Planos da NSA incluiam controlar a Google Play Store

smartphone

Para aqueles que se interessam por segurança, a ideia de ter uma Play Store ou um iTunes  controlado por um agente como uma NSA ou uma GCHQ não é novidade. Isto porque ambos estes repositórios somam milhões de aplicações, com poucas ou nenhumas verificações extra de segurança, permitindo qualquer developer com intenções menos boas de espalhar aplicações com purpósitios maliciosos. Com dezenas de milhões de utilizadores de smartphones a ligarem-se todos os dias e a instalar novas aplicações, a probabilidade de um agente malicioso comprometer um grande número de utilizadores é grande.

Com isto, não é surpresa que a NSA tenha feito planos para tomar controlo da Play Store da Google.

O plano, elaborado em workshops próprios frequentados por membros dos países Five Eyes (EUA, Canada, Reino Unido, Nova Zelândia e Australia) consistia em infectar os smartphones com implantes maliciosos que iriam colecionar dados privados dos utilizadores. O ataque seria feito interceptando as ligações entre os smartphones e os servidores das apps stores da Google e da Samsung.

O documento explica que o objectivo é não só o de colecionar informação mas também de usar esses dispositivos infectados como plataformas de “desinformação”, enviando informação falsa e manipulada para os contactos do utilizador.

A motivação para este ataque surge no contexto da utilizadação de redes sociais e serviços P2P (i.e. a informação está descentralizada) que dificulta em muito a censura de informação. Um exemplo é o uso do Twitter no movimento Arab Spring.

Mais uma vez, a divulgação destes documentos permite nos desvendar um pouco da mentalidade por de trás das grandes agências de segurança internacionais. Ao mesmo tempo, dá nos também a consciencia da importância de uma sociedade onde a informação seja trocada livremente, sem censura nem alguma espécie de controlo ou monitorização. Para isso, para além dos processos e mecanismos que tem de existir para controlar aqueles que nos controlam (i.e. governo) têm paralelamente de existir soluções tecnológicas que nos permitam caminhar para esse futuro. Um exemplo disso é o Tor, uma ferramenta para navegar de forma anónima e segura na Internet, longe dos olhos indiscretos dos mais poderosos.

M

Original

Botnet Beebone derrubada por uma equipa internacional

police

Uma operação conjunta entre agências Americanas e Europeias derrubaram o que se considera uma Botnet altamente sofisticada que infectou mais de 12 mil de computadores por todo o mundo, permitindo aos piratas roubar dados bancários e outro tipo de informações sensíveis.

Foi em conjunto que agências Norte Americanas, Inglesas e da União Europeia trabalharam para confiscar o servidor que operava o Beebone (também conhecido como AAEH)

Apesar do método de operação ser semelhante a outros, o Beebone tinha características únicas que o tornavam muito difícil de detectar, quando acedia ao computador das vítimas descarregava diverso malware como ransmwares e rootkits sem o consentimento das mesmas.

O tamanho da rede não é era relevante, o problema consistia na forma como conseguia manter-se activo e o método usado para angariar cada vez mais vítimas para a sua rede, sendo um sofware polimórfico tornava muito difícil a sua detecção por antivírus.

Um facto curioso era a quantidade de vezes que se actualizava, chegando a ser 19 vezes por dia, tornando esta Botnet única neste aspecto.

Apesar do numero reduzido de infecções comparando com outras segundo a Europol existiam mais de 5 milhões de amostras num total de 23 mil computadores infectados retiradas entre os anos 2013 e 2014 espalhados por 195 países.

Até ao momento não foram encontrados os responsáveis.

Cloud da MEO usada para armazenar malware

cld_malware

Os serviços Cloud da MEOcld.pt – estão a ser utilizados para armazenar conteúdo malicioso.
Deste malware de banking até malware de spyware. São inúmeros os ficheiros que praticamente são catalogados pela base de dados de malware Clean-MX.

Alguns nomes dos ficheiros:

extrato_debitos_ir-receita.docs.zip
relatorio_receita_ir_extrato.zip
debitos_receita_relatorio_ir.zip
debitos_pendentes_relatorios_ir-receita.zip
Debitos_pendentes_Receita_IRPF.xls.zip
Setup%20MultiMinecraft2%20-%20(v2.3.7).exe
Nfe.220109390029304940292049.xls.doc.zip

Na maioria dos casos os ficheiros aparentam ser emails de phishing para clientes brasileiros dado que o IR ou IRPF encontrado no nome de alguns ficheiros são a Declaração de Renda da Pessoa Física no Brasil.

Fica aqui um exemplo de uma análise a um dos ficheiros:
https://malwr.com/analysis/NjZiMGUzMWZmMTAwNGY5NTkyODQ4YTdkMmEwZTM2ODE/

Tal como o Dropbox é utilizado para a mesma via maliciosa também a Cloud portuguesa não foge a regra.

Desde o inicio do ano que estão catalogados 25 endereços no Clean-MX por alojar malware mas deverão ser muitos mais.
Fiquem atentos!

Universidade Nova de Lisboa aloja página de Phishing

ataque_alerta

Recentemente publiquei que a Universidade do Porto estava alojar uma página de Phishing.
Hoje deparei-me com um alerta de uma nova universidade com uma página de Phishing ao Yahoo.

Desta vez trata-se da página do Estudo Interdisciplinar de Comunidades Alto Medievais – http://eicam-iem.fcsh.unl.pt/. Este site é um projecto centrado na região de Viseu, desenvolvido no âmbito do Instituto de Estudos Medievais da FCSH/UNL. É também financiado pela Fundação Calouste Gulbenkian.

eicam-iem.fcsh.unl.pt/wetindeyhappen/Indezx.html

A página de Phishing mostra uma cópia da página de autenticação do Yahoo! onde a vítima ao enviar o seus dados, está a enviar um pedido ao script PHP alojado no servidor loja – Loginc.php que envia um email com os dados para o utilizador malicioso.

yahoo_phishing

Um pouco estranho é que a página está alojada no wix.com.

Até à data deste artigo, a página de Phishing ainda está online.

Segurança na plataforma Android

web-android

Olá a todos. O WebSegura lançou-me o desafio de falar um pouco sobre segurança na plataforma Android.

Os comentários seguintes vou baseá-los na minha experiência profissional enquanto Penetration Tester na Integrity S.A, onde muito frequentemente faço análise de aplicações mobile, bem como enquanto power user, dado que é a minha plataforma de eleição nos meus dispositivos móveis.

Confio na plataforma, considero que tem implementado um conjunto de mecanismos que garantem um bom nível de segurança para o utilizador, dos quais destaco o Application Sandboxing.

Imaginemos o cenário em que uma aplicação maliciosa tem como objectivo extrair informação do utilizador para o exterior. Sem o mecanismo de sandboxing, essa aplicação poderia facilmente navegar pelo sistema de ficheiros de outras aplicações e extrair essa informação sem o utilizador ter qualquer noção. Passo a detalhar o mecanismo.

O sistema automaticamente associa um user ID (UID) a cada nova aplicação no momento da sua instalação e a execução da aplicação é feita num processo dedicado associado ao seu UID. É também atribuída uma directoria dedicada no sistema de ficheiros onde apenas a aplicação em causa tem permissões de leitura e escrita. Cada directoria é criada com o nome do package da aplicação em notação reverse domain name, por exemplo: com.android.email. Podemos encontrar cada uma dessas directorias no sistema de ficheiros em /data/data/.

data_data

Com estes dois mecanismos as aplicações estão isoladas tanto ao nível do processo (cada aplicação é executada no seu processo) bem como ao nível do sistema de ficheiros (cada aplicação possui uma directoria própria), fazendo com que desta maneira uma aplicação maliciosa não possa interagir com outras aplicações ou aceder aos seus dados directamente.

android

Mas nem tudo são coisas boas.

Existem claro excepções à regra, quando por exemplo, aplicações mal desenhadas expõem métodos sem as devidas restrições, que permitem outras aplicações acederem ás suas funcionalidades e dados, invalidando o modelo de sandboxing. Outro exemplo serão também aplicações maliciosas que exploram falhas no sistema e que lhes permite escalar privilégios para root e aí têm capacidade de fazer bypass ao modelo de sandboxing, dado que o utilizador root terá privilégios sobre todo o sistema de ficheiros.

Existe a questão da fragmentação das versões dos sistemas operativos, na qual os fabricantes têm a sua quota parte de responsabilidade, fazendo com que versões de sistema operativos mais recentes não cheguem a certos equipamentos, apesar de a nível de hardware serem capazes de suportar versões mais recentes, fazendo com que milhares de equipamentos estejam vulneráveis a certo tipo de falhas que foram corrigidas em versões superiores. O controlo / validação por parte da Store no momento em que novas apps são submetidas necessita de ser melhorado e mais eficaz, de modo a que o número de apps maliciosas reduza. Dado esse controlo por vezes não ser eficaz, o utilizador tem um papel muito importante.

Para além de todas as seguranças que o fabricante possa implementar, o utilizador deve utilizar outro mecanismo de segurança que se chama Bom Senso.
Antes da instalação de qualquer tipo de app, há que analisar o tipo de permissões que são necessárias para a mesma, o tipo de reviews, perceber quem é a entidade que está responsável pela app e até uma pesquisa rápida por vulnerabilidades que possam ser conhecidas naquela app e depois dessa análise usar o bom senso e decidir se a relação risco / benefício é aceitável.É preciso bastante cuidado também com as fontes de onde são instaladas estas aplicações. Instalação de apps provenientes de outras apps stores onde possa não haver controlo e validação do seu conteúdo bem como de apps de fontes desconhecidas é bastante perigoso.

Espero que tenha ajudado a compreender um pouco mais como funciona a plataforma. Nunca é de mais repetir que independentemente de todas os mecanismos de segurança que possam existir, há que haver uma análise cuidada da nossa parte antes de qualquer instalação.

Para todos os que gostariam de aprofundar conhecimento na plataforma Android e em especial no tema da segurança, aconselho a leitura dos livros Android Hacker’s Handbook e Android Security Internals. À data da escrita deste artigo estamos a dias da disponibilização de outro livro, o The Mobile Application Hacker’s Handbook, que pelo conteúdo e pelos colaboradores no livro será sem dúvida obrigatório.