Malware vs Criptografia: um embate sem fim?

malwareO crescimento da utilização da criptografia como mecanismo de garantia de privacidade está criando condições perfeitas para que criminosos virtuais consigam ocultar suas ameaças, dificultando, inclusive, a detecção das mesmas em meio aos dados criptografados, revela estudo divulgado pela Blue Coat.

O uso da criptografia em uma ampla variedade de sites, tanto em sites de empresas como para os pessoais, aumenta na mesma proporção em que cresce a preocupação com a privacidade pessoal na rede. Da lista dos Top 10 sites do mundo elaborada pela serviço de monitoramento Alexa, da Amazon, oito utilizam a criptografia SSL na totalidade ou parte de seus sites.

Por exemplo, grandes companhias como Google, Facebook e a própria Amazon mudaram para um sistema de “HTTPS forçado” que protege todos seus dados em trânsito usando criptografia SSL. “O grande desafio da criptografia é a falsa sensação de segurança que ela passa. As ameaças que conseguem se instalar nestes dados codificados dificultam a possibilidade de serem identificadas pelos sistemas de segurança”, afirma Marcos Oliveira, gerente geral da Blue Coat no Brasil.

Como resultado, a criptografia acaba permitindo que ameaças ultrapassem os mecanismos de segurança de rede e possibilite que dados corporativos vazem dentro das empresas. Em um período típico de sete dias, o Blue Coat Labs, o laboratório global de segurança da companhia, recebeu mais de 100 mil pedidos de clientes para análise de segurança sobre sites que usam o protocolo de criptografia HTTPS para comando e controle remoto de malwares.

A crescente utilização de criptografia significa que muitas empresas não são capazes de controlar as informações corporativas que entram e saem de suas redes, criando um ponto cego crescente para as empresas. Em um período de 12 meses, a partir de setembro de 2013, entre 11% e 14% das solicitações de informações de segurança que os pesquisadores da Blue Coat receberam a cada semana estavam perguntando sobre sites criptografados.

Aplicações essenciais no cotidiano das empresas, como armazenamento de arquivos, buscas, além de soluções de cloud e mídias sociais, vêm utilizando a criptografia como meio de proteção de dados. No entanto, a falta de visibilidade do tráfego SSL representa uma vulnerabilidade potencial em muitas empresas onde usos benignos e hostis do SSL são indistinguíveis para muitos dispositivos de segurança.

Como explica o ultimo relatório de segurança da Blue Coat, denominado “Bloqueio de Visibilidade”, o tráfego criptografado se tornou mais popular entre os cibercriminosos porque:

Os ataques de malwares que usam a criptografia como esconderijo não precisam ser complexos, já que os operadores destas ameaças acreditam que a criptografia impede a empresa de visualizar o ataque;

Perdas significativas de dados podem ocorrer como resultado de atividades maliciosas por parte de invasores, que podem facilmente transmitir informações confidenciais ou sensíveis;​​

Pela simples combinação de websites de curta duração, chamadas “Ameaças de Um Dia” (One-day Wonders), com a criptografia e executando malwares de invasão e/ou roubo de dados através de SSL, as organizações podem ser totalmente incapazes de visualizar que está acontecendo um ataque, sendo impossibilitadas de prevenir, detectar ou responder. As vulnerabilidades são um risco crescente. Especialistas da IBM dão dicas de como enfrentar as vulnerabilidades. Saiba mais.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Convergência Digital

App do site Puush instala malware em atualização automática

puush_malwareO site Puush, que oferece uma plataforma para compartilhamento de imagens de captura de tela, informou que a versão r94 do seu aplicativo, distribuída por atualização automática neste domingo (29), infectou o computador dos usuários com uma praga digital para roubo de senhas. O programa malicioso foi incluído na atualização por um invasor que conseguiu acesso ao sistema que distribui o software.

O Puush é usado para agilizar a criação e compartilhamento de capturas de tela. O aplicativo facilita a captura e envio imediato da imagem, oferecendo um link que pode ser repassado por qualquer meio.
De acordo com os administradores da página, nenhuma outra informação foi comprometida no ataque. A versão mais recente do aplicativo, a r100, inclui uma ferramenta que remove os arquivos criados pela praga digital.
Para quem não quer continuar usando o programa depois da invasão, o site oferece uma ferramenta de limpeza avulsa (baixe aqui).

O programa malicioso foi desenvolvido para roubar senhas armazenadas no computador e transmiti-las para o invasor. De acordo com o Puush, a praga reúne as senhas armazenadas no computador – tais como as senhas de navegadores web -, mas a transmissão delas ainda não foi confirmada em testes feitos pelos desenvolvedores do serviço. É possível que o código tenha algum erro de programação.

O site recomenda que usuários troquem qualquer senha importante por precaução. O Puush é oferecido para Windows, Mac OS X e iPhone, mas apenas a versão para Windows foi infectada.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: G1

Novo malware utiliza roteadores para se disseminar

novo_malwareUm novo malware descoberto pela equipe do Ara Labs invade o seu computador de uma forma curiosa: ele utiliza roteadores para se espalhar e, uma vez instalado, envia publicidades indesejadas de forma extrema às páginas visitadas pelas vítimas durante a navegação.

Os criminosos utilizam configurações sequestradas do número de DNS dos roteadores, uma técnica conhecida desde 2013. Em seguida, eles substituem as palavras-chave do Google Analytics por pornografia e publicidade de games e serviços.

O problema estaria na configuração dos próprios eletrônicos, que utilizam automaticamente o mesmo DNS fornecido pelo roteador — que não faz ideia de que houve o sequestro, claro. Ou seja, você estará conectado a um servidor falso sem qualquer pista de que isso aconteceu e toda a sua navegação vai passar por esse código, que faz a ponte entre o PC e os domínios a serem visitados.

Aplicando o golpe

A invasão do adware nos navegadores acontece por meio de uma falha no Javascript. No processo, a vítima visita um site e, em vez de carregar os códigos do Analytics tradicional, ativa uma página falsa da ferramenta, injetando a publicidade na página aberta. Ressaltamos que essa não é uma falha no serviço da Google: ele foi escolhido como “arma” somente por ser bastante popular.

No golpe, o DNS primário é alterado para 91.194.254.105, enquanto o DNS secundário é o mesmo da Google (8.8.8.8). Já o IP do Analytics falso é 195.238.181.169, nada relacionado com a Google.

Agradecemos ao Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fontes: Tecmundo e Ara Labs

LightEater: malware que pode infectar milhões de Bios mundo afora

BiosOs pesquisadores Corey Kallenberg e Xeno Kovah revelaram na conferência de segurança intitulada CanSecWest informações sobre o LightEater, ameaça que pode infectar BIOS em todo o mundo de forma bem fácil, sem que o atacante possua conhecimentos técnicos para realizar a ação, basta apenas que ele obtenha acesso à máquina.

O LightEater se aproveita de vulnerabilidades na BIOS para criar um SMM (System Management Mode), e poder escrever novas instruções no Kernel da BIOS e enviá-los ao processador, fazendo com que a maioria dos PCs não iniciem mais (Só para constar essa vulnerabilidade vinha sendo explorada a algum tempo atrás pela NSA). Com a criação do SMM, por parte do LightEater o atacante conseguirá ter direitos administrativos elevados em questões relacionadas à gestão de energia, componentes do sistema, e assim por diante.

O malware tem a capacidade de deixar o computador completamente inutilizável, e como afeta diretamente a BIOS, não importa qual sistema operacional esteja sendo utilizado, e a reinstalação desse SO não irá resolver o problema.

Caso não seja resolvido podemos esperar uma epidemia de BIOS sendo prejudicadas, já que os fabricantes utilizam os mesmo códigos para diferentes BIOS UEFI, significando que todas as linhas de placas podem vir a ser contaminadas.

Aliás, o UEFI BIOS é uma verdadeira maravilha em nível de funcionalidades em relação a BIOS convencional, mas por outro lado pode ser um poço de problemas como relatam os pesquisadores, eles dizem que a BIOS UEFI é praticamente um sistema operacional em miniatura, e é invisível aos programas antimalware do PC. Ao tomar o controle dele, é possível subverter as suas funções, e com o LighEater também seria possível obter o acesso direto aos dados da memória, podendo realizar a extração de chaves criptográficas, senhas e outros dados.

Nenhuma empresa está imune ao problema, placas-mãe da ASUS, Gigabyte, MSI, e etc estão correndo esse risco. Em entrevista ao The Register Xeno Kovah explica que o problema é muito grande, porque muitas pessoas não se preocupam em atualizar a BIOS da placa-mãe, e com uma BIOS desatualizada o malware pode facilmente vir a se instalar facilmente.

A pesquisa revelou que a BIOS da Gigabyte era muito insegura, e é justamente essa marca que enfatiza em algumas de suas placas, o conceito de dual BIOS.

Os pesquisadores Kallenber e Kovah demonstraram durante a apresentação uma grande variedade de computadores sendo comprometidos pelo LightEater, e eles estão comercializando as ferramentas de diagnóstico para os fabricantes, a fim de ajudá-los a pesquisar tais vulnerabilidades e e consequentemente os patches de correção.

