Cibercriminosos russos preparam ataques a instituições financeiras

A provedora de segurança Root9b emitiu um alerta indicando que um grupo de hackers russos estaria preparando um ataque a instituições financeiras nos Estados Unidos e em outras localidades. Não está claro se esses ataques já começaram, mas especialistas acreditam que as ameaças incluirão táticas de spear phishing.

Os cibercriminosos suspeitos respondem por vários nomes, dentre eles APT28 e Pawn Storm, e é conhecido por atacar corporações de mídia, governos e exércitos.

As preparações dos hackers foram descobertas por analistas da fabricante e incluíam a criação de novos malwares, o registro de domínios similares ao de supostos alvos pretendidos e a preparação de servidores de controle e comando.

A principal ferramenta malware do grupo é um programa backdoor chamado Sednit (ou Sofacy), que ataca vítimas através de e-mails de phishing direcionado ou conduções por downloads vindos de sites comprometidos.

De acordo com relatório publicado na terça-feira (12/05), foi no fim de abril que os analistas da Root9b se depararam com um domínio de phishing semelhante ao de uma instituição financeira do Oriente Médio. Cavando mais fundo, descobriram amostras do novo malware, além de servidores e domínios armados pelo grupo para uma operação.

A empresa lançou hashes para as novas amostras de malware e identificou o endereço IP de um servidor de comando e controle armado pelos hackers. Espera-se que essa descoberta permita que alvos em potencial bloqueiem os ataques a suas redes.

Dentre as instituções ameaçadas estariam o Commercial Bank International, dos Emirados Árabes, Bank of America, TD Canada Trust, the United Nations Children’s Fund (UNICEF), United Bank for Africa, Regions Bank e possivelmente o Commerzbank. Foram alertadas tanto as instituições em questão quanto as autoridades americanas e internacionais.

Naturalmente, o grupo russo pode agora adiar a operação, de modo a aprimorar sua infraestrutura e mudar seus alvos. Mesmo assim, instituições financeiras devem se manter vigilantes e examinar seus e-mails em busca de possíveis tentativas de phishing dirigido.

Baseado nos dados observados, analistas da Root9b acreditam na possível existência de dois subgrupos dentro do APT28: um focado em governos e exércitos e outro que ataca instituições financeiras e bancos.

Fonte: Computer World

Para maiores informações sobre o ataque, e para efetuar o download do Relatório, acesse o site da Root9B

Read More

Hackers teriam roubado U$ 1 bilhão de bancos, revela Kaspersky

A companhia de segurança Kaspersky Lab apontou que um grupo hacker roubou aproximadamente U$1 bilhão de bancos dos Estados Unidos e demais países. Segundo a publicação, entregue primeiramente ao The New York Times e divulgado ao público nesta segunda-feira (16), o grupo era composto de membros da Russia, China e Europa. Os hackers estavam ativos desde 2013 e invadiram mais de 100 bancos em 30 países.

Segundo a Kaspersky, os hackers utilizaram malwares que se infiltraram nos computadores dos bancos, buscando por fraquezas em suas operações diárias. Após meses de monitoria, os cibercriminosos utilizaram uma tática antiga: se passar por funcionários do banco utilizando credenciais falsas para transferir milhões de dólares para suas contas pessoais. Eles também programaram caixas eletrônicos para emitir dinheiro em momentos específicos. 

"A tática dos hackers envolvia limitar seus roubos para um máximo de U$10 milhões antes de atacar outro banco, uma estratégia que, em parte, dificultou a detecção da fraude anterior," disse o pesquisador de segurança Vicente Diaz em entrevista ao The Associated Press. "Esse tipo de ataque é incomum porque é direcionado ao banco em si ao invés de seus clientes e suas respectivas informações de contas. O objetivo parece ser muito mais voltado ao ganho financeiro do que espionagem."

A publicação revela que a maior parte dos alvos está localizada na Russia, nos EUA, Alemanha, China e Ucrânia, embora os ataques possam estar se expandindo pela Ásia, Oriente Médio, Africa e Europa. 

