Segundo o Relatório de Investigações de Violações de Dados da Verizon, as passwords comprometidas são responsáveis por mais de 81% das violações de cibersegurança nas organizações. Isto significa que uma parte fundamental da segurança da informação das organizações deve ser proteger as passwords dos utilizadores.

Entretanto, embora existam muitas práticas convencionais de segurança de passwords que parecem intuitivas, muitas delas são enganosas, desactualizadas ou, pior, mesmo contraproducentes.

É aí que entram as diretrizes de senhas do Instituto Nacional de Padrões e Tecnologia (NIST) (também conhecidas como Publicação Especial 800-63B do NIST). Embora sejam exigidas apenas para agências federais dos EUA, são consideradas o padrão ouro para a segurança de passwords por muitos especialistas internacionais devido à pesquisa abrangente, validação e aplicabilidade ampla no sector privado e em outros países do mundo e, designadamente, em Portugal.

O NIST, ou Instituto Nacional de Padrões e Tecnologia (em inglês, National Institute of Standards and Technology), é uma agência do governo dos EUA que tem uma ampla gama de responsabilidades, incluindo o desenvolvimento e a promoção de padrões e directrizes para várias áreas, como tecnologia da informação, medição e testes, segurança cibernética, manucfatura avançada, entre outras. No contexto de segurança de informações, o NIST é conhecido pelas suas directrizes e padrões, incluindo as directrizes para práticas de segurança de passwords mencionadas anteriormente.

De facto, muitas equipas de cibersegurança corporativa já utilizam as directrizes do NIST como referência para fornecer algo ainda mais poderoso do que políticas: credibilidade. Portanto, se procura o que realmente funciona para a segurança de senhas em 2023, aqui está o que o NIST recomenda (em linguagem simples).

1. Novas Directrizes para Criação de Passwords:
A segurança de passwords começa pela criação da password. No entanto, não é apenas responsabilidade dos utilizadores garantir que as suas passwords estejam adequadas – cabe à área de TI das organizações pública e privadas portuguesas garantir que as passwords sejam suficientemente fortes.

Aqui estão as recomendações do NIST para incluir na política de passwords da sua organização.

1. Comprimento > Complexidade:
A sabedoria convencional diz que uma password complexa é mais segura. Mas, na realidade, o comprimento da password é um fator muito mais importante, porque uma password mais longa é mais difícil de descriptografar se for furtada.
Por exemplo, muitas organizações exigem que os utilizadores incluam caracteres especiais, como um número, símbolo ou letra maiúscula, nas suas passwords para torná-las mais difíceis de descriptografar.
Infelizmente, muitos utilizadores adicionam complexidade às suas senhas simplesmente capitalizando a primeira letra da senha ou adicionando um “1” ou “!” ao final. Em vez de forçar os utilizadores a criarem passwords mais complexas, determinem que estes criem passwords mais longas para melhorar a segurança.
O NIST recomenda usar “frases chaves” em vez de “palavras chave”.

2. Eliminar as Redefinições Periódicas:
Muitas organizações pedem aos utilizadores que redefinam as suas passwords a cada poucos meses, pensando que qualquer pessoa não autorizada que tenha obtido a password de um utilizador será logo bloqueada. No entanto, alterações frequentes de passwords podem, na prática, piorar a segurança da organização.
É difícil lembrar uma boa password por ano, e os utilizadores muitas vezes recorrem a padrões previsíveis ao alterar suas passwords, como adicionar um único caracter ao final da password anterior ou substituir uma letra por um símbolo semelhante (como $ no lugar de S).
Se um invasor já conhece a password anterior de um utilizador, não será difícil descobrir a nova. As directrizes do NIST afirmam que os requisitos de alteração periódica de password devem ser removidos por esse motivo.

Directrizes de Autenticação de Passwords:
A maneira como se autentica uma password quando um utilizador faz login pode ter um impacto massivo em tudo relacionado à segurança de senhas (incluindo a criação de passwords). Eis o que o NIST recomenda em relação à entrada e verificação reais de passwords.

