Eu comecei a trabalhar para a Microsoft!

Estou muito feliz em anunciar que hoje foi meu primeiro dia de trabalho na Microsoft!

Embora o trabalho seja totalmente remoto, optei por trabalhar no escritório da Microsoft Portugal, em Lisboa, no meu primeiro dia.

Conheci alguns dos meus colegas e, felizmente, gostei da ambiente do local de trabalho, com várias pessoas dispostas a ajudar.

Também gostei do espaço: moderno, mas confortável e aconchegante.

Quanto ao trabalho, trabalharei com o Microsoft Defender for Endpoint.

Esperemos que este seja o início de uma longa e produtiva jornada!

Windows 11, versão 24H2, já disponível!

A Microsoft acabou de lançar a nova versão do Windows 11, versão 24H2!

Esta atualização vai estar gradualmente disponível nos computadores com o Windows 11, ou pode ser instalada de raiz.

Os ISOs e o Media Creator (para criar o instalador USB) podem ser transferidos aqui:

https://www.microsoft.com/en-us/software-download/windows11

How to get new experiences for Windows 11

New experiences coming to Copilot+ PCs and Windows 11

Windows 11, version 24H2 security baseline

Windows 11, version 24H2: What’s new for IT pros

Administrative Templates (.admx) for Windows 11 2024 Update (24H2)

Group Policy Settings Reference Spreadsheet for Windows 11 2024 Update (24H2)

Criei uma ferramenta para corrigir o incidente CrowdStrike!

Acabei de lançar uma ferramenta para corrigir os problemas da atualização recente do CrowdStrike.

Isso ajuda a eliminar os ficheiros problemáticos e é simples de usar, para que possa ser usado por pessoal de TI júnior.

A aplicação é feito em Object Pascal, com o IDE Lazarus, e estou a publicar livremente, como código aberto.

Características

  • Simples e intuitivo
  • Capacidade de primeiro verificar os arquivos problemáticos (C-00000291*.sys), sem alterar nada no sistema
  • Remoção com 1 clique dos arquivos problemáticos
  • Capacidade de ativar e desativar o modo de segurança do Windows – tanto no aplicativo quanto no ISO inicializável do WinPE
  • Não requer o uso de linha de comando
  • Funciona totalmente offline e não entra em contato com nenhum servidor (por exemplo, não “liga para casa”)
  • Gratuito e de código aberto

Como utilizar

1. Arrancar em modo de Segurança ou com o Windows Recovery Environment
2. Executar a aplicação e clicar "FIX IT"
3. Re-inicar

Download

Download versão 1.04 (64 Bits)

100% limpo no VirusTotal

SHA-1 Hash: CA9E87F62404E73C27CE1823ED808E8C516AEA0A

Código fonte

Falhas informáticas a nível global devido a uma atualização da CrowdStrike

Hoje assistimos a grandes interrupções na infraestrutura informática a nível global, afetando companhias aéreas, bancos, hospitais, serviços de emergência, empresas de telecomunicações, meios de comunicação, processamento de pagamentos, entre outros. [1] [2]

A causa raiz parece ser uma atualização defeituosa lançada pela CrowdStrike, uma empresa de cibersegurança, para o Falcon Sensor, a sua solução de proteção de Endpoints, que fez com que o muitos computadores bloqueassem e não ligassem corretamente, mostrando um erro ecrã azul (Blue Screen).

Numa situação não-relacionada, os serviços de Cloud do Microsoft Azure também tiveram problemas importantes durante o “problema CrowdStrike”, uma interrupção do Azure na região central dos EUA (ID: 1K80-N_8) – esses problemas com o Azure parecem já estar na sua maioria resolvidos. [3]

Solução para administradores de sistemas

Como os computadores não estão a arrancar, terão de ser intervencionados individualmente.

A solução parece ser:

1. Boot into Safe mode or the Windows Recovery Environment
2. Run the command:
del "C:\Windows\System32\drivers\CrowdStrike\C-00000291*.sys"
3. Reboot

Conclusões principais

  • Os fornecedores de software e hardware têm uma grande responsabilidade e devem testar exaustivamente seus produtos – tanto com ferramentas automatizadas quanto manualmente
  • Os fornecedores devem fazer lançamentos graduais de atualizações de software, com monitorização em tempo real para detetar problemas e problemas relatados pelos clientes
  • Não lançar atualizações significativas a uma sexta-feira!
  • Os fornecedores devem fornecer opções ou ferramentas fáceis para controlar as atualizações: atrasar as atualizações por X dias e desactivar completamente as atualizações devem estar ser sempre opções disponíveis para administradores de TI
  • Para as empresas em geral, devem ter mecanismos para atrasar ou aprovar manualmente atualizações para toda a sua infraestrutura de TI – infelizmente isto nem sempre é fácil e depende em grande parte das opções fornecidas (ou não fornecidas) pelos Fornecedores.

