A importância da cybersecurity no meio empresarial do século XXI

By: sikur
Published: Posted on

DIOGO RAMOS FERREIRA

30/09/2019 07:00

 A segurança da informação, ao contrário do que podem imaginar alguns, é um tema relevante, estudado e aprimorado desde os tempos antigos. Podemos creditar como um importante marco de suas origens as criptografias antigas, surgidas nos tempos da Roma antiga, como o Cesar’s Cypheri.

Por certo, desde àqueles tempos até o século atual, em razão da contínua evolução tecnológica, houve também a ampliação do fluxo de informações e o surgimento de novas formas de transmissão destas informações.

Evidente que, toda essa evolução da transmissão e fluxo de informações fez também com que evoluíssem os métodos para assegurar a sua segurança e confidencialidade, de maneira que apenas o destinatário da informação tivesse acesso ao seu conteúdo. Sejam nos tempos antigos, sejam nos atuais, sempre haverá um terceiro, geralmente mal-intencionado, tentando acessar uma informação destinada a outrem.

O tema da segurança da informação teve uma forte escalada com o surgimento da internet, ou, mais especificamente, da ARPANET, pois, com ela, surgiu o primeiro vírus de computador, o ‘Creeper’. Este vírus, criado pelo engenheiro de computação, Bob Thomas, apesar de não ter nenhuma intenção maliciosa, sendo apenas uma “brincadeira”, era capaz de mover-se entre os computadores conectados por meio da ARPANET.ii

Isso demonstra que, o avanço tecnológico, somado à capacidade de conexão entre diferentes aparelhos e meios eletrônicos proporcionada pela internet, aliado ainda ao crescente avanço no uso destes aparelhos e meios, fez com que o acesso de um estranho a uma informação – não destinada a ele – ficasse ainda mais fácil.

Dessa forma, tendo em vista a atual era data-driven e tecnológica que vem impactando toda a sociedade mas, especialmente, o mercado – incluídas as empresas e seus diversos agentes – com a transição de todas as formas e suportes de informações e dados e, até mesmo, relações e operações comerciais relevantes, para o ambiente digital, as companhias não podem negligenciar a necessidade de investimento na sua segurança cibernética.

Os dados e informações digitais possuem fundamental importância na estrutura e no modelo de negócio de, praticamente, todas as empresas atualmente. Já existem, até mesmo, métodos para avaliar o valor dos dados de uma empresa – enterprise data value (EDV).iii

Portanto, com o aumento da relevância dos dados das empresas, e com a contínua evolução dos métodos de quebra da proteção e acesso indevido de dispositivos e sistemas digitais de companhias por crackersiv, os investimentos em segurança cibernética tem crescido cada vez mais.

E, não é para menos. O avanço da tecnologia, apesar de ter beneficiado o desenvolvimento empresarial e econômico da sociedade, também trouxe consigo graves riscos às informações, bem como métodos cada vez mais avançados de invasão cibernética e quebra de segurança de sistemas eletrônicos. Dessa forma, não faltam casos para demonstrar como tais métodos tem sido cada vez mais utilizados.

Em 2013, a companhia norte-americana Target sofreu um ataque cibernético que resultou em um furto de 40 milhões de números de cartões de débito e crédito e 70 milhões de registros de informações pessoais de clientes.v

Tal ataque resultou em um prejuízo financeiro de mais de US$ 200 milhões à companhia, sendo considerado tão grave que o próprio CEO renunciou ao seu cargo.vi

Todavia, o mais interessante, não foi a quantidade de dados roubados ou o impacto financeiro sofrido pela empresa, mas sim, o método utilizado pelos invasores para ter acesso a sua rede.

Diante dos investimentos em segurança cibernética realizados pela Target e do alto nível da sua proteção, os crackers não iniciaram o ataque diretamente à rede da companhia, mas utilizaram de uma empresa terceirizada, a Fazio Mechanical Services, que prestava serviços de manutenção de equipamentos como ventiladores e ar-condicionado à empresa.

Assim, após ter comprometido o sistema da empresa terceirizada, por meio de um ataque de spear fishing, a um de seus empregados, os invasores conseguiram obter os dados de autorização de acesso à rede da Target, detidos pela terceirizada.

Isso demonstra a complexidade do ataque. Ao invés de tentar invadir diretamente o sistema da Target, os crackers optaram por atacar uma empresa terceirizada e menor, que possuía muito menos chances de ter um avançado sistema de segurança cibernética que pudesse detectar e impedir, ou, ao menos, defender-se contra o ataque.

Como se pode observar, o que não falta é criatividade aos invasores em seus ataques. Além disso, recentes métodos demonstram que tal criatividade para explorar vulnerabilidades de sistemas cibernéticos é ilimitada.

Como exemplo, um novo método de ataque recentemente noticiado, consiste, basicamente, no envio de dispositivos eletrônicos de baixo custo e baixa capacidade computacional – que, porém, possibilitam a execução de ataques cibernéticos de proximidade – direto às empresas. Os invasores apenas deixam no correio um pacote contendo em seu interior o dispositivo, e o próprio entregador deixa o referido pacote em frente à empresa, ou em sua área de recebimento de correspondências.

Assim, quando verificam que o pacote chegou ao local, os invasores ativam o dispositivo, que começa a localizar redes de Wi-Fi próximas ou conexões de outros dispositivos, permitindo assim uma invasão da rede da empresa. Todo o ataque pode ocorrer sem sequer ser notado pela companhia, bastando que esta não abra, ou demore a abrir o pacote. Este método de invasão foi batizado de Warshipping, tendo um funcionamento semelhante à conhecida armadilha do ‘Cavalo de Tróia’.vii

Tais ataques demonstram a crescente ameaça à segurança cibernética existente nos tempos atuais.

Conforme um estudo promovido pela Accenture, o custo médio anual relacionado ao combate a crimes cibernéticos por grandes companhias, de 2013 a 2017, teve um aumento aproximado de 62%, de 7.2 milhões para 11.7 milhões de dólares.viii

Certamente, tal custo não é injustificado. A quantidade de ataques cibernéticos praticamente dobrou nos últimos 05 anos.ix Além disso, em 2017, crimes cibernéticos custaram, aproximadamente, US$ 600 bilhões à economia mundial.x

Portanto, diante do avanço tecnológico constante, também será contínua a evolução dos métodos de ataques cibernéticos, já havendo casos de invasões que utilizam de novas tecnologias, como a internet das coisas.

Além disso, já há estudos e pesquisas que demonstram que novas tecnologias como a inteligência artificial e as redes 5G de conexão irão definir as próximas décadas da segurança cibernética.xi E, até mesmo tecnologias que podem tornar obsoletos os sistemas de segurança cibernética existentes atualmente, como os computadores quânticosxii.

Dessa forma, nos últimos anos, e com clara razão, empresas vêm realizando pesados investimentos no setor de segurança cibernética. Em 2018, empresas alcançaram novo recorde global, tendo investido, aproximadamente, US$ 37 bilhões na área, sendo certo que as expectativas são que tais investimentos ultrapassem o montante de US$ 42 bilhões por volta de 2020. Além disso, o gasto em segurança cibernética por empregado praticamente dobrou entre 2012 e 2018.xiii

Ademais, nos últimos anos, foi possível observar um crescimento nos investimentos de venture capital em empresas que oferecem serviços de segurança cibernética. Startups de segurança cibernética na nuvem (cloud security) foram as que receberam a maior quantidade de investimentos por venture capital entre 2012 e o segundo bimestre de 2017.xiv

Nos primeiros três bimestres de 2017, investidores aportaram mais de US$ 1.89 bilhões em companhias de segurança cibernética. No mesmo ano, a gestora Trident Capital Cybersecurity anunciou a criação de fundo de investimentos de US$ 300 milhões, dedicado apenas a tais companhias.xv

Todavia, apesar dos casos de invasões de rede citados e dos grandes investimentos em segurança cibernética realizados nos últimos tempos, é importante ressaltar que grande parte das quebras de segurança da rede e vazamento de informações ainda ocorre por erros, muitas vezes simples, das próprias empresas e de seus funcionários.

Um caso recente, que pode ser tido como exemplo é o do grande vazamento de dados da companhia norte-americana Capital One. Entre março e abril de 2019, a empresa foi alvo de uma invasão de seu sistema de segurança, que resultou no vazamento de dados de mais de 100 milhões de clientes, dentre os quais números de contas bancárias, nomes, endereços, pontuação e limites de crédito, dentre outros.xvi

Porém, posteriormente, foi observado que a cracker apenas conseguiu obter acesso ao sistema da companhia em razão de uma falha de configuração dos servidores de nuvem da Amazon, os quais eram utilizados pela empresa. Todavia, tais configurações incorretas são tão comuns e tão facilmente corrigíveis, que acessar sistemas por meio delas mal é considerada uma invasão.xvii

Dessa maneira, vislumbra-se que uma falha simples de sistema de segurança resultou em um grave prejuízo à companhia.

Tal falha poderia ter sido facilmente corrigida, caso a empresa tivesse uma rotina de verificação e atualização frequentes do seu sistema de segurança, e desse a devida importância a ele.

Por certo, além de todo o risco de prejuízos reputacionais e negociais a que estão sujeitas as empresas em decorrência de invasões cibernéticas, cabe também destacar o risco-Estado, ao qual também estão sujeitas, em razão do crescimento da cultura de privacidade e proteção de dados pessoais observadas nos últimos anos.

Com a elaboração de leis gerais de proteção de dados pessoais ao redor do mundo, cabendo ressaltar o Regulamento Geral de Proteção de Dados da União Europeia (GDPR – sigla em inglês, mais conhecida) e a Lei Geral de Proteção de Dados Pessoais brasileira (LGPD), há a possibilidade de imposição de pesadas sanções pecuniárias pelos órgãos sancionadores caso as companhias não estejam compliance com as normas legais.