1. Activar “Mostrar Password ao Digitar” em todas as aplicações em sistemas onde isso seja opcional:
Os erros de digitação são comuns ao escrever passwords, e quando os caracteres se tornam pontos assim que são digitados, é difícil identificar onde se cometeu o erro. Activar a opção para mostrar a password durante a digitação permite que os utilizadores escolham passwords mais longas, que eles têm uma possibilidade muito melhor de inserir correctamente à primeira tentativa.

2. Usar a Protecção contra Passwords Comprometidas:
As directrizes de passwords do NIST exigem que cada nova password seja verificada na “lista negra” em https://haveibeenpwned.com/Passwords que inclui palavras de dicionário, sequências repetitivas ou sequenciais, passwords usadas em violações de segurança anteriores, variações do nome do site ou do nome (ou nomes) da organização, frases comuns e outros padrões que cibercriminosos provavelmente adivinharão.

3. Não Usar “Dicas de Passwords”:
Algumas aplicações tentam ajudar os utilizadores a lembrar senhas complexas oferecendo uma dica ou exigindo que respondam a uma pergunta pessoal. No entanto, com a constante disseminação de informações pessoais nas redes sociais ou por meio de engenharia social, as respostas a essas dicas são fáceis de encontrar, tornando fácil para os invasores aceder às contas dos utilizadores. Essa prática é agora proibida pelas diretrizes do NIST.

4. Limitar as Tentativas de Password:
Muitos invasores tentarão aceder a uma conta fazendo login repetidamente até descobrirem a password correta (ataque de força bruta). Limitar o número de tentativas de login permitidas antes de bloquear a conta é uma óptima maneira de evitar esses tipos de ataques.

5. Usar Autenticação Multifactor (MFA)
A autenticação multifactor (MFA), também conhecida como autenticação de dois factores (2FA), exige que os utilizadores demonstrem pelo menos dois dos seguintes itens para fazer login:
“algo que sabe” (como uma senha)
“algo que tem” (como um telefone)
“algo que é” (como uma impressão digital)
As directrizes do NIST agora exigem o uso de autenticação multifactor para proteger qualquer informação pessoal que esteja disponível online.

Contudo, há que ter em contar as legítimas preocupações em relação à autenticação por SMS, dado que os canais SMS podem ser atacados por malware e hacks no protocolo SS7. Apesar disso, o SMS ainda é considerado um canal de 2FA seguro, desde que certas precauções sejam tomadas. Se assim for a password pode ser enviada por telegram, whatsapp ou através de um pastebin que se apaga logo que é lido e não tem informação sobre o username a que se refere a password.

Directrizes NIST para Armazenamento de Senhas:

Muitos ataques de segurança não têm nada a ver com passwords fracas e tudo a ver com o armazenamento de passwords pelos autenticadores. Eis as recomendações do NIST para garantir que as passwords sejam armazenadas com segurança.

1. Proteja as Suas Bases de Dados
As passwords dos seus utilizadores serão armazenadas numa base de dados (ou várias). Portanto, para protegê-las, é importante limitar o acesso a essas bases de dados apenas a pessoal essencial.
Além disso, qualquer credencial de autenticação usada pelos administradores desses sistemas deve seguir as directrizes do NIST, uma vez que é assim que os invasores geralmente obtêm acesso.

2. Faça Hash das Senhas dos Utilizadores
Violações de bases de dados com passwords vão, mais cedo ou mais tarde, acontecer. No entanto, é possível proteger os seus utilizadores caso isso ocorra, fazendo hash das suas passwords antes de armazená-las. As directrizes do NIST exigem que as passwords sejam encriptadas com pelo menos 32 bits de dados e hashadas com uma função de derivação de chave unidirecional, como a Função de Derivação de Chave Baseada em Senha 2 (PBKDF2) ou Balloon.
Além disso, recomenda-se um hash adicional armazenado separadamente da password hashada. Dessa forma, mesmo que as passwords hashadas sejam roubadas, ataques de força bruta seriam impraticáveis.

3. Foco na Experiência do Utilizador para Melhorar a Segurança de Passwords:
A cibersegurança e a experiência do utilizador frequentemente estão em desacordo. No entanto, as directrizes de passwords do NIST são bastante claras: uma segurança forte de passwords está enraizada numa experiência do utilizador simplificada. Se os responsáveis de TI das organizações criarem uma experiência do utilizador que usa essa tendência para incentivar comportamentos seguros, esta ajudará a manter os dados da organização mais seguros.

Fonte principal:
https://pages.nist.gov/800-63-FAQ/

Nos últimos dias corre uma campanha de phishing contra vários domínios de mail da Internet portuguesa com especial foco em organizações privadas.

A campanha utiliza o trojan W32/MSIL_Kryptik.HJO.gen!Eldorado.

O malware copia para o disco algumas réplicas de si próprio para:

%AppData%\<ficheiro>.exe
%UserProfile%\<ficheiro>.exe
%AppData%\System.exe
%ProgramFiles%\agp service\agpsvc.exe
%Temp%\<8 números ou letras aleatórias>.dll
sendo que, neste caso, a detecção aponta para que se trate do MSIL/Kryptik.NLA!tr.
%Startup%\42f9bbbeb372df1642d8cb5491f7e711.exe
sendo esta a cópia que vem acima quando o sistema arranca
%Startup%\<letras aleatórias>.url:
este é o ficheiro que executa o malware quando o sistema vem acima.

Sabe-se que, em algumas circunstâncias, o malware se apaga a si próprio depois de executar uma vez (talvez por receber um comando do C&C)

O malware tenta ligar-se subdomains dos
.ddns.net
.dyndns.org
.duckdns.org
.publicvm.com

Tenha em conta que o malware altera as configurações da firewall local.
E que no registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
42f9bbbeb372df1642d8cb5491f7e711 = %AppData%\System.exe
AGP Service = %ProgramFiles%\agp service\agpsvc.exe

Por forma a arrancar a cada user logon

Proteções:
1) Se usa o Sotware Restriction Policies numa Group Policy da sua AD
barre como Additional Rules em Disallowed:
%AppData%\System.exe
%ProgramFiles%\agp service\agpsvc.exe
%Startup%\42f9bbbeb372df1642d8cb5491f7e711.exe

e bloqueie no proxy ou na consola do antivirus os domains:
.ddns.net
.dyndns.org
.duckdns.org
.publicvm.com

As declarações recentes por parte de um dos grupos de ransomware mais ativos: o “Conti group” que opera desde 2020 com o ransomware Ryuk e que está baseado em São Petersburgo (Rússia) de que irá agir contra todos os países que estiverem “contra a Rússia” deveria colocar todos os 46 países que integram a lista oficial “inimigos da Rússia” de sobreaviso.

O Conti não é o único grupo protegido e baseado na Rússia: estima-se que 74% de todo o dinheiro capturado em operações de ransomware acabe em mãos russas e a marca russa parece nítida porque boa parte do software é desenhado para não correr se o computador usar IPs russos e dado o nível muito elevado de actividade destes grupos em grupos de discussão de língua russa. É assim razoável presumir que vão aumentar os ataques a partir do território da federação russa e que Portugal não ficará imune a esta tendência global contra todos os países que se posicionaram contra a “operação especial” na Ucrânia.

Isto significa que as empresas e os cidadãos portugueses se devem preocupar pela primeira fase de uma operação de ransomware: a penetração nos seus sistemas e redes que é feito, por regra, através de Phishing. Para se proteger é possível contratar serviços como os disponibilizados por empresas como a www.mimecast.com ou a www.proofpoint.com que oferece segurança ao email através de protecção avançada contra spam, malware ataques DoS, reescrita de URLs anexados em mensagens de correio electrónico, arquivo de email na cloud em triplicado e em sistemas imutáveis acessíveis por um cliente desktop ou através da web. Mas antes de adquirir serviços deve começar pelos básicos e instruir os seus utilizadores ou familiares a:

1. Terem especiais cuidados com links e anexos em mensagens que têm origem fora da organização ou família
2. Estarem atentos a todas as tentativas de disfarce nos campos de “From:” (por exemplo escrevendo na descrição de um mail externo o mail e nome de alguém da rede local ou da família)
3. A nomes de domain semelhantes mas diferentes daqueles que conhece e usa,
4. e se tem um mail domain próprio à boa configuração dos registos SPF, DKIM e DMARC (que pode avaliar facilmente no https://webcheck.pt/pt)

Adicionalmente e na frente muito importante dos utilizadores da sua rede doméstica ou organizacional:

1. Invista na sua própria formação e na das pessoas que acedem à Internet na sua família e empresa. Para o fazer convide todos a fazer o curso online gratuito “Cidadão Ciberseguro” que está disponível em https://www.nau.edu.pt/pt/curso/cidadao-ciberseguro.
2. Se trabalha numa organização pública ou numa empresa defina um fluxo claro e bem comunicado que os utilizadores possam seguir para reportarem todas as situações que considerem suspeitas: uma caixa de correio, um número de telefone especializado. Na comunicação deixe claro que os utilizadores que usarem este contacto não estão a perder o seu tempo nem o dos técnicos que analisarão cada uma destas situações: pelo contrário: podem salvar a organização de um dano considerável ou, até, fatal. Mais vale gastar alguns minutos a verificar se um email é uma porta de entrada para um ataque de ransomware do que perder dados valiosos para a organização. Pondere um sistema de prémios em vez de punições: elogie que levanta casos suspeitos e permite o barramento de campanhas de phishing. Premeie estas pessoas com destaques na newsletter regular ou através de prémios simbólicos.
3. Faça simulações de campanhas de phishing com ferramentas disponíveis em vários (como as da https://www.titanhq.com) ou através de mensagens de mail desenhadas e criadas por si mesmo que, depois, podem medir quem clicou ou abrir (por exemplo colocando um form de credenciais num apache server controlado por si).

Depois de terem entrado na sua rede através da exploração de uma vulnerabilidade de um dos seus sistemas ou (mais frequentemente) através de um mail de phishing, o hacker vai colocar a correr na máquina ou máquinas comprometidas um “Dropper” um  software encarregue de carregar da Internet o verdadeiro payload do kit. Se entraram, esta será a sua segunda oportunidade para os travar.

1. Comece por ter um bom antivirus (o ranking dos melhores AV gratuitos muda todos os anos:https://www.pcmag.com/picks/the-best-free-antivirus-protection) mas, considere seriamente investir num software pago (que não seja o russo Kaspersky conforme recomendação do EUA desde 2017 e desde 2021 da Alemanha e nomeadamente num dos recomendados neste link: https://www.investopedia.com/best-antivirus-software-5084503).
2. Se tem controlo sobre a sua rede local estude e implemente o Applocker (terá que ter sistemas Windows Enterprise e configurar Group Policies como pode constatar em https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview). Desta forma poderá controlar que aplicações pode e não pode executar na sua rede ou computador e até definir a partir de que paths esses programas podem ser executados (por vezes os hackers usam programas com nomes familiares que são executados a partir de paths não convencionais).
3. Se ainda não tem instale o proxy server (como o gratuito http://www.squid-cache.org) e monitorize os acessos que por aqui passam usando o ficheiro squid.conf para somar URLs que são usados por estes gangs de ransomware.
4. Configure os seus computadores na firewall local ou na firewall da organização para que possam sair para a Internet apenas or HTTP ou HTTPS (ou em qualquer outro protocolo que seja necessário como o FTP ou o SFTP)
5. Se não existe uma razão de negócio ou de trabalho para aceder a TLDs mais usados por gangs de malware barre o seu acesso no squid.conf (ver acima) e que não surgem, frequentemente (como o .com) em acessos legítimos: é o caso de .tk, .cn, .ga, .cf, .tw, .ml, .gq, .icu, .top e .xyz.

6. Use um proxy corporativo: não permita que na sua rede local existam computadores sem VPN, mesmo quando tudo o que acedem está na Internet e tenha um proxy como o Squid (gratuito) que poderá ter, até, um balanceador de carga (gratuito) como o HAproxy. E nesse proxy configure regras de conteúdo. Monitorize e barre acessos a sites perigosos: designadamente redes sociais, sites de partilha de ficheiros ou pornografia.
7. Não permita, por defeito, a execução de macros em ficheiros Office: Actualmente uma das variantes de dropper (um programa malicioso que carrega o malware para o computador ou telemóvel do alvo) usa uma macro de excel dentro de um .zip para criar a sua botnet: Trata-se do ncZip/XLSMDownldr.A.aggr!Camelot.
8. Ligue as firewalls dos computadores. Um dropper terá dificuldades em carregar o seu malware se tiver que lidar com firewalls locais ligadas em cada computador. É desta forma que poderá controlar que aplicações podem aceder à Internet e controlar os script engines e se acedem (ou não) à Internet.

9. Para os computadores Windows da sua rede, use uma Group Policy para que extensões tais como .bat, .js, .vbs, .hta e .ps1 são executadas pelo notepad.exe e não pelo script engine correspondente. Se tiver automatismos eles ficarão quebrados pelo processo mas poderá não usar todas estas extensões e a assim reduz a sua superfície de ataque
10. Instale uma ferramenta como o https://www.activecountermeasures.com/free-tools/rita/ para analisar o seu tráfego de rede em busca de padrões que localizem e identiquem malware activo na sua rede.

Quanto uma rede local fica infectada a infecção começa sempre num único computador e é aqui que pode travar um problema que, muito rapidamente, pode destruir toda a sua rede:
1. Crie formas de impedir o movimento lateral na sua rede: ligue as firewalls dos computadores e impeça os computadores da sua rede de comunicarem entre si. Se tem um servidor na sua rede: ligue a sua firewall e ajuste os recursos a que ele pode aceder. Bloqueie acessos RDP ou SSH que não sejam necessários. Bloqueie acessos a servidores internos (como consolas de servidores virtuais OVM, VMware ou hyper-v) que não sejam necessários aos utilizadores comuns.
2. Se tem um servidor de file share para todos os utilizadores: divida-o por vários (por exemplo: por departamento) e controle o acesso aos mesmos por segmento de rede ou por firewall configuradas para grupos de computadores. Isto pode impedir um malware de sair do departamento ou área que foi inicialmente infectado.
3. Nos file shares evite shares abertos a todos, para escrita, e funcione ou altere os shares com base no princípio de “menor permissão necessária”: isso poderá impedir que muitos ficheiros sejam encriptados por malware. Reveja todos os seus shares de rede e elimine os obsoletos.
4. Controle as credenciais com permissões administrativas na sua rede: Use o LAPS da Microsoft (gratuito) para ter passwords de administração diferentes nas máquinas da sua rede. Como backup crie passwords de administração diferentes em todas as máquinas e guarde-as num ficheiro KeePass. Reduza a quantidade de credenciais de administração ao número mínimo possível e crie alertas para quando são usadas e permita apenas que sejam usadas em certos servidores ou computadores.
5. Separe as contas que usa no dia a dia das contas com privilégios de sistema.
6. Procure manter todos os equipamentos, sistemas e aplicações actualizados e com os patches disponíveis nos fabricantes. Desta forma poderá resolver muitas vulnerabilidades e impedir a entrada do ransomware.

Execute alguns ou todos estes passos e poderá ter a certeza de que a sua rede familiar ou organizacional fica mais protegida contra ramsonware mas tenha sempre a certeza de algo: não há soluções milagrosas e no que respeita a incidentes de cibersegurança há sempre uma certeza: não é o “vai acontecer” que importa é o “quando” e o que vai fazer a este propósito pelo que deve de antecipadamente redigir e testar um plano de resposta e, sobretudo, ter sempre backups offsite regulares (e testados) para os seus ficheiros e sistemas mais críticos.

Em actualização constante AQUI