitada à informação que é recolhida e tratada até ao momento e que permite inferir resultados. Se bem que existem já exemplos controversos que nos levam a questionar a capacidade de sistemas de IA comunicarem em linguagem própria e poderem aprender a ser criativas, até ao momento, podemos considerar que recriar o cérebro humano em todas as suas valências e conseguir recriar uma das suas maiores potencialidades, a que permite desenvolver a criatividade, enquanto, ainda será uma completa utopia, sendo que cada sistema de IA é limitado a um conjunto de ações para cada finalidade, no âmbito em que é criado. Assim, teríamos de repensar o próprio conceito de criatividade e do ato de criar, que pressupõe criar algo novo sem partir de nenhuma informação pré-existente ou assumir que aprender por repetição um processo criativo, se pode considerar uma nova abordagem à definição de criatividade. De qualquer das perspetivas, CRIAR implica SER e SENTIR… Andreas Kaplan e Michael Haenlein definem a inteligência artificial como “uma capacidade do sistema para interpretar corretamente dados externos, aprender a partir desses dados e utilizar essas aprendizagens para atingir objetivos e tarefas específicas através de adaptação flexível”. No entanto, e não sendo possível, prever como evoluirá a ciência, e a neurociência, e como esta “integração” poderá vir a ser possível, é necessário tomarmos consciência dos riscos associados aos benefícios, quando falamos de progresso e desenvolvimento. Idealmente, devemos tentar antecipar-nos a consequências danosas e prejudiciais que desvirtuem o benefício que deverá ser o foco primordial do desenvolvimento. A capacidade para coletar, tratar, interpretar toda a informação, proveniente de todos os nossos sentidos, permitindo ter emoções, memórias e SER, é o que nos define enquanto Indivíduos e nos distingue de uma “máquina ou sistema”, mas também o que nos torna permeáveis a influências e a ser “parcialmente programáveis”. O equilíbrio entre o desenvolvimento de sistemas de IA, a sua influência no comportamento humano e a recolha e tratamento de informação acerca desse mesmo comportamento humano, definindo perfis, de forma a permitir este “ciclo de influência” e resultados através da programação e da aprendizagem pelo raciocínio lógico, impõe-se que seja uma constante quando falamos de IA e de desenvolvimento. Como poderemos assegurar o respeito pelos direitos fundamentais do Ser Humano, como é o caso da sua privacidade, se assumirmos que o Ser Humano está ao serviço da tecnologia e do desenvolvimento e não o inverso? Para além das questões basilares de licitude e legitimidade de tratamento dos dados pessoais, ser-nos-á realmente possível reconhecer os limites inerentes a uma finalidade, quando falamos de desenvolvimento de sistemas de IA? Regulamentações de proteção de dados, como o Regulamento Geral sobre Proteção de Dados, têm surgido com o objetivo de impor também estes limites, de normalizar procedimentos, de promover a implementação de medidas de controlo e de promover o desenvolvimento de padrões de ética, apelando ao sentido de responsabilidade pessoal, corporativa e coletiva. A reflexão que se impõe: serão as medidas atuais, os mecanismos existentes e os quadros legislativos em vigor, suficientes para que, na corrida ao desenvolvimento com base na IA, onde buscamos reproduzir e aperfeiçoar comportamentos/ações humanas, salvaguardemos o respeito pela Individualidade, pela privacidade e pelos direitos e liberdades do Ser Humano? Inevitavelmente, as motivações que impulsionam o desenvolvimento, nomeadamente o que assenta em IA, são reflexo da forma como os mercados condicionam as organizações a preterir os princípios éticos a favor do retorno financeiro. Urge conseguir este equilíbrio, impondo e ajustando os limites e os requisitos legais, mas também promovendo e assumindo visões e posturas cada vez mais humanistas, mais conscientes, responsáveis e eticamente corretas, que visem claramente o desenvolvimento da tecnologia e da IA como alavanca de crescimento e evolução das Sociedades e do Indivíduo. Por: Lara Silva, Legal & Compliance Security Auditor na Hardsecure
Scranos: o malware capaz de roubar passwords e informação sobre métodos de pagamento.
Scranos: o malware capaz de roubar passwords e informação sobre métodos de pagamento.
Este malware foi descoberto quando a Bitdefender investigava alguns downloads que continham trojans que se faziam passar por apps de vídeo ou de leitores de e-books. Bitdefender, uma empresa de cibersegurança romena que cria softwares antivírus, descobriu um novo tipo de malware que rouba passwords e informação sobre métodos de pagamento guardados no browser dos utilizadores chamado Scranos. A empresa afirma que este software malicioso consegue também aumentar silenciosamente subscrições de canais de YouTube e aumentar as fontes de receita ao infetar os dispositivos através de capacidades rootkit. Ataca especialmente sistemas operativos Windows e, de acordo com a TechCrunch, desde que foi encontrado o primeiro caso em novembro, o número de dispositivos infetados tem vindo a aumentar. «As motivações são estritamente comerciais (…) parecem estar interessados em espalhar este botnet para consolidar o negócio, ao infetarem o maior número possível de dispositivos e, assim, conseguirem fazer uma publicidade abusiva e distribuírem malware de terceiros», refere Bogdan Botezatu, responsável pelas operações contra ameaças da Bitdefender. A empresa descobriu este malware quando investigava alguns downloads que continham trojans, que se faziam passar por apps de vídeo ou de leitores de e-books. As apps não eram detetadas, pois tinham uma certificação fraudulenta que enganava os computadores, «ao usarem esta técnica, os hackers têm uma maior probabilidade de infetar os seus alvos», afirma Bogdan Botezatu. Uma vez instalado, o rootkit estabelece contacto com a sua central de comando ou servidor e faz download de mais componentes para o dispositivo infetado. Numa segunda fase, o malware injeta código no browser de Internet (Firefox, Chrome, entre outros) com o objetivo de abrir caminho para as contas de Facebook, YouTube, Amazon, Airbnb e extrair dados dos utilizadores. A Bitdefender afirma que o malware é capaz de abrir o Google Chrome em “debugging mode” e esconde a janela no desktop e na barra de ferramentas. Ao enganar o browser, fá-lo abrir vídeos do YouTube em segundo plano, removendo-lhes o som, subscrevendo canais e clicando em anúncios - tudo a comando do servidor central. Segundo a empresa, este malware torna o computador das vítimas em “clickfarms”, capazes de gerar ilegalmente receita. «O software procura promover de forma fraudulenta o consumo de anúncios no canal de quem os publica de forma a gerar lucro (…), neste caso são canais em expansão que recorrem a este método para crescerem mais», afirma o responsável da empresa, concluindo que «se os utilizadores tiverem a sua conta de Facebook aberta, o malware faz-se passar pelo utilizador e extrai informação da conta (…), o software consegue também contabilizar o número de amigos e páginas que o utilizador gere».
O português que está na lista dos hackers mais valiosos da Microsoft
O português que está na lista dos hackers mais valiosos da Microsoft
Investigador de 30 anos podia ganhar controlo sobre quase 500 subdomínios da gigante norte-americana. Microsoft classifica o português como um hacker de «alta eficácia» Quando recebeu um email a dizer que estava na lista dos 75 hackers mais valiosos da Microsoft, ao lado de nomes grandes da indústria de segurança informática que já segue há muito tempo, Fábio Pires ficou para lá de radiante. «Fiquei super contente, até porque acho que não é relativamente fácil entrar [na lista]», confidencia em entrevista à Exame Informática. Para fazer parte desta elite, é necessário ter submetido ao longo do último ano falhas de segurança em produtos e serviços que pertencem à Microsoft. A lista, revelada durante a Black Hat, um dos mais consagrados eventos ligados à cibersegurança, que decorreu nos EUA, coloca Fábio Pires na 67ª posição e vem com um elemento adicional: junto ao nome está um símbolo que o distingue como sendo um hacker de alta eficácia. «Isto na prática significa que todas as vulnerabilidades que submeti, todas foram consideradas válidas e de impacto», explica o português de 30 anos, que cresceu na Marinha Grande, mas agora vive em Londres, no Reino Unido. Ao todo comunicou oito vulnerabilidades, mas na