A Kaspersky não identificou os bancos e ainda está trabalhando com agências de segurança para investigar os ataques, dos quais a empresa afirma que continuam a ocorrer, e nenhum banco até o momento está ciente disso. Até o momento, a empresa de segurança virtual viu evidências de U$300 milhões roubados, embora acredite que o total seja, pelo menos, três vezes maior.

Segundo o Centro de Serviços de Compartilhamento e Análise de Informações Financeiras,uma entidade sem fins lucrativos que alerta bancos sobre atividades hacker, disse em uma publicação que seus membros receberam um alerta sobre as brechas em janeiro.

"Não podemos comentar sobre as ações individuais tomadas por nossos membros, mas ao todo acreditamos que nossa equipe está tomando ações apropriadas para prevenir e detectar esse tipo de ataque e minimizar quaisquer efeitos em seus clientes. A informação de que bancos russos foram as principais vítimas dos ataques pode ser uma mudança significativa na estratégia de localizar os alvos cibercriminosos."
Publicação do Centro de Serviços de Compartilhamento e Análise de Informações Financeiras

Fonte: Adrenaline

Read More

Facebook cria plataforma de troca de dados sobre ciberataques

O Facebook construiu uma plataforma para empresas de todos os setores compartilharem informações e dados sobre ciberataques e riscos de segurança. A plataforma, chamadaThreatExchange, tem como objetivo ajudar as companhias a enfrentar melhor as ameaças à segurança digital.

Empresas especializadas em soluções de segurança têm, há muito tempo, redes fechadas nas quais trocam informações sobre o cenário de cibersegurança, mas esses canais têm sua limitação, ditada especialmente por questões de concorrência entre as companhias provedoras de serviços e soluções de segurança.

A ideia da plataforma, segundo o Facebook, nasceu há um ano, quando várias empresas de internet, incluindo a rede social, tentaram bloquear o ataque de uma botnet que estava abusando de seus serviços para disseminar spam.

"Aprendemos rapidamente que a troca de informações entre nós foi vital para derrubar a botnet, porque partes dela estavam espalhadas em diferentes serviços e nenhum de nós tinha acesso ao quadro completo", escreveu Mark Hammell, gerente do time de Infraestrutura de Ameaças (Threat Infrastructure) do Facebook, num post no blog oficial nesta quarta-feira.

A ThreatExchange está montada sobre a infraestrutura preexistente do Facebook e provê às companhias participantes APIs (application programming interfaces, ou interfaces de programação de aplicações) para fazer buscas ou informar novos ataques. As informações incluem nomes de domínio maliciosos, amostras de malware e outros indicadores de comprometimento de estrutura.

A plataforma também tem mecanismos de controle que permite às empresas compartilhar certas informações apenas com grupos específicos de organizações, por exemplo aquelas que fazem parte de uma mesma vertical econômica ou que sofreram o mesmo tipo de ataque.

Twitter, Yahoo, Tumblr e Pinterest foram os primeiros a aderir à ideia e testaram a plataforma quando ela estava em desenvolvimento. As empresas Box e Bitly se juntaram ao grupo mais recentemente e o Facebook espera que mais empresas adotem a iniciativa. Quem quiser participar deve aderir ao programa beta no site da ThreatExchange.

Fonte: IDG NOW!

Read More

Pesquisadores criam rede BitTorrent anônima e 'impossível de ser derrubada'

Divulgação

Com a derrubada do The Pirate Bay, um dos problemas levantados pela comunidade foi o atraso tecnológico do indexador, e a dependência da atual estrutura em relação a servidores centralizados. Mas uma equipe de pesquisadores da Universidade Delft de Tecnologia, na Holanda, lançou uma nova versão do cliente Tribler que promete resolver essa questão, ao mesmo tempo em que oferece ferramentas de anonimato aos usuários.

"O Tribler torna o BitTorrent anônimo e impossível de ser derrubado", diz o Dr. Johan Pouwelse ao site TorrentFreak. O cliente utiliza uma rede descentralizada, semelhante ao P2P, desenhada para manter o BitTorrent funcionando mesmo se todas as ferramentas de busca, indexadores e trackers forem derrubados.

"Eventos recentes mostram que governos não hesitam em bloquear o Twitter, atacar websites, confiscar servidores e roubar domínios. O time do Tribler está trabalhando há dez anos para nos preparar para a a era de soluções sem servidores e de repressores agressivos", diz Pouwelse. 

O design de rede inovador do Tribler conta ainda com integração nativa à rede Tor, o que garante um alto nível de anonimato – ainda que não absoluto – aos seus usuários, que transmitem dados com o IP mascarado. Esse processo torna o fluxo de informações pela rede mais lento, o que causa problemas de velocidade, mas Pouwelse acredita que uma comunidade ativa e colaborativa pode compensar. 

"Estamos muito curiosos para ver quão rápidos os downloads anônimos serão. Tudo depende do quão sociais as pessoas serão, deixando o Tribler ativo para ajudar os outros a se manter anônimos. Se muitos usuários compartilharem e se importarem, a velocidade será suficiente para uma boa experiência de download", diz Pouwelse.

Fonte: INFO

Opinião: Será que existe algo impossível na internet? Veremos no futuro se este projeto é ou não algo impossível de derrubar..

Read More

Recompensas por bugs, uma boa idéia mas mal executada

Recompensas de bugs estão nas notícias novamente. O Twitter anunciou o seu próprio novo esquema, enquanto Robert Graham, da Errata Security reivindica que é mais provável a perda de dados pessoais se o prestador de serviços não tem um programa de recompensas. As recompensas do Twitter começam em $140 (sem limite máximo especificado), enquanto Graham (perito) afirma que a falta de um programa indica que a empresa violada não fez tudo o que podia para evitar a falha.

O ponto de vista de Graham implica que recompensas por bugs são um processo eficaz de segurança. As recompensas do Twitter tentam mostrar que esses programas não precisam ser caros. Mas isso pode ser levado como verdade? Veja a opinião de Ilia Kolochenko, CEO e fundador da High-tech Bridge, uma empresa especializada em testes de invasão e descoberta de vulnerabilidades.

"Bug bounties, podem ser uma ferramenta extremamente efetiva se for implementada e operada corretamente. O problema, é a dificuldade de encontrar e a raridade que é obtida, pode-se fazer mais mal que bem."

"O maior problema é que quando um programa desses é iniciado, hackers de todos os tipos, qualificações e ética consideram como um sinal verde para atacar o sistema. A maioria destes atacantes normalmente tem conhecimentos limitados ou completamente nenhum conhecimento em testes de segurança, e podem acabar danificando o sistema em quanto testam. Checar por XSS por exemplo não causa dano, e mesmo sem o programa de bugs é sempre uma boa idéia notificar o desenvolvedor", disse Kolochenko. "Mas em testes mais perigosos como SQLi por exemplo, se o pesquisador não tiver conhecimento do que pode e não pode fazer, pode sem intenção deletar alguma coisa ou tornar o sistema completamente instável. E isso que nem estou falando sobre ferramentas automáticas e scanners que causam sérios danos se usados de forma errada. Neste caso, é que a maioria dos hackers usam diversas ferramentas de scan de vulnerabilidades ao mesmo tempo, bombardeando o alvo de testes de segurança."

Em muitos casos e locais, o scan por SQLi, por exemplo, pode ser considerado ilegal. A presença de um programa de recompensa, por outro lado, remove completamente essa restrição, dando acesso a hackers mais maliciosos e de baixo conhecimento. Kolochenko também comenta que pesquisadores de segurança não veem isso como um trabalho, podem fazer isso em busca de reconhecimento, por diversão ou a nível de desafio, mas dificilmente seu trabalho principal.

Um exemplo disso é o próprio Twitter. Como comentou Kolochenko, o Twitter não é um CMS qualquer que qualquer pessoa pode auditar facilmente, é um sistema que requer experiência, qualificações e muito tempo. Também comenta que não conhece nenhum pesquisador de segurança que trabalhe por $140. Com isso pode afirmar que as pessoas que submetem bugs encontrados estão fazendo por fama ou desafio.

