Password Spraying


Brute Force

Ataques de força bruta são amplamente conhecidos pela facilidade em se descobrir usuários e senhas válidos em aplicações. O ataque consiste em realizar múltiplos testes de login em uma aplicação por tentativa e erro de usuários e senhas comuns. Para isso, o atacante deve conhecer os padrões de usuários aceitos para o login e ter uma lista de senhas comuns ou criadas a partir de palavras-chaves.

No levantamento de nome de usuário, muitas aplicações na internet utilizam o próprio e-mail do usuário para efetuar o login, o que, dado um domínio alvo, é possível encontrar listas de e-mails na internet. Quando o usuário não utiliza seu e-mail para login, padrões comuns de nome de usuário podem fazer parte do teste (primeira letra do nome seguido de ponto e o sobrenome, nome seguido de ponto e o sobrenome, etc).

Já no caso de levantamento de senhas, existem listas e listas de senhas padrões e conhecidas na internet. O atacante pode também utilizar padrões de senhas próprias inserindo o nome do alvo entre as números, caracteres e palavras completas, por exemplo.

Munido destas listas, o atacante realiza várias tentativas de login utilizando todas as opções da lista de senhas para cada usuário da lista de usuários.

Red Alert

A grande questão deste ataque é que já existem diversos mecanismos para detecção e mitigação do mesmo. Bloqueio de conta após 3 tentativas de login, captcha para verificação de tentativa real de login e bloqueio temporário de acesso à página são alguns dos mecanismos mais conhecidos de mitigação.

A técnica não só é mitigada, como diversos tipos de proteções encontradas no mercado podem gerar logs e alertas para os seus analistas, visto que este ataque é categorizado com uma alta criticidade e o acionamento das equipes de segurança geram todo um trabalho para encontrar as origens do ataque.

A “Solução”?
Como forma de burlar os sistemas de bloqueios por tentativa de login das aplicações, o atacante pode rotacionar os logins utilizando apenas uma senha.

Na técnica de password spray o atacante seta uma lista de usuários que serão testados com senhas padrões conhecidas. Porém, em vez de testar todas as senhas para cada usuário, ele testa todos os usuários para cada senha.

Se a quantidade de usuários da lista de senhas for relativamente grande, é possível até burlar o sistema de bloqueio por tempo de tentativa de login. O tempo de teste de login entre uma senha e outra para cada usuário pode ser grande o suficiente para não alertar o sistema sobre tentativas excessivas de acesso com um único login em um curto espaço de tempo.

Possíveis técnicas de mitigação

Nível Técnico
  • Forçar usuários ao uso de senhas complexas (exigir quantidade mínima de caracteres, forçar uso de caracteres especiais, letras maiúsculas e minúsculas, numerais, etc);
  • Implementação de Captcha após um número limitado de tentativas de login;
  • Implementação de 2FA (Two Factor Authentication).

Nível Humano
  • Documentação de procedimentos de segurança;
  • Conscientização das equipes no uso de e-mails profissionais em locais inadequados;
  • Não compartilhamento de senhas;
  • Não reutilizar senhas em diversos serviços.

Conclusão
Neste artigo vimos que a técnica de brute force pode ser usada também em usuários, não só em senhas. Com isso, o elo mais fraco da segurança (pessoas) pode ser explorado para encontrar nomes de usuários válidos em aplicações web. Além disso, a utilização de senhas fracas e aplicações que possibilitem o uso senhas de simplistas torna o cenário ainda mais fácil de ser encontrado.


O artigo é pequeno e o assunto simples, mas pode ajudar muitos administradores de sistema a pensarem fora da caixa e entenderem porque existem tantas linhas de erro de login em seus logs de acesso sem acionamento de alarmes.