prática a falha era apenas uma – uma que lhe dava acesso a quase 500 subdomínios de alguns dos principais produtos da gigante norte-americana. A vulnerabilidade em questão é conhecida como subdomain takeover e permite a um pirata informático ganhar acesso a um subdomínio e usá-lo, por exemplo, em campanhas de phishing. Neste caso em particular, Fábio Pires descobriu centenas de subdomínios da Microsoft associados a alguns dos principais endereços web da empresa americana, como microsoft.com, windows.com, office.com e xbox.com, entre outros. «Eles tinham montes de produtos com esta vulnerabilidade. E quando digo produtos, digo sites principais onde os subdomínios estavam mal configurados», conta-nos. «O impacto é que eu como atacante podia controlar mais ou menos 500 subdomínios da Microsoft.» Na prática, os subdomínios encontrados pelo investigador português foram “esquecidos” pelas equipas da Microsoft, mas continuavam corretamente configurados, com o DNS a apontar para serviços externos de alojamento. Caso um subdomínio estivesse a “apontar” para a Amazon Web Services, por exemplo, bastava a Fábio Pires criar um bucket na plataforma com o nome do subdomínio para ganhar controlo sobre o mesmo. E como eram subdomínios de marcas com uma grande reputação, este seria o ponto de partida perfeito para efetuar ataques de phishing altamente eficazes. «Posso simplesmente mandar um email a uma empresa a dizer “saiu uma nova atualização para o vosso produto, descarregue o ficheiro em qualquercoisa.microsoft.com», exemplifica. «Mesmo as firewalls veem esse tráfego como de um site que à partida pertence à Microsoft e não te bloqueiam. A partir daí tens uma vantagem gigantesca.» Muitas Vulnerabilidades à Solta A primeira vez que Fábio teve contacto com a técnica de subdomain takeover foi para resolver a falha na empresa para a qual trabalhava em meados de 2018 – chamada WorldRemit. Mas quando decidiu procurar por outras empresas que estivessem expostas à vulnerabilidade, encontrou muitas portas escancaradas. Nesta fase já contou com a ajuda do colega Francesco Mifsud para avisar todas as empresas vulneráveis: Siemens, Avast, Adidas, Royal Bank of Scotland, GitHub, Dell, Lufthansa e Teamviewer foram algumas das organizações que responderam ao alerta dado pela dupla de investigadores, corrigindo o problema. Outras empresas de renome foram alertadas, mas as correções ainda não foram feitas. Fábio dedicou quase um mês a este processo, período durante o qual recebeu muitas t-shirts como forma de agradecimento, recorda em tom de brincadeira. Agora a trabalhar como líder de segurança de aplicações móveis na News UK, um dos maiores conglomerados britânicos de meios de comunicação e responsável por publicações como o The Sun e o The Times, o português diz que quer «continuar a crescer» e espera em breve «liderar uma equipa» de investigação em segurança informática. Fonte: Exame Informática
Cartões de crédito e débito deixam de usar banda magnética até 2021
Cartões de crédito e débito deixam de usar banda magnética até 2021
A nova diretiva implica um reforço da segurança, levando a que nos próximos 12 a 18 meses possa deixar de ser possível utilizar o número de cartão de crédito e dígitos de segurança na compra de serviços e bens online. Desde o dia 14 de setembro, a banda magnética do seu cartão de crédito e/ou débito já não vai ser usada para efetuar pagamentos. Agora, devido à entrada em vigor de uma diretiva europeia que pretende reforçar as medidas de segurança, vai ser usado apenas o chip dos cartões no momento do pagamento. Tal como avança o JN, as mudanças vão também afetar as cadernetas bancárias, que vão deixar de poder ser usadas para levantamentos de dinheiro. No que respeita ao acesso online a contas bancárias, também os cartões matrizes vão deixar de servir e o acesso via apps ou telemóvel passam a necessitar de uma medida extra de acesso – os bancos vão passar a enviar um código via SMS para o telemóvel do utilizador, que lhes permitirá aceder às suas contas pessoais. As novas medidas de segurança impostas pela diretiva não vão para já impedir a utilização do número de cartão e dos dígitos de segurança na compra