Todos os posts tagados portugal

17.000 dispositivos vulneráveis a ataques em Portugal

ntp_map_portugal_2

Com base nos últimos artigos que tenho escrito, tanto no WebSegura, como no Tek Sapo, decidi obter mais informação sobre algumas falhas em routers em Portugal. Foquei-me inteiramente nos protocolos NTP e SSDP, visto serem neste momento bastante utilizados como plataforma para amplificação de ataques DDoS.

Nesta investigação, e com dados recolhidos entre os dias 11 e 12 deste mês no projeto ShadowServer Foundation, concluí que existem cerca de 17.491 dispositivos alegadamente vulneráveis a ataques NTP e SSDP/UPnP em Portugal.

No topo dos ISPs com mais dispositivos vulneráveis, está a VODAFONE, logo seguido pela MEO e a TVCABO.

Elaborei dois gráficos para melhor ilustrar os ISPs afetados em Portugal.

TOP10 dos ISPs vulneráveis ao NTP em Portugal

grafico_ntp

Num total de 12010 ocorrências [o gráfico apenas ilustra o total do Top10] – https://ntpscan.shadowserver.org/

TOP10 dos ISPs vulneráveis ao SSDP em Portugal

ssdp_portugal_grafico

Num total de 5481 ocorrências [o gráfico apenas ilustra o total do Top10] – https://ssdpscan.shadowserver.org/

Só para ter ideia do tipo de amplificação dos ataques SSDP, se for feito um pedido de 64 bytes ao serviço, a resposta é de 3283 bytes. Ou seja, uma amplificação de cerca de 50x.
Geralmente os utilizadores maliciosos utilizam pedidos M-SEARCH numa determinada gama de IPs. Se o dispositivo SSDP/UPnP responder ao pedido com a descrição do dispositivo, então está vulnerável. Com base nestas respostas, os utilizadores elaboram uma lista de dispositivos vulneráveis para posteriormente criarem botnets ou booters.

O projeto Shadowserver Foundation tem como objectivo pesquisar e identificar dispositivos com os serviços NTP e SSDP abertos e disponíveis.
Posteriormente contatam os responsáveis para uma resolução.

Gostava também de salientar que o Brasil é atualmente o 8º país no mundo com mais dispositivos NTP abertos (118.030 ocorrências) e 7º em relação ao SSDP (395.251 ocorrências). De facto são números assustadores.

Embora os utilizadores possam, na maioria dos casos, recorrer ao painel de administração dos dispositivos e desligar os serviços que que não utiliza, o papel deveria ser implementado pelo ISPs. Uma pequena GRANDE atenção que os ISPs poderiam dar aos seus clientes, seria fornecer um manual de segurança ou uma newsletter mensal [ou imediata assim que aparecer uma falha crítica] com informação de segurança, qualquer um deles seria positivo para uma web mais segura.

Pharma Hack em Portugal

online_pharma_portugal

Pharma Hack é um termo associado por especialistas de segurança informática para definir um tipo de ataque muito ligado ao blackhat SEO.
O objetivo do Pharma Hack é efetuar vendas de produtos farmacêuticos (Viagra, Cialis, Zoloft, etc) utilizando sites comprometidos para promover a loja ilegal em resultados no Google. Quanto mais referências houver, mais sobe no rank do Google. Quantos mais sites comprometidos com a referência a esse site, mais este sobe no ranking do Google aumentando a possibilidade de ser encontrado nos motores de busca e por sua vez efetuar mais vendas.

Para quem desconhece, este tipo de atividade criminosa online é muito frequente. Os utilizadores maliciosos comprometem um site e apresentam páginas de venda de fármacos online – geralmente programas de afiliados ligados a redes criminosas de larga escala. É um negócio que atrai muitos utilizadores que têm dificuldades em adquirir produtos farmacêuticos e que preferem correr o risco de comprar algo que pode não ser realmente o que pensam que é.