O GDPR, em seu artigo 83, parágrafo 4, estabelece a possibilidade de aplicação de multas pela autoridade supervisora limitadas à, no máximo, 10 milhões de euros ou até 2% do lucro global anual da companhia no ano anterior, no caso de determinadas infrações. Já, os parágrafos 5 e 6 do mesmo artigo, preveem a aplicação de sanções pecuniárias limitadas à, no máximo, 20 milhões de euros ou até 4% do faturamento global anual da companhia no ano anterior, em outros casos.

Já, a LGPD, em seu artigo 52, prevê a possibilidade de aplicação pela Autoridade Nacional de Proteção de Dados (ANPD) de multa diária, ou multa simples, limitada à 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 por infração.

Dessa maneira, observa-se que as sanções financeiras previstas nas principais leis de proteção de dados não são pequenas, sendo certo que podem ser aplicadas sem prejuízo, também, da responsabilização legal das empresas e eventual necessidade de ressarcimento por danos morais.

Nesse sentido, cabe destacar um importante caso de aplicação de sanção financeira na Europa. Em janeiro de 2019, a Autoridade Nacional de Proteção de Dados Francesa (Comission Nationale de I’Informatique et des Libertés – CNIL) aplicou uma multa de 50 milhões de euros ao Google, tendo como fundamento uma violação ao GDPR.xviii

As violações imputadas pela Comissão à empresa resumiram-se à dificuldade de acesso dos usuários às informações do Google; dificuldade de acesso a informações sobre a coleta de seus próprios dados; explicação insuficiente acerca da finalidade da coleta e do uso comercial dos dados dos usuários; ausência de informação clara quanto ao fundamento jurídico permissor do processamento de dados dos usuários, bem como ausência de informação acerca do tempo de retenção dos dados.xix

Certamente, o significativo tamanho da multa aplicada, que ultrapassou o limite de 20 milhões de euros previstos no GDPR, mas respeitou o limite de 4% do faturamento global anual da companhia, demonstra que, ao menos em um primeiro momento, as sanções impostas terão um caráter mais pedagógico, para demonstrar aos demais players que a legislação protetiva de dados pessoais deve ser obedecida, sob pena de incidência de intensas penalidades

Portanto, diante de todo o exposto, resta evidente que a segurança cibernética no meio empresarial não pode ser negligenciada. No atual contexto de imersão tecnológica da sociedade e do mercado, a adoção de práticas mínimas de segurança, bem como a devida atenção ao ambiente digital da companhia, demonstram-se fundamentais, sob pena de graves perdas e prejuízos decorrentes de invasões cibernéticas ou até de falta de compliance com regulações estatais.

DIOGO RAMOS FERREIRA – Estagiário na área de Direito Societário no Chamon Santana Advogados | Especialização em Direito das Startups pelo Insper |Membro Colaborador da Comissão de Startups e Inovação da Subseção da OAB de Santos/SP | Legal Growth Hacker pela Edevo | Estudante e incentivador de novas tecnologias, com foco em inteligência articial e proteção de dados.

REFERÊNCIAS 

i O ‘Cesar’s Cypher’ foi um dos primeiros sistemas de criptografia conhecido. Ele recebeu esse nome em homenagem ao imperador de Roma, à época, Júlio César, em 50 a.C.

ii CROWLEY, Jack McDonald. Techly Explains: The fascinating Evolution of cybersecurity. Publicado no portal Techly, em 13 fev 2018. Disponível em: https://www.techly.com.au/2018/02/14/techly-explains-fascinating-evolution-cybersecurity/. Acesso em: 18 set 2019.

iii3 DISPARTE, Dante; WAGNER, Daniel. Do You Know What Your Company’s Data is Worth? Publicado no portal Harvard Business Review, em 16 sep 2016. Disponível em: https://hbr.org/2016/09/do-you-know-what-your-companys-data-is-worth. Acesso em: 18 set 2019.

iv ‘Crackers’ são os indivíduos que realizam a quebra (cracking) de um sistema de segurança de forma ilegal, para fins ilícitos e criminosos. Não seguem a ‘ética hacker’, sendo o termo ‘cracker’ utilizado para os diferenciar dos hackers que utilizam seus conhecimentos para fins benéficos. Nesse artigo, observaremos essa diferença conceitual.

v SHU, Xiaokui et al. Breaking the Target: Na analysis of Target Data Breach and Lessons Learned. Disponível em: https://arxiv.org/pdf/1701.04940.pdf. Acesso em: 21 ago 2019.

vi HACKETT, Robert. How much do data breaches cost big companies? Shockingly little. Publicado no portal Fortune, em 27 mar 2015. Disponível em: https://fortune.com/2015/03/27/how-much-do-data-breaches-actually-cost-big-companies-shockingly-little/. Acesso em: 18 set 2019.

