Eu comecei a trabalhar para a Microsoft!

Estou muito feliz em anunciar que hoje foi meu primeiro dia de trabalho na Microsoft!

Embora o trabalho seja totalmente remoto, optei por trabalhar no escritório da Microsoft Portugal, em Lisboa, no meu primeiro dia.

Conheci alguns dos meus colegas e, felizmente, gostei da ambiente do local de trabalho, com várias pessoas dispostas a ajudar.

Também gostei do espaço: moderno, mas confortável e aconchegante.

Quanto ao trabalho, trabalharei com o Microsoft Defender for Endpoint.

Esperemos que este seja o início de uma longa e produtiva jornada!

Falhas informáticas a nível global devido a uma atualização da CrowdStrike

Hoje assistimos a grandes interrupções na infraestrutura informática a nível global, afetando companhias aéreas, bancos, hospitais, serviços de emergência, empresas de telecomunicações, meios de comunicação, processamento de pagamentos, entre outros. [1] [2]

A causa raiz parece ser uma atualização defeituosa lançada pela CrowdStrike, uma empresa de cibersegurança, para o Falcon Sensor, a sua solução de proteção de Endpoints, que fez com que o muitos computadores bloqueassem e não ligassem corretamente, mostrando um erro ecrã azul (Blue Screen).

Numa situação não-relacionada, os serviços de Cloud do Microsoft Azure também tiveram problemas importantes durante o “problema CrowdStrike”, uma interrupção do Azure na região central dos EUA (ID: 1K80-N_8) – esses problemas com o Azure parecem já estar na sua maioria resolvidos. [3]

Solução para administradores de sistemas

Como os computadores não estão a arrancar, terão de ser intervencionados individualmente.

A solução parece ser:

1. Boot into Safe mode or the Windows Recovery Environment
2. Run the command:
del "C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys"
3. Reboot

Conclusões principais

  • Os fornecedores de software e hardware têm uma grande responsabilidade e devem testar exaustivamente seus produtos – tanto com ferramentas automatizadas quanto manualmente
  • Os fornecedores devem fazer lançamentos graduais de atualizações de software, com monitorização em tempo real para detetar problemas e problemas relatados pelos clientes
  • Não lançar atualizações significativas a uma sexta-feira!
  • Os fornecedores devem fornecer opções ou ferramentas fáceis para controlar as atualizações: atrasar as atualizações por X dias e desactivar completamente as atualizações devem estar ser sempre opções disponíveis para administradores de TI
  • Para as empresas em geral, devem ter mecanismos para atrasar ou aprovar manualmente atualizações para toda a sua infraestrutura de TI – infelizmente isto nem sempre é fácil e depende em grande parte das opções fornecidas (ou não fornecidas) pelos Fornecedores.

Lembre-se que os 3 princípios básicos da Cibersegurança são Confidencialidade, Integridade e Disponibilidade, na procura pela segurança dos sistemas devemos atentos a questões como esta, que acabam por causar tantas interrupções quanto um grande Ciberataque.

Devemos também estar cientes de que a cibersegurança é, em grande parte, uma gestão de riscos e um ato de equilíbrio entre esses três pilares.

Declaração da CrowdStrike

Conselhos da Microsoft para resolver este problema

Workshop – Reverse Engineering de Scripts Maliciosos em Windows

Hoje, no âmbito da Conferência C-Days, participei num Worshop muito interessante, relacionado com engenharia reversa de malware, apresentado por um membro do CERT.PT (Computer Emergency Response Team), parte integrante do Centro Nacional de Cibersegurança.

Descrição

Este workshop oferece uma abordagem prática ao reverse engineering de scripts maliciosos em sistemas Windows, cobrindo JavaScript, VBS e Powershell. Destinado a técnicos da área de cibersegurança, este workshop vai desde análise estática e comportamental até técnicas de desofuscação manual utilizando Python. O objetivo é habilitar os participantes a identificar, analisar e recolher IoCs destas ameaças, capacitando-os assim a mitigar aquela que é uma das tipologias mais comuns de malware utilizadas como vetor de entrada para comprometer organizações.

Conteúdo

  • Strings static analysis with strings, pestr and FLOSS
  • Execute and deobfuscate JavaScript using SpiderMonkey
  • Powershell deobfuscation and debugging with Cyberchef and PS IDE
  • Capturing malware events by tracing AMSI
  • Layout and Data deobfuscation using Python

Certificado de presença.

Pacote de livros sobre Cibersegurança, da Humble Bundle!

ATUALIZAÇÃO: Este pacote já não se encontra disponível!

Neste pacote de livros, da Humble Bundle, pode obter 18 livros relacionados com Cibersegurança, publicados pela Pearson, com tópicos como CompTIA Security+, Network Security, Zero Trust Architecture, Microsoft Sentinel e Microsoft Defender for Cloud.

Lista completa dos livros:

  • CompTIA Security+ SY0-701 Cert Guide
  • Network Security
  • Zero Trust Architecture
  • Cybersecurity Myths and Misconceptions
  • In Zero Trust We Trust
  • Database and Application Security: A Practitioner’s Guide
  • Ransomware and Cyber Extortion
  • Designing and Developing Secure Azure Solutions
  • The Modern Security Operations Center
  • A Practical Guide to Digital Forensics Investigations
  • Data Breaches
  • Microsoft Defender for Cloud
  • Microsoft Sentinel
  • Effective Cybersecurity
  • Information Privacy Engineering and Privacy by Design
  • Building a Career in Cybersecurity
  • Microsoft Azure Network Security
  • Securing 5G and Evolving Architectures

Obtenha o pacote agora! Expira em menos de 48 hours!

Workshop CSIRT-in-a-box

Hoje participei online no Workshop CSIRT-in-a-box, parte do evento CSecurity 2024, uma conferência de Cibersegurança.

Foi uma apresentação interessante, mencionando vários processos e algumas ferramentas relacionadas com a implementação de um CSIRT (Cyber Security Incident Response Team).