Agradecemos ao Paulo Sollo, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Guia do Hardware e The Register

Malware contamina smartphones com link falso do WhatsApp

whatsapp_scamEmbora o recurso de ligação através do Whatsapp já esteja liberado para alguns usuários, uma grande parcela de quem utiliza o comunicador ainda não tem acesso à novidade. Essa brecha está permitindo que malwares infectem centenas de contas do aplicativo.

Para usufruir do recurso é preciso receber um convite ou uma chamada de alguém que já tenha o “voice call” ativado no aplicativo. O vírus está se espalhando com velocidade pois promete desbloquear o recurso com um link falso, que na verdade é um link publicitário. Assim que é acessado, o link infecta o smartphone da vítima e envia o mesmo link para 10 pessoas da lista de contatos.

Muitas pessoas estão divulgando seus números pessoais em chats e fóruns na web na esperança de receber ligações ou convites para ativar o recurso. Isso facilita o envio de links fraudulentos por criminosos que estão de olho nas brechas do mundo digital.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Olhar Digital

Microsoft colaborou com eliminação de malware em PCs da Lenovo

lenovoNo mês passado, a Lenovo se envolveu em uma polêmica por instalar o Superfish – que injeta anúncios no navegador e consegue espionar conexões seguras – em alguns de seus laptops. A empresa se desculpou, e até a Microsoft agiu, lançando uma atualização para o Windows Defender que remove o malware. Agora, parece que ele morreu de vez.

A PCWorld estima que o Superfish foi removido de cerca de 250.000 PCs só com a ferramenta da Microsoft. O malware afetava apenas laptops da Lenovo voltados para clientes não-empresariais – a linha ThinkPad saiu ilesa – vendidos entre setembro de 2014 e fevereiro de 2015. Ainda assim, a Microsoft precisou agir.

Afinal, o Superfish usava um método para exibir anúncios que acabava expondo os usuários: através do mau uso de certificados HTTPS, ele permitia que hackers roubassem credenciais de login ou espionassem sua atividade na web.

No auge das remoções, havia 60.000 casos por dia de laptops detectados com o Superfish. Duas semanas depois, isto já se aproximava de zero:

graficoA Lenovo interrompeu em janeiro a instalação do Superfish em novos PCs, pediu desculpas pelo ocorrido e lançou uma ferramenta de remoção automática do malware.

E mais: a Lenovo também promete que vai acabar com o bloatware em seus computadores. Normalmente, laptops com Windows vêm com diversos programas inúteis porque a fabricante recebe dinheiro por isso – é uma forma de ampliar um pouco as finas margens de lucro dos PCs.

Mas dado que a Lenovo é a maior fabricante de PCs do mundo, talvez eles não precisem tanto dessa grana adicional. Isso também ajuda a limpar a imagem da empresa. Ela disse em um comunicado em fevereiro:

“Estamos começando imediatamente, e quando lançarmos nossos produtos com Windows 10, a nossa imagem padrão vai incluir apenas o sistema operacional, o software necessário para fazer o hardware funcionar bem (por exemplo, quando incluirmos hardware único em nossos dispositivos, como uma câmera 3D), software de segurança e apps da Lenovo. Isso deve eliminar o que a nossa indústria chama de “adware” e “bloatware”.”

Só precisou de um escândalo para fazer uma fabricante desistir do bloatware. Espero que outras empresas sigam o exemplo – mas sem pré-instalar malware em PCs, de preferência.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Gizmodo e PCWorld

99% dos smartphones infectados com malware rodam o Android

android_malwareNão há dúvidas de que a marca de 1 bilhão de smartphones com Android vendidos em 2014 foi enorme para a Google. Porém, ser o sistema operacional com mais usuários também significa ser o mais visado por hackers e vírus. É isso que faz os aparelhos com Android representarem 99% dos smartphones infectados com vírus no mundo inteiro, de acordo com pesquisa da empresa de telecomunicações Alcatel-Lucent.

Também foi revelado que os criminosos buscam principalmente dados pessoais e informações financeiras guardados nos dispositivos móveis. Para o estudo, foram utilizadas informações coletadas pelas redes de telefonia celular.

A Alcatel-Lucent diz que 0,68% dos dispositivos móveis estão infectados com malware. Mesmo assim, essas taxas estão crescendo. Os 3 principais vírus são Adware.Uapush, Trojan.Ackposts e SMSTracker. Eles geralmente estão escondidos em aplicativos que parecem ser legítimos.

“O mais importante é o fato de que existe menos controle – você baixa os aplicativos de uma loja de terceiros e existe pouquíssimas verificações das assinaturas digitais”, diz Kevin McNamee, diretor dos Motive Security Labs, da Alcatel-Lucent.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Adrenaline
Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 543 outros seguidores