O que o vazamento de dados da Operação Lava Jato pode ensinar às empresas?

Garantir a proteção dos dados, tanto pessoais, quanto corporativos, é uma preocupação constante. E por bons motivos. Segundo dados da IDC, só no Brasil os ataques de hackers, vírus e ransomwares, entre outras pragas virtuais, geraram cerca de US$ 10 bilhões em prejuízo no ano passado, o que explica o fato de as empresas da América Latina terem aumentado seus investimentos em segurança da informação em 12% no último ano.

O recente vazamento de conversas entre o ex-juiz e atual ministro da Justiça Sérgio Moro e contatos como o promotor Deltan Dallagnol, entretanto, traz à tona outro viés, muitas vezes, negligenciado pelas empresas: a segurança das comunicações via dispositivos móveis e aplicativos, como WhatsApp e Telegram, protagonistas do caso envolvendo a alta cúpula da Justiça brasileira.

O fato, amplamente noticiado, leva a um debate importante, mas é preciso, antes de tudo, ressaltar que a brecha ocorreu não porque não havia segurança na Operação Lava Jato, mas sim porque os dispositivos corretos não foram utilizados. O então juiz Sérgio Moro não usou o TCS, telefone fornecido pela Abin (Agência Brasileira de Inteligência) e dotado de recursos avançados no que tange à privacidade das informações trafegadas. Assim como o presidente da República, Jair Bolsonaro, Moro optou por utilizar outro smartphone em suas comunicações, e, com isso, acabou ficando tão vulnerável à ação de hackers quanto um empresário comum.

Ou seja, não se trata de um ataque realizado a um dispositivo altamente seguro, de um hacker que quebrou controles militares de segurança dos quais civis não disporiam. Trata-se, antes, de autoridades que, apesar de terem à disposição recursos fortes de cibersegurança, optaram por fazer uso de soluções comuns.

Nada que justifique, vamos deixar muito claro que toda invasão é criminosa, errada, e não deveria jamais ser realizada. Isto posto, e sem tomar qualquer viés político, uma lição básica fica clara a partir deste caso: a segurança dos dados vai muito além dos sistemas internos das empresas, atinge a esfera dos dispositivos pessoais ou compreendidos em estratégias BYOD (Bring Your Own Device) e CYOD (Choose Your Own Device), e este é um caminho sem volta.

No caso da Lava Jato, o vazamento envolveu mensagens do Telegram, app russo conhecido por sua criptografia e segurança. Os desenvolvedores do aplicativo chegaram a se pronunciar na imprensa, alegando que não houve qualquer invasão ou ataque hacker sobre o sistema.

Em sua conta no Twitter, o aplicativo Telegram informou que “não há evidência de nenhum hack” no caso e que o mais provável é que o vazamento das conversas tenha se dado “por malware” ou pelo fato de “as pessoas não usarem sistema de verificação em dois passos”.

A explicação do Telegram não chega a ser uma surpresa. Um estudo da Flipside aponta que 58% dos ataques sofridos por empresas brasileiras são causados por falhas humanas, como cliques em malware, não verificação de senhas, uso de senhas fracas, entre outros erros.

É por isso que, além da tecnologia, as empresas também devem investir em políticas e práticas de segurança especializadas e comandadas por profissionais, com vistas a evitar ataques comportamentos de risco que possam ameaçar seus dados, seus clientes e seus negócios.

E quando se fala em gestão profissional de segurança, não se está falando de uma pessoa, especificamente, mas de equipes multidisciplinares, que somem conhecimento para assegurar que, de ponta a ponta, redes, sistemas, dados e operações estejam protegidos. Privacidade, proteção e conformidade de informações passam por um compilado de capacidades e tecnologias para se tornarem, de fato, efetivas.

A proteção de dados precisa se tornar parte da cultura organizacional, o que inclui trazer ferramentas como o WhatsApp e Telegram para dentro da estratégia. Por mais que aplicativos como estes possuam seus sistemas de criptografia, isso de nada adiantará se os usuários forem descuidados na gestão dos dispositivos, clicando em links suspeitos, aceitando contatos desconhecidos ou agindo de “N” outras maneiras que podem abrir a porta para ataques maliciosos cujos resultados nunca serão aprazíveis.