de serviços e bens online, mas o JN afirma que esta realidade poderá mudar nos próximos 12 a 18 meses. Vai também ser alargado o número de serviços financeiros, nomeadamente, será permitido que outras entidades para lá das instituições bancárias acedam à conta dos utilizadores, caso estes cedam permissão para tal, com o objetivo de fazer pagamentos e fornecer serviços de informação sobre as contas. Consta na lei que os bancos que não cumprirem podem ser responsabilizados por eventuais roubos ou fraudes nas contas. Caso tenha cartão de refeição ou um cartão pré-pago vai poder continuar a usufruir deles utilizando as suas bandas magnéticas, uma vez que a finalidade incide na aquisição de bens ou serviços pré-limitados (parques de estacionamento, autoestradas, entre outros). Fonte: Exame Informática
Bug no kernel de dispositivos Android permite privilégios
Bug no kernel de dispositivos Android permite privilégios
Os investigadores descobriram um zero-day kernerl bug que permite privilégios ao atacante e que pode resultar no comprometimento total de certos dispositivos Android e aparentemente está a ser explorado livremente. Dispositivos conhecidos por serem afetados pela vulnerabilidade de alto nível "use-after-free", incluem o Pixel 1, 1X:, 2 e 2 XL; o Huawei P20; o Xiaomi Redmi 5A; o Xiaomi Redmi Note 5; o Xiaomi A1; o Oppo A3; o Moto Ze; os Oreo LG; e os Samsung S7, S8 e S9. De acordo com um relatório de vulnerabilidade publicado por Maddie Stone investigadora de segurança do Project Zero, o mesmo bug foi corrigido anteriormente em Dezembro de 2017 no 4.14 LTS kernel, o AOSP Android 3.18 kernel, o AOSP Android 4.4 kernel e o AOSP Android 4.9 kernel. Mas, aparentemente, não foi corrigido universalmente em todos os dispositivos Android. Citando o Threat Analysis Group (TAG) da Google, Stone escreve que a vulnerabilidade pode ser explorada através da sandbox do Chrome, observando que a exploração in-the-wild é atribuível ao Grupo NSO, com sede em Israel, um dos principais fornecedores comerciais de ferramentas ofensivas cibernéticas. O Grupo NSO negou qualquer envolvimento, de acordo com um relatório da ZDNet. Oficialmente designado CVE-2019-2215, “A vulnerabilidade pode ser explorada nos processos de renderização do Chrome sob o domínio SELinux‘ isolated_app ’do Android, o que nos leva a suspeitar que o Binder é o componente vulnerável”, observa Stone. “Se a exploração for fornecida pela web, ela só precisa ser emparelhada com uma exploração do renderizador, pois essa vulnerabilidade pode ser acedida por meio da sandbox.” A equipa do Android afirmou que um patch será disponibilizado como parte da atualização do sistema operacional de Outubro. Fonte: SCmagazine
Ransomware: 30 organismos públicos atacados desde o início de 2019
Ransomware: 30 organismos públicos atacados desde o início de 2019
As duas fontes oficiais apresentam uma discrepância numérica – mas ambas são reveladoras dos estragos que os códigos maliciosos de sequestro de dados fizeram em entidades do Estado nos últimos meses: desde o início de 2019, o Centro Nacional de Cibersegurança (CNCS) já foi informado de 21 casos de ransomware que afetaram organismos da Administração Pública nacional; a Unidade Operacional de Combate ao Cibercrime e à Criminalidade Tecnológica da PJ (UNC3T) contabilizou cerca de 30 casos que no mesmo período terão resultado em queixas relacionadas com este método conhecido por ransomware. Questionado pelo JN, que avança com estes números em primeira-mão, o CNCS recorda que «os números indicados espelham os incidentes reportados» ao próprio centro que tem como função apoiar instituições públicas e empresas a lidar com as diferentes ameaças tecnológicas, e devem ser encarados como a única fonte de informação descritiva do panorama nacional. O facto de o sequestro de dados pressupor uma prática criminosa que, obrigatoriamente, tem de ser comunicada à PJ ajuda a explicar o facto de a PJ ter contabilizar um número superior ao registado no CNCS (que é uma entidade operacional de apoio técnico e não uma entidade de investigação criminal). Entre todos estes casos mais prementes da atualidade, destaca-se o da Câmara Municipal