Referências
https://www.cybrary.it/0p3n/password-spraying-vulnerable/ https://christierney.com/2018/03/28/password-spraying/
https://www.trustwave.com/Resources/SpiderLabs-Blog/Simplifying-Password-Spraying/
https://cloudblogs.microsoft.com/enterprisemobility/2018/03/05/azure-ad-and-adfs-best-practices-defending-against-password-spray-attacks

Principais Tópicos do GDPR



A popularização da internet trouxe alguns desafios em relação à segurança das informações. A divulgação recente do vazamento de dados pessoais de usuários armazenados por uma rede social de abrangência mundial, colaborou, e muito, com a publicidade sob o General Data Protection Regulation (GDPR).  

Foram quatro anos de debates até a aprovação pelo Parlamento da União Europeia em 14 de abril de 2016. Contudo, o regulamento somente entrou em vigor em 25 de maio de 2018, sendo esta a data inicial para aplicação das penalidades previstas no GDPR. 

A finalidade do regulamento é estabelecer um conjunto de regras claras no intuito de proteger os cidadãos europeus contra a violação da privacidade de seus dados. Entretanto, a jurisdição territorial estendida do GDPR abrange todas as empresas que processam os dados pessoais dos usuários residentes na União Europeia, independentemente da localização da empresa. 

Conforme as orientações do GDPR, são direitos do usuário em relação a privacidade dos dados:

Notificação de violação: Prazo estabelecido de até 72 horas para que o detentor dos dados comunique ao proprietário quaisquer incidentes que porventura impliquem em vazamento ou violação;
Direito de acesso: Permitir que o usuário tenha a opção de autorizar o uso de seus dados pessoais, bem como a maneira como eles devem ser tratados, informando sempre o que está sendo coletado e para quais fins. E, se houver necessidade, deve ser disponibilizada uma “cópia digital” de seus dados;
 • Direito de ser esquecido (data erasure): A qualquer tempo, o proprietário da informação deve ter a possibilidade de solicitar a exclusão de seus dados pessoais ou impedir a coleta; 
Portabilidade: Operações de migração dos dados entre serviços são permitidas, e as solicitações devem ser atendidas respeitando as necessidades dos usuários; 
Privacidade por design: As orientações do GDPR em relação à privacidade dos dados devem ser previstas desde o início no projeto dos sistemas; 
Oficiais de proteção de dados: Por vezes, será necessário estabelecer um ponto focal em relação à proteção dos dados. Essa pessoa, um executivo aqui denominado DPO (Data Protection Officer), será o responsável por supervisionar a forma como os dados privativos serão manipulados. Todavia, sua responsabilidade também inclui responder as autoridades, prestando esclarecimentos, quando necessário, sobre o assunto. 

Outra recomendação é que os dados sensíveis sejam protegidos, ocultados ou substituídos, aumentando a dificuldade da identificação do usuário (conceito de pseudonimização). 

Também é importante ressaltar que o regulamento prevê que a linguagem utilizada seja clara e compreensível nas comunicações direcionadas a todo e qualquer usuário, indiferente do seu nível de conhecimento. Termos de serviços longos são desencorajados, bem como as informações de consentimento, que devem ser destacadas dos demais assuntos, facilitando seu acesso e as operações de permitir ou negar. 


Penalidades Previstas na GDPR

De forma escalonada, uma empresa pode ser notificada por violações do GDPR. As organizações que de alguma maneira descumpram as determinações propostas, incorrem em multas máximas de 4% em relação ao faturamento anual ou 20 milhões de euros (o que for maior). 

Outras porcentagens podem ser aplicadas conforme a gravidade da violação. Todavia, cabe ressaltar que essas penalidades são compartilhadas por “controladores” e “processadores”, logo, não isentando “clouds” (nuvens) da responsabilidade quanto a privacidade dos dados dos cidadãos da União Europeia. 


Enquanto isso em terras tupiniquins…. 

A divulgação do GDPR fez-se de maneira muito diferente das iniciativas brasileiras em relação à proteção e privacidade dos dados pessoais. Recentemente, os artigos publicados mostram quais são os efeitos do regulamento europeu para resto do mundo, incluindo o Brasil. Contudo, muito pouco é abordado em relação à legislação em vigor no país. 

O Brasil não foi o pioneiro na regulamentação do tratamento da privacidade dos dados dos usuários. Contudo, desde 23 de abril de 2014, está em vigor a Lei nº 12.965, também conhecida como “Marco Civil da Internet”, que conforme texto de lei: “Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil”. Embora não seja uma iniciativa que regulamenta exclusivamente as possíveis violações de privacidade dos dados do usuário, esta legislação engloba também, mesmo que superficialmente, tais quesitos. 

Recentemente, foi aprovado na Câmara do Deputados o Projeto de Lei (PL) nº 4060/2012, que tramita no Congresso Nacional desde 13 de junho de 2012. Esse PL “dispõe sobre o tratamento dos dados pessoais” dos cidadãos brasileiros e, embora não possua correlação com o GDPR, tem muitas semelhanças. 

Entretanto, o assunto deste post é GDPR .... 


Então qual é a ideia? 

A ideia é que, seja você um cidadão europeu ou não, se seus afazeres incluírem gestão de dados de cidadãos da União Europeia, é importante estar atento às regras que foram estabelecidas pelo GDPR, pois ignorar este regulamento pode ser muito prejudicial ao “bolso”. 



Referências:

Ataque GLitch: o uso de rowhammer para ataques em telefones Android


Novo ataque de rowhammer permite ataques de hijacking em smartphones Android


Pesquisadores do grupo de pesquisa VUSEC, da Vrije Universiteit, em Amsterdã, publicaram um artigo que detalha uma nova forma do ataque de rowhammer que eles chamaram de "GLitch".
Como nas versões anteriores, ele usa o ataque de rowhammer para induzir vazamentos na memória e alterar os zeros e vice-versa nos dados armazenados lá - os chamados "bits de virada". Mas, a nova técnica pode permitir que um hacker execute códigos maliciosos em alguns telefones Android quando a vítima simplesmente visita uma página da web cuidadosamente desenvolvida, tornando-se a primeira implementação remota do ataque do rowhammer.

Como os pesquisadores identificaram a falha?


Os pesquisadores decidiram analisar se poderiam usar um código em execução na GPU utilizando um dispositivo Android para executar truques de rowhammer que não seriam possíveis por meio de técnicas tradicionais de programação. Para tornar o problema ainda mais específico e interessante, eles também queriam verificar se poderiam fazer tudo isso sem precisar de um Android configurado como root e sem depender de um aplicativo de malware pré instalado.
O objetivo final dos pesquisadores era fazer um ataque de rowhammer pelo navegador, usando nada mais do que o JavaScript exibido em uma página da web.
A pesquisa foi batizada de GLitch, onde as letras GL vêm de WebGL, abreviação de Web Graphics Library - biblioteca de programação incorporada em navegadores modernos que permite que o código JavaScript trabalhe em conjunto com a GPU para melhorar o desempenho em aplicativos online que utilizam muito a parte gráfica.
Os pesquisadores assumiram que os recursos adicionados do WebGL trariam riscos adicionais, e por causa disso conseguiram identificar o que estavam procurando.



O ataque GLitch é a primeira técnica remota de rowhammer que explora as unidades de processamento gráfico (GPU), que é encontrada em quase todos os processadores móveis.
Como os processadores ARM dentro dos smartphones Android incluem um tipo de cache que dificulta o acesso a linhas de memória direcionadas, os pesquisadores fazem uso da GPU, cujo cache pode ser mais facilmente controlado, permitindo que os hackers façam buscas nas linhas sem interferência.

O que fazer para mitigar o problema?


Como o rowhammer explora uma vulnerabilidade no hardware do smartphone, nenhum patch de software pode corrigir completamente o problema.
Até agora, os pesquisadores têm um conjunto limitado de ataques que funcionam sob circunstâncias controladas, em um dispositivo desatualizado de sua própria escolha, executando uma versão antiga do Android. No entanto, o GLitch nos lembra que quando você adiciona recursos e desempenho, seja ao criar GPUs em chips para telefones celulares ou ao adicionar bibliotecas sofisticadas de programação gráfica a navegadores, podem existir consequências.
Os pesquisadores enfatizam que a ameaça de rowhammer não é apenas real, mas também tem o potencial de causar danos reais e severos.

Sobre os ataques rowhammer


O ataque de rowhammer é uma vulnerabilidade relativamente antiga, que origina-se no fato que os chips DRAM atuais usam geometrias de processo muito pequenas, que reduzem o número de elétrons armazenados na célula, enquanto a proximidade das “linhas” vizinhas acelera a taxa na qual os elétrons vazam para dentro e para fora da célula. Se muitos elétrons forem removidos ou adicionados a uma célula, ela mudará de estado.

Para que a vulnerabilidade ocorra quando uma linha de DRAM é ativada repetidamente, é necessário que vários acessos ocorram em uma linha antes que as linhas adjacentes internas tenham sido ativadas ou atualizadas. A carga da linha sobreativada, vazará para as linhas adjacentes, fazendo com que os bits mudem de estado. Este não é um erro permanente. A célula manterá seus dados em circunstâncias normais, mas perderá dados se a linha de sequência apresentar uma atividade excepcionalmente alta.

Simplificando, o ataque de rowhammer significa ler os mesmos endereços de memória DRAM repetidamente, concentrando a atividade eletrônica em uma pequena parte do chip por tempo suficiente para interferir nas células de memória próximas. De tempos em tempos, algumas dessas células próximas podem mudar sua carga elétrica, invertendo os valores binários 0 para 1 ou de 1 para 0.

Referências:



Ataque Krack e as melhorias no protocolo WPA




WPA (Wireless Protected Access) que significa Acesso Wireless Protegido, é um protocolo de comunicação wireless criado pelas empresas Wi-Fi Alliance e IEEE. Seu antecessor é o protocolo WEP e o sucessor WPA2, o único definido dentro do padrão IEEE802.11i - padrão atual de segurança para conexões wireless, criado em 2004 pela IEEE. 
No segundo semestre do ano passado, foi encontrada uma falha no WPA2, onde um atacante pode sniffar a rede e conseguir ler as informações, com isso, roubando informações confidenciais do sistema.
Chamado de Krack (Key Reinstallation Attack), o ataque consiste em explorar a troca de chaves no processo de four-way handshake, de forma que o atacante consegue manipular os handshakes, reutilizar as chaves e ter acesso às mensagens que deveriam estar criptografadas.
Todos os routers e devices cujos protocolos eram o WPA2 foram afetados na ocasião do ataque. Algumas empresas já disponibilizaram atualizações que corrigem ou mitigam a falha.  Contudo, como o padrão de segurança para o WPA2 foi definido há alguns anos (2003), em janeiro de 2018 a Wi-Fi Alliance anunciou melhorias para ele e a criação de um novo padrão, o protocolo WPA3.

Quais são as melhorias no protocolo WPA3?
O protocolo WPA2 já obteve melhoria na integridade do tráfego de rede com a feature PMF (Protected Management Frames) e aumento no padrão de criptografia de 128-bit para 192-bit.
Além dessas melhorias, que também estarão disponíveis para o WPA3, o protocolo será otimizado para proteger aqueles usuários que utilizam senhas fracas e estas pessoas serão alertadas caso suas senhas sejam descobertas. O protocolo também terá uma uma feature para simplificar o processo de configuração em dispositivos com interface limitada, como devices IoT.
Por último, WPA3 irá fornecer maior segurança para empresas governamentais e redes industriais. Com o novo conjunto de protocolos utilizando cifras de 192 bits, foi projetada uma melhoria para ajudar redes que transmitem informações secretas.
O WPA3 deve ser implementado ainda em 2018, entretanto, sua propagação e adaptação deverão levar um pouco mais de tempo. Portanto, é importante manter os devices e routers com firmwares e patches de segurança atualizados, ainda com o protocolo WPA2, para mitigar possíveis ataques.

