maio 31, 2017

[Segurança] Fraude direcionada a lojistas online

Há pouco tempo atrás uma matéria no jornal americano The Wall Street Journal relatoou sobre um golpe direcionado as lojas que realizam comércio eletrônico. Segundo a reportagem, também citada no portal Market Watch, essa fraude tem como alvo os logistas que usam o marketplace na Amazon, aonde os ciber criminosos conseguem o acesso indevido a conta desses lojistas e alterar seus dados para obter ganho ilícito.

A fraude começa com o acesso a conta dos logistas, e então os ciber criminosos alteram o cadastro destes lojistas para modificar os dados bancários. Assim, as compras começam a ser pagas para os fraudadores, em vez do lojista que realizou a venda. Um golpe que, segundo a imprensa, pode atingir dezenas de milhares de dólares de prejuízo para cada vítima.

Em outro golpe contra os lojistas online, os ciber criminosos conseguem acessar contas pouco ativas de vendedores no marketplace da Amazon para, aproveitando o seu histórico e credibilidade, começar a oferecer a venda de produtos inexistentes, a preços baixos. Assim os fraudadores fazem a venda em nome do lojista, recebem o dinheiro e não entregam nada.

Esse golpe não é novidade para quem trabalha no mundo de e-commerce. Esses esquemas de fraude se baseiam no acesso indevido as contas dos lojistas, o que pode ser conseguido via Phishing, password guessing ou utilizando bases de usuários e senhas obtidas nos fóruns undergrounds. Como muitos usuários tem o péssimo hábito de reutilizar suas senhas, uma base de milhares de e-mails e passwords pode dar acesso a contas nos sites de e-commerce - e, por azar, algumas destas contas podem ser de lojistas.

Este caso mostra como a criatividade para o crime é ilimitada, e como todo o cuidado é pouco. E, como sempre, os ciber criminosos exploram a falta de cuidados básicos de segurança, como mau o uso de senhas.

maio 29, 2017

[Segurança] Atualizar sistemas nem sempre é possível

A recente infestação massiva do ransomware WannaCry (ou "ransomworm", se preferir) trouxe a tona, novamente, a discussão de que as empresas devem manter seus sistemas sempre atualizados. De fato, para se propagar e infectar máquinas em todo o mundo, o WannaCry explorava uma vulnerabilidade corrigida pela Microsoft 2 meses antes. Assim, quem estava com uma versão atual do Windows, com update automático ativado, e funcionando nada sofreu. Os problemas desse tipo normalmente ocorrem com mais frequência em computadores com Sistema Operacional antigo ou pirata, que não tem suporte nem atualização.

A atualização dos equipamentos (sistemas operacionais e aplicações) é a primeira exigência que vem à mente quando discutimos as recomendações básicas de segurança. Mas, como lembrou um artigo no portal CSO Online, "Patching não é uma bala de prata" pois nem sempre uma empresa pode atualizar todos os seus sistemas nem consegue fazer isso rapidamente.

Em vez de criticar cegamente as empresas que mantém sistemas desatualizados, é importante primeiro entender o porquê várias empresas tem restrição para aplicação de patches.

As principais razões para as empresas não atualizarem seus sistemas costumam ser as seguintes;

  • Uso de "appliances": Diversas empresas fornecem equipamentos que são um "bundle" (uma "caixa preta") pré-configurada de hardware e software, e as empresas que os utilizam acabam tendo controle limitado sobre suas configurações e atualizações. A propósito, estes "appliances" são muito comuns no mercado de equipamentos de redes e de segurança. Muitos destes appliances rodam versões customizadas do Linux, e os fabricantes acabam sendo displicentes com as atualizações, de forma que nem sempre as atualizações para os appliances acompanham as atualizações no sistema operacional;
  • Uso de sistemas especializados: isso acontece com muita frequêcia em sistemas de automação, sistemas industriais ou sistemas de instrumentação, onde os equipamentos funcionam por muitos anos, e muitas vezes sem nenhuma parada ou manutenção. Tais sistemas tem poucas atualizações, e assim os computadores permanecem desatualizados por simples falta de opção. Nesses tipos de equipamento também não permitem atualizar o Sistema Operacional nem tem possibilidade de instalar algum software adicional de proteção (como, por exemplo, instalar um anti-vírus). Qualquer tipo de atualização ou manutenção não aprovada pelo fabricante do equipamento pode fazer com que o equipamento pare de funcionar, causando grandes prejuízos operacionais e financeiros;
  • Uso de sistemas legados e antigos: Um problema comum em grandes empresas é que elas possuem aplicações que rodam há muitos anos, e que há muito tempo deixaram de ser fabricadas e mantidas pelas empresas que os criaram. Ou essas empresas nem existem mais. Como uma atualização no sistema operacional pode causar incompatibilidade com o software e parar a aplicação, as empresas viram reféns, e a única solução seria coprar um novo sistema equivalente e aposentar o antigo. Mas aí nesta hora também surgem necessidades de compatibilidade do novo sistema com os dados armazenados no sistema antigo. ou seja, vira um problema tão grande que as empresas preferem manter o sistema velho funcionaneo do jeito que está, do que tentar colocar algo novo e mais seguro;
  • Necessidade de compatibilidade com a aplicação: a grande maioria dos sistemas que rodam em servidores (desde bancos de dados a aplicações específicas) possuem uma lista de sistemas operacionais para os quais foram homologados pelo fabricante do software. Consequentemente, a área de TI só pode atualizar o sistema operacional ou instalar um patch no servidor se essa atualização for previamente homologada pelo fornecedor do sistema ou software que roda naquele determinado servidor. Infelizmente, essas homologações do fabricante de software podem demorar meses ou acontecer raramente. eu acredito que este é provavelmente um dos grandes impeditivo para qualquer atualização em servidores;
  • Empresas com grande quantidade de servidores e equipamentos: Quando a empresa tem dezenas, centenas ou milhares de equipamentos para atualizar, o processo de atualização pode durar dias ou até mesmo meses. Isso porque quanquer atualização tem que ser monitorada, testada e, muitas vezes, realizada em horários específicos, para não impactar na operação do dia-a-dia. Engana-se quem pensa que uam atualização em servidores pode ser aplicada do dia para a noite. Há necessidad ede planejamento, coordenação e aprovação de várias áreas. pense também que o processo de atualização pode demorar alguns minutos ou horas, e multiplique isso pela quantidade de servidores da sua rede. Voilá, de repente uma instalação de um patch em 100 servidores pode demorar algumas semanas;
  • "Freezing" do ambiente de TI: É comum que empresas "congelem" o seu ambiente de tecnologia em determinados momentos, normalmente associados a épocas críticas ao negócio (como, por exemplo, datasde grande processamento de pedidos ou nas festas de final de ano, quando vários funcionários entram em férias). Durante esses períodos, não é permitida qualquer modificação no ambiente: nem a inclusão de novos serviçod ou equipamentos, nem é permitida a modificação ou atualização dos servidores existentes. Se esse períuodo coincidor com o lançamento de um novo patch, provavelmente sua instalação será postergada para após o término do período de "freezing".
Não é a tôa que o ataque do WannaCry conseguiu atingir justamente empresas de grande porte, com milhares de computadores, locais ou instalações com baixa visão de segurança (por exemplo, órgãos públicos) ou lugares que costumam ter equipamentos desatualizados (como pode ter sido o caso dos hospitais no Reino Unido).

Há pouco tempo atrás o Fernando Mercês publicou um vídeo bem interessante sobre este assunto:


Quando não há possibilidade de manter seus equipamentos atualizados, a alternativa é manter esses equipamentos em redes específicas, separadas da rede corporativa principal, e isoladas da Internet, usando, por exemplo, equipamentos de firewall para criar esta rede segregada.

maio 26, 2017

[Cidadania] Dicas de Segurança Pessoal

Recentemente a área de segurança da empresa aonde eu trabalho compartilhou algumas dicas de segurança física para o nosso dia-a-dia. Por mais óbvias que sejam, muitas pessoas não tomam os devidos cuidados ou, por distração, acabam se expondo desnecessariamente a situações de risco, por isso achei que seria legal comentar sobre essas dicas.


Vale a pena relembrar e compartilhar algumas dicas básicas de segurança pessoal para o nosso dia-a-dia, que ajudm a diminuir nossa chance de sermos vítimas de assalto e, no pior caso, diminuem o transtorno causado por isso:
  • Mantenha consigo apenas o minimo de documentos necessários. Nós temos a tendência de encher a bolsa (mulheres) ou carteira (homens) com todos os documentos, cartões de crédito, etc. Em caso de assalto ou sequestro relâmpago, os criminosos podem usar estes documentos para coagir você ou sua família, além de terem acesso a mais dados pessoais ou contas bancárias do que o essencial;
    • Mantenha somente sua Carteira Nacional de Habilitação (CNH) ou a Carteira de Identidade (RG), além da carteira do convênio médico. Não carregue outros documentos com dados pessoais e bancários (ex.: título eleitoral, cartão do CPF, extratos bancários, talões de cheque, anotações com senhas, etc.);
    • Leve na carteira somente 2 cartões de crédito, e deixe em casa os cartões de débito e de crédito que você não utiliza regularmente.
  • No caso de mulheres, mantenha sempre a bolsa próxima de você e a sua vista, preferencialmente na frente do corpo (evite carregá-la de lado);
  • No caso de homens, nunca deixe a carteira em um bolso folgado, de forma que algum trombadinha possa facilmente pegar sem você perceber. O melhor é colocar ela em um bolso na frente da calça;
  • Sempre fique atento ao que está acontecendo ao seu redor e a atitudes suspeitas;
  • Evite andar sozinho;
  • Evite andar (seja a pé ou de carro) em lugares públicos mal iluminados e desertos, principalmente em horários impróprios;
  • Em lugares públicos, não use nem carregue objetos de alto valor monetário como mochilas contendo computador/tablets, joias, relógios caros, anéis, celulares, brincos, pulseiras ou correntes de ouro;
  • Ao ser abordado por um estranho na rua, mantenha sempre uma distância segura (pelo menos 1 braço de distância) e fique atento ao redor, evitando ser abordado por uma 2a pessoa;
  • Cuidados em caixas eletrônicos (ATMs)
    • Evite usar caixas eletrônicos em lugares públicos externos ou isolados;
    • Dê preferência a usar sempre os mesmos caixas eletrônicos, em shoppings, super-mercados ou lojas de conveniência;
    • Ao utilizar o caixa eletônico, verifique antes se não há pessoas suspeitas a sua volta;
    • Ao digitar suas senhas, use seu corpo e a mão para tapar a visibilidade de pessoas próximas;
    • Ao sacar o dinheiro, coloque-o imediatamente na carteira ou bolsa, e saia. Não fique contando nem conferindo dinheiro em lugares públicos;
  • Cuidados no uso de celular
    • Não use o telefone celular ou fone de ouvido enquanto caminha em áreas públicas. Além de atrair atenção para o seu celular, pessoas distraídas são um alvo preferencial de criminosos;
    • Se alguém te perguntar as horas, não consulte o celular. É melhor responder que não sabe do que mostrar para um estranho que você tem um celular no bolso;
    • Não grave na memória de seu telefone celular fotografias pessoais e nomes como: casa, esposa, pai, mãe e outras referências que possam ser facilmente usadas por criminosos se eles tiverem acesso ao seu telefone;
  • Em bares e baladas
    • Evite acompanhar estranhos(as) a supostos locais de diversão, festa, baile, samba, desfile ou outro evento que você nem imagina onde é e, muito menos, o que irá encontrar;
    • Se for a um local desconhecido, vá com compania, em grupo;
    • Nunca aceite bebidas ou drinks de estranhos;
    • Tome conta do seu copo ou latinha de bebida, evite deixá-lo sozinho;
    • Evite levar celulares e carteira se for a algum lugar com grande concentração de pessoas, como passeatas, carnavais de rua, etc
  • No transporte público
    • Evite pontos de ônibus distantes, mal iluminados e isolados;
    • Se pegar um ônibus vazio, dê preferência por assentos próximos ao motorista ou ao cobrador;
    • Ao utilizar táxi, dê preferência aos localizados em pontos fixos oficiais, taxis por aplicativo ou rádio-táxi;
    • Evite embarcar e/ou desembarcar em locais de risco. Muitas abordagens e assaltos ocorrem no momento em que o passageiro está pagando o motorista ou desembarcando do veículo;
    • Ao usar o UBER ou um táxi por aplicativo, antes de embarcar no veículo certifique-se que o nome do motorista, placa e características do carro são os mesmos informados no aplicativo;
  • No carro
    • Sempre dirija com as portas trancadas e os vidros levantados;
    • Ao dirigir à noite ou em locais de risco, prefira fazê-lo em grupo;
    • Antes de viajar de carro, faça uma revisão mecânica e descanse;
    • Tenha em mãos uma lista de telefones úteis e dos serviços de emergência das rodovias a serem ulitilzadas;
    • Não dirija em áreas de alto risco em velocidade muito lenta;
    • Não compre ou consuma alimentos e bebidas, principalmente água, vendidos nos semáforos e nas ruas. Criminosos podem adicionar anestésicos a estes produtos para atacar os motoristas;
    • Não utilize aparelhos eletrônicos dentro de automóveis que chamem atenção das pessoas que estão na rua;
    • Jamais permaneça dentro de veículo estacionado em lugar público;
    • Estacione seu carro em áreas privadas (estacionamento com segurança), nunca em vias públicas;
    • Não deixe objetos de valor no interior do veículo, principalmente em lugar visível. Bolsas e mochilas devem sempre ir no chão ou no porta-malas;
    • Na devolução do veículo de aluguel, inspecione detalhadamente o estado do mesmo. Reporte e registre as avarias ou problema identificado ao responsável pelo local, antes de ir embora;
    • Nunca deixe para procurar as chaves do seu carro quando estiver parado em frente à porta. Dirija-se ao veículo com a chave em punho, pronto para abrir a porta, entrar rapidamente, dar a partida e sair;
    • Quando estacionar ou entrar em seu carro, esteja atento à presença ou aproximação de estranhos. Tenha em mente que pessoas desconhecidas podem estar observando você estacionar e sair de seu veículo e caso você guarde algum objeto no porta malas eles podem entender que você estará deixando algo de valor e, assim, você se tornará alvo deles;
    • Ao parar o carro no semáforo, mantenha uma distância segura do carro da frente, com uma pequena margem para manobra emergencial. A noite e em ruas vazias, pare seu casso a uma distância segura do semáforo;
    • Ao parar o carro momentaneamente, não deixe desengatado. Pise na embreagem e fique pronto para sair a qualquer momento;
    • Ao ser abordado pela polícia, deixe as mãos em lugar visível e acenda a luz interna do carro.
    • Alguns amigos e amigas tem a "carteira do ladrão" ou a "bolsa do ladrão", uma segunda carteira ou bolsa com documentos e dinheiro que já fica o tempo todo no carro, para ser entregue ao criminoso em caso de abordagem;
      • Eu sou um pouco mais paranóico: no caso da "carteira do ladrão", coloque um cartão de crédito velho, alguns papéis, mas não coloque nada com informações pessoais (nome compreto, número dos documentos, endereço, etc). Sugiro escanear sua carteira de motorista, borrar os dados pessoais e plastificar, para que a primeira vista pareçe o documento real, mas na verdade não tenha suas informações pessoais;
  • Em caso de assalto, não reaja nem faça movimentos bruscos com braços e mãos. Atenda imediatamente à todas as exigências dos criminosos. Após, procure imediatamente a Polícia para registro do caso.
Infelizmente, a violência urbana não está mais limitada as grandes cidades em países de terceiro mundo. Devemos tomar cuidado em qualquer lugar, mesmo quando andamos por lugares conhecidos. Ao segui-las você estará reduzindo os riscos de incidentes e aumentando sua segurança pessoal.