vii WHITTAKER, Zack. With warshipping, hackers ship their exploits directly to their target’s mail room. Publicado no portal Techcrunch, em 07 ago 2019. Disponível em: https://techcrunch.com/2019/08/06/warshipping-hackers-ship-exploits-mail-room/Acesso em: 18 set 2019.

viii ACCENTURE. Cost of cyber crime study: Insights on the security investments that make a difference. Disponível em: https://www.accenture.com/_acnmedia/pdf-62/accenture-2017costcybercrime-us-final.pdf#zoom=50Acesso em: 18 set 2019.

ix PIPIKAITE, Algirde; CHEUNG, Martina. Investors have a role in securing our shared digital futurePublicado no portal World Economic Forum, em 08 jul 2019. Disponível em: https://www.weforum.org/agenda/2019/07/why-cybersecurity-should-be-standard-due-diligence-for-investors/Acesso em: 18 set 2019.

x STOKES, Paul. Can cybersecurity offer value for moneyPublicado no portal World Economic Forum, em 16 jul 2019. Disponível em: https://www.weforum.org/agenda/2019/07/can-cybersecurity-offer-value-for-money/. Acesso em: 18 set 2019.

xi DIXON, Willian. 3 technologies that could define the next decade of cybersecurity. Publicado no portal World Economic Forum, em 20 jun 2019. Disponível em: https://www.weforum.org/agenda/2019/06/3-technologies-that-could-define-the-next-decade-of-cybersecurityAcesso em: 18 set 2019.

xii ADAMS, Paige H. Why quantum computing could make today’s cybersecurity obsolete. Publicado no portal World Economic Forum, em 26 jul 2019. Disponível em: https://www.weforum.org/agenda/2019/07/why-quantum-computing-could-make-todays-cybersecurity-obsolete/Acesso em: 18 set 2019.

xiii STOKES, Paul. Can cybersecurity offer value for moneyPublicado no portal World Economic Forum, em 16 jul 2019. Disponível em: https://www.weforum.org/agenda/2019/07/can-cybersecurity-offer-value-for-money/. Acesso em: 18 set 2019.

xiv STONE, Jeff. Cybersecurity Investors Favor Cloud Security, Artificial Intelligence. WSJ Pro Cybersecurity – Investing in Cybersecurity. New York: Dow Jones & Company, Inc., 2017; p. 03-05.

xv Zakrzewski, Cat. Breaches Drive Surge in Cybersecurity Investment. WSJ Pro Cybersecurity – Investing in Cybersecurity. New York: Dow Jones & Company, Inc., 2017; p. 06-07.

xvi MCLEAN, Rob. A hacker gained access to 100 million Capital One credit card applications and accounts. Publicado no portal CNN Business, em 30 jul 2019. Disponível em: https://edition.cnn.com/2019/07/29/business/capital-one-data-breach/index.htmlAcesso em: 18 set 2019.

xvii BRANDOM, Russel. The Capital One breach is more complicated than it looks. Publicado no portal The Verge, em 31 jul 2019. Disponível em: https://www.theverge.com/2019/7/31/20748886/capital-one-breach-hack-thompson-security-data. Acesso em: 18 set 2019.

xviii OLIVEIRA, Jaqueline Simas de. Google é multado em 50 milhões de euros na França por violação ao GDPR. Publicado no portal Revista JOTA, em 24 jan 2019. Disponível em: < https://www.jota.info/opiniao-e-analise/artigos/google-e-multado-em-50-milhoes-de-euros-na-franca-por-violacao-ao-gdpr-24012019. Acesso em: 18 set 2019.

xix BECKER, Daniel; BRÍGIDO, João Pedro. On n’est pas à l’ouest: França aplica a multa mais pesada desde a vigência do GDPR. Publicado no portal Revista JOTA, em 24 fev 2019. Disponível em: https://www.jota.info/opiniao-e-analise/artigos/on-nest-pas-a-louest-franca-aplica-a-multa-mais-pesada-desde-a-vigencia-do-gdpr-24022019. Acesso em: 18 set 2019.

Lorep ipsum Lorep ipsum, journalist Lorep ipsum Lorep ipsum, journalist Lorep ipsum Lorep ipsum, journalist Lorep ipsum Lorep ipsum, journalist Lorep ipsum Lorep ipsum, journalist Lorep ipsum Lorep ipsum, journalist Lorep ipsum Lorep ipsum, journalist Lorep ipsum Lorep ipsum, journalist

Privacidade x Apps: entregar-se ou conscientizar-se?

By: Alexandre Vasconcelos
Published: Posted on

Privacidade é um tema recorrente na maioria das matérias relacionadas à segurança e tecnologia, o crescente número de smartphones e soluções que utilizam a nuvem para armazenar e processar informações são os principais alavancadores deste processo.

Fabricantes de assistentes virtuais, como o Alexa, Siri e Cortana, argumentam que só ouvem e coletam informações quando ordenados. No entanto, o tratamento destes dados ainda é um mistério. Motivada por esta polêmica, a Apple anunciou que suspenderia a coleta de conversas de usuários via Siri. A dúvida ainda persiste: como estes dados são tratados?

