DATA DA PUBLICAÇÃO 07/12/2010 | Informática
Vírus brasileiro falsifica ''cadeado de segurança'' para roubar senhas
Um “mandamento” frequentemente repetido sugere que usuários verifiquem a presença do cadeado de segurança no navegador web. O cadeado serve para confirmar que o site que se está visitando é o site verdadeiro – o que está na barra de endereços – e que a comunicação é segura. Mas pragas digitais conseguem “falsificar” o cadeado. A coluna Segurança para o PC explica como isso acontece.
Um vírus capaz de realizar a façanha de falsificação do cadeado foi recentemente encontrado por Fabio Assolini, pesquisador antivírus brasileiro da fabricante russa Kaspersky Lab. Assolini investigou a praga e verificou que ela instala uma “autoridade certificadora” (AC, ou CA, na sigla em inglês) no Windows.
O “cadeado de segurança” que aparece nos navegadores web é um certificado SSL. O certificado diz ao navegador como ele deve embaralhar a informação para impedir que ela seja decodificada, caso alguém consiga interceptá-la. Nesse mesmo processo, o certificado precisa informar qual é seu dono, autenticando o site e informando ao usuário que esse é mesmo o site legítimo – pois não devem existir dois certificados para o mesmo site.
O navegador (seja ele o Internet Explorer, o Firefox, o Chrome, Opera, Safari ou outros) confia nessa informação porque o certificado é assinado por uma autoridade certificadora, que funciona como um “cartório digital”. Cada certificado precisa ser “carimbado” por uma autoridade certificadora e o navegador web traz consigo meios de reconhecer os carimbos dados pelos “cartórios” em que ele confia.
Se o certificado não tiver um “carimbo” dessas organizações, o navegador exibirá um erro apontando os problemas encontrados no certificado.
Em um ataque de phishing – em que o internauta recebe um e-mail falso em nome do banco que imediatamente solicita as informações –, o criminoso não tem o controle sobre o computador da vítima. No entanto, quando o usuário instala um vírus no PC, as possibilidades de ataque são mais variadas.
A praga identificada pela Kaspersky redireciona os sites de bancos por meio do arquivo hosts, cujo funcionamento foi explicado por essa coluna anteriormente. O “problema”, para o criminoso, é que o site falso terá exatamente o mesmo endereço do site do banco e, por isso, não irá exibir um certificado – e não é possível obter um certificado para um site que já tem um certificado emitido (as autoridades certificadoras devem conversar entre si para não assinarem dois certificados idênticos). Os criminosos arranjam outro jeito: o vírus adiciona um novo “cartório confiável” na lista dos navegadores. Com isso, os criminosos podem carimbar certificados para qualquer site e o navegador irá ver que a assinatura é de uma autoridade confiável, mostrando o cadeado e nenhuma mensagem de alerta.
“Com o ataque concluído, as vítimas passam a ser direcionadas para páginas falsas de bancos com cadeados de segurança e com o https na barra de endereço. Nenhum alerta será exibido na tela no acesso ao site falso, nem quanto a veracidade do certificado digital que está sendo usado, pois ele foi atestado como “legítimo”pela Autoridade Certificadora falsa”, escreveu o especialista da Kaspersky.
Infecção e remoção de programas de segurança
A Kaspersky identificou que a praga usa applets Java para se instalar no sistema. Nesse ataque, mais sofisticado, o internauta visita uma página e é imediatamente infectado caso a versão do Java esteja vulnerável. Após a infecção, o vírus apaga uma chave no registro que avisa o usuário a respeito de atualizações do Java, garantindo que a versão vulnerável permaneça instalada.
Em seguida, o vírus instala um driver de sistema com o intuito de garantir a resistência da infecção. Drivers são programas especiais que rodam com privilégios elevados, normalmente usados para permitir que o sistema “converse” corretamente com periféricos (hardware). O driver malicioso tem o intuito de impedir que o vírus seja removido enquanto apaga os softwares de segurança usados pelos bancos.
Finalmente, a praga instala a autoridade certificadora falsa e um arquivo hosts que irá redirecionar os sites de bancos para sites idênticos controlados pelos criminosos. Com isso, o vírus dispensa a criação de janelas falsas ou captura de teclas (keylogging). Afinal, o usuário estará visitando o site “verdadeiro” (inclusive com o cadeado de segurança), mas com o criminoso como ponte entre as duas pontas da conexão, garantindo o roubo dos dados.
Vale ressaltar que essa não é uma vulnerabilidade no protocolo de segurança dos cadeados. Uma vez infectados, computadores não podem mais ser confiados – e isso inclui o cadeado. A Kaspersky recomenda que um computador exclusivo seja usado para acesso ao internet banking quando possível, demonstrando a dificuldade em detectar esse tipo de ataque. Fora isso, a única possibilidade é verificando manualmente o certificado – coisa que poucos usuários fazem ou mesmo saberiam fazer.
Assolini também recomenda que usuários falem com o banco no caso de suspeita de irregularidades na página e, claro que um antivírus atualizado seja usado.