Se tomarmos todos os cuidados e nos prevenirmos corretamente, conseguimso ao menos diminuir o impacto pessoal e prejuízo financeiro em caso de assalto.

OBS: Post atualizado em 14/07/2017 e pequena atualização em 24 e 25/06/2019.

maio 25, 2017

[Segurança] A BSidesSP em números

Neste final de semana dos dias 20 e 21/05 realizamos mais uma edição da Security BSidesSP, que aconteceu novamente na PUC-SP, que nos recebeu de braços abertos e salas lotadas.


Com o evento crescendo a cada edição, novamente batemos nossos próprios recordes:
  • 1.093 inscritos
  • 770 participantes presentes
  • 8 trilhas de atividades
  • 3 salas de palestras simultâneas
  • 22 palestrantes
  • 24 horas de CTF
  • 28 jogadores no CTF (80 inscritos)
  • tivemos um número recorde de contribuições nas campanhas Good Hacker e Bloody Hacker
  • recebemos nosso palestrante mais novo (com 15 anos de idade), o Luiz Gustavo (Darkcode)

O evento foi o maior de todas as BSides que já organizamos aqui no Brasil, e tivemos muitos feedbacks super positivos.

Além disso, tivemos muitas coisas legais que aconteceram ao mesmo tempo durante o evento:
  • 3 trilhas de atividades para jovens e crianças (a BSides 4 Kidz)
  • O CTF que durou 24hs, patrocinado pela Trend Micro Brasil
  • Show nos intervalos, com a banda Melhor de Cinco (MD5)
  • 3 DJs tocando durante o CTF: Cleverson Viel, Jefferson e Daniel Lima, organizado pelo Bruno Luiz
  • Tivemos ambulância! (felizmente não precisamos usar desta vez)
  • Implantação de biochip NFC durante o evento, em dois voluntários
  • Gravação do videolog Papo Binário durante o evento
  • Novamente tivemos uma feijoada para o pessoal, feita com muita paixão por um pequeno exército de voluntários: Luiz Brandão, Nelson Brito, Willem, Leonardo e Felipe (que também é o vocalista da banda que tocou no intervalo)
  • Uma sala com atividades de conscinetização sobre Phishing, organizada pelo El Pescador






Conforme prometido, nossa competição de "Capture the Flag" (CTF) durou 24 horas, com diversos jogadores espalhados em 6 times. Ocupamos duas salas: uma para os participantes e outra para a infra-estrutura e organizadores. A maioria dos competidores participou do CTF o tempo todo, inclusive durante a madrugada. Iniciamos aproximadamente as 16h30 do Sábado, um pouco atrasados por causa de problemas inesperados na infra-estrutura. O encerramento e entrega de prêmios foi as 17h do domingo.



Para finalizar, seguem abaixo algumas estatísticas sobre os participantes do evento, retiradas dos dados de cadastro de inscritos:
  • Idade média: 29 anos
    • Participante mais novo (*): 6
    • Participante mais velho (*): 60
  • 81% dos inscritos são do sexo masculino
  • 35% dos inscritos participaram do evento pela primeira vez
  • 43% dos inscritos são profissionais da área
  • 42% dos inscritos são estudantes
  • 37% dos inscritos não compareceram no evento. Se considerarmos apenas os inscritos na categoria gratuita, a porcentagem de no-show sobe para 50%.
(*) Segundo informações fornecidas nos formulários de inscrição. O participante mais novo, na verdade, foi o filho do Ricardo Logan, que tem um pouco menos de 2 anos  :)


Notas:
  • Post atualizado em 26/05, para incluir um link para a banda Melhor de Cinco, citar os DJs, adicionar mais algumas fotos e, principalmente, falar sobre o pessoal que preparou a feijoada.
  • Na verdade a contagem de participantes atingiu 771 pessoas.

maio 20, 2017

[Segurança] É possível se recuperar do ransomware WannaCry

Essa notícia é um pequeno alívio para milhares de vítimas do Wannacry: desde a quinta-feira, dia 18/5, surgiram informações sobre pesquisadores de segurança que descobriram uma forma de recuperar os arquivos encriptados pelo WannaCry, sem necessidade de pagar os ciber criminosos.

Mas ainda é muito cedo para comemorar: as ferramentas só funcionam para algumas versões do Windows e apenas se o usuário não reiniciou a sua máquina.

Assim, surgiram rapidamente algumas ferramentas:
  • Wannakey - primeira ferramenta que surgiu, diz funcionar em Windows XP;
  • WanaKiwi - consegue recuperar os primos em Windows XP, 2003 (x86), Vista, 2008, 2008 R2 e Windows 7.
Aparentemente, a ferramenta WanaKiwi é mais fácil de usar.


Tudo aconteceu por causa de uma falha nas bibliotecas de criptografia da Microsoft existente nos sistemas Windows até a versão Windows 7, que permitiu aos pesquisadores recuperar a chave de criptografia RSA a partir dos números primos utilizados para criá-la, que permanecem armazenados em memória.


Estas ferramentas procuram no processo wcry.exe, em memória, pelos números primos utilizados para gerar a chave privada RSA . Este executável, que faz parte do ransomware WannaCry, utiliza as funções CryptDestroyKey e CryptReleaseContext (que fazem parte da biblioteca Crypto API do Windows) que, nas versões do Windows XP até o Windows 7, apaga as chaves de criptografia da memória, mas mantém os números primos em memória antes de liberar a memória associada ao processo.

Segundo o desenvolvedor do "Wannakey":
"This is not really a mistake from the ransomware authors, as they properly use the Windows Crypto API. Indeed, for what I've tested, under Windows 10, CryptReleaseContext does cleanup the memory (and so this recovery technique won't work). It can work under Windows XP because, in this version, CryptReleaseContext does not do the cleanup. Moreover, MSDN states this, for this function : "After this function is called, the released CSP handle is no longer valid. This function does not destroy key containers or key pairs.". So, it seems that there are no clean and cross-platform ways under Windows to clean this memory."

Além disso, pesquisadores da Kaspersky anunciaram que descobriram algumas falhas no código do WannaCry que permite recuperar os arquivos originais:
  • Arquivos em folders "importantes" (como as pastas "Desktop" e "Documents") não podem ser recuperados, pois o WannaCry sobrescreve eles antes de apagá-los;
  • Arquivos em outras pastas nas pastas nos discos do sistema operacional são movidos para a pasta escondida "%TEMP%\%d.WNCRYT" (aonde %d representa um número) e depois apagadas, mas de forma que qualquer ferramenta de recuperação de arquivos pode conseguir recuperá-los;
  • Arquivos em discos que não são do sistema são movidos para a pasta “$RECYCLE” e configurados como "hidden+system". Devido a um bug, as vezes os arquivos originais podem ser recuperados por uma ferramenta de recuperação de arquivos;
  • Arquivos com restrição de acesso "ready-only" não são removidos, apenas escondidos no sistema operacional usando a flag de "hidden". Uma busca simples pode encontrá-los.

Veja mais informações nos links abaixo:
Post atualizado em 05/06/17.

maio 19, 2017

[Segurança] Tudo pronto para a BSidesSP

Neste final de semana teremos mais uma edição da conferência Security BSidesSP, a décima-quarta!


O final de semana vai ser intenso. Além da Virada Cultural na cidade de São Paulo e da chuva, estamos planejando um evento com várias novidades:
  • 24hs initerruptas de CTF, organizado em conjunto com a Trend Micro e o projeto CTF.br
  • 8 trilhas de atividades, das quais 3 trilhas para a BSides 4 Kidz
  • Banda ao vivo nos intervalos, com a banda Melhor de Cinco (MD5)
  • Teremos ambulância! (esperamos não usar desta vez)

No Sábado, 20/05, teremos alguns mini-treinamentos, incluindo um workshop de simulação de ataque, o "CIA Hacking", além do início da competição de Capture The Flag (CTF), que vai ocorrer initerruptamente das 15hs de Sábado até as 15h do Domingo.

No Domingo, 21/05, acontece o evento completo, com 8 trilhas com palestras e oficinas, além de outras atividades como a BSides 4 Kids, Hacker Carreer Fair, Lightining Talks e competições. E também teremos o nosso Churrascker gratuito, com bebidas oferecidas através do patrocínio da Trend Micro Brasil. Pelo segundo ano consecutivo, teremos uma feijoada oferecida por alguns colegas da área de segurança. Durante os intervalos haverá teremos música ao vivo (com apoio da Clavis) e café gourmet para os presentes - um oferecimento da Cipher.

Também continuamos com nossas campanhas para ajudar a comunidade, a Good Hacker e Bloody Hacker.

Nós mantemos perfis nas principais redes sociais para divulgar as novidades sobre o evento::

As conferências Security BSides começaram nos EUA em 2009 e rapidamente se espalharam por todo o mundo. Aqui no Brasil, já organizamos a BSides Latam em 2016 e neste ano estamos alcançando 14 edições da BSides São Paulo (BSidesSP).

Esta BSidesSP tem o patrocínio da El Pescador, Trend Micro, Black Cap, e-Safer com a RSA, e a Base4. Além disso, temos o apoio da conferência AndSec, Cipher, Clavis, do portal CriptoID, do projeto CTF.br, Daryus, da Drogarias Campeã, Novatec e da RoboCore.

maio 17, 2017

[Cyber Cultura] Novos membros no CGI.br

O Comitê Gestor da Internet do Brasil (CGI.br), o órgão responsável por estabelecer as diretrizes estratégicas relacionadas ao uso e desenvolvimento da Internet no Brasil, acabou de realizar a eleição para seus membros, que estão distribuídos entre 9 representantes do setor governamental, 4 do setor empresarial, 4 do terceiro setor, 3 da comunidade científica e tecnológica e 1 representante de notório saber em assuntos de Internet (leia-se, o Demi Getschko).



Este grupo de pessoas é quem coordena as iniciativas de serviços Internet no país, define diretrizes estratégicas sobre uso e desenvolvimento da Internet, registro de Nomes de Domínio, alocação de Endereço IP e administração do domínio de primeiro nível (DPN) ".br".

O Comitê Gestor da Internet no Brasil foi criado para coordenar e integrar todas as iniciativas de serviços Internet no país, promovendo a qualidade técnica, a inovação e a disseminação dos serviços ofertados. Por causa de seu posicionamento estratégico, alguns grupos tem grande interesse em garantir a sua participação. Dentre seus 21 membros (cada um com seu respectivo suplente), dos quais o maior grupo é formado por representantes do Governo Federal (incluindo o Ministério da Ciência e Tecnologia, Ministério das Comunicações e Ministério da Defesa), há um grupo de 4 conselheiros que representam o setor empresarial (provedores de acesso e conteúdo, provedores de infra-estrutura de telecomunicações, indústria de informática e telecomunicações, e empresas usuárias da Internet). Claro que esse grupo vai defender os interesses das empresas de Telecom.

Para defender o interesse da comunidade usuária de Internet, há os representantes do Terceiro Setor, 4 no total. Os quatro eleitos para os próximos 3 anos foram o Thiago Tavares Nunes de Oliveira, o Percival Henriques de Souza Neto, a Flávia Lefèvre Guimarães e a Tanara Lauschner. Você não sabe quem são eles? Pois são justamente essas pessoas que deveriam defender o nosso direito ao acesso à Internet, à privacidade e à liberdade de expressão online.

O legal dessa história toda é que o Garoa Hacker Clube se inscreveu para participar das eleições e conseguiu eleger um suplente para o grupo do terceiro setor. Mesmo sendo suplente, nosso representante pode assistir as reuniões, e assim trazer um depoimento real do que acontece lá dentro e dos jogos de poder que ditam a Internet Brasileira. As reuniões do CGI.br são mensais, e suas atas estão disponíveis online.

maio 16, 2017

[Segurança] A maior ameaça de todos os tempos: Ransonworm

Um dos efeitos colaterais do super-mega-uber ataque global do ransom WannaCry foi o surgimento de uma nova buzzword no mercado de segurança:


Ransonworm


Juntando "ransonware" com "worm" (verme), essa buzzword deve servir para classificar esse novo tipo de Ransonware que o WannaCry inaugurou: o código malicioso que sequestra computadores em troca de dinheiro e possui um mecanismo para se propagar automaticamente, sem necessidade de um arquivo hospedeiro ser enviado para as suas vítimas. Assim, ele consegue infectar um sistema sem intervenção dos usuários.



Se a história nos ensina alguma coisa, é que toda vez que surge uma nova forma de ciber ataque que faz sucesso em grande escala, isso vira imediatamente uma nova tend6encia entre os atacantes por pelo menos 1 ano, ou mais, até vir a próxima onda tecnológica. Não foi a primeira vez que passamos pos ataques massivos de worms: tivemos uma onda muito forte a primeira metade da década de 2000, mas estávamos há quase 10 anos sem enfrentar nada parecido.

Ou seja, os ciber criminosos já estão adotando essa nova tecnologia e ainda vamos ver muitos ataques de Ransomworms acontecendo logo logo.

maio 14, 2017

[Segurança] Perguntas e Respostas (FAQ) sobre o ransomware WannaCry

Como o meu post sobre o ransomware WannaCry está ficando grande, resolvi resumir as principais dúvidas sobre ele aqui.

O que é o WannaCry?

O WannaCry (ou Wcry, WannaCryptor, Win32/WannaCrypt) é um ransomware, um tipo de código malicioso que "sequestra" computadores para exigir um dinheiro em troca de devolver o acesso ao seu dono.  Veja um vídeo sobre o Ransonware WannaCryptor.

Como ele consegue infectar os computadoes?

O WannaCry explora uma vulnerabilidade do sistema operacional Windows, identificada como MS17-010, que permite execução remota de um código através de uma vulnerabilidade no serviço Server Message Block (SMBv1). Para explorar essa falha e invadir os computadores, o WannaCry usa um exploit chamado EternalBlueque vazou da NSA.
Uma vez infectada a máquina, ele encripta os arquivos e mostra uma tela na qual exige um resgate de 300 dólares, a serem pagos em bitcoins em, no máximo, 7 dias (o valor do "sequestro" aumenta para US$ 600 após as primeiras 72 horas).


Os dois vídeos abaixo (um e dois) mostram o WannaCry funcionando.





Como o WannaCry se espalha?

Após infectar sua vítima, o ransomware procura outras máquinas na rede local e na Internet e utiliza o protocolo SMB para infectar estas máquinas. Para se espalhar pela Internet, ele usa um gerador de números aleatórios para criar endereços IP randômicos.

Porque ele se espalha tão rapidamente?

O WannaCry é um ransomware que se comporta como um "worm" (verme), infectando novas vítimas automaticamente, sem necessidade de intervenção do usuário. Ele procura computadores na rede e utiliza um exploit para infectar qualquer computador vulnerável que encontre.

É verdade que conseguiram parar a onda de ataques do WannaCry?

Sim. Alguns pesquisadores registraram um domínio que constava no código do malware. Ao fazer isso, perceberam que ele consulta o dominio ao infectar uma máquina e, se o malware consegue acessar o dominio, ele interrompe a infecção. Esse "kill switch" ("botão de desligar", numa tradução livre) não salva a vida de quem já está infectado e com seus dados criptografados, mas dificulta que o malware se espalhe.

Devo bloquear esse domínio que o WannaCry acessa?

NÃO!!!!! Se você bloquear (em seu Firewall, por exemplo) o domínio que o WannaCry tenta acessar (www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com), você vai impedir que ele se "desligue". Ou seja, se o WannaCry estiver na sua rede e não conseguir acessar este domínio, ele vai infectar as máquinas vulneráveis.
A melhor estratégia é monitorar e alarmar toda vez que algum computador da sua rede tentar acessar este domínio: isso vai indicar que o ransomware está ativo e tentando se espalhar na sua rede.