Recentemente, um aplicativo ganhou destaque em termos de privacidade: o FaceApp. Aparentemente inocente, o App aplica filtros em uma selfie e simula o envelhecimento do usuário. Divertido, curioso e controverso. Divertido, pois muitos tem a curiosidade de ter uma ideia da aparência daqui a alguns anos; curioso pois mostra como a tecnologia pode ser utilizada para propósitos inesperados; e controverso, pois desperta a pergunta: o que esta empresa está fazendo com as informações de seus usuários? O que dizer ou pensar de um aplicativo Russo que desenvolveu uma tecnologia de IA (Inteligência Artificial), que aplica filtros de forma tão interessante (envelhecendo, rejuvenescendo e até mesmo criando sorrisos)?

Existirá mesmo razão para tanta preocupação quanto à privacidade dos dados compartilhados com aplicativos como o FaceApp? Antes de responder a esta pergunta e chegar a qualquer conclusão é sempre importante tentar entender os indícios e motivações, como um detetive procurando por respostas. Nos dias de hoje não é difícil notar que a maioria das pessoas busca distração e diversão ao instalar e aceitar os termos e condições de uso de aplicativos; apesar de legítimo, é displicente. Outro indício é que as empresas na era digital em que vivenciamos procura nichos para crescerem, e com o FaceApp não é diferente. Novamente, isto é perfeitamente legítimo.

Vamos às motivações. O uso de IA pode ser amplificado e utilizado em inúmeras outras indústrias, tecnologias que atraem investidores para as empresas, sendo uma das principais maneiras de conseguir o tão sonhado “valuation”, ou seja, multiplicar seu valor de mercado. Outra vez, totalmente legítimo.

Neste ponto, é importante mencionar que o FaceApp – ainda – não é nenhum tipo de vilão ou agente infiltrado do governo Russo. A ideia aqui é ilustrar como é muito tênue a linha entre privacidade e uso de informações pessoais, podendo pender para o mal ou reforçar o conceito de segurança.

No entanto, existe uma sutileza que a maioria dos usuários não percebe, que são as mudanças repentinas nos termos de uso de aplicativos gratuitos que solicitam acesso a dados pessoais. Via de regra, pouquíssimos param para ler o que mudou nestes termos e um número menor ainda deixa de usar aplicativos devido a estas mudanças. Aqui pode estar o perigo, pois quando não estamos preparados – e totalmente entregues ao uso do produto, ou até mesmo esquecemos que ele existe, mas está lá instalado e coletando dados – é que os problemas de privacidade começam.

O que fazer? Esquecer e fingir que nada está acontecendo, deixar a vida seguir? Afinal, é só um aplicativo inofensivo; ou conscientizar-se e procurar mais assertividade e selecionar com critério o que instalamos em nossos smartphones?

Sem dúvida que ler termos e condições (e suas atualizações) não é tarefa simples nem agradável, ainda mais para quem tem tanta coisa para entregar no final do dia, não é verdade? Mas vale o exercício de vez em quando, pode ser mais assustador que um livro do Stephen King. Acredite.

Enquanto isso, considerando que os smartphones estão assumindo um papel cada vez mais crucial no dia a dia de todos, nada mais razoável do que fazer escolhas mais sensatas para o que será instalado por lá.

Em tempos de redes sociais precisamos aprender a reduzir os níveis de exposição e cuidar mais da privacidade.

Alexandre Vasconcelos, COO – Chief Operating Officer da Sikur.

Fonte: TI Inside

WARNING — Malware Found in CamScanner Android App With 100+ Million Users

By: Swati Khandelwal
Published: Posted on

Beware! Attackers can remotely hijack your Android device and steal data stored on it, if you are using free version of CamScanner, a highly-popular Phone PDF creator app with more than 100 million downloads on Google Play Store.

So, to be safe, just uninstall the CamScanner app from your Android device now, as Google has already removed the app from its official Play Store.

Unfortunately, CamScanner has recently gone rogue as researchers found a hidden Trojan Dropper module within the app that could allow remote attackers to secretly download and install malicious program on users’ Android devices without their knowledge.

However, the malicious module doesn’t actually reside in the code of CamScanner Android app itself; instead, it is part of a 3rd-party advertising library that recently was introduced in the PDF creator app.

Discovered by Kaspersky security researchers, the issue came to light after many CamScanner users spotted suspicious behavior and posted negative reviews on Google Play Store over the past few months, indicating the presence of an unwanted feature.

“It can be assumed that the reason why this malware was added was the app developers’ partnership with an unscrupulous advertiser,” the researchers said.

The analysis of the malicious Trojan Dropper module revealed that the same component was also previously observed in some apps pre-installed on Chinese smartphones.

“The module extracts and runs another malicious module from an encrypted file included in the app’s resources,” researchers warned.

 

“As a result, the owners of the module can use an infected device to their benefit in any way they see fit, from showing the victim intrusive advertising to stealing money from their mobile account by charging paid subscriptions.”