Estas farmácias online, são geralmente promovidas por diversas vias:

  • Por envio massivo de SPAM (cerca de 250 mil milhões de mensagens por dia – o que equivale a 40% do spam mundial)
  • Por comprometer sites e criar reencaminhamentos
  • Por utilizar spamdexing, onde os utilizadores comprometem um site popular e criam links e palavras referentes ao site malicioso (casos semelhantes já foram divulgados pelo WebSegura.net, como foi no passado nos sites do Governo Civil de Coimbra  e no Taguspark)

viagra_email

Em Portugal, numa breve pesquisa no motor de busca Google, é possível reparar na quantidade de sites comprometidos com reencaminhamentos para farmácias ilegais. Nos sites comprometidos é possível encontrar câmaras municipais, sites de universidades, associações, pequenas empresas e sites pessoais.
Muitas das entidades provavelmente nem sequer sabem que estão alojar este tipo de atividade, muito devido ao low-profile destes ataques.
Já encontrei situações em que o reencaminhamento para o site da farmácia era só válido se o tráfego de referência fosse um motor de busca. Ou seja, se um utilizador entrasse diretamente no site afetado não iria ver o ataque.
Por vezes também é possível verificar um controlo por geo-localização em que apenas são permitidos visitantes estrangeiros. Isto é efetuado com limites aplicados à gama de IP nacionais no ficheiro .htaccess. Apenas os visitantes fora dessa gama é poderiam ver o ataque/reencaminhamento.

google_pharma_hack_portugal

Alguns exemplos destes sites de Pharma Hack atualmente presentes em sites comprometidos portugueses:

medshop24.net
canadian-overnite.com
canadian-pharmacy-24.com
canadapharmacy24h.com
hqpills.net
awc-drugstore.com

De referir que muitos destes sites, entre os quais indicados acima, distribuem malware. Mais propriamente supostas atualizações de Flash e payloads Java que incluem software malicioso. Por isso, não devem visitar os websites.

De salientar a referência ao Canadá em alguns domínios. Este país é conhecido pela liberalização na comercialização de determinados medicamentos, que juntamente com preços atrativos, é a escolha perfeita de muitos utilizadores, principalmente oriundos dos EUA. Este país vizinho, onde os produtos farmacêuticos são caros e necessitam quase sempre de prescrição médica, é um dos principais clientes deste tipo de negócios.
Os utilizadores maliciosos sabendo disto, utilizam o nome do Canadá para dar alguma credibilidade ao negócio. No entanto, maioria destes medicamentos são oriundos de países como China, Índia e Paquistão. De referir que estes fármacos, muito provavelmente, não têm qualquer controlo de qualidade e higiene. Existem mesmo relatos de medicamentos comprados nestas lojas online que continham elementos prejudiciais à saúde. Desde vestígios de pó-talco, giz, gasolina, cola, etc…

Dos sites portugueses afetados, é possível observar que muitos são sites Joomla!, WordPress  e outros CMS que provavelmente estão desatualizados e alegadamente vulneráveis a intrusões.

O seu site foi comprometido com Pharma Hack?

Ficam aqui algumas dicas, baseadas na minha experiência, para uma possível deteção deste problema:

  • Verificar alterações no código-fonte e/ou a existência de novos ficheiros
  • Verificar os DNS do domínio
  • Estar atento ao .htaccess e os php.ini
  • Em caso de CMS, verificar plugins modificados (em Portugal reparei diversos plugins modificados para integrar os reencaminhamentos para os sites maliciosos)

codigo_frame_pharmacy

No entanto, recomendo sempre o recurso a um profissional da área.

Contatei o Infarmed para obter algumas informações adicionais mas até à data do artigo não obtive quaisquer declarações:

Quais os riscos de saúde para um cidadão que compre medicamentos em lojas ilegais de venda de produtos farmacêuticos?

Informamos que em Portugal, só as farmácias e os locais de venda de medicamentos não sujeitos a receita médica que estejam registados no Infarmed, podem aceitar encomendas de medicamentos através da internet, de forma segura, nomeadamente por se garantir que a dispensa dos medicamentos é feita pelos profissionais habilitados, que o transporte dos medicamentos é feito em condições controladas e que, no ato da entrega, são prestadas as informações necessárias à toma do medicamento.

Mais informamos que o Infarmed não autoriza a importação de medicamentos para uso pessoal, devido a não existir suporte legal e aos possíveis riscos para a saúde dos consumidores, por não estarem garantidas as condições de segurança, qualidade e eficácia exigíveis para um medicamento, quer durante o processo de aquisição, quer durante o próprio transporte.

Assim, os consumidores só podem adquirir medicamentos nas farmácias (comunitárias e hospitalares) e nos locais de venda de medicamentos não sujeitos a receita médica (MNSRM).