É verdade que descobriram a senha que desencripta os arquivos?

NÃO!!!!! Alguns pesquisadores encontraram a senha "WNcry@2o17" dentro do código do WannaCrypt, mas ela não é usada para criptografar os arquivos. Ela é usada pelo ransomwae para baixar seu payload através de um arquivo Zip protegido com essa senha.
O WannaCry utiliza o algoritmo de criptografia AES para criptografar os arquivos da vítima, e usa uma chave de criptografia protegida por outra criptografa, mais forte ainda, com o algoritmo RSA e uma chave de 2048 bits.

Como Prevenir e evitar ser invadido?

Neste meu post (de 2014), eu cito algumas ações preventivas que as empresas deveriam tomar contra ransomwares. As principais recomendações são as seguintes:
  • O mais importante: mantenham seus computadores Windows atualizados. O patch está dsponível no site da Microsoft desde Março deste ano e liberou um patch emergencial para versões antigas do Wundows (Windows XP, Windows Server 2003 e Windows 8);
  • Avalie a possibilidade de desabilitar o protocolo SMB (a Microsoft recomenda fazer isso só emergencialmente);
  • Bloquear o tráfego SMB nos Firewalls de borda (que protegem a conexão com a Internet e outras redes externas). Eles devem bloquear tráfego de entrada e saída nas portas 137 e 138 UDP e as portas TCP 139 e 445;
  • Bloquear o acesso das máquinas internas de sua rede para IPs externos associados a rede TOR;
  • Manter seu antivírus atualizado;
  • Manter backup atualizado de seus dados.

O vídeo abaixo, da TrendMicro, resume um pouco como se prevenir do ataque do WannaCry.



Como descobrir que o WannaCry infectou algum computador na minha empresa?

Já foram identificados vários indicadores do ataque (IOC) que podem ser usados na rede ou nos computadores:
  • Hash (SHA256) dos códigos executáveis (esta é a lista original, pois já apareceram centenas de variações, com hashs distintos:
    • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
    • 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
    • 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd
    • 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d
    • 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79
  • Hash (MD5) dos códigos executáveis, segundo a Kaspersky (esta é a lista original, pois já apareceram centenas de variações, com hashs distintos):
    • 4fef5e34143e646dbf9907c4374276f5
    • 5bef35496fcbdbe841c82f4d1ab8b7c2
    • 775a0631fb8229b2aa3d7621427085ad
    • 7bf2b57f2a205768755c07f238fb32cc
    • 7f7ccaa16fb15eb1c7399d422f8363e8
    • 8495400f199ac77853c53b5a3f278f3e
    • 84c82835a5d21bbcf75a61706d8ab549
    • 86721e64ffbd69aa6944b9672bcabb6d
    • 8dd63adb68ef053e044a5a2f46e0d2cd
    • b0ad5902366f860f85b892867e5b1e87
    • d6114ba5f10ad67a4131ab72531f02da
    • db349b97c37d22f5ea1d1841e3c89eb4
    • e372d07207b4da75b3434584cd9f3450
    • f529f4556a5126bba499c26d67892240
  • Após infectar a máquina, o ransomware tenta acessar o seguinte website:
    • www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
    • Já foi encontrada uma variante que usa um domínio diferente:
      ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  • Para tentar se espalhar, o WannaCry escaneia IPs da rede local e IPs válidos na Internet buscando pela porta TCP/445
  • Extensão de arquivo associadas ao ransonware: .WNCRY
  • Ao se instalar, ele cria o arquivo %SystemRoot%\tasksche.exe
  • Ao se instalar, ele cria o serviço mssecsvc2.0
  • Ele cria ou altera as seguintes chaves de registro no Windows:
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = “\tasksche.exe”
    • HKLM\SOFTWARE\WanaCrypt0r\\wd = “
    • HKCU\Control Panel\Desktop\Wallpaper: “\@WanaDecryptor@.bmp”
  • Ele cria diversos arquivos no computador da vítima, incluindo os seguintes:
    • @Please_Read_Me@.txt
    • r.wnry
    • s.wnry
    • t.wnry
    • taskdl.exe
    • taskse.exe
    • 00000000.eky
    • 00000000.res
    • 00000000.pky
    • @WanaDecryptor@.exe
    • m.vbs
    • @WanaDecryptor@.exe.lnk

Que tipos de arquivo ele encripta na máquina infectada?

Ele procura todo o computador por qualquer arquivo com as seguintes extensões: .123, .jpeg , .rb , .602 , .jpg , .rtf , .doc , .js , .sch , .3dm , .jsp , .sh , .3ds , .key , .sldm , .3g2 , .lay , .sldm , .3gp , .lay6 , .sldx , .7z , .ldf , .slk , .accdb , .m3u , .sln , .aes , .m4u , .snt , .ai , .max , .sql , .ARC , .mdb , .sqlite3 , .asc , .mdf , .sqlitedb , .asf , .mid , .stc , .asm , .mkv , .std , .asp , .mml , .sti , .avi , .mov , .stw , .backup , .mp3 , .suo , .bak , .mp4 , .svg , .bat , .mpeg , .swf , .bmp , .mpg , .sxc , .brd , .msg , .sxd , .bz2 , .myd , .sxi , .c , .myi , .sxm , .cgm , .nef , .sxw , .class , .odb , .tar , .cmd , .odg , .tbk , .cpp , .odp , .tgz , .crt , .ods , .tif , .cs , .odt , .tiff , .csr , .onetoc2 , .txt , .csv , .ost , .uop , .db , .otg , .uot , .dbf , .otp , .vb , .dch , .ots , .vbs , .der” , .ott , .vcd , .dif , .p12 , .vdi , .dip , .PAQ , .vmdk , .djvu , .pas , .vmx , .docb , .pdf , .vob , .docm , .pem , .vsd , .docx , .pfx , .vsdx , .dot , .php , .wav , .dotm , .pl , .wb2 , .dotx , .png , .wk1 , .dwg , .pot , .wks , .edb , .potm , .wma , .eml , .potx , .wmv , .fla , .ppam , .xlc , .flv , .pps , .xlm , .frm , .ppsm , .xls , .gif , .ppsx , .xlsb , .gpg , .ppt , .xlsm , .gz , .pptm , .xlsx , .h , .pptx , .xlt , .hwp , .ps1 , .xltm , .ibd , .psd , .xltx , .iso , .pst , .xlw , .jar , .rar , .zip , .java , .raw

Como identificar se o WannaCry está tentando se espalhar pela minha rede?

Para tentar se espalhar, o WannaCry escaneia IPs da rede local e IPs válidos na Internet buscando pela porta TCP/445. Monitore quantidades excessivas deste tráfego e, principalmente, tentativas de sair para a Internet nesta porta.
Além disso, você pode monitorar tentativas de acesso ao domínio que ele usa como "kill stitch": www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com




Tem assinatura do ataque para conseguir identificá-lo em um SNORT?

Sim, a IBM disponibilizou uma assinatura para o SNORT.

Tem assinatura do ataque para conseguir identificá-lo na ferramenta Netwitness da RSA?

Sim, é possível identificar facilmente o WannaCry através da Suite Netwitness. Pode-se bloquear os hashs conhecidos através do Netwitness Endpoint e também aplicar o segunte filtro no Netwitness Packets:
threat.source=rsa-firstwatch && threat.category=ransomware && threat.desc=wannacry

Adianta tentar bloquear os IPs dos servidores que o WannaCry tenta se comunicar?

Algumas empresas divulgaram uma lista de endereços IP dos servidores de controle do WannaCry. Eu acredito que não adianta bloquesr estes IPs, pois como ele usa a rede TOR para se comunicar com os seus servidores, ele pode usar qualquer endereço IP de entrada na rede TOR, que são IPs que variam frequentemente.

Adianta desligar a minha rede e meus computadores?

