Stegware: quando as imagens são usadas para esconder malwares

A esteganografia é a prática de ocultar dados dentro de outros textos ou dados, e tem sido amplamente utilizada há séculos, desde os antigos gregos escondendo mensagens em tabletes de cera, agentes escondendo a informação do inimigo em ordens escritas em bonecas durante a Segunda Guerra Mundial, até prisioneiros de guerra piscando em código morse para transmitir uma mensagem

img 1581027458039322 temproario

German Lancioni (*)

E como dizem por aí, tudo o que é antigo volta novamente, e os cibercriminosos agora estão abraçando o stegware, uma operação maliciosa envolvendo a esteganografia como veículo para esconder um ataque.

A esteganografia funciona ocultando uma carga útil dentro dos bits de um arquivo transportador (por exemplo, uma imagem). Esta operação furtiva mantém o arquivo intocado a partir de uma perspectiva de conteúdo, então ninguém notará que a imagem foi modificada.

Ciberataques recentes demonstraram a versatilidade da esteganografia aplicada em ataques novos e também em outros bem conhecidos. A esteganografia desempenha o papel de veículo para ocultar ataques, proporcionando uma grande vantagem para os cibercriminosos: multiplica exponencialmente a taxa de sucesso do ataque. Por exemplo, sem esteganografia, pesquisadores de segurança podem enfrentar uma campanha de malwares enviados em anúncios pelo intervalo de dias ou semanas. No entanto, uma campanha lançada com a ajuda da esteganografia pode ser executada por meses ou até anos antes de ser detectada.

Usando esteganografia os cibercriminosos podem repetir ataques antigos e reorganizá-los como stegware para passar pelas soluções de segurança. Eles podem então relançar um ataque e superar vários pontos de controle de segurança, rejuvenescendo um ciberataque depreciado.

A esteganografia tem sido utilizada com sucesso para a extração de dados, espionagem, comunicações ocultas, orquestração C2/botnets, malvertising (envio de malwares via propaganda) e a propagação do ransomware.

Veja são alguns exemplos de como o Stegware opera em cada caso:

Um funcionário decide roubar alguns arquivos sensíveis. Com os sistemas de segurança atuais, isso seria notado usando abordagens de hacking normais. No entanto, usando esteganografia, os arquivos sensíveis são codificados em imagens. Ao fazê-lo, as imagens podem ser carregadas para redes sociais ou serviços de armazenamento em nuvem sem levantar suspeitas.

Um grupo de cibercriminosos está tentando se comunicar e sincronizar ataques de diferentes países. Como eles não podem usar canais de comunicação padrão, eles decidem esconder mensagens secretas em imagens de perfil de contas sociais. Dessa forma, eles podem emular um "serviço de bate-papo" carregando e baixando fotos de perfil nada suspeitas.

Um botnet foi implantado e está aguardando instruções. Qualquer tentativa de comunicação de um servidor central para os bots provavelmente será descoberta, eventualmente. Em vez de usar um servidor, os bots são configurados para baixar periodicamente o feed (texto e imagens) de uma conta social pública. Ao decodificar dados esteganográficos do feed, as instruções são extraídas e executadas.

Uma campanha maliciosa está prevista para afetar milhões de usuários, mas os seus autores querem mantê-la o mais secreta possível. Uma vez que o objetivo é explorar uma vulnerabilidade do navegador, eles usam esteganografia para esconder código malicioso em imagens de propaganda. Para chegar rapidamente a um grande público, eles enviam o banner para redes que distribuem a imagem em centenas de sites. Ao fazê-lo, a propagação é garantida e a receita da campanha é enorme.

Um novo ataque ransomware esconde a comunicação entre as vítimas e o criminoso. Usando esteganografia, as informações colhidas do sistema-alvo são codificadas em imagens e carregadas para um site de hospedagem de imagens. Graças a essa tática, a implantação da campanha ransomware permanece oculta por um período muito mais longo.

Os exemplos acima são inspirados em casos reais. Embora muitos desses ataques tenham sido detectados, a quantidade de tempo e esforço necessários para detectar e parar o stegware foi (e continua a ser) enorme. O resultado é uma ótima oportunidade para os cibercriminosos.

Esta não é uma boa notícia para a segurança cibernética. No entanto, ao identificar pelo menos um cenário no qual stegware pode comprometer a segurança da empresa, você estará um passo à frente. Ao considerar o stegware como uma possibilidade e seguir as práticas de segurança, é possível começar a mitigar essa ameaça.

(*) É Arquiteto de Software de Inovação da McAfee.


Bad Rabbit: crianças, não aceitem balas de estranhos

bad-rabbit-ransomware-nsa temproario

Circula nas redes sociais uma brincadeira com o Uber, que sugere que o serviço representa tudo que a sua mãe lhe proibia de fazer quando você era criança: aceitar carona e balinhas de estranhos. Como cliente Uber, me identifiquei prontamente com a brincadeira. Minha desconfiança com balas e água sempre foi maior do que o encantamento com esses pequenos mimos, e mesmo usando o serviço de forma corriqueira em diversos países não me lembro de ter aceitado as famosas cortesias uma única vez. Para mim, a experiência vale a pena por outras razões - e compensa o risco de "pegar carona com um estranho". Lembrei disso no momento em que lia a notícia recente sobre o mais novo ramsonware, o Bad Rabbit.
Mas então, qual a relação do Bad Rabbit com as balas do Uber?
Bad Rabbit, segundo as melhores informações disponíveis no momento no qual escrevo (análise da fabricante de produtos de segurança Kaspersky), não se espalha por meio de vulnerabilidades em software (os chamados "exploits"). O ramsonware se dissemina por meio de um falso instalador de Adobe Flash Player, baixado pelas vítimas de sites infectados e/ou links de download falsos. Uma vez que essa "falsa atualização" é baixada e executada o instalador, sendo um computador Windows, poderá ser infectado. Este novo ramsonware criptografa arquivos e pede um resgate em bitcoins para "devolvê-los" ao dono.
O download de alguns programas bastante populares, como o Adobe Flash, é oferecido em diversos sites. No acesso a algumas páginas que utilizam os recursos do Adobe Flash é comum que o próprio site disponibilize o link para download do programa. Pois bem, não aceite balas de estranhos – se você precisa do Adobe Flash ou de qualquer outro programa, não baixe de qualquer lugar. Vá ao site do fabricante e assegure-se de estar fazendo o download de uma versão legítima e atualizada do programa que você busca. Ênfase nas duas palavras: legítimas e atualizada.
Note que esse tipo de risco não se limita aos computadores. Ele também existe, e de forma cada vez mais expressiva, nos dispositivos móveis. Atualmente, dado o volume de aplicativos móveis disponíveis nas lojas de apps, notamos que na mesma proporção, há uma crescente multiplicação do número de aplicativos falsos. Toda atenção é necessária no momento de busca por um aplicativo. Verifique com cuidado o nome do app e do desenvolvedor (bastante atenção pois os falsários vão usar nomes parecidos); a quantidade de opiniões que o aplicativo tem (aplicativos falsos terão poucos "reviews"); a data da publicação do app (note: data de publicação, não de atualização; aplicativos falsos tendem a ter a data de primeira publicação em um período recente); novamente vale checar por erros de digitação no nome e/ou descrição; e em caso de dúvida, vá diretamente ao website da loja e busque por informações sobre seu aplicativo móvel, incluindo link para baixá-lo nas lojas oficiais de apps de cada sistema operacional.
Estas atitudes ajudam a reduzir os riscos, são indispensáveis, mas infelizmente não são suficientes. Por este motivo, é essencial também manter programas de antivírus atualizado e assegurar-se de cumprir as políticas de segurança da sua empresa.
Se você é um profissional de segurança, revise os controles de segurança da sua empresa e o nível de aderência dos usuários à política, bem como a sua conscientização dos riscos. Assegure-se que os controles de segurança existentes são eficazes e que seus usuários estejam conscientizados dos riscos, responsabilidades e precauções a tomar. Outra recomendação importante é estar atento às tendências que visam reduzir a superfície de ataque, como a microssegmentação, ou melhorar as capacidades de detecção e resposta de incidentes (como a Arquitetura de Segurança Adaptativa e a Inteligência de Ameaças).
Sua mãe provavelmente também dizia que prevenir é melhor que remediar. Isso é inegavelmente verdade, ainda que não seja a solução para todos os problemas. Por isso, olhar com desconfiança para balas de estranhos, assim como para links oferecidos para download de aplicativos de sites duvidosos, é um bom começo.

