Semana 10 de segurança: Conferência RSA e conscientização sobre segurança cibernética

A próxima conferência de cibersegurança RSA Conference 2020 foi realizada em São Francisco na semana passada, um evento em que há pouco mais negócios que tecnologia. Os recursos de negócios da indústria não são menos importantes que os técnicos, embora essa interação esteja sob algum signo de antagonismo: os gerentes de desenvolvimento de negócios dizem palavras bonitas e os técnicos estão entediados. Falando em palavras: foi assim que os principais tópicos da RSA Conference evoluíram, as palavras-chave de uma única conferência, nos últimos cinco anos. Em 2016, o principal tópico foi a segurança da Internet das coisas, em 2017 - inteligência artificial, em 2018 - a falta de balas de prata e soluções simples em defesa cibernética, em 2019 - o problema de reputação.

Em 2020, o presidente da RSAlevantou o tópico de dividir em técnicos e empresários, transformando inesperadamente a grande inauguração em uma discussão do problema real, embora em termos gerais: “Nossos negócios serão julgados pela história contada sobre eles. E queremos que essa seja uma história sobre resistência bem-sucedida a ameaças cibernéticas, e não histórias técnicas sobre cyber ping pong. ” Ou seja: a comunidade de segurança de TI está fechada, é incompreensível para uma pessoa e precisamos mudar isso. Compartilhe não apenas problemas, mas também soluções bem-sucedidas: "Reformate a cultura de elitista para aberta."


Palavras bonitas, mas devemos esperar abertura dos técnicos - uma grande questão. Não é sobre a natureza de pessoas específicas, mas sobre os recursos do trabalho, que exigem concentração máxima em pequenos detalhes, o mesmo pingue-pongue. Para transmitir vitórias em segurança de TI, você deve poder explicá-las em palavras que sejam compreensíveis para o público. Pelo menos, formule o que considerar uma vitória. Isso nem sempre é obtido e, para muitos participantes do setor, essa tarefa está longe de ser uma prioridade. Quem dá à cultura um novo formato também é uma boa pergunta: geralmente o mesmo gerenciamento não técnico, cujo representante é Rohit Gai, está envolvido nisso. Acontece que, quando ele exige mudanças da tribuna da RSA Conference, o requisito é endereçado a si mesmo? Esta é uma tarefa honrosa. Tornar a segurança cibernética mais claramais precisamente, é necessário ajudar a uma percepção realista dessa área do conhecimento. Caso contrário, há situações que frequentemente observamos recentemente: quando ataques cibernéticos e defesa cibernética são discutidos em um plano político em completo isolamento da situação real.

Discutiremos brevemente discursos interessantes na RSA Conference 2020. O criptógrafo Bruce Schneier continuou o tópico de abertura, mas de um ângulo diferente: ele sugere a introdução de uma "cultura de hackers" (neste caso, a capacidade de resolver problemas usando métodos não-padrão) fora da TI. Por exemplo, na legislação ou na política tributária. Caso contrário, as vulnerabilidades no software são encontradas e fechadas com êxito, e as lacunas no código tributário permanecem lá por anos.


O pesquisador Patrick Wardle falou sobre casos de malware de engenharia reversa por parte de cibercriminosos. Estudando ataques cibernéticos em computadores da Apple, ele encontrou exemplos em que os atacantes pegam código malicioso distribuído por outra pessoa e o adaptam às suas próprias necessidades. Os representantes da Checkmarx disseram ( notícias , pesquisas ) sobre vulnerabilidades em um aspirador de pó robô inteligente. O aspirador está equipado com uma câmera de vídeo, de modo que um hacking bem-sucedido permite não apenas observar os proprietários do dispositivo, mas também alterar o ponto de observação, se necessário. Outro estudo da IoT enfoca vulnerabilidades no monitor para monitorar uma criança.

A ESET encontrou a vulnerabilidade do Kr00k ( notícias , informações sobresite da empresa) em módulos Wi-Fi, que decodificam parcialmente o tráfego transmitido entre os dispositivos. São utilizados os módulos produzidos pela Broadcom e Cypress, usados ​​em telefones celulares e laptops e em roteadores. Finalmente, o painel de criptografadores (um rudimento dos velhos tempos em que a Conferência RSA era um nicho entre os especialistas em criptografia) passou novamente pelo blockchain. Os criptografadores não gostam do setor de criptomoedas por atribuir o prefixo "cripto", mas, neste caso, era uma questão de usar o blockchain para as eleições. O representante do MIT Ronald Rivest apresentou os resultados de uma certa análise de oportunidades, cuja conclusão é que as cédulas de papel são mais confiáveis. Mesmo usando o blockchain, é difícil criar um sistema de software para registrar votos confiáveis.

O que mais aconteceu:

Vulnerabilidade crítica de zero dia no NAS e firewalls da Zyxel. A exploração foi descoberta em venda aberta no mercado negro. O bug permite que você execute código arbitrário no dispositivo, que por definição deve ser acessível a partir da rede, ganhando controle total sobre ele. O patch foi lançado para um grande número de dispositivos Zyxel, mas não para todos - alguns NASs vulneráveis ​​não são mais suportados.

O ThreatFabric descobriu uma nova versão do Trojan Cerberus Android, que pode extrair códigos de autenticação de dois fatores do aplicativo Google Authenticator.

Errona integração de carteiras Paypal com o serviço de pagamento do Google Pay, permitiu um curto período de tempo para roubar fundos sem o conhecimento do proprietário. Não há detalhes, mas supostamente os invasores encontraram uma maneira de extrair os dados dos cartões de pagamento virtuais criados quando o serviço está vinculado ao Google Pay.

Um pesquisador alemão revelou um aplicativo iOS "malicioso" que monitora constantemente a área de transferência disponível para todos os programas no telefone. Lógica do pesquisador: se um número de cartão de crédito é copiado para o buffer, um invasor pode roubá-lo. Reação da Apple: sim, mas é uma prancheta. Ele deve estar disponível para todos os aplicativos, caso contrário, não faz sentido.