Vídeo: Resolvendo Desafio "Shell Hack", "Disinfected 0" e "Disinfected 1" do CTF - Hacker Security (Outubro 2024)
A reputação de Java voltou a bater, depois que o Facebook revelou que os invasores haviam se infiltrado em seus sistemas internos após explorar uma vulnerabilidade de dia zero.
Como o PCMag.com informou no final da tarde de ontem, o Facebook disse que seus sistemas foram "alvo de um ataque sofisticado" em janeiro. Alguns funcionários do Facebook, presumivelmente desenvolvedores, foram infectados depois de visitar um site de desenvolvedor móvel de terceiros, informou a empresa em um post de segurança do Facebook no site. Os invasores haviam anteriormente comprometido o site do desenvolvedor e injetado código malicioso que explorava uma falha de segurança no plug-in Java. A exploração de dia zero contornou a sandbox Java para instalar o malware nos computadores das vítimas, disse o Facebook.
O Facebook relatou a exploração para a Oracle, e foi corrigido em 1º de fevereiro. A Oracle na época disse que a correção havia sido agendada para 19 de fevereiro, mas havia acelerado o lançamento porque estava sendo explorada na natureza. Não está claro neste momento qual dos 39 (em 50) erros do Java Runtime Environment corrigidos nesse patch foi o usado nessa exploração.
O Facebook garantiu aos usuários que nenhum dos dados do usuário havia sido comprometido no ataque, mas não indicou se algum dos seus dados internos havia sido afetado.
Twitter a outra vítima?
O Facebook notificou várias outras empresas que foram atingidas pelo mesmo ataque e entregou a investigação às autoridades federais. Embora a empresa não tenha identificado outras vítimas, o momento do ataque coincide com a violação do Twitter. As credenciais do usuário foram expostas nesse ataque. Agora que conhecemos alguns detalhes do ataque ao Facebook, o alerta enigmático do Twitter sobre a desativação dos plug-ins do navegador Java faz sentido.
Como o SecurityWatch informou anteriormente, o diretor de segurança da informação do Twitter, Bob Lord, disse: "Também ecoamos o aviso do Departamento de Segurança Interna dos EUA e especialistas em segurança para incentivar os usuários a desativar o Java em seus computadores nos navegadores".
Empilhar AV não é o ponto
O Facebook observou que os laptops comprometidos "estavam com patches completos e executando software antivírus atualizado". Alguns especialistas em segurança aproveitaram o fato para reiterar seus argumentos de que o antivírus era um "tecnólogo com falha". Alguns disseram que o Facebook deve divulgar o nome do fornecedor do antivírus para que outros clientes saibam se estão em risco.
A história a ser focada aqui não é se o antivírus deve ter detectado a exploração do Java, mas o Facebook usou com sucesso sua defesa em camadas para detectar e interromper o ataque. A equipe de segurança da empresa monitora continuamente a infraestrutura quanto a ataques e sinaliza o domínio suspeito nos registros DNS corporativos, disse o Facebook. A equipe o localizou de volta ao laptop de um funcionário, encontrou um arquivo malicioso após realizar um exame forense e sinalizou vários outros laptops comprometidos com o mesmo arquivo.
"Tiramos o chapéu para o Facebook por sua rápida reação a esse ataque, eles o cortaram pela raiz", disse Andrew Storms, diretor de operações de segurança da nCircle, ao SecurityWatch .
Juntamente com a segurança em camadas, o Facebook também realiza simulações e exercícios regularmente para testar defesas e trabalhar com respondedores de incidentes. A Ars Technica recentemente registrou um relato fascinante de um desses exercícios no Facebook, onde as equipes de segurança pensaram que estavam lidando com um código de exploração e backdoor de dia zero. Esses tipos de simulações são usados em várias organizações, tanto no setor público quanto no privado.
Não é tão fácil se livrar do Java
Como o SecurityWatch observou no início deste mês, é fácil aconselhar os usuários a desativar o Java em seus navegadores, mas muitas ferramentas de negócios ainda contam com o plug-in Java do navegador. Embora eu não conheça nenhuma ferramenta de desenvolvedor que exija Java no navegador, existem muitas outras ferramentas de negócios predominantes. Outro dia, tive problemas para fazer o WebEx funcionar no Chrome (Java desativado) e tive que me lembrar de mudar para o Internet Explorer (Java ativado).
Os invasores estão ficando furtivos, comprometendo sites legítimos e atacando os visitantes desses sites. Mantenha seu software e sistema operacional atualizados e execute software de segurança atualizado. Reduza a superfície de ataque onde puder, mas o mais importante, esteja ciente do que está acontecendo na sua rede.
