Técnica que oculta informações roubadas em imagens cai no gosto dos crackers

Durante a análise de diversas campanhas de espionagem e crimes virtuais, os pesquisadores da Kaspersky Lab identificaram uma nova tendência preocupante: hackers estão usando cada vez mais a esteganografia, a versão digital de uma técnica antiga para ocultar mensagens em imagens de modo a encobrir as pistas de sua atividade maliciosa no computador invadido.

Recentemente, foram descobertas várias operações de malware voltadas à espionagem virtual e diversos exemplos de malwares criados para roubar informações financeiras que utilizam essa técnica.

Da mesma forma que nos ataques virtuais direcionados típicos, o agente da ameaça, depois de invadir a rede atacada, se estabelece e coleta informações valiosas para depois transferi-las para o servidor de comando e controle (C&C). Na maioria dos casos, as soluções de segurança confiáveis ou as análises de segurança feitas por profissionais são capazes de identificar a presença do agente da ameaça na rede em cada estágio do ataque, inclusive durante a extração de dados. Isso porque, durante a extração, são deixados rastros, como o registro de conexões com um endereço IP desconhecido ou incluído em listas negras. No entanto, quando se usa a esteganografia, a tarefa de detectar a extração de dados torna-se complicada.

Nesse cenário, os usuários maliciosos inserem as informações que serão roubadas diretamente no código de um arquivo comum de imagem ou de vídeo, que é então enviado para o servidor C&C. Dessa forma, é pouco provável que esse evento acione qualquer alarme de segurança ou tecnologia de proteção de dados. Após a modificação pelo invasor, a própria imagem não é alterada visualmente; seu tamanho e a maioria dos outros parâmetros também permanecem iguais e, assim, ela não seria motivo de preocupação. Isso torna a esteganografia um método lucrativo para os agentes mal-intencionados como opção de extração de dados de uma rede invadida.

Nos últimos meses, os pesquisadores da Kaspersky Lab observaram pelo menos três operações de espionagem virtual que utilizam essa técnica. E, mais preocupante, ela também está sendo ativamente adotada por criminosos virtuais regulares, além dos agentes de espionagem virtual. Os pesquisadores da Kaspersky Lab detectaram sua utilização em versões atualizadas de cavalos de Troia como o Zerp, ZeusVM, Kins, Triton e outros. A maioria dessas famílias de malware, de modo geral, visa organizações financeiras e usuários de serviços financeiros. Isso pode ser um indício da iminente adoção dessa técnica em grande escala pelos criadores de malware, o que tornaria a detecção do malware mais complexa.

“Embora não seja a primeira vez que observamos uma técnica maliciosa originalmente usada por agentes de ameaças sofisticadas encontrar espaço no cenário do malware convencional, o caso da esteganografia é especialmente importante. Até o momento, não foi descoberta uma forma segura de detectar a extração de dados conduzida dessa maneira. As imagens usadas pelos invasores como ferramenta de transporte das informações roubadas são muito grandes e, embora haja algoritmos que poderiam indicar o uso da técnica, sua implementação em grande escala exigiria enorme capacidade de computação e seus custos seriam proibitivos”, explica Alexey Shulmin, pesquisador de segurança da Kaspersky Lab.

Por outro lado, observa o pesquisador, é relativamente fácil identificar uma imagem “carregada” com dados sigilosos roubados pela análise manual. Esse método, no entanto, tem limitações, pois um analista de segurança seria capaz de analisar um número muito limitado de imagens. “Talvez a resposta esteja na mistura dos dois. Na Kaspersky Lab, usamos uma associação de tecnologias de análise automatizada com o conhecimento humano para identificar e detectar esses ataques. Contudo, essa área ainda deve ser aperfeiçoada, e o objetivo de nossas investigações é chamar a atenção do setor para a questão e impor o desenvolvimento de tecnologias confiáveis, mas financeiramente viáveis, que permitam a identificação da esteganografia nos ataques de malware”, completa Shulmin.

Fonte: Computer World

Empresas brasileiras “escondem” invasões e ataques cibernéticos

O Relatório Global de Fraude & Risco, publicado anualmente pela Kroll, consultoria especializada em gestão de riscos e investigações corporativas, constata que  aproximadamente uma a cada quatro empresas (23%) sofreu nos últimos 12 meses pelo menos uma violação de sistema resultando em perda de dados de clientes ou funcionários. O problema é o segundo maior fator de vulnerabilidade – atrás apenas da infestação por vírus/worms – e o quarto mais recorrente no mundo empresarial.