O Infarmed tem algum departamento que pesquisa e analisa este tipo de atividade online?

Informamos que a Direção de Inspeção e Licenciamentos deste Instituto, analisa este tipo de atividade online e atua de acordo com as suas competências.

Queria concluir que não encontrei estas lojas ilegais em língua portuguesa. Apenas em inglês, espanhol, alemão, francês e italiano. No entanto, conforme demonstrado neste artigo, Portugal está a servir de catalisador para este tipo de atividade ilícita. É necessário estar atento.

Mais 2 sites governamentais hackados

Mais 2 sites governamentais hackados

O site do GID – Gestão Integrada da Saúde – gid.min-saude.pt e o site da Associação na Hora – associacaonahora.mj.pt foram comprometidos por um defacer indonésio intitulado de d3b~X.

O deface (desfiguração) ainda está online e pode ser visto nas seguintes páginas:

http://gid.min-saude.pt/nyet.gif
http://www.associacaonahora.mj.pt/nyet.gif

Ambos os sites já estão indexados no Zone-H como deface em http://zone-h.org/mirror/id/22340152http://zone-h.org/mirror/id/22340076.

O defacer obteve permissão para fazer o upload de imagens e enviou a seguinte mensagem:

Hacked by d3b~X

Este utilizador malicioso é conhecido, tal como podemos confirmar na conta Twitter do mesmo, por fazer upload de sistemas de backdoor. Esta operação permite que fique uma “porta aberta” para futuras intrusões.

Informação confidencial pode ter sido comprometida e só após verificações de segurança é que se pode chegar a uma conclusão dos danos deste ataque a estes sites governamentais.

Convém referir que, até à data deste artigo, na página principal não foi encontrado malware.

Depois dos ataques lançados pelos Anonymous Portugal, penso que é mais um aviso para os responsáveis de sites críticos para investirem em segurança e desta forma salvaguardar a informação que poderá afectar todos os portugueses.

Relatório global do Facebook sobre pedidos governamentais

Relatório global do Facebook sobre pedidos governamentais

O Facebook publicou o relatório dos pedidos que recebeu para informações de utilizadores por parte dos governos.
Neste relatório consta que o governo de Portugal obteve cerca de 42% dos dados que requisitou (Número total de pedido: 177 Pedidos de informação sobre utilizadores/contas: 213).

Esses pedidos incluem:

Os governos pedem ao Facebook e a muitas outras empresas informação sobre contas no âmbito de investigações oficiais. A grande maioria destes pedidos está relacionada com casos criminais, como roubo ou rapto. Em muitos destes casos, estes pedidos governamentais pretendem obter informação básica sobre subscritores, como o nome, a morada e a duração do serviço. Outros pedidos também podem visar os registos de endereços de IP ou até mesmo o conteúdo de contas. Implementámos normas rigorosas para lidar com todos os pedidos de dados por parte dos governos: https://www.facebook.com/safety/groups/law/guidelines/

No top 5 dos países com maior número de pedidos estão:

  1. Estados Unidos (11.000 a 12.000)
  2. India (3.245)
  3. Reino Unido (1.975)
  4. Alemanha (1.886)
  5. Itália (1.705)

Loja da Unicef em Portugal comprometida

Loja da Unicef em Portugal comprometida

O defacer KriptekS desfigurou a loja da Unicef em Portugal. Este defacer tem presentemente diversos ataques no Zone-H (89.946), alguns deles de renome – como por exemplo a sites como o Google.pk, Apple.pk, HP.pk entre outros.

A página modificada no unicef.pt tem um código HTML para redirectionar para o endereço de um mirror do Zone-H, mais propriamente um deface à Unicef.hr:

<h1>hacked</h1> <br>
<meta http-equiv=”refresh” content=”0;URL=http://zonehmirrors.org/defaced/2013/05/23/www.unicef.hr/
trabzonx.html”>

De referir que o site unicef.pt já tinha sido comprometida em Maio de 2012 – http://zone-h.org/mirror/id/17629041, mas provavelmente a porta-de-entrada foi outra.

Esta intrusão pode levar phishing de dados de pagamento ou mesmo propagação de malware em nome da Unicef. Esperemos que a situação seja rapidamente resolvida.

Enviei um alerta à Unicef em Portugal e estou ainda aguardar feedback em relação a esta intrusão.