Há notícias de empresas que optaram por preventivamente destivar sua rede e desligar seus computadores para tentar conter ou evitar a infecção. Para ser sincero, não acho que elas estão erradas, pois isso evitaria a contaminação. Mas o mais importante mesmo é atualizar seus servidores e desktops Windows.
Você deve fazer uma parada emergencial programada no ambiente: primeiro desligar os dispositivos de redes dos usuários (rede física e Wifi) e começar atualizando os servidores. Depois vai religando as redes dos usuários parcialmente e força a atualização das máquinas conforme elas voltam ao ar.

O que fazer se os arquivos foram criptografados pelo WannaCry.

Tenha calma e não pague o resgate! Verifique quando vocês fizeram backup pela última vez e dê uma olhada no site do seu fabricante de antivírus e no site www.nomoreransom.org, para ver se há novas dicas ou ferramentas para recuperar seus arquivos.
NÃO baixe programas da Internet que prometem apagar o ransomware, a menos que sejam de fonte confiável.

Devo pagar o resgate para recuperar os arquivos criptografados pelo WannaCry.

NÃO!!! É concenso entre os profissionais de segurança que o resgate não deve ser pago!
Os principais motivos são que não há garantia nenhuma que você conseguirá ter acesso aos seus dados (pois pode acontecer do ciber criminoso não te dar a senha ou que esta senha não vá funcionar) e, além disso, fazendo assim você estará motivando o ciber criminoso a continuar prejudicando as pessoas.
O ideal é aguardar até que as empresas de segurança consigam descobrir como recuperar os arquivos. Converse com seu fornecedor de solução de antivírus.
Mas, cá entre nós, provavelmente o desespero vai bater e você ficará tentado(a) a pagar o resgate.

É possível recuperar os arquivos criptografados pelo WannaCry?

TALVEZ!!!
Desde a quinta-feira, dia 18/5, surgiram algumas ferramentas que permitem recuperar os arquivos encriptados, sem necessidade de pagar os ciber criminosos:
  • Wannakey - primeira ferramenta que surgiu, diz funcionar em Windows XP;
  • WanaKiwi - consegue recuperar os primos em Windows XP, 2003 (x86), Vista, 2008, 2008 R2 e Windows 7.
O principal problema é que estas ferramentas só funcionam se o computador não foi desligado nem reinicializado desde o momento em que foi infectado. Isso porque elas recuperam informações que são mantidas em memória.


Além disso, pesquisadores da Kaspersky anunciaram que descobriram algumas falhas no código do WannaCry que permite recuperar os arquivos originais:
  • Arquivos em folders "importantes" (como as pastas "Desktop" e "Documents") não podem ser recuperados, pois o WannaCry sobrescreve eles antes de apagá-los;
  • Arquivos em outras pastas nas pastas nos discos do sistema operacional são movidos para a pasta escondida "%TEMP%\%d.WNCRYT" (aonde %d representa um número) e depois apagadas, mas de forma que qualquer ferramenta de recuperação de arquivos pode conseguir recuperá-los;
  • Arquivos em discos que não são do sistema são movidos para a pasta “$RECYCLE” e configurados como "hidden+system". Devido a um bug, as vezes os arquivos originais podem ser recuperados por uma ferramenta de recuperação de arquivos;
  • Arquivos com restrição de acesso "ready-only" não são removidos, apenas escondidos no sistema operacional usando a flag de "hidden". Uma busca simples pode encontrá-los.

Quanto dinheiro já foi arrecadado pelos criadores do WannaCry?

Alguns pesquisadores criaram um site para monitorar quanto foi enviado para os criadores do WannaCry (monitorando 3 das carteiras de bitcoins deles): http://howmuchwannacrypaidthehacker.com

Esse ataque pode ser considerado um ato de "cyber guerra"?

NÃO!!! Isso não tem nada a ver com guerra cibernética, que é o conflito entre países ou ideologias. O WannaCry é um ransomware com objetivo de ganhar dinheiro através da extorsão. É um caso de crime cibernético.

Esse ataque foi direcionado a empresas de Telecom?

NÃO!!! Esse é um ransonware que tenta atacar qualquer computador vulnerável que ele encontre na Internet e na rede local. Há relatos de todo tipo de empresa sendo atacada em todo o mundo: banos, hospitais, escolas, empresas de telecom, etc. Não há um alvo específico!
Obviamente as grandes empresas (bancos, teles) são as mais afetadas pois costumam ter grande quantidade de computadores, e algumas vezes falham em mantê-los atualizados.

Qual é a principal lição que deveria ser aprendda com esse ataque?

Que devemos manter nossos sistemas sempre atualizados, aplicando os patches o mais rápido possível.


Há novas versões do WannaCry?

Sim, com certeza. Além de centenas de variantes, versões com assinatura MD5 diferente, já se fala do WannaCry 2.0, que não teria um "kill switch" (um domínio associado que faria parar a propagação dele). E vamos ver muitos malwares novos surgindo nos próximos dias, usando técnicas similares. Isso ocorre porque o código-fonte relacionado ao exploit utilizado tornou-se público. Logo, qualquer outro ciber criminoso pode adaptá-lo para seu malware.

Tem algum comentário ou meme que posso usar para trollar a galera?

Já tem várias piadinhas circulando por aí. Seguem algumas:
  • Use servidores Linux em vez de Windows.







O site Data Breach Today publicou uma FAQ bem interessante.

Nota: Post atualizado em 05/06.

maio 12, 2017

[Segurança] Ataque massivo do ransomware WannaCry em todo o mundo!

Nesta sexta-feira, 12/05, "sexta-feira dia da maldade", o dia amanheceu com várias notícias de que empresas em todo o mundo estão sofrendo ataques sérios de Ransomware., batizado de "WannaCry" ("Quero Chorar"), WannaCrypt ou Wcry. A notícia é real e merece atenção urgente de todos os profissionais de segurança.


Inicialmente as principais notícias falavam de empresas espanholas terem sido atacadas (veja o alerta do CERT na Espanha), mas há também notícias similares vindas da Europa e Ásia, incluindo Inglaterra, Italia, Portugal, AlemanhaRussia e China (que está sendo sendo atacada desde 11/5). Grandes empresas e órgãos de governo no Brasil também foram atacadas, e a lista só aumenta.


Ainda no primeiro dia (12/05) já se falava que a infecção pelo WannaCry tinha atingido pelo menos 74 países e continuava a se espalhar rapidamente. A origem do ataque ainda não foi confirmada, mas pelos relatos que eu li, me parece que o ataque do WannaCry começou na Rússia e China, depois seguiu para a Europa até chegar no Brasil e América Latina. Esse é um trajeto muito óbvio, na medida em que ele está seguindo o Sol: o ataque pareceu se expalhar na medida que os países amanheciam. Os EUA, por sorte, foram pouco afetados pois quando amanheceu por lá o resto do mundo já estava combatendo o WannaCry e já haviam descoberto o "kill switch" (mais detalhes abaixo).


Surgiram notícias de que a origem do WannaCry poderia estar ligada a um grupo hacker da Koreia do Norte. Eu, particularmente, acho isso um pouco improvável, pois se assim fosse, eles teriam evitado que o Ransomware atacasse a Rússia e, principalmente, a China. Ou será que ele foi criado na China?


Já é muito provável que praticamente todos os países do mundo já tenham sofrido com o ransomware WannaCry, e este incidente está sendo chamado de "a maior infecção de ransomware da história". O site MalwareTech disponibilizou dois mapas mostrando a evolução do ataque ao redor do mundo: um com estatísticas e mapa com todos os ataques e outro mapa com os ataques acontecendo em tempo real.


Não é a toa que teve extensa cobertura da mídia, especializada ou não.


Há notícias de centenas de empresas que foram infectadas ou que, para evitar a infecção, optaram por preventivamente destivar sua rede e desligar seus computadores.


