Potencial ofensivo do “Hand of Thief” para os sistemas GNU/Linux.

mac_malware

Muito se tem falado a respeito da descoberta recente da RSA, sobre um malware que tem como alvo específico a coleta de dados bancários em sistemas GNU/Linux, sendo possível encontrar notícias espalhadas em sites e blogs americanos, assim como em outros aqui mesmo no Brasil, podendo citar entre eles o techtudo, da Globo.com, e o Info Exame, da Abril. Mas até que ponto este trojan pode mesmo ser uma ameaça a segurança nos sistemas operacionais de código aberto?

Em primeiro lugar, vamos buscar a definição do que é um trojan. Segundo a Cartilha de Segurança para Internet, disponibilizada pelo Cert.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil, um trojan, ou trojan-horse, ou ainda cavalo de troia em uma tradução livre, é:

…um programa que, além de executar as funções para as quais foi aparentemente projetado, também executa outras funções, normalmente maliciosas, e sem o conhecimento do usuário. Estes programas, geralmente, consistem de um único arquivo e necessitam ser explicitamente executados para que sejam instalados no computador. Trojans também podem ser instalados por atacantes que, após invadirem um computador, alteram programas já existentes para que, além de continuarem a desempenhar as funções originais, também executem ações maliciosas“.

Mas segundo a descrição das características do “Hand of Thief”, feita pela própria RSA, este malware apresenta ainda funcionalidades pertencentes a outras classes de softwares maliciosos, como a capacidade de abrir portas de comunicação no sistema infectado para a utilização do atacante, bem como a de socks5 proxy, que é um web proxy com a capacidade de permitir o acesso de um computador externo a Internet utilizando o computador infectado.

Essa funcionalidade é explorada quando o atacante deseja mascarar seu próprio endereço IP durante o acesso a Internet, fazendo com que os sites ou computadores que visite mostre o IP do computador infectado, através do qual ele está acessando a Internet, e não o seu IP real. Além disso, ela também está sendo utilizada no malware para prevenir que o sistema contaminado acesse e utilize os serviços de determinados sites, como os que atualizam as bases de dados dos antivírus instalados e os próprios sistemas operacionais GNU/Linux.

Outras tarefas realizadas pelo trojan são: a captura de dados digitados em formulários em websites, bem como a coleta de cookies nos navegadores web, podendo afetar vários deles como o Mozilla Firefox, Google Chrome, Chromium, Aurora, Ice Weasel, entre outros. O malware também vem “equipado” com ferramentas contra a instalação do mesmo em máquinas virtuais e sandboxes, além de outras que previnem a depuração e análise de seu código, dificultando a pesquisa e a realização de engenharia reversa no mesmo.

Ainda segundo a RSA, esse malware parece ter sido desenvolvido por um time de criminosos cibernéticos de origem russa, que alega ter testado o mesmo em quinze distribuições diferentes, incluindo as populares Ubuntu, Debian e Fedora, abrangendo oito ambientes gráficos, encontrando-se o KDE e o GNOME entre eles.

Como método de infecção, o próprio “serviço de atendimento” da equipe que está vendendo o trojan sugere a engenharia social ou o envio por e-mail, não diferindo dos outros tipos de malware que existem para as várias distribuições GNU/Linux. O valor que o(a) interessado(a) em adquirir este software malicioso terá de desembolsar, é de dois mil dólares americanos, ou mil e quinhentos euros, pelo menos é quanto custa no momento em que escrevo este post.

Após verificarmos a descrição oferecida pela RSA em seu artigo, podemos chegar a algumas conclusões a respeito deste malware:

– Ele tem como alvo principal os(as) usuários(as) de sistemas GNU/Linux no desktop, e não usuários(as) destes sistemas operacionais livres em geral, já que administradores(as) de redes não costumam navegar na Internet utilizando um dos servidores que administram e, embora alguns destes sejam servidores web, não serão contaminados pela ação do(a) usuário(a) da rede que o utiliza para navegar, já que o malware poderá ser instalado e executado apenas na máquina cliente;

– Como em outras variantes de softwares de código malicioso, desenvolvidos para os sistemas GNU/Linux, este também depende da ação do(a) usuário(a) para que se instale e seja executado em seu sistema.

Portanto, embora as habilidades ofensivas demonstradas pelo trojan sejam impressionantes, ele ainda depende da inocência, ou boa vontade, do(a) usuário(a) para que se torne efetivo, e mesmo assim ele só poderá ser executado com os privilégios que este(a) usuário possua no sistema, podendo ser bastante limitados, dependendo de qual seja o(a) usuário(a) ativo(a) no momento da possível contaminação, e de como o sistema está configurado.

Como medidas de proteção a serem tomadas contra este malware, e tantos outros, pode-se aplicar algumas, tanto do lado do(a) usuário(a) comum como do(a) administrador(a) de redes, entre elas:

– Baixar e instalar um software antivírus, como AVG Linux Server, ClamAV, entre outros, mantendo-os sempre atualizados;

– Baixar, instalar e executar softwares como chkrootkit e Rootkit Hunter, que buscam por possíveis malwares do tipo rootkits em seu sistema;

– Ter a certeza de que o firewall Netfilter/Iptables está sendo executado para proteger conexões às faixas de endereço em IPV4 e IPV6;

– Executar o SELinux ou o AppArmor  para assegurar-se de que os arquivos do sistema estejam marcados como seguros;

– Checar os aplicativos do sistema, utilizando o o recurso de confirmação da soma do MD5 dos mesmos, procurando verificar se algum deles foi alterado;

– Executar o Logwatch para monitorar, e armazenar em arquivos de log, os acessos realizados ao sistema;

– Executar o Faillog para verificar possíveis tentativas de acesso não autorizadas ao sistema, o Logwatch pode prover informações similares;

– Somente execute aplicações essenciais ao seu sistema, remova aquelas que não utilize e não instale ou execute aplicações originárias de fontes não confiáveis;

– Cheque periodicamente as configurações de firewall e/ou de sistemas de detecção e prevenção de intrusão presentes em seu sistema;

– Realize treinamentos entre os(as) administradores(as) de rede, além é claro do restante do pessoal para a correta configuração dos sistemas e prevenção de incidentes de segurança.

Estas são apenas algumas sugestões para quem deseja fortalecer a segurança em sistemas sob sua responsabilidade, podendo ser tomadas outras providências de acordo com cada necessidade. Com certeza esta última recomendação é a mais importante, quando se trata da segurança em sistemas operacionais GNU/Linux. Todas as aplicações acima podem ser configuradas para serem executadas em momentos pré-determinados, e regulares, utilizando-se para isso os agendamentos no Cron.

E, especificamente com relação ao trojan “Hand of Thief”, seus próprios desenvolvedores, com o intuito de protegerem o código que desenvolveram, forneceram mais uma arma para que você não seja contaminado, mesmo que mande executar o trojan a partir de um site ou e-mail recebido, bastando que realize o acesso a sua conta bancária, ou a outros sites que tenham igual valor para você, através de um sistema operacional GNU/Linux virtualizado, ou seja, executando a partir de uma máquina virtual, assim o sistema de proteção que implementaram, prevenindo que o mesmo possa ser instalado em uma virtual machine, torna inútil o investimento que algumas pessoas mal intencionadas realizaram, na tentativa de enriquecerem facilmente. Até a próxima! 🙂

Navegação super segura na web

www

Este título, referente a um texto publicado na CIO, chamou a minha atenção. Será realmente possível? Acho muito difícil que venha a ser algum dia, porém os comentários e possíveis métodos de navegação que minimizem a possibilidade de quebra na segurança, levantados no texto, são bem plausíveis. Vamos a eles.

Primeiro o autor aponta os dois principais tipos de ataque a navegadores. O primeiro refere-se àqueles que alvejam explicitamente o browser de internet, e incluem:

Cross Site Scripting, no qual o atacante ilicitamente insere código malicioso em uma página em que o usuário confia, e que portanto o seu navegador automaticamente executa.

Cross Site Request Forgery, no qual o atacante insere código em uma página que lhe permite enviar comando no nome da vítima, usando o navegador desta, para outra página web, como por exemplo a de um banco ou outro alvo compensador.

Click-jacking, ataque no qual programadores maliciosos carregam botões escondidos em um site e nos quais o usuário pode inadvertidamente clicar.

Ataques que alvejam os navegadores geralmente utilizam páginas ou links enganosos para redirecionar as conexões das vítimas, com o objetivo de sequestrar sessões abertas do navegador, instalar programas no computador vitimado ou mesmo realizar transações, como o envio do web mail da vítima para o atacante.

O segundo tipo de ataque já não se concentra somente no navegador mas no sistema como um todo, buscando brechas que possam estar relacionadas a programas desatualizados ou com falhas de segurança que nele possam estar instalados. Estes ataques tiram vantagem de vulnerabilidades que permitam a ação de vírus, worms ou acessos remotos.

Para uma defesa mais eficaz, o autor sugere uma estratégia de proteção multi-nível. Como é um analista de segurança ele, muitas vezes, tem de se infiltrar em lugares um tanto inóspitos para que possa se manter atualizado com as mais recentes formas de ataque sendo disseminadas na web, e portanto também sofre ataques voluntários para que facilitem o aprendizado. Seu método de proteção em diversas camadas pretende controlar os danos ao mesmo tempo em que amplia seu conhecimento.

Mesmo não sendo da área não significa que você também não possa aproveitar as dicas por ele oferecidas, e nada melhor do que aprender com que já está na luta pela segurança a mais tempo que nós. Sim isso vale também para mim. Afinal não se aprende tudo na faculdade e, em tecnologia, o avanço tende quase sempre a trazer novas vulnerabilidades e dores de cabeça.

Voltando ao assunto, o autor realiza a prevenção através da utilização de vários navegadores, sistemas operacionais e softwares de apoio à segurança. Na linha destes softwares ele cita a utilização do 1Password, programa que gera e armazena senhas de forma centralizada, dificultando assim  a captura das mesmas em caso de quebra na segurança.

Por esta dica vemos que ele utiliza o sistema operacional Mac OS, e não há disponibilidade do software citado para os sistemas GNU/Linux, mas existem substitutos livres ou comerciais que realizam as mesmas funções do 1Password, são eles: KeePassX, LastPass, Passpack Online Password Manager, Password Gorilla e o Sxipper. Além de versões para GNU/Linux estes também disponibilizam outras para uso on-line, com Windows ou mesmo o Mac OS.

Além desse cuidado ele recomenda a utililização de múltiplos navegadores e até variados sistemas operacionais para cada tipo de navegação, por exemplo um para acesso a bancos ou para realizar compras pela internet, outro para acesso a contas de e-mail e um terceiro para navegação aleatória por sites que não podemos garantir a segurança. Como recursos extras ele também sugere a utilização de complementos como o NoScript e o Adblock Plus, que podem ser instalados no navegador Firefox e que bloqueiam a execução de JavaScripts, Java, Flash, entre outros conteúdos dinâmicos, permitindo assim o controle sobre a execução dos mesmos.

Para uma segurança ainda maior pode-se utilizar múltiplos sistemas operacionais, e para isso os softwares que permitem virtualização são os indicados, como os citados VMware Fusion, Parallels ou ainda o VirtualBox, que particularmente uso com frequência. Assim garante-se mais uma camada de isolamento, caso um sistema operacional virtualizado venha a ser comprometido tecnicamente não afetaria o hospedeiro. Outro recurso interessante é a utilização de LiveCD’s e o autor cita o Incognito Linux. Devo confessar que desconhecia a sua existência, mas não há nada que um download não pssa remediar. 🙂

Além de todas as recomendações citadas no artigo devo acrescentar as mais básicas, como a atualização constante dos navegadores, complementos a eles adicionados, sistemas operacionais, gerenciadores de máquinas virtuais, e etc, além da instalação e configuração de firewall, anti-virus, entre outros. Assim podemos dizer que estaremos relativamente seguros quando de nossas andanças pelo mundo virtual da internet. Caso desejem ler o artigo original, basta acessar a sua página no site CIO.

Criador do Netscape inicia desenvolvimento de novo navegador

www

O criador do antigo Netscape, navegador de Internet, está por trás de uma nova empresa que promete lançar um browser diferente de todos os atuais. Marc Andreesssen e alguns parceiros são os fundadores da RockMelt, empresa que será a responsável pelo novo browser. Segundo ele, “Existe todo tipo de coisas que você pode fazer diferente se está construindo um navegador do zero”.

O site da empresa não faz referência alguma sobre o andamento do desenvolvimento do novo browser, mas em entrevista ao New York Times ele afirma que o mesmo está em “estágio muito básico” e por isso não haveria “nada a dizer sobre ele por enquanto”.

Marc tem um histórico de sucesso com relação aos negócios. Depois de ter vendido a Netscape para a AOL, que veio a descontinuá-lo oficialmente em março do ano passado, ele formou a Opsware Inc., companhia líder de mercado em software de automação de data center’s, porteriormente vendendo-a à HP por aproximadamente 1,6 bilhão de dólares. Agora com a expansão do mercado de navegadores e a diminuição da hegemonia do Internet Explorer, que enfrenta concorrentes de peso como o Mozilla Firefox, Google Chrome, Apple Safari, entre outros, Marc acredita que seja a hora de retornar ao mercado que ele impulsionou nos anos 90.

Para receber informes atualizados sobre a empresa, e o andamento do novo browser, basta informar seu e-mail no cadastro que pode ser feito na página da mesma. Para maiores informações acessem o site da InformationWeek. Desejo sucesso ao Marc em mais essa iniciativa. 🙂