Lembre-se que os 3 princípios básicos da Cibersegurança são Confidencialidade, Integridade e Disponibilidade, na procura pela segurança dos sistemas devemos atentos a questões como esta, que acabam por causar tantas interrupções quanto um grande Ciberataque.

Devemos também estar cientes de que a cibersegurança é, em grande parte, uma gestão de riscos e um ato de equilíbrio entre esses três pilares.

Declaração da CrowdStrike

Conselhos da Microsoft para resolver este problema

Irei trabalhar para a Microsoft!

Estou bastante feliz em anunciar que hoje assinei contrato de trabalho com a Microsoft!

Irei trabalhar em Cibersegurança, como Engenheiro de Suporte, fornecendo apoio técnico e consultoria relacionada com o Microsoft Defender for Endpoint, a clientes na Europa, Médio Oriente e África (EMEA).

Estou também feliz por saber que a certificação Certified Ethical Hacker me ajudou a conseguir este trabalho – era uma das qualificações pretendidas no anúncio de emprego!

Começarei em menos de 1 mês, a trabalhar para a Microsoft Portugal, e certamente terei mais novidades em breve!

C-Days 2024 – 10 anos de sucessos em Cibersegurança!

Terminou hoje a conferência sobre Cibersegurança C-Days 2024, evento no qual tive a honra de participar.

Foram 3 dias muito interessantes, repletos de palestras e workshops, em Coimbra, cidade universitária, marcando os 10 anos da existência do Centro Nacional de Cibersegurança!

Destaques:
• Uma novidade será a introdução de uma especialização em Cibersegurança, por parte da ordem dos engenheiros, sendo alguns dos requisitos, que o engenheiro esteja registado na Ordem, e que possua 10 anos de experiência na área de Cibersegurança
• Falou-se também das “terras raras”, matérias primas essenciais aos componentes electrónicos, e de como a união Europeia está a tentar diversificar o fornecimentos desses materiais, que hoje em dia ainda são extraídos e processados maioritariamente na China
• Foi também falado sobre como se tornar um profissional da área da Cibersegurança, aprendendo sobre os vários tópicos: Redes e protocolos de redes, Programação e Scripting, criptografia, Legislação e Conformidade
• Relativamente a ferramentas a aprender: O wireshark, nmap, metasploit, nessus, splunk e wazuh. Essencialmente, é uma área onde é necessário ter um conhecimento bastante variado e transversal e muita informação pode ser obtida gratuitamente.
• Já no último dia, tive oportunidade de participar no Workshop relativo ao “Esquema de Certificação da Conformidade com o Quadro Nacional de Referência para a Cibersegurança” que será uma certificação voluntária e opcional para as empresas, sendo complementar a outras certificações, como a ISO 27001.
• E por fim, também tive oportunidade de participar no Workshop “Reverse Engineering de Scripts Maliciosos em Windows”, onde podemos utilizar a distribuição de Linux, REMnux e algumas ferramentas como o comando “strings” e “PEstr” para perceber melhor o conteúdos de executáveis maliciosos. Analisámos também scripts VBS, Powershell, Javascript e PHP.

Em conclusão, foi um evento que valeu muito a pena, e espero voltar para a próxima edição, que será realizada no Centro de Congressos do Estoril, de 25 a 27 de Junho de 2025

Workshop – Reverse Engineering de Scripts Maliciosos em Windows

Hoje, no âmbito da Conferência C-Days, participei num Worshop muito interessante, relacionado com engenharia reversa de malware, apresentado por um membro do CERT.PT (Computer Emergency Response Team), parte integrante do Centro Nacional de Cibersegurança.

Descrição

Este workshop oferece uma abordagem prática ao reverse engineering de scripts maliciosos em sistemas Windows, cobrindo JavaScript, VBS e Powershell. Destinado a técnicos da área de cibersegurança, este workshop vai desde análise estática e comportamental até técnicas de desofuscação manual utilizando Python. O objetivo é habilitar os participantes a identificar, analisar e recolher IoCs destas ameaças, capacitando-os assim a mitigar aquela que é uma das tipologias mais comuns de malware utilizadas como vetor de entrada para comprometer organizações.

Conteúdo

  • Strings static analysis with strings, pestr and FLOSS
  • Execute and deobfuscate JavaScript using SpiderMonkey
  • Powershell deobfuscation and debugging with Cyberchef and PS IDE
  • Capturing malware events by tracing AMSI
  • Layout and Data deobfuscation using Python

Certificado de presença.