Segundo várias fontes confiáveis, o ataque é causado pelo ransomware WannaCry (ou Wcry, WannaCryptor), que está explorando a vulnerabilidade MS17-010 (corrigida em Março deste ano, ela permite remote code execution em computadores com Microsoft Windows através do Server Message Block 1.0 - SMBv1) utilizando o exploit EternalBlueSegundo a Forbes, "uma ferramenta vazada de NSA, um exploit do Microsoft Windows chamado EternalBlue, está sendo usado para espalhar rapidamente a variante de ransomware chamado WannaCry em todo o mundo".


A pesquisadora Amanda Rousseau, da Endgame, publicou um excelente artigo e infográfico descrevendo o processo de infecção do Ransomware WanaCry. Resumidamente, parafraseando o blog da Amanda, ele começa a infecção com um teste inicial ("beacon"), a função "kill switch" que ele verifica se pode continuar a infecção. Em seguida, ele tenta explorar a vulnerabilidade MS17-010 com o exploit EternalBlue (usando a implementação disponível no Metasploit) e se propagar para outros hosts. Em seguida que ele vai causar dano ao sistema, primeiro instalando o que necessita para causar os danos e ser pago para a recuperação, e após feito isso, o WannaCry começa a criptografar os arquivos na máquina.


Após infectar sua vítima, e antes mesmo de começar a criptografar os arquivos, o ransomware utiliza o protocolo SMB para infectar outras máquinas na mesma rede local e na Internet (ele gera endereços IP randômicos para tentar se espalhar pela Internet).


Uma vez infectada a máquina, ele encripta os arquivos e exige um resgate de 300 dólares, a serem pagos em bitcoins em, no máximo, 7 dias (o valor do "sequestro" aumenta para US$ 600 após as primeiras 72 horas). O WannaCrypt então mostra uma tela de aviso ao usuário de que seus dados estão "sequestrados" e troca o fundo de tela do desktop, além de disponiilizar um arquivo com instruções.


É interessante notar também que os casos anteriores que ouvi sobre Ransomware, os valores dos resgates estavam sempre em torno de 100 dólares. Ou seja, o preço de resgate exigido pelo WannaCry é mais caro do que o normal.

O grande segredo da rápida proliferação do WannaCry em todo o mundo e do desespero criado por ele está justamente na sua capacidade de se expalhar e de infectar suas vítimas muito, muito rapidamente. Ao contrário da maioria dos vírus que estamos acostumados hoje em dia, que se proliferam através de arquivos infectados compartilhados por mensagens de phishing (e, portanto, exigem que o usuário receba o e-mail, abra e baixe e execute o arquivo com o malware), o WannaCry se espalha automaticamente pela rede e utiliza um exploit para infectar automaticamente qualquer computador vulnerável, sem necessidade de nenhuma intervenção do usuário. A máquina é infectada sem que a vítima precise abrir e executar nada. Basta estar com o computador ligado (e vulnerável).

O interessante é que já fazem vários anos que não vemos uma grande infestação global por esse tipo de código malicioso, que chamamos de "worm" ("verme"). De fato, podemos dizer que temos algumas gerações de profissionais no mercado de segurança que não passaram pelo Code Red (2001), Ninda (2001), SQL Slammer (2003), Blaster (2003) e nem mesmo pelo Conficker, em 2008.

Veja algumas características desse ransomware que eu acho que são muito interessantes:
  • Como disse, ele é um ransomware que se comporta como um "worm", infectando novas vítimas automaticamente através da rede local e da Internet, sem necessidade de intervenção do usuário;
  • Ele usa rede TOR para se comunicar com os seus servidores de controle, o que dificulta muito a detecção e bloqueio dessa comunicação;
  • Ele continua encriptando arquivos enquanto está ativo. Se incluir algum novo arquivo na máquina infectada, ele será criptografado também;
  • Se alguém tenta extrair o executável do ransomware para análise, ele se auto-destrói;
  • ransomware suporta 28 linguages diferentes, o que mostra o objetivo de seus autores de fazer uma infecção global!
  • Após infectar uma vítima, o WannaCry primeiro tenta invadir outras máquinas, e só depois ele começa a encripitar os arquivos. Isso é interessente pois, se ele primeiro fizesse o sequestro de dados, seria percebido pelo usuário antes que conseguisse se espalhar.
Dando uma olhada nas carteiras bitcoin (11...Ln, 1Q...iY, 13...94, 12...Mw) que eles aparentemente estão usando, até o momento poucas pessoas já pagaram o ransomware. As 15h40 do dia 12/05 constavam apenas 30 pagamentos. Isso é normal, pois as vítimas geralmente esperam até o último momento para pagar um ransomware, na expectativa de que vão descobrir como removê-lo - ou por conta da dificuldade de um usuário comum em comprar bitcoins.
  • Atualização: as 2am de 14/05 essas carteiras já tinham recebido 123 pagamentos e acumulado cerca de 20 bitcoins (mais de 30 mil dólares). Esse valor subiu para cerca de 25 bitcoins as 3:30am de 15/05;
  • Até 24/06, foram feitos 335 pagamentos, acumulando cerca de 51,9 bitcoins (mais de 142 mil dólares).


Quer saber quanto tem sido arrecadado com os resgates pagos pelas vítimas do WannaCry? Além do site "howmuchwannacrypaidthehacker.com", também foi criado um bot que a cada 2 horas publica no Twitter @actual_ransom o total de bitcoins (e dólares) pagos.


A partir da análise detalhada da Kaspersky e do SANS, junto com algumas informações da Microsoft, podemos destacar alguns indicadores do ataque (IOC):
  • Hash (SHA256) dos códigos executáveis (Esta é a lista original, pois já apareceram centenas de variações, com hashs distintos):
    • 09a46b3e1be080745a6d8d88d6b5bd351b1c7586ae0dc94d0c238ee36421cafa
    • 24d004a104d4d54034dbcffc2a4b19a11f39008a575aa614ea04703480b1022c
    • 2584e1521065e45ec3c17767c065429038fc6291c091097ea8b22c8a502c41dd
    • 2ca2d550e603d74dedda03156023135b38da3630cb014e3d00b1263358c5f00d
    • 4a468603fdcb7a2eb5770705898cf9ef37aade532a7964642ecd705a74794b79
  • Hash (MD5) dos códigos executáveis, segundo a Kaspersky (Esta é a lista original, pois já apareceram centenas de variações, com hashs distintos):
    • 4fef5e34143e646dbf9907c4374276f5
    • 5bef35496fcbdbe841c82f4d1ab8b7c2
    • 775a0631fb8229b2aa3d7621427085ad
    • 7bf2b57f2a205768755c07f238fb32cc
    • 7f7ccaa16fb15eb1c7399d422f8363e8
    • 8495400f199ac77853c53b5a3f278f3e
    • 84c82835a5d21bbcf75a61706d8ab549
    • 86721e64ffbd69aa6944b9672bcabb6d
    • 8dd63adb68ef053e044a5a2f46e0d2cd
    • b0ad5902366f860f85b892867e5b1e87
    • d6114ba5f10ad67a4131ab72531f02da
    • db349b97c37d22f5ea1d1841e3c89eb4
    • e372d07207b4da75b3434584cd9f3450
    • f529f4556a5126bba499c26d67892240
  • Após infectar a máquina, o ransomware tenta acessar o seguinte website:
    • www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
    • Foi encontrada uma variante que acessa outro domínio como "kill switch": ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
  • Para tentar se espalhar, o WannaCry escaneia IPs da rede local e IPs válidos na Internet buscando pela porta TCP/445
  • Servidores de comando e controle escondidos na rede TOR:
    • gx7ekbenv2riucmf.onion
    • 57g7spgrzlojinas.onion
    • Xxlvbrloxvriy2c5.onion
    • 76jdd2ir2embyv47.onion
    • cwwnhwhlz52maqm7.onion
    • sqjolphimrr7jqw6.onion
  • Extensão de arquivo associadas ao ransonware: .WNCRY
    • Por exemplo, o arquivo "file.docx" é encriptado e renomeado para "file.docx.WNCRY"
  • Ao se instalar, ele cria o arquivo %SystemRoot%\tasksche.exe
  • Ao se instalar, ele cria o serviço mssecsvc2.0
  • Arquivo de aviso colocado no computador da vítima: @Please_Read_Me@.txt
  • Ele cria ou altera as seguintes chaves de registro no Windows:
    • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\ = “\tasksche.exe”
    • HKLM\SOFTWARE\WanaCrypt0r\\wd = “
    • HKCU\Control Panel\Desktop\Wallpaper: “\@WanaDecryptor@.bmp”
  • Ele cria diversos arquivos no computador da vítima, incluindo os seguintes:
    • r.wnry
    • s.wnry
    • t.wnry
    • taskdl.exe
    • taskse.exe
    • 00000000.eky
    • 00000000.res
    • 00000000.pky
    • @WanaDecryptor@.exe
    • m.vbs
    • @WanaDecryptor@.exe.lnk
Diversos pesquisadores de malware encontraram a senha "WNcry@2o17" dentro do código do WannaCrypt, e rapidamente algumas pessoas começaram a especular que esta seria a senha para desencriptar os arquivos. Isso não é verdade! Esta senha é utilzada pelo ransomware para baixar seu payload: ele baixa um arquivo Zip protegido com ela.