Outro exemplo usado por Kolochenko é o programa do Yahoo que paga a cada falha encontrada cerca de $50, podendo ser convertida em créditos da Yahoo Store, como o caso do pesquisador que encontrou uma falha de XSS no Yahoo e ganhou cerca de $12 na loja, ou seja, uma camiseta com o logo do Yahoo.

De acordo com pesquisas, um pentester ou pesquisador de segurança nos EUA ganha em torno de $60.000 a $120.000 dólares por ano, e Kolochenko conclui que para o negócio de bug bounties atrair pesquisadores mais sérios, as recompensas tem de serem maiores o suficiente para chegar próximo de um valor aceitável para viver disso para que chame a atenção de times de pesquisa de segurança.

Fonte: Net-security

Read More

É muito Fácil Hackear a sala estar

Network Attached Storage (NAS), Smart TVs, roteadores, equipamentos Blue-ray, entre outros estão vulneráveis a ciberataques, alerta a Kaspersky Lab.

Pesquisa experimental realizada pelo analista de segurança, David Jacoby, em sua própria casa, encontrou uma série de problemas de segurança em dois modelos de NAS de diferentes marcas, uma Smart TV, um recebedor de satélite e uma impressora conectada.

Em linha com sua política de divulgação responsável, a Kaspersky Lab não divulga os nomes dos fornecedores cujos produtos foram objeto da investigação até que um patch de segurança que acabe com as vulnerabilidades seja liberado. Mas ressalta que todos os fornecedores foram informados sobre a existência das vulnerabilidades.

As vulnerabilidades mais graves foram encontradas nos Network Attached Storage. Várias delas (foram 14 no total) permitem que um invasor execute comandos remotamente, com os mais altos privilégios administrativos.

Os dispositivos testados também tinham senhas padrão fracas, lotes de arquivos de configuração com permissões erradas e continham senhas em texto simples. Em particular, a senha do administrador padrão para um dos dispositivo continha apenas um dígito. Outro dispositivo dividiu o arquivo de configuração inteiro com senhas criptografadas para todos na rede.

Usando uma das vulnerabilidades, o pesquisador da Kaspersky Lab foi capaz de fazer o upload de um arquivo em uma área de memória inacessível para o usuário comum. Se esse arquivo fosse um malware, o dispositivo comprometido poderia se tornar uma fonte de infecção para outros dispositivos conectados nestes NAS - um PC em casa, por exemplo - e até mesmo servir como um Bot DDoS em uma botnet.

Além disso, como essa vulnerabilidade permitiu que o arquivo fosse carregado em uma parte especial do sistema de arquivos do dispositivo, a única maneira de eliminá-lo era usando a mesma vulnerabilidade. Obviamente, esta não é uma tarefa trivial, mesmo para um técnico, muito menos para os proprietários de equipamentos entretenimento doméstico semelhantes.

Man in the middle via Smart TV
Ao investigar o nível de segurança de sua própria Smart TV, o pesquisador da Kaspersky Lab descobriu que nenhuma criptografia havia sido usada na comunicação entre a TV e o servidor do fornecedor da TV. O que pode abrir o caminho para ataques. Seria possível, por exemplo, levar o usuário a transferir dinheiro para o fraudador ao tentar comprar conteúdo via TB.

Como prova de conceito, o pesquisador foi capaz de substituir um ícone da interface gráfica da Smart TV com uma imagem. Normalmente os widgets e miniaturas são baixados dos servidores do fornecedor da TV e devido à falta de conexão criptografada a informação poderia ser modificada por um terceiro.

O pesquisador também descobriu que a Smart TV é capaz de executar o código Java que, em combinação com a capacidade de interceptar a troca de tráfego entre a TV e a Internet, pode resultar em ataques maliciosos que partem de exploração.