Kaspersky researchers reported its findings to Google, who promptly removed the CamScanner app from its Play Store, but they say “it looks like app developers got rid of the malicious code with the latest update of CamScanner.”

More: https://thehackernews.com/2019/08/android-camscanner-malware.html

Cuidado: seus dispositivos ouvem, gravam e arquivam o que você fala

By: ÉPOCA NEGÓCIOS ONLINE
Published: Posted on

Saiba como smartphones, notebooks e assistentes virtuais invadem sua privacidade todos os dias, coletando e analisando seus dados em sistemas de inteligência artificial

Se você passa os dias imaginando se seu smartphone, notebook, tablet, ou suas assistentes virtuais AlexaSiri Cortana estão vigiando você, pode parar de imaginar. A resposta é sim. Todos esses dispositivos ouvem, registram, arquivam e monitoram, de alguma maneira, o que você fala. Os registros podem ser em áudio, em transcrições completas ou resumos. E o uso que é feito desses dados nem sempre é claro, de acordo com o The Guardian.

Alvo de críticas sobre o possível uso de gravações feitas pela assistente Alexa, a Amazon diz que seus produtos são vilificados de maneira injusta. Segundo a companhia, é verdade que os dispositivos escutam o tempo todo, “mas de maneira nenhuma transmitem tudo que ouvem”. Só quando um dispositivo ouve a palavra de despertar “Alexa”, é que a gravação é mandada para a nuvem e analisada, dizem.

O argumento é o mesmo usado por todas as companhias de tecnologia acusadas de espionar os consumidores: elas dizem e que só ouvem quando recebem uma ordem expressa para isso. Dizer a frase “OK, Google” desperta os aparelhos da companhia. Mesmo que isso seja verdade, fica a pergunta: depois que a escuta começa, o que acontece?

Fontes da Apple, que se orgulha da maneira como protege a privacidade do usuário, dizem que a Siri tenta satisfazer todas as demandas possíveis de maneira direta no iPhone ou no computador do usuário. Caso uma demanda seja levada à nuvem para uma análise adicional, será marcada com um identificador em código, e não com o nome do usuário.

As gravações ficam arquivadas por seis meses, para que o sistema de reconhecimento de voz possa aprender a entender melhor a voz daquela pessoa. Depois, outra cópia é salva, sem o identificador, para ajudar a Siri nos próximos dois anos.

No caso das outras gigantes de tecnologia, os áudios são mandados diretamente para a nuvem. Daí, computadores tentam adivinhar a intenção do usuário e satisfazê-la. Depois, as empresas poderiam apagar a solicitação e a resposta do sistema, mas geralmente não fazem isso. A razão são os dados. Para a inteligência artificial da fala, quanto mais dados, melhor.

Qualquer usuário pode logar em sua conta na Amazon e no Google e ver uma lista de todas suas perguntas em áudio. Esses arquivos só serão apagados se a pessoa que fez a pergunta tomar a iniciativa. Caso contrário, ficarão registrados para sempre.

É verdade que todas as suas buscas por escrito no Google e outros mecanismos de busca também ficam registrados. Mas, para muita gente, ter o som de sua voz arquivado por uma empresa soa muito mais invasivo.

Sem garantias
Praticamente todos os fabricantes de sistemas de inteligência artificial, dos amadores até os gênios da IA nas grandes companhias, reveem pelo menos algumas das transcrições das interações dos usuários com suas criações. A meta é descobrir o que é funcional, o que precisa ser aprimorado e o que os usuários estão dispostos a discutir. Há muitas maneiras de fazer isso.

Os registros podem ser modificados para que o funcionário encarregado não veja os nomes dos usuários individuais. Ou eles podem ver apenas dados resumidos. Por exemplo, eles podem aprender que uma conversação termina depois de uma determinada frase do bot, o que os leva a fazer um ajuste. Designers na Microsoft e no Google, e outras companhias, também recebem relatórios detalhando as perguntas mais populares, para que eles saibam qual conteúdo adicionar.

Mais: https://epocanegocios-globo-com.cdn.ampproject.org/c/s/epocanegocios.globo.com/amp/Tecnologia/noticia/2019/05/

Hackers Hit Unpatched Pulse Secure and Fortinet SSL VPNs

By: Mathew J. Schwartz
Published: Posted on

Vendors Issued Security Updates to Fix Severe Flaws Several Months Ago

Hackers in recent days have been hunting for SSL VPNs manufactured by both Fortinet and Pulse Secure that have yet to be updated to fix serious security flaws, security experts warn.

There’s been a surge in scanning attempts by attackers to locate and automatically hack these devices, exploiting known flaws that allow them to steal passwords and other sensitive data. With stolen passwords in hand, attackers can potentially gain full, remote access to organizations’ networks.