A lição que fica é a de que está cada vez mais difícil combater ataques depois que eles já tiveram início. O melhor a se fazer é ficar prevenido: atualizando o navegador, sistema e plugins e desconfiando de links maliciosos em e-mails.
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Um vírus capaz de realizar a façanha de falsificação do cadeado foi recentemente encontrado por Fabio Assolini, pesquisador antivírus brasileiro da fabricante russa Kaspersky Lab. Assolini investigou a praga e verificou que ela instala uma “autoridade certificadora” (AC, ou CA, na sigla em inglês) no Windows.
O “cadeado de segurança” que aparece nos navegadores web é um certificado SSL. O certificado diz ao navegador como ele deve embaralhar a informação para impedir que ela seja decodificada, caso alguém consiga interceptá-la. Nesse mesmo processo, o certificado precisa informar qual é seu dono, autenticando o site e informando ao usuário que esse é mesmo o site legítimo – pois não devem existir dois certificados para o mesmo site.
O navegador (seja ele o Internet Explorer, o Firefox, o Chrome, Opera, Safari ou outros) confia nessa informação porque o certificado é assinado por uma autoridade certificadora, que funciona como um “cartório digital”. Cada certificado precisa ser “carimbado” por uma autoridade certificadora e o navegador web traz consigo meios de reconhecer os carimbos dados pelos “cartórios” em que ele confia.
Se o certificado não tiver um “carimbo” dessas organizações, o navegador exibirá um erro apontando os problemas encontrados no certificado.
Em um ataque de phishing – em que o internauta recebe um e-mail falso em nome do banco que imediatamente solicita as informações –, o criminoso não tem o controle sobre o computador da vítima. No entanto, quando o usuário instala um vírus no PC, as possibilidades de ataque são mais variadas.
A praga identificada pela Kaspersky redireciona os sites de bancos por meio do arquivo hosts, cujo funcionamento foi explicado por essa coluna anteriormente. O “problema”, para o criminoso, é que o site falso terá exatamente o mesmo endereço do site do banco e, por isso, não irá exibir um certificado – e não é possível obter um certificado para um site que já tem um certificado emitido (as autoridades certificadoras devem conversar entre si para não assinarem dois certificados idênticos). Os criminosos arranjam outro jeito: o vírus adiciona um novo “cartório confiável” na lista dos navegadores. Com isso, os criminosos podem carimbar certificados para qualquer site e o navegador irá ver que a assinatura é de uma autoridade confiável, mostrando o cadeado e nenhuma mensagem de alerta.
“Com o ataque concluído, as vítimas passam a ser direcionadas para páginas falsas de bancos com cadeados de segurança e com o https na barra de endereço. Nenhum alerta será exibido na tela no acesso ao site falso, nem quanto a veracidade do certificado digital que está sendo usado, pois ele foi atestado como “legítimo”pela Autoridade Certificadora falsa”, escreveu o especialista da Kaspersky.
Infecção e remoção de programas de segurança
A Kaspersky identificou que a praga usa applets Java para se instalar no sistema. Nesse ataque, mais sofisticado, o internauta visita uma página e é imediatamente infectado caso a versão do Java esteja vulnerável. Após a infecção, o vírus apaga uma chave no registro que avisa o usuário a respeito de atualizações do Java, garantindo que a versão vulnerável permaneça instalada.
Em seguida, o vírus instala um driver de sistema com o intuito de garantir a resistência da infecção. Drivers são programas especiais que rodam com privilégios elevados, normalmente usados para permitir que o sistema “converse” corretamente com periféricos (hardware). O driver malicioso tem o intuito de impedir que o vírus seja removido enquanto apaga os softwares de segurança usados pelos bancos.
Finalmente, a praga instala a autoridade certificadora falsa e um arquivo hosts que irá redirecionar os sites de bancos para sites idênticos controlados pelos criminosos. Com isso, o vírus dispensa a criação de janelas falsas ou captura de teclas (keylogging). Afinal, o usuário estará visitando o site “verdadeiro” (inclusive com o cadeado de segurança), mas com o criminoso como ponte entre as duas pontas da conexão, garantindo o roubo dos dados.
Vale ressaltar que essa não é uma vulnerabilidade no protocolo de segurança dos cadeados. Uma vez infectados, computadores não podem mais ser confiados – e isso inclui o cadeado. A Kaspersky recomenda que um computador exclusivo seja usado para acesso ao internet banking quando possível, demonstrando a dificuldade em detectar esse tipo de ataque. Fora isso, a única possibilidade é verificando manualmente o certificado – coisa que poucos usuários fazem ou mesmo saberiam fazer.
Assolini também recomenda que usuários falem com o banco no caso de suspeita de irregularidades na página e, claro que um antivírus atualizado seja usado.
A lição que fica é a de que está cada vez mais difícil combater ataques depois que eles já tiveram início. O melhor a se fazer é ficar prevenido: atualizando o navegador, sistema e plugins e desconfiando de links maliciosos em e-mails.
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Assine nosso Feed RSSAs últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda