Todos os posts tagados pdf

Mahdi infeta sistemas informáticos no Irão

por David Sopas em 17 de Julho de 2012 em Artigos com 0 comentários Tweet
Mahdi infeta sistemas informáticos no Irão

Depois do Duqu, Stuxnet, Flame, aparece um novo spyware, que tem como principal alvo o Irão, está a ser trabalho de investigação por parte da Kaspersky e da Seculert (empresa de segurança em Israel).

Mahdi, nome baseado no título de alguns ficheiros encontrados neste malware, faz também referência ao profeta Messias mas na realidade o malware tem como objectivo apenas sacar ficheiros PDF, Excel e documentos Word das máquinas comprometidas. Estes formatos geralmente utilizados para informações confidenciais como por exemplo: mapas, planos, relatórios, etc.).

Este malware, que segundo os especialista não é muito sofisticado, é atualizado via servidores C&C (Command & Control) tanto para inserir novos métodos de invasão como para monitorizar teclas pressionadas e gravar audio.

O grande alvo parece ser o Irão mas já foram encontrados servidores em Israel com o mesmo problema.

O procedimento do Mahdi é muito simples. O utilizador clica num documento ou PDF malicioso, um executável é carregado na máquina deste que posteriormente cria um backdoor. Esse backdoor estabelece uma ligação com um servidor C&C para descarregar outros componentes.

Os temas escolhidos nos documentos/PDFs maliciosos são relacionados com o Islão em forma de vídeos, imagens, screensavers, etc. O objetivo é que o utilizador não perceba que está a ter a máquina comprometida e posteriomente a ser utilizada como máquina zombie para futuras tarefas por parte do Mahdi.

A primeira variante encontrada do Mahdi foi encontrada em dezembro de 2011, mas a data de compilação de alguns ficheiros do malware apontam para uma data de criação de setembro de 2011.

Ainda não existe qualquer referência se este malware foi patrocinado por algum governo. Algumas pistas levam a pensar num vasto investimento e um suporte financeiro considerável.
Será o Mahdi mais uma ferramenta de um governo cujo objetivo é roubar informação confidencial e causar dano em infra-estruturas sensíveis?

Podem acompanhar o desenvolvimento do Mahdi no blogue da Seculert e no blogue da Kaspersky.

Investigadores apontam falhas de segurança nos PDFs

por David Sopas em 22 de Fevereiro de 2011 em Curtas, Notícias com 0 comentários Tweet

No TeK:

Um estudo divulgado hoje conclui que o PDF, considerado o mais popular dos formatos utilizados para publicação de documentos digitais, apresenta características que podem colocar “sérios problemas de segurança e privacidade” tanto a autores como a leitores do ficheiro.

A conclusão é de um grupo de investigadores da Faculdade de Informática da Universidade Politécnica de Madrid (Espanha), cujas preocupações se localizam a dois níveis: dados relativos a quem envia o documento, que acompanham o ficheiro enviado através da Internet, e a informação sobre o leitor, que é exposta de cada vez que o documento é descarregado e aberto.

O tema não é novo e ainda em Dezembro tinha sido objecto de uma apresentação na conferência internacional Chaos Communication Congress por parte de uma especialista em segurança da empresa FireEye, que apontou várias falhas de segurança ao formato da Adobe, algumas delas em consonância com as agora expostas. O acesso a diferentes níveis de informação era uma delas.

De acordo com a equipa da universidade espanhola, os documentos publicados neste formato podem incluir dados sensíveis, como o nome do autor, a localização do ficheiro no seu computador ou mesmo partes do documento que tinham sido apagadas antes da sua publicação.

Informações como o nome do utilizador ou a data em que o documento foi editado pela última vez editado, usadas pelas aplicações de leitura ou edição deste formato para melhorar a experiência do utilizador, podem representar uma ameaça à segurança dos autores, principalmente porque não sabem que estão a dar acesso a este tipo de informação, alertam os investigadores.

A possibilidade de aceder ao texto eliminado acontece porque as aplicações para criação de PDFs não apagam efectivamente a informação de cada vez que um parágrafo é eliminado, optando antes por marcá-lo como “invisível”. Desta forma, embora programas de leitura não mostram o texto que foi apagado quando o documento é aberto para leitura, esta encontra-se lá e “pode ser acedida por um utilizador malicioso que saiba onde procurar”, explica-se em comunicado. No âmbito da investigação, foram desenvolvidas várias ferramentas capazes de extrair informação que normalmente não está acessível através dos leitores comuns, acrescentaram.

Para os leitores, a abertura de um ficheiro pode implicar a exposição do endereço de IP do computador, o nome do utilizador ou, “potencialmente”, de outros dados armazenados no PC onde se abre o documento.

O risco fica a dever-se a algumas funcionalidades das aplicações que conferem interactividade ao documento, como a ligação a um site ou dispositivo de armazenamento de dados que podem ser activadas quando o ficheiro é aberto para leitura.

O utilizador devia ser avisado dos riscos, mas o estudo revelou que muitas das destas acções, especialmente quando os documentos são abertos a partir do browser, são levadas a cabo sem pedir autorização ou notificar o leitor.

Os investigadores fazem notar, no entanto, que consideram o PDF um “formato poderoso e um poderoso meio de partilha de documentos”, constituindo o presente estudo apenas uma tentativa de alertar os utilizadores que estejam consciente dos riscos e tomem precauções para minimizar os riscos.

Nova edição da revista Hakin9

por David Sopas em 12 de Janeiro de 2011 em Artigos, Curtas com 0 comentários Tweet

Esta nova edição conta com as previsões para 2011 ao cibercrime e ciberguerra.
Podem descarregar aqui a edição em PDF.

Entrevista com… Peleus Uhley

por David Sopas em 16 de Novembro de 2010 em Entrevistas com 1 Comentário Tweet

Quem é Peleus Uhley? É a pergunta que lhe deve estar a passar pela cabeça.

Peleus é um dos analistas de segurança da equipa de engenharia de software de segurança da Adobe - ASSET e conta com constantes presenças nos maiores eventos de segurança do planeta (ex: Defcon, AppSec, etc.).

A sua principal área de actividade na Adobe, passa por assegurar que os produtos da empresa sejam desenhados, programados e validados segundo as melhores práticas de segurança.

Antes de entrar para a Adobe em 2007, Peleus começou na indústria de segurança como programador para a Anonymizer, Inc., e mais tarde, passou a ser um consultor de segurança para empresas como a @stake e a Symantec.

Apesar de ser uma pessoa bastante ocupada, o Peleus teve a disponibilidade de responder algumas das minhas questões com bastante clareza, promovendo q.b. a segurança da Adobe.

Saliento dois aspectos. A explicação em detalhe do processo de resolução e tratamento de uma falha num produto da Adobe, e o novo projecto da empresa para combater falhas nos documentos PDF utilizando técnicas de sandboxing.

Podem consultar a entrevista aqui. (em inglês)

Gostaria de agradecer ao Peleus Uhley pela participação no projecto WebSegura.net e à Wiebke Lips pela extrema rapidez e simpatia que demonstrou neste processo.

PDF XSS (CVE-2010-0190)

por David Sopas em 9 de Setembro de 2010 em Artigos, Curtas com 0 comentários Tweet

Excelente artigo sobre falhas XSS em ficheiros PDF que foram reportados por Billy Rios e já corrigidos pela Adobe.

Uma interessante vertente de como este tipo de ataque poderá afectar os ficheiros PDF e como podem ser utilizados para aumento de privilégios.

Leitura obrigatória.

← Mais antigos