The attacks come despite both vendors having released patches several months ago – Pulse Secure in April, Fortinet in May – via firmware updates that included security fixes. Both vendors warned that all customers should install the updates as quickly as possible, given the severity of the flaws. Many organizations, however, apparently have yet to install the updated software, and thus remain at elevated risk from escalating exploit attempts.

Internet scans count at least 480,000 Fortinet Fortigate SSL VPN endpoints connected to the internet, although it’s unclear how many remain unpatched. But experts say that of about 42,000 Pulse Secure SSL VPN endpoints seen online, more than 14,000 of them – a majority of which are located in the United States – remain unpatched.

Attacks Escalate

In recent days, reports of attacks against vulnerable Pulse Secure and Fortinet SSL VPNs have been escalating.

On Thursday, Troy Mursch of Chicago-based threat intelligence firm Bad Packets warned that his firm’s honeypots had detected opportunistic, large-scale mass scanning activity by hackers looking for Pulse Secure VPN SSL servers vulnerable to CVE-2019-11510. “This arbitrary file reading vulnerability allows sensitive information disclosure enabling unauthenticated attackers to access private keys and user passwords,” he said. “Further exploitation using the leaked credentials can lead to remote command injection (CVE-2019-11539) and allow attackers to gain access inside the private VPN network.”

More: https://www.bankinfosecurity.com/hackers-hit-unpatched-pulse-secure-fortinet-ssl-vpns-a-12958

Advanced Persistent Threat: What You Need to Know

By: Kevin Jones
Published: Posted on

Today, criminal organizations no longer attack corporations and businesses physically with weapons. Instead, they use computers and malware, aiming to steal vital information that can be used for malicious means. Professional cybercriminal organizations know what they are looking for and will find ways to get it. This is what makes an advanced persistent threat (APT) so scary.

What Is an Advanced Persistent Threat?

An advanced persistent threat is a cyberattack that is long-term, highly targeted, and continuous. An APT attack is organized and has a central objective. Many advanced persistent threats are sponsored, usually by governments or rival competitors, and are aimed at stealing vital information from their targets. The objective of an APT attack could range from surveillance and stealing trade secrets to taking control of a network and completely disabling it.

The Difference From an Ordinary Cyberattack

When comparing an APT attack from an ordinary cyberattack, one can see the huge difference in the scale and resources needed to operate the attack.

Many ordinary cyberattacks target entities with little to no cybersecurity and usually have short-term objectives, like stealing the personal information of clients and the financial activities of companies. Many ordinary cyberattacks are also neutralized by high-level cybersecurity, and regaining access becomes difficult.

An advanced persistent attack, on the other hand, target entities with high-level security, employing different methods of infiltration and taking years to search for vulnerabilities in their target’s system.

Advanced persistent attacks employ low-level cyberattacks, like whaling and injection attacks, to gain access to their target’s system but use personalized malware to remain within the network while evading cybersecurity.

More: https://hackercombat.com/advanced-persistent-threat-what-you-need-to-know/

Data stolen from Hy-Vee customers offered for sale on Joker’s Stash Dark Web forum

By: Charlie Osborne
Published: Posted on

A card dump of 5.3 million accounts may be tied to the recent security breach.

As previously reported by ZDNet, the supermarket chain issued a warning to customers on August 14 which explained that a data breach had occurred at point-of-sale (PoS) systems used by the firm’s fuel pumps, coffee shops, and restaurants including Market Grilles, Market Grille Expresses, and Wahlburgers.

However, PoS systems used by Hy-Vee grocery stores, drugstores, and convenience stores are not believed to have been affected.

Typically, PoS platforms are compromised through the installation of RAM scanners which are able to harvest payment card details once they have been swiped. This stolen data is then remotely transferred to a server controlled by an attacker and may be offered for sale as part of a data dump or used to create clone cards.

It is not known who is behind the data breach, nor how long they were lurking on the firm’s systems. Iowa-based Hy-Vee has launched an investigation and asked customers to keep an eye on their bank statements for fraudulent transactions.

“If you see an unauthorized charge, immediately notify the financial institution that issued the card because cardholders are not generally responsible for unauthorized charges reported in a timely manner,” the company said.

More: https://www.zdnet.com/article/data-stolen-from-hy-vee-customers-offered-for-sale-on-jokers-stash-dark-web-trading-post/

Data breaches increased 54% in 2019 so far

By: James Sanders
Published: Posted on

More than 3,800 data breaches have hit organizations in 2019, according to Risk Based Security.

The year 2019 is shaping up to be a landmark one for data breaches, as it has seen over 3,800 breaches—a 50% or greater increase over the last four years, according to a report published by Risk Based Security on Wednesday.

“Between 2015 and 2018, the variation in the number of reported breaches was less than 200 incidents. For the first six months of 2019, the number of breaches increased by 54% compared to the same time last year,” the report states, adding that a high volume of leaks of relatively few records skews, somewhat, this measure.

In contrast, the number of records exposed in the first half of 2019 is 30% lower compared to the same time frame in 2017, according to the report—though this may change in the second half of the year, as recent reports detail the full extent of the data exfiltrated by Paige A. Thompson, the hacker accused in the Capital One data breach, is said to possess “multiple terabytes of data stolen… from more than 30 other companies, educational institutions, and other entities,” according to court documents obtained by ZDNet.

Despite concerns raised in the cybersecurity community about insider threats, 89% of breaches are the result of outside attacks, though the report notes that “more and more sensitive data is exposed when insiders fail to properly handle or secure the information,” pointing to misconfigured databases and services representing 149 of 3,813 incidences reported so far this year resulting in the exposure of over 3.2 billion records.

Risk Based Security also points to the dangers of placing sensitive data in the hands of third parties, naming the American Medical Collection Agency (AMCA) breach, in which “hackers infiltrated AMCA’s network and pilfered over 22 million debtors’ records including data such as names, addresses, dates of birth, Social Security numbers and financial details” as a critical event. “These breaches be more difficult to manage given the multiple parties involved, they can also have more damaging consequences for the individuals whose data is exposed in the event,” the report said, noting that the breach has severe consequences for AMCA, as the company “was forced into filing for bankruptcy protection a mere 2 weeks after news of the breach made headlines.”

More: https://www.techrepublic.com/article/data-breaches-increased-54-in-2019-so-far/

Visa Adds New Fraud Disruption Measures

By: Steve Zurier
Published: Posted on

Payment card giant creates a ‘cyber fraud system’ to thwart transaction abuse.

 Visa now is adding fraud disruption to supplement its transaction fraud detection and remediation efforts. The company today at the Visa US Security Summit 2019 in San Francisco outlined five new capabilities it now uses to prevent fraudulent transactions.

“We’re looking to identify and disrupt fraud before it happens,” says David Capezza, senior director of payment fraud disruption at Visa. “We want to take a more proactive approach and identify these attacks and shut them down before they occur.”

Rivka Gewirtz Little, research director for global payment strategies at IDC, says Visa’s new approach blends both its cyber and fraud units.

“Typically, organizations are focused on the transaction,” Gewirtz Little says. “What’s interesting here is that Visa is creating a true cyber fraud system where the cyber team and fraud teams are integrated: the cyber team focuses on the attack against the enterprise and the fraud team looks at ways of preventing the attack. It’s not always the same set of tools, the same team and objectives.”

The five new fraud capabilities Visa will offer include:

Vital Signs: Monitors transactions and alerts financial institutions of potentially fraudulent activity at ATMs and merchants that may indicate an ATM cashout attack. To limit financial losses for financial institutions, Visa can automatically or in coordination with clients, step in to suspend malicious activity.

Capezza says Visa looks to understand the methodologies behind ATM cashout attacks, looking for anomalies in withdrawals and then notifying clients.

Account Attack Intelligence: Applies deep learning to Visa’s vast number of processed card-not-present transactions to identify financial institutions and merchants that hackers may exploit to guess account numbers, expiration dates, and security codes. By using machine learning, Visa looks to detect sophisticated enumeration patterns, eliminate false positives, and alert affected financial institutions and merchants before follow-on fraud transactions begin.

Payment Threats Lab: Visa will create an environment to test a client’s processing, business logic, and configuration settings to identify errors leading to potential vulnerabilities. Capezza says working directly with clients, Visa can run red-team tests to walk through the methodologies hackers use to launch attacks. They can replicate how various attacks occur to understand them better and look out for new ways hackers can potentially attack financial systems.

More: https://www.darkreading.com/risk/visa-adds-new-fraud-disruption-measures/d/d-id/1335570

85 aplicativos maliciosos da Google Play foram baixados mais de 8 milhões de vezes

By: TI Inside Online
Published: Posted on

A Trend Micro identificou uma nova família de adware no Google Play. Chamada de AndroidOS_Hidenad.HRXH, os falsos apps se disfarçavam de aplicativos de fotos e jogos. Além dos típicos métodos de adware, que consistem na exibição de anúncios difíceis ou impossíveis de se fechar, essa ameaça utiliza técnicas únicas para evitar sua detecção a partir de gatilhos baseados no tempo e no comportamento do usuário.

No total, os 85 aplicativos maliciosos da Google Play foram baixados mais de oito milhões de vezes. Eles se passavam por apps de jogos e fotografia e usavam técnicas avançadas de evasão. Após o download, a ameaça esperava mais de 30 minutos para agir e então escondia o ícone do aplicativo, e impedindo que o app fosse desinstalado ao ter seu ícone arrastado para a seção “desinstalar” da tela.

Embora os aplicativos tenham as funcionalidades reais das aplicações de que se disfarçam, os anúncios são mostrados em toda a tela, forçando os usuários a visualizar toda a duração do anúncio antes de conseguir fechá-lo ou voltar ao próprio app. Além disso, a frequência com que eles são exibidos pode ser configurada remotamente pelo fraudador, o que poderia aumentar o incômodo dos usuários.

Mais: https://tiinside.com.br/tiinside/seguranca/mercado-seguranca/20/08/2019