Referências:


MemCached DrDOS Attack


Como funciona o ataque Memcached DrDoS?

Que os ataques de negação de serviço vêm se aprimorando, todo mundo sabe. Segundo o 13º Relatório Anual sobre Segurança da Infraestrutura Global de Redes, da Arbor Networks, o Brasil registrou por volta de 30 ataques de negação de serviço por hora em 2017. O que poucos sabem é que uma vulnerabilidade surgida recentemente amplificou a potência desses ataques de modo exponencial.

Na última quarta-feira de fevereiro (28/02) as empresas Akamai, Arbor Networks e Cloudflare reportaram um aumento expressivo de ataques DoS utilizando protocolo UDP amplificados por servidores Memcached.

Histórico

Ataques de DrDoS (negação de serviço reflexivo) ficaram famosas depois de causarem tráfego na casa dos Terabytes ao redor do mundo utilizando requisições DNS e, posteriormente, protocolo NTP para amplificação. Além disso, também valeram-se de câmeras e dispositivos IoT (Internet of Things, ou internet das coisas) para a realização dos ataques.

Conforme artigo publicado no ThreatPost, com os servidores Memcached foi possível amplificar em até 51 mil vezes os ataques DDoS que já vinham ocorrendo.

Que servidor é esse?

Conforme artigo publicado pela IBM,  “o Memcached é um projeto de software livre projetado para fazer uso da RAM sobressalente em muitos servidores para agir como um cache de memória para informações acessadas com frequência. O elemento chave é o uso da palavra cache: o Memcached fornece armazenamento temporário, em memória, das informações que podem ser carregadas de outro local".

O Ataque

Servidores Memcached costumam responder à porta 11211 TCP e UDP.

Utilizando as premissas do já tão utilizado ataque de negação de serviço reflexivo, várias máquinas, em posse de um atacante, enviam milhares de requisições à estes servidores (que respondem especificamente a requisições UDP) forjando o IP de origem com o IP da vítima em um intervalo de tempo na casa dos milissegundos.

Com isso, as inúmeras requisições enviadas serão respondidas ao IP da vítima causando assim a inundação de conexões ocasionando a negação do serviço.

Fontes apontam que o GitHub sofreu, através desta técnica, o maior ataque da história, com picos de até 135 Terabits por segundo.

Possibilidades de mitigação

Os administradores de sistemas têm orientado quem possui os servidores Memcached a desabilitarem a porta UDP, que responde ao serviço, como mitigação primária, visto que sua configuração padrão já vem com esta porta habilitada.

Uma tratativa mais elaborada envolve restringir a quantidade de requisições ao serviço.

Conclusão

Como dito no início desta matéria, não é de hoje que os ataques de negação de serviço vêm se aprimorando e, com a internet aumentando sua velocidade ao redor do globo, a situação só tende a piorar.

Você conhece esse tipo de ataque? Sabe como pode se proteger? Já sofreu com a negação de serviço alguma vez? Compartilhe suas experiências conosco!

Referências:
https://br.arbornetworks.com/visibilidade-de-redes/
https://threatpost.com/misconfigured-memcached-servers-abused-to-amplify-ddos-attacks/130150/
http://www.rmaues.com/2014/02/ataques-de-ddos-baseados-no-ntp.html
https://www.us-cert.gov/ncas/alerts/TA14-013A
https://www.us-cert.gov/ncas/alerts/TA13-088A
https://www.security.unicamp.br/blog/24-amplificacao-udp/
http://blog.netlab.360.com/memcache-ddos-a-little-bit-more-en/
https://amp.thehackernews.com/thn/2018/02/memcached-amplification-ddos.html
https://www.cvedetails.com/vulnerability-list/vendor_id-12993/Memcached.html