Na verdade, o WannaCry utiliza o algoritmo de criptografia AES para criptografar os arquivos da vítima e para guardar essa senha de criptografia dos arquivos ele utiliza criptografia de novo, usando o algoritmo RSA com chave de 2048 bits. Além do mais, é muito pouco provável que essa senha servisse para desencriptar os arquivos pela própria natureza dos rasomwares modernos: eles criptografam os arquivos utilizando algoritmos e chaves de criptografia forte.

Segundo o post no MalwareReverse, foram encontradas chaves de criptografia no arquivo 00000000.pky, aonde fica a chave pública utilizada pelo ransomware e no 00000000.eky, que também é uma chave utilizada para encriptar os arquivos.

Algumas recomendações:
  • Antes de mais nada, mantenham seus computadores Windows atualizados, para evitar serem infectados pelo Ransonware. O patch e dicas de como remediar a vulnerabilidade estão dsponíveis desde Março deste ano;
  • Use servidores Linux e desktops / notebooks da Apple (muahahahahaha, desculpem, o espírito troll é mais forte do que eu);
  • Bloquear o tráfego SMB na sua rede e desabilitar o protocolo SMB em seus servidores e desktops, que utiliza as portas 137 e 138 UDP e as portas TCP 139 e 445. Este protocolo, relacionado a vulnerabilidade do MS17-010, jamais deveria trafegar pela Internet. Ele deveria ser bloqueado pelos Firewalls de borda e desativado em servidores que não precisam dele sempre que possível;
  • Não adianta tentar bloquear uma lista fixa de IPs associadas aos servidores de controle (C&C), pois o ransonware fala com os seus servidores através da rede TOR. Por isso é uma boa idéia bloquear ou monitorar o acesso das máquinas internas de sua rede para IPs externos associados a rede TOR. É possível baixar da Internet listas com esses IPs (são muitos, centenas ou milhares) A propósito, Kaspersky indicou, em seu blog, quais são os endereços desses servidores na rede TOR;
  • A Trend Micro, Kaspersky, Symantec e a McAffee já tem vacina para esse ransomware;
  • Um dos domínios que o malware usa para se comunidar já foi desabilitado e está resolvendo para um endereço IP inofensivo: www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com. É interessante que esse domínio era um "kill switch" que os pesquisadores descobriram acidentalmente, por sorte nossa, ao registrar o domínio: após se instalar, o WannaCry tenta acessar esse domínio e, se consegue, ele interrompe a infecção;
  • Há várias histórias de empresas que estão desligando suas redes internas e seus computadores preventivamente, para evitar serem infectadas. Para ser sincero, não acho que elas estão erradas, pois isso evitaria a contaminação. Mas o mais importante mesmo é atualizar seus sistemas Windows.
    • A minha sugestão, nesse caso, seria fazer uma parada emergencial programada: primeiro desliga as redes dos usuários (rede física e Wifi) e atualiza os servidores. Depois vai religando as redes dos usuários parcialmente e força a atualização das máquinas conforme elas voltam ao ar (fácil de fazer se você tem gestão centralizada delas).
Desde a quinta-feira, dia 18/5, surgiram notícias de que pesquisadores de segurança começaram a descobrir falhas no WannaCry que permitissem recuperar os arquivos encriptados, sem necessidade de pagar os ciber criminosos. Uma falha nas bibliotecas de criptografia da Microsofr e no seu uso permitiu recuperar a chave de criptografia RSA a partir de dados armazenados em memória, em algumas versões do Windows.


Assim, surgiram rapidamente algumas ferramentas:
  • Wannakey - primeira ferramenta que surgiu, diz funcionar em Windows XP;
  • WanaKiwi - consegue recuperar os primos em Windows XP, 2003 (x86), Vista, 2008, 2008 R2 e Windows 7.
Estas ferramentas procuram pelos números primos utilizados para gerar a chave privada RSA no processo wcry.exe. Este programa, que faz parte do WannaCry, usa as funções CryptDestroyKey e CryptReleaseContext que, no Windows XP, apaga as chaves de criptografia da memória, mas mantém os números primos na memória antes de liberar a memória associada ao processo


Além disso, em Junho pesquisadores da Kaspersky anunciaram que descobriram algumas falhas no código do WannaCry que permite recuperar os arquivos originais, antes de serem encriptados:
  • Arquivos em folders "importantes" (como as pastas "Desktop" e "Documents") não podem ser recuperados, pois o WannaCry sobrescreve eles antes de apagá-los;
  • Arquivos em outras pastas nas pastas nos discos do sistema operacional são movidos para a pasta escondida "%TEMP%\%d.WNCRYT" (aonde %d representa um número) e depois apagadas, mas de forma que qualquer ferramenta de recuperação de arquivos pode conseguir recuperá-los;
  • Arquivos em discos que não são do sistema são movidos para a pasta “$RECYCLE” e configurados como "hidden+system". Devido a um bug, as vezes o arquivo pode não ser movido e é mantido na pasta original, e os arquivos originais podem ser recuperados por uma ferramenta de recuperação de arquivos;
  • Arquivos com restrição de acesso "ready-only" não são removidos, apenas escondidos no sistema operacional usando a flag de "hidden". Uma busca simples pode encontrá-los.

Especialistas em segurança são unânimes em dizer que as vítimas não devem parar o resgate exigido pelos donos dos Ransomwares. Isso principalmente porque não há nenhuma garantia que o ciber criminoso irá cumprir a sua promessa. No caso do WannaCry, há um outro problema: ele não tem um mecanismo para verificar automaticamente que a vítima depositou o dinheiro na carteira bitcoin, então os criminosos tem que validar manualmente os pagamentos e também realizar manualmente o comando para liberar os arquivos.

É importante ter em mente que, a partir de agora, a tendência natural é que o WannaCry vai evoluir e novos Ransomwares vão surgir baseados nele. De fato, além de já terem aparecido centenas de variantes dele (versões do executável com assinatura MD5 diferente), já se fala do WannaCry 2.0, que não teria um "kill switch". Além disso, dois outros códigos maliciosos já surgiram com funcionamento similar ao Wannacry: o ransomware UIWIX e o malware Monero, que invade computadores para minerar moedas digitais.

As forças policiais estão trabalhando em cima do caso. A polícia francesa anunciou que, poucos dias depois de começar o ataque, já tinha identificado e apreendido 6 servidores de saída da Rede TOR localizados na França e que foram utilizados para comunicação do Wannacry.



Para saber mais:






Nota: Vou continuar atualizando esse post conforme identifico mais informações relevantes. Post atualizado pela última vez no dia 31/10/17.

Nota2: Também escrevi um FAQ sobre o WannaCry, para resumir os pontos principais, já que este artigo está gigante.
Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.