Tecnologia, gestão especializada de segurança, treinamento, adoção de uma cultura voltada à proteção dos dados. Este é o cenário ideal para toda empresa, privada ou pública. A segurança da informação deve estar no cerne das estratégias de negócio e isso vai do data center aos smartphones, sem pular nenhuma etapa, nenhuma pessoa, nenhum equipamento, sistema ou conteúdo.
Não é preciso temer os aplicativos – WhatsApp, Telegram e afins estão aí para facilitar a comunicação, e cumprem esta missão muito bem. Mas é necessário, sim, redobrar o cuidado ao tratar de informações potencialmente críticas. Agir de forma preventiva e contar com um excelente plano de reação, comandado por quem realmente domina o assunto, caso o pior aconteça.

Segurança da informação é compromisso de todos, o tempo inteiro, sem exceção.

A Future possui uma Solução de Conscientização Sobre Segurança da Informação. Para conhecê-la clique aqui!

Fonte: CIO.

Read More

Atualize o WhatsApp agora! Bug permite instalação de spyware no seu telefone com apenas uma chamada!

O WhatsApp divulgou uma séria vulnerabilidade no aplicativo de mensagens que dá aos espiões uma maneira de injetar remotamente spywares israelenses em dispositivos iPhone e Android simplesmente chamando o alvo.

O bug, detalhado em um comunicado do Facebook de segunda-feira para o CVE-2019-3568, é uma vulnerabilidade de estouro de buffer na função VOIP do WhatsApp.

Um invasor precisa chamar um alvo e enviar pacotes SRTP (Secure Real-time Transport Protocol) para o telefone, permitindo que eles usem a falha de memória na função VOIP do WhatsApp para injetar o spyware e controlar o dispositivo.

O alvo nem precisaria responder à chamada para o spyware ser injetado, e as chamadas freqüentemente desaparecem dos registros de chamadas.

Embora o WhatsApp ofereça suporte à criptografia de ponta a ponta, que deve proteger o conteúdo das comunicações entre os usuários, essa medida de segurança pode ser prejudicada se um dispositivo for comprometido por malware.

O Financial Times, que divulgou a reportagem, relata que o spyware é da companhia israelense NSO Group, que foi acusada de vender seu spyware para governos com registros duvidosos de direitos humanos.

O principal produto do NSO Group é o Pegasus, uma ferramenta chamada ‘interceptação legal’, que os pesquisadores do Laboratório Cidadão da Universidade de Toronto encontraram recentemente em 45 países.

A implantação generalizada sugere que ela não está sendo usada apenas para combater o crime local e o terrorismo, mas também para a vigilância transfronteiriça, por exemplo, por governos que buscam informações de dissidentes políticos que vivem em outros países.

O malware pode gravar conversas, roubar mensagens privadas, exfiltrar fotos, ligar o microfone e a câmera de um telefone e coletar dados de localização.

No ano passado, uma investigação do Citizen Lab descobriu que colegas de um jornalista mexicano morto também foram alvos de Pegasus.

Os engenheiros do WhatsApp no ​​domingo teriam corrido para lidar com a vulnerabilidade como foi usado naquele dia, na tentativa de instalar o Pegasus ao telefone de um advogado de direitos humanos do Reino Unido.

O WhatsApp implantou uma correção no servidor na sexta-feira da semana passada e publicou um patch para os usuários finais na segunda-feira, juntamente com o aviso do Facebook.

A falha VOIP do WhatsApp afeta o WhatsApp para Android antes de v2.19.134, o WhatsApp Business para Android antes de v2.19.44, o WhatsApp para iOS anterior a v2.19.51, o WhatsApp Business para iOS anterior a v2.19.51, o WhatsApp para Windows Phone anterior a v2 .18.348 e WhatsApp para Tizen antes da v2.18.15.

De acordo com o Financial Times, o advogado anônimo do Reino Unido que foi alvo da Pegasus está processando o Grupo NSO em Israel em nome de um grupo de jornalistas mexicanos e críticos do governo e um dissidente saudita que vive no Canadá. O processo alega que o Grupo NSO é responsável pelo mau uso de seus produtos pelos clientes.

Facebook disse à publicação: “Este ataque tem todas as características de uma empresa privada conhecida por trabalhar com os governos para entregar spyware que supostamente assume as funções dos sistemas operacionais de telefonia móvel. Nós informamos um número de organizações de direitos humanos para compartilhar as informações podemos e trabalhar com eles para notificar a sociedade civil”.

O WhatsApp diz que informou o Departamento de Justiça dos EUA sobre o assunto.

O NSO Group se distanciou da tentativa real de instalar seu spyware no telefone do advogado do Reino Unido.

“A NSO não poderia ou não poderia usar sua tecnologia em seu próprio direito para atingir qualquer pessoa ou organização, incluindo este indivíduo”, disse o NSO Group à ZDNet.
A empresa argumenta que sua tecnologia é licenciada para agências governamentais autorizadas com o único propósito de combater o crime e o terror.

“A empresa não opera o sistema e, após um processo rigoroso de licenciamento e verificação, a inteligência e a aplicação da lei determinam como usar a tecnologia para apoiar suas missões de segurança pública”, disse o grupo NSO.

Acrescentou que investiga quaisquer alegações credíveis de uso indevido e, se necessário, toma medidas, que podem incluir o encerramento do sistema.

“Sob nenhuma circunstância, a NSO estaria envolvida na operação ou identificação de alvos de sua tecnologia, que é operada exclusivamente por agências de inteligência e policiais”, disse o NSO Group.

Fonte: CryptoID.

Read More

Check Point encontra erro no WhatsApp que pode ser usado para espalhar mensagens falsas

Uma falha no WhatsApp afeta o recurso “responder” do app, permitindo que uma mensagem seja editada quando ela for incluída como citação em outra mensagem de resposta. O conteúdo original, no entanto, permanece inalterado. O erro foi descoberto pela empresa de segurança Check Point.

O WhatsApp não corrigiu o erro até o momento. A Check Point explica que a falha só vai ser mitigada com a modificação de aspectos estruturais do mensageiro.

Segundo o blog do jornalista Altieres Rohr, no ‘G1’, interpretações equivocadas do problema chegaram a afirmar que ele permite “ler” ou “adulterar” mensagens de outras pessoas, o que não é verdade.
Em nota, o WhatsApp explicou que o erro não afeta a criptografia do app, ou seja, a confidencialidade das mensagens continua protegida.

A Check Point alerta para o risco da vulnerabilidade contribuir para a disseminação de conteúdos falsos por usuários mal-intencionados, que podem modificar mensagens de terceiros.

Outro aspecto da mesma falha permite que uma mensagem seja enviada a uma pessoa de forma individual, mas “marcada”, nos bastidores, como uma mensagem de grupo. O resultado disso é que uma mensagem pode aparecer na janela de um grupo mesmo quando ela foi enviada para uma só pessoa. Se a vítima responder a essa mensagem, a resposta vai para o grupo. O grupo, porém, não vai ter visto a mensagem original, que foi enviada somente para a vítima.

Fonte: Notícias ao Minuto.

Read More

Falso aplicativo foi baixado mais de 1 milhão de vezes

Para evitar aplicativos maliciosos no Android, não instale nada que venha de fora da Play Store ou que tenha poucos downloads. Essa recomendação de segurança não funcionou no caso mais recente: um WhatsApp falso chegou a ser baixado mais de 1 milhão de vezes na loja oficial do Google.

O truque era bem feito: o aplicativo no Google Play se chamava “Update WhatsApp Messenger”, tinha a mesma identidade visual do original e era criado pelo desenvolvedor “WhatsApp Inc.”, exatamente o mesmo nome que o Facebook utiliza para distribuir a versão legítima.

Mas como o Google permitiu que outra pessoa adotasse o mesmo nome de desenvolvedor que o original? Na verdade, o atacante incluiu um caractere Unicode que ficava invisível no Google Play; o nome no link era “WhatsApp+Inc%C2%A0.”, e o sistema do Google aparentemente entendeu que isso era diferente de “WhatsApp Inc.”

O aplicativo malicioso exigia poucas permissões (ele só precisava acessar a internet, afinal de contas). Quando aberto, o malware mostrava uma página da web cheia de propagandas e tentava baixar um segundo APK, chamado “whatsapp.apk”, de acordo com a análise de um usuário.

Ele já foi removido pelo Google, mas o falso WhatsApp enganou mais de 1 milhão de pessoas que confiaram na Play Store e nas mais de 6 mil avaliações da loja do Google, que apontavam uma média de 4,2 estrelas — bem próximo das 4,4 estrelas do aplicativo verdadeiro.

Fonte: Tecnoblog

Read More

Receba conteúdos exclusivos