(Fonte: Leonardo Carissimi é Diretor de Soluções
de Segurança da Unisys na América Latina).

Cloud Computing: 2 mitos que ainda barram projetos

José Renato Mello Gonçalves (*)

Segurança da informação e tempo de resposta ainda são preocupação para muitas companhias brasileiras. Entenda por que esse temor não é necessário

Após tantos anos de debates e aprendizado, há um entendimento pacificado no mercado sobre a importância da cloud computing para o ambiente corporativo. Essa percepção é traduzida em números: segundo a consultoria IDC Brasil, até o final deste ano, o mercado de cloud pública deve crescer 20% atingindo uma somatória de US$ 890 milhões e, até 2018, 85% dos ambientes serão multicloud, o que significa que serão diversos serviços de mais de uma nuvem pública integrados para atender necessidades de negócios.
Considera-se hoje desde a maneira como a infraestrutura é desenvolvida, com segurança da informação, conectividade e aceleração, sendo que até aplicações são pensadas para ter melhor performance em cloud. É só olhar para infraestruturas com redes definidas por software (Software-Defined Network, ou SDN) e as aplicações simples do dia a dia da empresa, como e-mail, por exemplo.
Dois condutores estão possibilitando essa expansão da cloud. Um deles é a infraestrutura, que aliada à internet e às novas tecnologias, permite a utilização e o gerenciamento de diversas soluções de cloud, com controle de tráfego e qualidade, a partir de uma contratação elástica sob demanda, que aumenta ou diminui conforme a necessidade da empresa. O outro é o custo: a premissa da cloud é o compartilhamento seguro de ambiente, maximizando a operação e resultando em economia.
Contudo, mesmo passado tanto tempo desde que o conceito chegou ao mercado e após tantos aprendizados sobre o tema, ainda há dois mitos que circundam a tecnologia de cloud computing e que, por vezes, são barreiras de entrada para empresas que poderiam se abrir aos benefícios acima listados:
Segurança da informação: são poucas as empresas que visitamos que não temem pela proteção e garantia da integridade dos seus dados em um ambiente de nuvem. Sempre repito: os provedores de cloud possuem políticas e tecnologias de segurança da informação que estão anos-luz à frente do que pequenas, médias ou até mesmo grandes companhias poderiam ter em seus ambientes proprietários. Provedores fazem investimentos pesados para evitar todo o tipo de potencial invasão ou vazamento na transmissão de informações e possuem equipes com centenas de profissionais para ficarem absolutamente atualizados nas mais recentes descobertas de ciberameaças. Segurança da informação é crucial para toda companhia global que fornece cloud computing e o item não concorre com outros tipos de investimento, como acontece em companhias cujo core business não é TI. Todo esse arsenal faz com que seja muito mais fácil uma empresa ter seu data center proprietário invadido do que uma grande provedora sofrer alguma intercorrência.
Performance: Há quem ainda diga que o conceito de cloud computing diminui a performance, porque, uma vez que as aplicações não estão no ambiente da empresa, poderia haver demora para que o acesso seja feito a distância. Trata-se de mais uma ideia equivocada: se a companhia possui uma infraestrutura de conectividade adequada a suportar as aplicações em nuvem, o tempo de resposta tende a ser muito maior. Isso ocorre porque quanto mais aplicações a companhia tem, maior a demanda por capacidade de processamento dos servidores internos. A atualização dessas tecnologias é tão rápida quanto o crescimento da demanda interna pelas aplicações? A resposta é dificilmente, caso a empresa não seja de TI. Mais vale ter uma conexão que suporte o uso da nuvem do que investir em pesados servidores que consigam dar conta do processamento - e que, ainda por cima, consomem espaço e energia em uma proporção considerável.
Se não fossem esses mitos, quanto a mais sobre os US$ 890 milhões o mercado de cloud computing movimentaria no Brasil? Difícil responder, mas tenho certeza que estamos vivenciando uma oportunidade sem limites para os próximos ano.

(*) É responsável pela diretoria comercial do Brasil da Orange Business Services.