Tecnologia 29/06/2016

Novas ameaças de conluio entre aplicativos de dispositivos móveis

Atrasos nas atualizações de software permitem que criminosos cibernéticos explorem aplicativos de dispositivos móveis; Cavalo de Troia Pinkslipbot retorna com novos recursos

A Intel Security lançou seu Relatório de ameaças McAfee Labs: junho de 2016, que explica a dinâmica de conluio entre aplicativos de dispositivos móveis, em que os criminosos cibernéticos manipulam dois ou mais aplicativos para orquestrar ataques a proprietários de smartphones. A McAfee Labs observou esse comportamento em mais de 5056 versões de 21 aplicativos desenvolvidos para oferecer serviços úteis aos usuários, como streaming de vídeo, monitoramento de saúde e planejamento de viagens. Infelizmente, o fato de os usuários não realizarem regularmente as atualizações de software essenciais a esses 21 aplicativos aumenta a possibilidade de versões antigas serem apropriadas para atividades maliciosas.

Amplamente considerada como uma ameaça teórica por muitos anos, os conluios de aplicativos (app collusion) realizam atividades nocivas em equipe, aproveitando os recursos comuns de comunicação entre aplicativos de sistemas operacionais de dispositivos móveis. Esses sistemas operacionais incorporam muitas técnicas para isolar aplicativos em áreas restritas, restringir seus recursos e controlar quais permissões possuem, em um nível bastante detalhado. Infelizmente, as plataformas móveis também incluem formas totalmente documentadas de aplicativos se comunicarem uns com os outros entre os limites de área restrita. Trabalhando juntos, os aplicativos podem aproveitar esses recursos de comunicação entre aplicativos para fins maliciosos.

A McAfee Labs identificou três tipos de ameaça que podem ser resultantes do conluio entre aplicativos de dispositivos móveis:
Roubo de informações: Um aplicativo com acesso a informações sensíveis ou confidenciais colabora voluntária ou involuntariamente com um ou mais aplicativos, para enviar informações fora dos limites do dispositivo.
Roubo financeiro: Um aplicativo envia informações para outro aplicativo, o qual pode executar transações financeiras ou fazer chamadas de API financeiro para alcançar objetivos similares.
Abuso de serviços: Um aplicativo controla um serviço do sistema e recebe informações ou comandos de um ou mais aplicativos para orquestrar uma variedade de atividades maliciosas.

A conspiração ou conluio entre aplicativos de dispositivos móveis exige pelo menos um aplicativo com permissão para acessar o serviço ou as informações restritas; um aplicativo sem essa permissão, mas com acesso fora do dispositivo e a capacidade de comunicação entre si. Um dos aplicativos pode estar colaborando intencional ou não intencionalmente, devido ao vazamento de dados acidental, ou inclusão de uma biblioteca maliciosa, ou kit de desenvolvimento de software malicioso. Esses aplicativos podem utilizar um espaço compartilhado (arquivos que podem ser lidos por todos) para trocar informações sobre privilégios concedidos e para determinar qual deles está posicionado de forma ideal para servir de ponto de entrada para comandos remotos.

“A detecção aprimorada requer maiores esforços para a fraude”, disse Vincent Weafer, VP do McAfee Labs da Intel Security. “Não é nenhuma surpresa que os adversários reagiram aos esforços na segurança de dispositivos móveis, com novas ameaças que tentam se esconder em plena vista. Nosso objetivo é dificultar cada vez mais a conquista inicial dos aplicativos maliciosos em nossos dispositivos pessoais, desenvolvendo ferramentas e técnicas mais inteligentes para detectar aplicativos conspiradores.”

O relatório da McAfee Labs discute uma pesquisa prospectiva para desenvolver ferramentas utilizadas inicialmente por pesquisadores de ameaças de forma manual, mas que no futuro serão automatizadas, para detectar aplicativos conspiradores. Uma vez identificados, os aplicativos podem ser bloqueados utilizando tecnologia de segurança de dispositivos móveis. O relatório sugere uma variedade de abordagens para minimizar o conluio entre aplicativos de dispositivos móveis, incluindo baixar aplicativos apenas de fontes confiáveis, evitar aplicativos com propaganda integrada, não fazer “jailbreak” em dispositivos móveis e o mais importante, sempre manter o sistema operacional e os aplicativos atualizados.