de Vinhais, distrito de Bragança, que teve de mudar de procedimentos para se manter operacional e investiu seis mil euros junto de uma empresa especializada para superar a encriptação aplicada pelos cibercriminosos com o objetivo de impedir o acesso aos repositórios da autarquia transmontana. Durante a análise aos sistemas camarários foram detetados 11 tipos de códigos especializados em ransomware. Os hackers exigiam entre 20 mil e 30 mil euros para devolver o acesso aos dados da Câmara de Vinhais. Durante o período de sequestro, os hackers terão sido obrigados por várias vezes a trabalhar à “moda antiga” – com caneta e papel. Fonte: Exame Informática
Eventos
CyberTalks: Business Email Compromise
CyberTalks: Business Email Compromise
CyberTalks é uma iniciativa da Hardsecure para Sensibilização e Informação nas áreas de Segurança em Sistemas de Informação e Cibersegurança através de webinars gratuitos. Em parceria com a Proofpoint, no próximo dia 16 de Setembro, o tema que vamos abordar é Business Email Compromise (BEC) — também conhecido como Email Account Compromise (EAC) — é um tema cada vez mais atual dado que explora o facto de muitas organizações utilizarem o email como ferramenta de negócio. Entre os vários tipos de fraude por e-mail, a fraude de faturação do fornecedor costuma ser responsável pelas maiores perdas financeiras devido à natureza do pagamento B2B. A Proofpoint oferece uma solução completa e integrada para combater o Business Email Compromise, abordando várias técnicas usadas em ataques de fraude por e-mail, como o uso de reply-to pivots, falsificação de domínio, falsificação de nome de exibição e domínios semelhantes. Assista ao nosso Webinar sobre Business Email Compromise em parceria com a Proofpoint e fique a conhecer como pode proteger a sua organização. Agenda: O que é Business Email Compromise? Business Email Compromise by Proofpoint: Proofpoint Introduction to people centric security BEC/EAC Problem Space and holistic solution Email Authentication/Lookalike domain visibility and remediation Gateway protection for your corporation Cloud Application controls, including 3rd party apps Education: Making your users the last line of defense Demonstração* e exemplos práticos. Esta componente será em inglês.*
Oportunidades de Trabalho
Network e Segurança
Network e Segurança
Estamos a reforçar a nossa equipa com consultor de segurança (m/f) para os nossos escritórios de Lisboa ou Porto. Descrição da função: Levantamento de requisitos técnicos e aconselhamento relativo às soluções e serviços de segurança e cibersegurança (preferencial) mais ajustadas às necessidades dos clientes; Suporte à equipa comercial na apresentação e elaboração de soluções; Apresentação das nossas soluções junto dos clientes e em eventos promocionais, dando apoio técnico quando necessário; Identificação de novas soluções e serviços que possam ser relevantes para acompanhar as necessidades / exigências do mercado. Requisitos: Licenciatura em engenharia informática (ou similar); Fortes conhecimentos em tecnologias de segurança (palo alto networks, Fortinet, bitdefender, cisco, são as tecnologias preferenciais); Fortes conhecimentos em networking (protocolos de routing, switching, VoIP, wifi e segurança) e System Admin; Certificações CCNP e CCNP Security; Conhecimentos em TSHOOT – Troubleshooting and Maintaining Cisco IP Networks; Forte capacidade na execução e gestão de projetos no âmbito de networking e segurança de perímetro e de endpoint; Experiência mínima nas funções: 3 anos. Perfil Comportamental: Sentido de responsabilidade; Dinâmico e pró-ativo; Capacidade de trabalho sob pressão; Bom relacionamento interpessoal e trabalho em equipa. O que oferecemos: Participação em projetos de relevo no panorama nacional e internacional. Integração em equipa dinâmica e experiente. Integração com participação transversal em projetos onde a empresa esteja envolvida. Pacote salarial atrativo adaptado aos conhecimentos e experiência evidenciados pelo candidato(a). As repostas devem ser enviadas por email com a referência no assunto net.20.hs, enviadas para o email: geral@hardsecure.com
Como podemos ajudar?
Fale Connosco