Funções de espionagem escondidas no roteador
O roteador DSL usado para fornecer acesso à Internet sem fio para todos os outros dispositivos domésticos continha várias funções perigosas escondidas de seu dono. Segundo o pesquisador, alguma dessas funções escondidas poderia dar ao ISP (provedor de Internet) acesso remoto a qualquer dispositivo em uma rede privada.

O mais importante é que, de acordo com os resultados da pesquisa, seções da interface do roteador web chamado "Webcam", "Configuração especializada em Telefonia", "Controle de Acesso", "WAN-Sensing" e "Update" são "invisíveis" e não ajustáveis para o dono do dispositivo. Só podem ser acessadas ​​através da exploração de uma vulnerabilidade bastante genérica, que torna possível alterar entre as seções da interface (que são basicamente páginas da web, cada uma com seu endereço alfanumérico) por força bruta.

Originalmente estas funções foram implementadas para a conveniência do proprietário do dispositivo: a função de acesso remoto torna mais fácil e rápido para o provedor de internet resolver possíveis problemas técnicos no aparelho, mas a conveniência poderia se transformar em um risco se os controles caírem em mãos erradas.

"Indivíduos e empresas precisam entender os riscos de segurança em torno de dispositivos conectados. Nós também precisamos ter em mente que nossa informação não é segura apenas porque temos uma senha forte, e que há um monte de coisas que não podemos controlar. Levei menos de 20 minutos para localizar e verificar vulnerabilidades extremamente graves em um dispositivo que parece seguro e até mesmo tem referências à segurança em seu nome.", afirma David Jacoby.
"Como é que uma pesquisa semelhante acabaria se fosse realizada em uma escala muito mais ampla do que apenas a minha sala de estar", questiona.

Na opinião do pesquisador, esta é apenas uma das muitas questões que precisam ser abordadas por fornecedores de dispositivos, pela comunidade de segurança e por usuários de tais aparelhos, de forma colaborativa. Outra questão importante é o ciclo de vida dos dispositivos. "Como me foi informado em conversas com fornecedores, algumas dessas empresas não desenvolverão uma correção de segurança para os dispositivos vulneráveis que já estão ultrapassados. Geralmente, para essas empresas, o ciclo de vida desses aparelhos é de um ou dois anos, enquanto na vida real esse período é muito maior. Independentemente da forma como você olha para ela, não é uma política muito justa", alerta Jacoby.

Como permanecer seguro em um mundo de dispositivos conectados

• 1 - Torne a vida do hacker mais difícil: todos os seus dispositivos devem estar atualizados com todos os últimos updates de segurança e firmware. Isso minimizará o risco de explorar vulnerabilidades conhecidas.
• 2 - Certifique-se de que o nome de usuário e a senha padrão esteja alterada - esta é a primeira coisa que um criminoso tentará mudar ao tentar comprometer o seu dispositivo.
• 3 - A maioria dos roteadores e switches em casa tem a opção de configurar sua própria rede para cada dispositivo e também a possibilidade de restringir o acesso ao aparelho - com a ajuda de vários DMZs diferentes (um segmento de rede separado para sistemas com um maior risco de comprometimento)/ VLANs (um mecanismo para alcançar a separação lógica entre as diferentes redes lógicas na mesma rede física). Por exemplo, se você tem uma TV, você pode querer restringir o acesso a esta TV e só permitir um recurso específico dentro de sua rede. Não há muita razão para a sua impressora estar conectada ao seu televisor.

O texto completo do estudo "Internet das coisas: Como eu hackeei Minha Casa' está disponível em Securelist.com.

Referência: IDG NOW

Read More

Um novo ataque secretamente vincula um malware a downloads de softwares legítimos

Imagem via Shutterstock / lolloj

Uma equipe de pesquisadores da Universidade Ruhr, em Bochum, na Alemanha, criou um novo tipo de ciberataque no qual o código malicioso pode ser enviado em paralelo com um download de software legítimo sem a necessidade de mudança de nenhum código.

O novo ataque se liga a softwares de código aberto, já que há menos códigos de assinatura e checagens de integridade nesses downloads. Ele é incomum no fato do código não ser injetado no software, e sim vinculado a ele. Os pesquisadores explicam o que isso significa:
"Como a aplicação original não é modificada, há a vantagem do código malicioso poder ser de um tamanho maior, e assim ter mais funcionalidades. Assim, ao iniciar a aplicação infectada, o malware é iniciado. Ele analisa o arquivo em busca de mais arquivos executáveis embutidos, reconstitui e executa eles, opcionalmente de forma invisível para o usuário."
Uma pessoa que use tal técnica precisaria apenas controlar um único ponto de rede entre o servidor do download e o cliente - o que significa que engenharia social simples ou redirecionamento de rede podem ser o suficiente para fazer isso se tornar realidade. E a técnica de vinculamento, que significa que o arquivo original não é alterado, significa que ele não se torna suspeito.

Mas há esperança. Os pesquisadores dizem que VPNs e HTTPS podem ser usados para detectar esse tipo de atividade suspeita que os sistemas atuais de detecção de malware não conseguem detectar. E lembre-se, por enquanto isso é apenas um projeto de pesquisa. Por enquanto.

Fonte: MSN

Read More

Um mero vídeo de gato no YouTube poderia fazer um PC ser hackeado

 
 McBeth / Flickr

Fugir de anexos suspeitos e páginas perigosas não é suficiente para evitar eventuais tentativas de espionagem. Segundo uma nova pesquisa divulgada pelo CitizenLab, empresas como a Hacking
Team e a FinFisher, que vendem soluções de monitoramento a governos, usam táticas para interceptar tráfego não protegido de páginas do YouTube e da Microsoft, por exemplo – injetando nele diferentes tipos de software para monitorar as atividades de um determinado alvo.

Dessa forma, o simples ato de assistir a um vídeo de gatinhos na internet poderia fazer com que a máquina de uma vítima fosse infectada, como demonstra este diagrama elaborado para o estudo.

Esses ataques são feitos por meio de dispositivos chamados “network injection appliances”, conforme escreve, no site The Intercept, o pesquisador Morgan Marquis-Boire, autor do estudo baseado em documentos vazados. “Eles são instalados em provedores de internet pelo mundo, permitindo a exploração de alvos”, descreve o especialista.


A interceptação só funciona com tráfego não criptografado, como o deste vídeo linkado no texto de Marquis-Boire. Ele até apresenta o HTTPS em seu endereço, mas, segundo alerta emitido pelo navegador, apenas parte dos dados está cifrada – e é justamente dessa parcela não protegida, que pode ser o streaming do vídeo, que as empresas de monitoramento podem se aproveitar.

O especialista explica: “o dispositivo do Hacking Team mira em um usuário, espera até que ele assista a um vídeo no YouTube e intercepta o tráfego, substituindo-o por códigos maliciosos que dão ao operador controle total sobre a máquina sem que o dono saiba”.

É assustador, especialmente se levarmos em conta que os computadores pessoais podem carregar informações vitais, dependendo da situação. Um ativista que atua em um país sobre regime ditatorial, por exemplo, pode correr sérios riscos, e o mesmo vale para um jornalista que vaza documentos sigilosos ou um alvo político, como lembra o texto no Intercept.

Mas calma lá – Apesar do susto e da gravidade do caso, sempre vale ressaltar que os ataques do tipo são bem mais específicos do que as infecções generalizadas que já foram detectadas, ou mesmo “a coleta de metadados da NSA”. Segundo Marquis-Boire, Microsoft e Google já começaram a tomar providências, e é até possível contornar o problema com o uso em massa do HTTPS, que protege o tráfego de dados de eventuais curiosos criptografando-o.

O protocolo ainda engatinha pela web – especialmente se compararmos com o HTTP padrão –, mas empresas grandes já começam a adotá-lo como principal. E iniciativas como a tomada pelo Google na semana passada, de privilegiar nas buscas os sites com HTTPS, podem ajudar a popularizar ainda mais a utilização do sistema.

Fonte: INFO ABRIL

Read More

O dia a dia de um pesquisador de segurança

Alguma vez você já se perguntou o que um pesquisador de segurança que o dia todo? De investigação de software malicioso até engenharia social, pesquisa em segurança é mais do que um trabalho de tempo integral - é o seu modo de vida. No ano passado, nós vimos que pesquisa de segurança atingiu a grande mídia à medida que mais organizações continuam a ser atingido com malware, botnets e muito mais.

Hoje vamos ver o ponto de vista de Bill Smartt, Pesquisador de Segurança da AlienVault Labs, para descobrir mais sobre o que é preciso para se tornar um pesquisador de segurança em 2014 ...

Como você se tornou um pesquisador na área de Segurança?

Eu estudei ciência da computação na Universidade de San Francisco para obter um entendimento básico de como pensar em uma maneira algorítmica para resolver problemas. Antes de se formar, eu estava participando de uma de Assembly sobre chamadas de sistema Linux. Durante esta aula, descobrimos que depois que um usuário faz logoff, as placas de rede dos computadores do laboratório não limparam todos os dados nos computadores desktop Fedora Linux da Dell. O que isto significa é que se você logado, abrir um socket raw, e ler o buffer da placa de rede, você será capaz de ler os dados de rede do usuário anterior. Agora, isso não quer dizer que encontramos nada "suculento", mas foi uma vulnerabilidade interessante. O que me impressionou foi a maneira que meu professor continuou a aula, sem pausa. Foi nesse momento que bandeiras vermelhas subiram e minha curiosidade foi provocada. Então, em 2010, eu fui ao meu primeiro Def Con em Las Vegas e minha vida nunca mais foi a mesma ...

Que habilidades ou talentos particulares são essenciais para ser eficaz como um pesquisador? Como você aprendeu essas habilidades? Todos em programas de treinamento formal?

A ferramenta mais importante para qualquer pesquisador de segurança é saber como usar eficazmente google como um recurso. A primeira parte é saber o que e como procurar e a segunda parte é para absorver a informação que é apresentada. Este é o mesmo conjunto de habilidades para qualquer tipo de pesquisador - seja médico, financeiro ou até mesmo uma pesquisa de mercado. A maioria dos meus estudos de segurança foi desenvolvido através de uma aprendizagem auto-dirigida. Um dos aspectos da pesquisa de segurança, que torna-se um desafio é a natureza descentralizada dos recursos. Embora a segurança tornou-se um tema muito quente na mídia, tanto dos mais recentes e maiores resultados são escondidos em listas (por vezes privados) de discussão, blogs, registros de chat IRC e conversas do twitter. Ser capaz de ligar para essas conversas e ter a mente aberta são bases essenciais para se tornar um pesquisador de segurança. A capacidade de usar um computador para várias horas de cada vez, também é útil.

O que é um dia normal para você?

Há um tempo considerável gasto mantendo-se alinhado com a mídia, as mais recentes ameaças na internet, twitter, com rajadas de pesquisa altamente técnico entre os dois. Leva a uma boa investigação, nem sempre acontecem às 8:00 horas da manhã de segunda-feira. Incidentes acontecem quando eles acontecem e como pesquisador você deve amar a perseguição suficiente para responder, independentemente da hora ou dia. Então eu acho que a resposta curta é, não há dias normais.

Como é sua mesa de trabalho? Por exemplo, que equipamento você usa e quantos monitores?

Quantos o meu patrão vai me dar. Brincadeira, eu tenho um drive externo cheio de VMs com versões do Linux, Windows. Indo todo o caminho de volta para o Windows 98, monitores de tela dupla apenas para me manter ocupado e um laptop realmente poderoso com uma grande quantidade de RAM. Eu também tenho uma estante de livros forrado com temas que vão desde conceitos básicos de Ciência da Computação para análise de malware e tudo mais.

Que ferramentas você prefere usar em suas pesquisas?

Como a maioria dos geeks de computador, cada um na sua. Pessoalmente eu uso principalmente OSX no nível físico. Mas, como um pesquisador de segurança, provavelmente eu gastao tanto tempo dentro de máquinas virtuais como eu faço o meu sistema operacional hospedeiro. Uma das minhas ferramentas mais valorizada é a minha grande variedade de máquinas virtuais contendo várias versões de sistemas operacionais, pacotes de idiomas, service packs, versões do kernel e arquiteturas. Tendo estes diferentes ambientes na mão para experimentar é muito útil quando se observa o comportamento do malware. 

Além disso, eu tento usar todos os serviços sandboxing que eu posso - Você realmente não pode confiar em uma sandbox, por isso é sempre bom verificar o maior número possível. Tendo uma grande variedade de sandboxes acessíveis é realmente importante. Eu também uso Pastebin de vez em quando, se eu estou pesquisando um IP ou linhagem específica de malware. Mas quando se trata de serviços gratuitos, eu passo a maior parte do meu tempo em VirusTotal - um serviço gratuito que você pode usar para analisar arquivos suspeitos e URLs.

Se eu olhar por cima do seu ombro durante algum momento do seu dia, o que eu veria na tela?

Ou uma confusão de dados (código sendo compilado, binário, codificação desconhecida), bloco de notas, ou alguma rede utilitários online. (ver abaixo)

Você trabalha com uma equipe ou sozinho?

A pesquisa é normalmente feita individual, no entanto, há o compartilhamento de informações em todo o processo. Problemas não resolvidos não costumam durar muito tempo na internet e muitas vezes é uma corrida entre os pesquisadores a publicar os resultados. Esta é a principal razão para a natureza esporádica de pesquisa de segurança. Se não houvesse tanta pressão para ser o primeiro, a colaboração provavelmente seria mais prevalente, mas na maioria das investigações de pesquisa, o benefício da colaboração não compensam o tempo perdido compartilhando. No entanto, as investigações de longo prazo costumam apresentar mais de uma oportunidade para colaborar.

O que você faz quando não está trabalhando?

Certamente não é o seu típico "segunda a sexta". Falhas aparecem e quando aparecem é como diz o ditado, "a primeira ave que chega leva a minhoca". Se você quer ser bem sucedido neste setor, você precisa viver e respirar pesquisa de segurança. Por exemplo, eu estava recentemente em férias com minha família no Havaí. Ao invés de deitar e relaxar com um bom romance de ficção, eu passava horas lendo um livro sobre criptografia de curva elíptica na praia ... Isso é mais do que um emprego a tempo integral, é uma paixão de vida pra mim.

Qual é o processo típico de analisar um malware?

Ela realmente depende do contexto. Se o objetivo é a realização de "investigação de segurança", então qualquer visão sobre o malware é considerado progresso. No entanto pesquisadores de malware seguem pistas por motivos mais específicos, por exemplo, se um pesquisador estava tentando rastrear um autor do malware particular, ele/ela só pode estar à procura de pistas sobre o que escreveu o malware e não tem interesse em que ele realmente faz. Então, novamente, ele realmente depende de duas coisas: as metas ou resultados esperados da pesquisa e também, simplesmente, onde a investigação leva-o - às vezes você pode identificar a infra-estrutura de C&C, mas não identificar o verdadeiro autor.

O que você considera como sucesso em pesquisa de segurança?

Minha única resposta a esta questão seria: isso varia muito. Na maioria das vezes, simplesmente ser capaz de entender e tirar conclusões sobre o quem, o quê, quando, onde e por quê. Qualquer informação que você pode reunir além de apenas "Eu fui hackeado", é um progresso. A maior força por trás de como o sucesso é definido é circunstancial para o objetivo do pesquisador. Por exemplo, se você está trabalhando para uma empresa que está realizando investigações internas para Resposta a Incidentes (IR), o objetivo é não só para identificar o ofensor, mas também para julgar, se possível. 

Por outro lado, se você é um hobby de pesquisa de segurança ou recém-chegado, o objetivo é tipicamente para ganhar credibilidade. Para mim, a situação ideal seria capaz de identificar a origem, motivação, efeitos do ataque, e como eles foram capazes de retirá-lo ... Mas isso é geralmente difícil de fazer.

Traduzido e adaptado por mim.

Fonte: Alien Vault

Read More