O relatório deste trimestre também documenta o retorno do Cavalo de Troia W32/Pinkslipbot (também conhecido como Qakbot, Akbot, QBot). Esse Cavalo de Troia de backdoor, com recursos tipo worm lançado inicialmente em 2007, obteve rapidamente a reputação de ser de uma família de malwares danosos e de alto impacto, capazes de roubar credenciais bancárias, senhas de e-mail e certificados digitais. O malware Pinkslipbot ressurgiu no final de 2015 com recursos melhorados, como criptografia em múltiplas camadas e antianálise, para frustrar os esforços dos pesquisadores de malwares de dissecar e fazer engenharia reversa nele. O relatório também dá detalhes sobre o mecanismo de autoatualização e exfiltração de dados do Cavalo de Troia e sobre o esforço da McAfee Labs de monitorar infecções e roubo de credenciais pelo Pinkslipbot em tempo real.

Por fim, a McAfee Labs avalia o estado das funções de hashing convencionais e insiste que as organizações mantenham os seus sistemas atualizados com os padrões de hashing mais recentes e mais fortes.

Estatísticas de ameaças do 1º trimestre de 2016
Ransomware. Novas amostras de ransomware aumentaram 24% neste trimestre, devido à entrada contínua de criminosos relativamente pouco qualificados na comunidade de crimes cibernéticos por ransomware. Essa tendência é o resultado da adoção generalizada de kits de exploração para distribuir o malware.
Dispositivos móveis. Novas amostras de malwares de dispositivos móveis cresceram 17% no 1º trimestre de 2016 em relação ao trimestre anterior. O total de amostras de malwares de dispositivos móveis cresceu 23% em relação ao último trimestre e 113% nos últimos quatro trimestres.
Malwares de Mac OS. Malwares de Mac OS cresceram rapidamente no 1º trimestre devido principalmente a um aumento no adware VSearch. Embora o número absoluto de amostras de Mac OS ainda seja baixo, o número total de amostras aumentou 68% em relação ao último trimestre e 559% nos últimos quatro trimestres.
Malware de macro. O malware de macro continua na trajetória de crescimento iniciada em 2015, com um aumento de 42% em relação ao último trimestre, apresentando novas amostras. A nova geração de malwares de macro continua a atacar redes corporativas principalmente por meio de campanhas de spam sofisticadas, que aproveitam as informações coletadas por meio de engenharia social para aparentar legitimidade.
Rede de bots Gamut. A rede de bots Gamut se tornou a rede de bots de spam mais produtiva no 1º trimestre, aumentando o seu volume em quase 50%. As campanhas de spam predominantes oferecem esquema de enriquecimento e suprimentos farmacêuticos falsos. Kelihos, a rede de bots de spam mais prolífica durante o 4º trimestre de 2015 e um distribuidor de malwares generalizado, caiu para a quarta posição.

Plataformas inovadoras

São Paulo sedia, de 25 de junho a 3 de julho, o Big Festival, maior evento do mercado de games independentes da América Latina. Além da exposição de jogos, a programação inclui palestras, encontros e rodadas de negócios para o fortalecimento desta indústria. No sábado (2), ocorre dentro da programação do Big Impact uma mesa redonda gratuita para discutir as plataformas que reinventam o jogo e as formas de aprender. O papo contará com a participação do diretor executivo da Playmove, Marlon Souza. A empresa desenvolveu a PlayTable, primeira mesa digital com jogo educativos do Brasil, que já está em uso em mais de 600 escolas públicas e privadas, de todas as regiões do Brasil, beneficiando mais de 200 mil crianças. Apostando na tecnologia ludopedagógica, a empresa cresceu 230% em 2015, participou do programa de aceleração da Artemísia e foi selecionada para o programa Promessas, da Endeavor.

Song of the Deep, da Insomniac Games, será lançado no próximo mês para PS4, Xbox One e PC

Song of the Deep, da Insomniac Games, chega ao Brasil em julho, com legendas em português e versões para PS4, Xbox One, e PC. Criado pelo mesmo estúdio do jogo Ratchet & Clank, que recentemente ganhou uma animação nos cinemas, Song of the Deep será distribuído no Brasil pela Gaming do Brasil, subsidiária da Juegos de Video Latinoamérica (JVLAT), representante exclusiva do game para a América Latina.
Song of the Deep é um jogo de estilo metroidvania 2D – subgênero para games de ação-aventura inspirados nos conceitos de jogabilidade das séries Metroid e Castlevania –, que permite ao jogador avançar e retroceder os cenários para buscar itens que ficaram para trás, mas são fundamentais para a evolução no jogo.
O game traz uma emocionante narrativa da garota Merryn, que espera todas as noites por seu pai, que saiu para pescar e nunca mais voltou. Depois de um sonho bastante real mostrando seu pai preso no fundo do mar, Merryn constrói um pequeno submarino com sucata e parte para resgatá-lo. Ao longo do caminho, ela faz amigos, descobre ruínas e civilizações perdidas e faz melhorias em seu submarino para explorar ainda mais as profundezas do mar, onde monstros assustadores e obstáculos exigem coragem, estratégia e inteligência.
Nessa inesquecível viagem ao fundo do mar, o jogador controla Merryn e seu submarino em um oceano interativo não linear, a partir de ruínas, cemitérios e jardins subaquáticos. Cada canto das profundezas do mar oferece uma surpresa e o jogador precisa atualizar o submarino para poder explorar novas áreas e derrotar os inimigos.
Para acompanhar as novidades do game, acesse http://www.insomniacgames.com/games/song-of-the-deep/

A evolução do monitoramento de sistemas de TI: análise de dados e aprendizado por máquinas

Chris Paap (*)

A meta de qualquer organização de TI é garantir que tudo, da infraestrutura subjacente aos aplicativos, esteja funcionando de maneira que os usuários finais possam concluir suas tarefas de forma eficiente

Para ajudá-los, as organizações de TI sempre dependeram de ferramentas de monitoramento de sistemas para alertar sobre problemas ocorridos em seu ambiente, mas as tendências do monitoramento de sistemas apontam para uma evolução rumo à análise, à automação e à correção. Por sua vez, essa evolução permitiu que as organizações de TI passassem de reativas a proativas, evitando assim situações de “combate a incêndios”, que tendem a ser muito comuns.
Com base em minha experiência pessoal, um dia típico de um administrador de TI começa com a rotina pós-ativação de verificar o telefone para saber se foram enviados alertas por email ou SMS indicando algum tipo de “incêndio”. Se você tiver “sorte”, a correção será trivial, mas o mais provável é que o alerta seja escalonado, exigindo que vários membros (ou equipes) de TI desviem sua atenção do trabalho em projetos para alterações fora de banda.
Quando as acusações que costumam acontecer (“É a rede!”, “É o servidor!”, “É a SAN!”) se aquietam, a correção resultante costuma ser um “quebra-galho” temporário para retornar os usuários finais ao estado operacional. Depois disso, há o tempo de inatividade adicional para a resolução permanente do problema por meio de interrupções planejadas. Os processos tradicionais associados ao monitoramento e à resposta a alertas criam uma organização de TI reacionária (ou seja, presa a um aparentemente infindável apagar de incêndios, um após o outro, o que consome todo o tempo e energia da equipe), e não uma organização proativa.
Agora, novas tendências em software de monitoramento estão começando a fornecer uma dimensão adicional que permite que os administradores de TI sejam mais proativos quanto à minimização do tempo de inatividade. Em especial, os fornecedores de monitoramento estão usando dois métodos para começar a integrar a análise de dados e o aprendizado por máquinas a suas plataformas de monitoramento.
Em primeiro lugar, por meio da análise de dados atuais e históricos e da correlação de eventos ambientais, o administrador pode ter acesso a modelos de previsão, tendências de capacidade e correlação de alertas mais precisos. Tudo isso permite a realização de um melhor planejamento, que poderá prevenir correções fora de banda ou alertas de interrupções no meio da noite.
A segunda implementação analisa o ambiente e fornece os passos recomendados necessários para solucionar problemas atuais e potenciais. Isso pode ser estendido à execução automática das ações recomendadas para a correção de problemas atuais e potenciais no ambiente, sem a interação do administrador, o que resulta no aumento do tempo de atividade operacional.
O que isso significa para você? Essa evolução do monitoramento dos sistemas de TI permite que você use uma abordagem equilibrada de manter as luzes acesas, ao mesmo tempo que avança na capacitação de práticas recomendadas. O tempo que costumava ser alocado ao combate de incêndios pode agora ser aplicado à implementação de novos projetos ou ao aprimoramento da infraestrutura. Existe também o benefício de proporcionar o aumento do tempo de atividade operacional aos usuários finais e de migrar de uma TI reacionária para uma organização de TI transformacional. Mas tudo começa com o uso das ferramentas, dos processos e das pessoas certas.

(*) É gerente técnico de produtos da SolarWinds.