O estudo entrevistou cerca de 550 executivos dos mais diferentes setores em todo o mundo que são responsáveis ou que influenciam diretamente as decisões quanto a programas e estratégias de segurança e combate a fraudes. A segurança cibernética, aliás, é a mais ameaçada. Ataques, roubos ou perda de informações sigilosas foram reportados por 85% dos respondentes, a maior taxa de incidência no mesmo período. Chama também a atenção o fato de que a maioria desses eventos se dá por vulnerabilidade de software, meio citado por 26% dos participantes.

“As ameaças atingiram um alto grau de sofisticação e seguirão evoluindo. Às empresas, cabe buscar estar sempre um passo à frente ou pelo menos ao lado na gestão de seus riscos”, afirma Fernando Carbone, diretor sênior da Kroll no Brasil e especialista em segurança da informação.Na prática, porém, não é isso o que tem ocorrido. Apesar da ostensiva pressão de criminosos, o contingente de negócios desprotegidos é ainda significativo.  De acordo com o relatório, 30% das organizações não tinham um plano de resposta a incidentes cibernéticos atualizado nos últimos 12 meses antes da consulta.

Isso mesmo considerando o impacto potencial que um evento cibernético pode causar aos cofres e à reputação empresarial. Devido ao prejuízo econômico gerado pelos ataques cibernéticos, a imprensa noticiou que o Yahoo! vendeu seus ativos à operadora de telecomunicações Verizon por US$ 350 milhões a menos do que a pedida original. Pelo acordo, a companhia de mídia ainda mantém corresponsabilidade legal e regulatória por possíveis ações judiciais decorrentes da violação.

Para Carbone, o quadro no país é ainda mais crítico porque diferentemente de nações como Estados Unidos e Inglaterra, as empresas brasileiras não têm a obrigatoriedade legal de reportar a autoridades invasões e ataques a bancos de dados e matrizes tecnológicas. “Acaba sendo um atenuante que afrouxa o rigor com a detecção de incidentes e, em última instância, tem reflexos na percepção da ameaça. ”

Por aqui, a incidência de problemas cibernéticos foi de 76%, ou nove pontos percentuais menor que a média global. Já a violação de sistemas resultando em perda de dados de clientes ou funcionários é apenas o penúltimo fator de vulnerabilidade, citada por 38% dos gestores locais, contra 52% no resto do mundo. “No atual cenário, a postura preventiva e conscienciosa é a mais vantajosa. Do contrário, perdem todos na cadeia de negócios”,completa Carbone.

Fonte: Convergência Digital

ProxyHam, o modem “caixa preta” que esconde o IP do usuário

proxyhamAté que ponto nossa privacidade é realmente protegida em ambiente online? Discussões acaloradas acerca deste tema pipocam aos montes internet afora; medidas que tentam proteger usuários de olhos curiosos também são listadas aos borbotões. Fato é que o rastreamento do endereço de IP é feito corriqueiramente, o que pode revelar a localização do internauta.

Mas e se uma camada física capaz de ofuscar a localização do hardware de proxy pudesse ser acoplado a um modem? Foi justamente essa a ideia de Bem Caudill, que, ao desembolsar cerca de US$ 200, construiu o que tem chamado de ProxyHam. O dispositivo é um open source que se conecta a redes WiFi e faz a transmissão do sinal de internet por ondas de rádio de 900 MHz. O alcance pode atingir um raio de 4 km, dependendo da interferência gerada por edificações.

Significa que, se o rastreamento for feito, somente a caixa ProxyHam será encontrada – o dispositivo é um tipo de “modem remoto” e não revela a localização real do usuário. Conforme explica Caudill, que trabalha como pesquisador na empresa de consultoria Rhino Security Labs, a invenção burla os métodos tradicionais de localização de IP devido à sua natureza remota. “A vantagem de ProxyHam é que você pode estar em um café ou em algum outro lugar remoto sem realmente estar lá”, diz.

Segundo o especialista, ferramentas de VPNs ou o software Tor podem não proteger o anonimato do internauta – malwares para o controle desses serviços são capazes de informar a um hacker o verdadeiro endereço de IP utilizado. O rastreamento do modem remoto não condenaria a identidade e localização do computador, enfatiza ainda Caudill. “A KGB não vai bater em sua casa. Eles vão é chutar a porta de uma biblioteca, por exemplo, que está a 4 km de distância”, brinca.

De acordo com o inventor, versões futuras do aparelho vão contar com sistemas inteligentes de tentativas de rastreamento; a ideia é transformar o dispositivo em um tipo de “caixa preta” que até mesmo gravaria arquivos do áudio ambiente quando estivesse prestes a ser desativado.

Caudill pretende disponibilizar via internet tutoriais sobre como construir um ProxyHam em casa. “Jornalistas e dissidentes dos países árabes, por exemplo. Essas pessoas têm de enfrentar condições de segurança muito duras. Esse é o último esforço para que permaneçamos anônimos e seguros”, finaliza.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo