Os funcionários são o maior ativo de uma empresa. Mas eles também podem ser o ponto fraco em relação a segurança. Confira neste infográfico os 10 maiores riscos que um funcionário pode causar a empresa em que trabalha.

(Publicado originalmente em Malware Blog, 17/abril: http://blog.trendmicro.com/rogue-instagram-and-angry-birds-space-for-android-spotted/)

Recentemente, o Facebook anunciou a compra do Instagram, um popular aplicativo de compartilhamento de fotos para celulares. Quase uma semana antes, o Instagram havia lançado uma versão para Android. Foi divulgado que o Facebook pagou aproximadamente US$ 1 bilhão em dinheiro e ações por esta aquisição.

Os criminosos digitais, imediatamente, começaram a tirar proveito da popularidade do Instagram. Descobrimos uma página online que hospeda uma versão maliciosa do Instagram. Esta página imita o site autêntico de download do Instagram. Os quadrados vermelhos indicam os links que levam ao download:

Como referência, a seguir está uma tela do site que hospeda o aplicativo legítimo:

Meu colega Jonathan Beltran também identificou uma versão maliciosa do Angry Birds Space. Similar ao falso Instagram, a página web que hospeda este aplicativo malicioso está hospedada em um site russo.

Tanto o falso Instagram como o falso Angry Birds Space são detectados como ANDROIDOS_SMSBOXER.A. Com base em nossa análise inicial, o malware solicita ao usuário que autorize o envio de uma curta sequência de números para, supostamente, ativar o aplicativo. Na verdade, o malware envia uma mensagem para certos números telefônicos. O aplicativo malicioso também se conecta a certos sites, provavelmente para baixar outros arquivos no dispositivo.

Nos últimos dias, vimos diversos domínios russos hospedando páginas maliciosas que imitam as páginas de download de alguns aplicativos populares para Android. Alguns dos aplicativos utilizados neste golpe são: Fruit Ninja, Temple Run e Talking Tom Cat. Recomendamos que os usuários tenham cautela ao baixar aplicativos Android, especialmente aqueles hospedados em lojas de aplicativos alternativas. Para saber mais sobre como evitar o download de aplicativos maliciosos, confira os seguintes guias online:

A Smart Protection Network™ da Trend Micro™ impede o acesso a websites maliciosos, protegendo os usuários contra o download dos falsos aplicativos Instagram e Angry Birds Space. Além disso, o Trend Micro Mobile Security detecta o .APK, protegendo os smartphones Android contra ações maliciosas de malwares.

Este é o terceiro e último post da série sobre o HTML5. Você pode verificar os posts anteriores, HTML - O Que É Bom e HTML - O Que É Ruim.

Bem vindo à última parte da série sobre HTML5 e as questões de segurança acerca de seus recursos. Veremos aqui o que são, em nossa opinião, a questão de segurança mais assustadora trazida pelo HTML5 - BITB (Botnets In The Browser, ou Botnets No Navegador).

Com HTML5, criminosos podem criar uma botnet que funcione em qualquer sistema operacional, em qualquer local e qualquer dispositivo. Como é baseada principalmente em memória, a botnet quase não utiliza o disco, dificultando sua detecção com antivírus tradicionais baseados em arquivos. Além disso, é fácil confundir código JavaScript, então assinaturas IDS de rede também terão problemas. Por fim, como é baseado na web, facilmente passará por boa parte dos firewalls.

Estágios de um ataque botnet baseado em navegador

• 1. Infecção: A infecção do sistema do usuário ocorre quando este é convencido a executar o JavaScript inicial. Existe uma extensa lista de meios de fazer isso, incluindo XSS, clique em links enviados por emails ou mensagens instantâneas, otimização para mecanismos de busca (SEO) blackhat, engenharia social, corrupção de sites e outros.
• 2. Persistência: Por natureza, uma botnet baseada em navegador não será tão persistente quanto uma botnet tradicional. Assim que a vitima fecha a aba do navegador, o código malicioso será encerrado. Um criminoso deverá manter isso em mente, e as tarefas executadas pelas botnets baseadas em navegador devem ser projetadas para levar em consideração a natureza transitória dos nós de botnet. A habilidade de facilmente re-infectar sistemas é importante, portanto vetores de ataque como a utilizado de um XSS persistente e o a corrupção de sites são mais prováveis. Outra possibilidade é a combinação de clickjacking e tabnabbing. O clickjacking é utilizado para forçar a vítima a abrir outra página web com o mesmo conteúdo que a página original. Para estender a vida da aba maliciosa, o criminoso pode utilizar o tabnabbing - fazendo com que a página e aba originais se passem por páginas comumente abertas, como Google ou YouTube. Talvez uma forma ainda mais simples de persistência seja a exibição da página maliciosa como um jogo interativo. Idealmente, o jogo deve ser projetado para que o usuário mantenha a página aberta o dia inteiro, e tenha que voltar ocasionalmente para completar alguma tarefa.
• 3. Carga: Esse ataque pode resultar em:
  • 1. Ataques DDoS: O trabalhador web pode utilizar Cross Origin Request (requisições de origem cruzada) para enviar milhares de requisições GET para um único site-alvo, resultando em negação de serviço.
  • 2. Envio de Spam: Utilizando formulários web mal configurados em páginas de contato de website, um bot pode ser usado para gerar spam.
  • 3. Geração de Bitcoin: Bitcoins são a moeda preferida para o submundo do cybercrime. Atualmente existem vários geradores de bitcoin baseados em navegador.
    

    Figura 1. Gerador de Bitcoin baseado em navegador

  • 4. Phishing: Com técnicas de tabnabbing, um criminoso pode mudar a aparência de uma aba maliciosa cada vez que a aba perde foco. Assim, cada vez que a vítima volta à aba, ele verá a tela de login para um serviço diferente, permitindo que o criminoso roube suas credenciais.
  • 5. Reconhecimento de rede interna: Utilizando as técnicas descritas aqui, um criminoso pode realizar varreduras d vulnerabilidade e de portas na rede da vítima.
  • 6. Utilização de rede proxy: Com as mesmas técnicas utilizadas pelo Shell do Future tool (em inglês), uma rede de sistemas comprometidos pode permitir que um criminoso realize ataques proxy e conexões de rede, dificultando o rastreamento.
  • 7. Propagação: A botnet pode ser programada com um componente de worm que se propaga via ataques XSS ou injeções SQL em sites vulneráveis.

Isso representa um aumento de arsenal para os criminosos, e devemos ver mais disso no futuro - especialmente em ataques direcionados. Apesar de que defesas tradicionais contra malware não são as mais indicadas para esse novo vetor de ataques, existem duas ferramentas gratuitas que podem oferecer boa proteção:

• 1. NoScript: O plugin de navegador NoScript é bem conhecido da indústria de segurança. Esta excelente ferramenta restringe a execução do JavaScript e outros plugins em sites não confiáveis.
• 2. BrowserGard: O BrowserGuard da Trend Micro inclui vários recursos para bloquear ataques baseados na web, incluindo tecnologia heurística avançada.

O relatório HTML5 Overview: A look at HTML5 Attack Scenarios está disponível para download (em inglês).

Esta é a segunda parte de uma série de 3 posts sobre HTML5. Veja a primeira parte: HTML - O Que É Bom.

Iniciamos esta série vendo algumas dos novos recursos que vão melhorar o modo como interagimos com a Web.

Neste post, veremos como alguns recursos do HTML5 podem ser utilizados por hackers. Este post não tem a pretensão de trazer uma lista completa, caso você se interesse por mais detalhes veja o próximo post sobre ataques HTML5.

Na lista abaixo, você encontrará 5 novos ataques possibilitados pelos novos recursos do HTML5. As ameaças não estão listadas em qualquer ordem:

• 1. Clickjacking facilitado: O clickjacking, ou sequestro de cliques, não é por si só novo. Esse tipo de ataque busca roubar cliques do botão do mouse da vítima e redirecioná-los a uma página especificada pelo hacker, cujo objetivo é fazer com que o usuário clique em um link oculto sem que perceba.
  Atualmente, uma das melhores defesas no nível do servidor é algo chamado Framekilling. Basicamente, o site afetado pode usar JavaScript para verificar se um iframe está sendo executado e, em caso afirmativo, negar a exibição. Esta técnica já é utilizada em sites como o Facebook, Gmail e outros. Contudo, o HTML5 traz um novo atributo chamado "sandbox" ao iframe, impedindo que o site execute o JavaScript. Em muitos casos, isso leva a uma configuração mais segura, porém desabilita a melhor defesa contra o clickjacking.
• 2. Varredura de Porta utilizando Solicitações de Origem Cruzada ou WebSockets: Com HTML5, navegadores agora podem se conectar a qualquer endereço IP ou site em (praticamente) qualquer porta. Apesar de não ser possível ler a resposta dessa conexão a não ser que isso seja especificamente permitido pelo site, pesquisadores já demonstraram que a quantidade de tempo que a requisição leva pode ser utilizada para determinar se a porta está aberta ou fechada. Isso permite que um criminoso realize uma varredura de portas da rede local da vítima diretamente do navegador.
• 3. Engenharia Social com Notificações Web: Mencionamos notificações web em nosso último post sobre os novos recursos que o HTML5 traz. Estes pop-ups, que aparecem fora da área do navegador, podem ser completamente customizados com código HTML. Enquanto isso permite boas possibilidades de interação, isso também pode ser uma boa ferramenta para ataques de engenharia social, tais como phishing ou FAKEAV. A figura abaixo dá uma ideia do que criminosos podem fazer com esse novo recurso:
  

  Figura 1. Exemplo de truque de engenharia social feito com HTML5

• 4. Rastreamento de vítimas com Geolocalização: Geolocalização é um dos recursos de maior repercussão no HTML5. Como medida de segurança e privacidade, um site deve sempre pedir a permissão do usuário antes de acessar informação de localização. Contudo, como visto anteriormente em recursos como o controle de usuário do Vista, a permissão e aplicativos do Android, e certificados HTTPS inválidos - a segurança baseada na decisão do usuário raramente funciona. Uma vez que a permissão é concedida, além de sua localização, o site pode rastrear o usuário em tempo real conforme ele se movimenta.
• 5. Adulteração de Formulários: Outro novo recurso permite que um criminoso que tenha injetado código JavaScript nem um site (como de um ataque XSS, por exemplo) altere o comportamento de formulários na página. Por exemplo, um criminoso pode alterar um formulário benigno de uma loja online para enviar conteúdo para a página de compras, ou alterar uma página de login para enviar as credenciais do usuário para o site do criminoso.

Estas são apenas algumas das fantásticas possibilidades do HTML5, mas existem várias demonstrações na web que valem uma olhada. Contudo, assim como os super-poderes em filmes de super-heróis, esses recursos podem ser uma faca de dois gumes.

HTML5 é a quinta revisão da linguagem que move a internet. Essa semana, publicaremos um documento com detalhes sobre alguns dos novos ataques possibilitados por essa tecnologia. Em três posts, veremos o que é bom, o que é ruim, e o que é assustador sobre as novidades que o HTML5 traz à web e, consequentemente, ao arsenal dos cyber criminosos.

Em primeiro lugar, o HTML5 (e os APIs associados) não é uma atualização como a que conhecemos em softwares. Na verdade, são várias funcionalidades individuais, cada uma com suporte a diferentes navegadores. Neste artigo da Wikipedia (em inglês), você pode ver as funcionalidades atualmente implementadas. Existem várias características fantásticas no HTML5, porém cinco se destacam - e certamente mudarão a forma como interagimos com a web.

• 1. Novas bibliotecas gráficas: O HTML5 traz as novas bibliotecas Canvas e WebGL, que permitem websites com mais recursos. Nesta página (em inglês), você encontra algumas ótimas demonstrações. Particularmente, acreditamos que a biblioteca WebGL muda as regras do jogo - veja como os gráficos ficaram bons nesta porta do famoso game Quake II - agora completamente codificado em HTML5 (em inglês). Isso abre uma geração completamente nova de jogos no futuro.
• 2. Conteúdo multimídia mais fácil: Se você já projetou um site com conteúdo de áudio e vídeo, você sabe que tudo sempre pareceu um pouco truncado, e normalmente precisamos de vários tags <audio> e <embed>, além de um pouco de flash para fazer tudo funcionar. Agora isso mudou - o HTML5 traz um jeito muito simples de usar as tags <video> e <audio>, simplificando a inclusão de conteúdo multimídia em seu site. O suporte é tão bom que o YouTube já está migrando para o HTML5.
• 3. Geolocalização: Cada vez mais, as pessoas acessam a internet à partir de dispositivos móveis como smartphones e tablets. Quando aliamos os atuais hábitos e navegação com os novos recursos de Geolocalização do HTML5, abrem-se inúmeras possibilidades. Saber a localização de um visitante de seu site pode ajudar a personalizar o conteúdo de acordo com o lugar onde ele se encontra. Imagine um site de um programa de caminhadas cuja home page padrão permite planejar roteiros quando acessada de uma cidade, mas redireciona para mapas interativos quando acessada do campo.
• 4. Drag & Drop: Apesar de sutil, esse recurso é bem importante - o Drag & Drop permite que você arraste conteúdo do seu browser diretamente para seu computador e vice-versa. Não parece muito revolucionário, não é? Veja esta demonstração (em inglês) e imagine o que isso pode significar para um site como o Facebook. Imagine que, ao voltar de férias, você pode simplesmente selecionar suas fotos de viagem, arrastá-las para o browser e instantaneamente compartilhá-las com seus amigos na rede social. É assim que queremos interagir!
• 5. Notificações da Web: Notificações da web são pequenas janelas pop-up que aparecem fora da janela do navegador, permitindo que usuários interajam com um site mesmo que não estejam visualizando-o. Atualmente, eles somente funcionam com o navegador Google Chrome, mas você pode ver esta demonstração. Essas notificações são ótimas para alertas de e-mail, atualizações em redes sociais, Twitter, e vários outros serviços. Quando utilizado em conjunto com o Drag & Drop, este recurso praticamente elimina fronteiras entre aplicativos online e offline.

Estas são apenas algumas das fantásticas possibilidades do HTML5, mas existem várias demonstrações na web que valem uma olhada. Contudo, assim como os super-poderes em filmes de super-heróis, esses recursos podem ser uma faca de dois gumes.

O Projeto Meu Futuro da Trend Micro nasceu da necessidade de geração de massa crítica consciente dos novos desafios de segurança da informação, oriundos de transformações no contexto de ameaças digitais e na crescente complexidade do ambiente e infraestrutura de TI.

Visando uma maior aproximação com o ambiente acadêmico, por acreditar que nossos jovens estudantes e futuros talentos serão, em pouco tempo, os responsáveis pela gestão e tomada de decisão no ambiente empresarial, o Projeto Meu Futuro, com o apoio do Centro de Inovação - Microsoft / PUCRS, teve como objetivo capacitar os participantes sobre as novas tecnologias Trend Micro, aderentes às necessidades que visualizamos para o cenário de TI atual e alinhadas às tendências para os próximos anos.

De vital importância foi a participação de canais estratégicos na recepção desses estudantes e imersão no ambiente profissional, conduzindo e apoiando o participante a superar seus limites e agregar aprendizados consistentes para sua carreira profissional.

Encaro o Projeto Meu Futuro como uma forma de integração entre meio acadêmico, meio profissional e Trend Micro que pode trazer excelentes resultados a médio e longo prazo para construirmos um mundo seguro para troca de informações digitais!

Pesquisadores da Applidium publicaram descobertas interessantes (em inglês) sobre o protocolo utilizado pelo Siri. Para cada solicitação do usuário ao Siri, o iPhone 4S envia o áudio comprimido da solicitação para servidores da Apple para que sejam convertidos em texto. Em seguida, a solicitação é mapeada em comandos que o iPhone entende, e somente então é enviada novamente ao dispositivo.

O protocolo utiliza HTTPS, e para interceptar ou cloná-lo, é necessário um certificado SSL válido para guzzoni.apple.com ou uma maneira de convencer o dispositivo de que seu certificado é válido. Além disso, seria necessário sequestrar o DNS para que o telefone pense que você controla o endereço IP guzzoni.apple.com. A postagem da Applidium cobre bem os detalhes, portanto vamos ver o que podemos fazer com isso.

Vamos começar com as coisas positivas e criativas que podemos fazer. Teoricamente, transportar o Siri para qualquer dispositivo deveria ser fácil se você tiver um ID válido do iPhone 4S. Qualquer dispositivo que possa gravar e rodar um aplicativo conectado à internet deveria funcionar - inclusive laptops, tablets, smartphones, ou até mesmo geladeiras e máquinas de lavar. Você pode até fazer seu próprio servidor Siri que se comunique com outros dispositivos com Siri. Isso pode ser utilizado em casa para comandos como "acenda a luz", ou "feche a porta da garagem". No escritório, também pode ser útil: imagine integrar um sistema desses com ferramentas do dia-a-dia para fazer o seu workflow gerenciável por voz. Tudo o que pode ser colocado em código pode ser perguntado para o Siri.

Infelizmente, existem algumas possibilidades não tão amigáveis. Para esses cenários, vamos partir do princípio que o crimino so carregou com sucesso no dispositivo um certificado auto-assinado e, de alguma forma, controla o DNS local, já que ambos são necessários para a interceptação de comunicação do Siri.

O ataque mais óbvio é capturar todas as solicitações e respostas do Siri. Por si só isso já é útil, mas as perguntas que você faz ao Siri podem revelar algo sobre seu trabalho. Logo, facilmente poderemos mudar respostas como a cotação da bolsa, ou substituir uma solicitação para ligar para um colega de sua lista de contatos por uma solicitação para uma ligação para um número diferente, que então encaminha a ligação para seu contato, possibilitando que a conversa seja gravada. Para isso, o criminoso teria que conhecer o conteúdo da lista de contatos da vítima, o que é bem factível para um criminoso com força de vontade.

A Apple pode consertar este problema de várias maneiras. A mais abrangente seria adotar um sistema de autenticação "challenge-response", exigindo que a chave SSL do servidor corresponda a uma chave de ID, ou então que seja assinado por uma chave com um ID fixo. De qualquer maneira, se é que realmente existe um problema, somente a Apple pode resolvê-lo.

Durante o mês passado, o Google anunciou que aumentaria a segurança para usuários em suas buscas (em inglês), proporcionando uma experiência mais segura para seus usuários logados. Isso tem duas implicações: primeiro, tanto a pesquisa quanto os resultados serão enviados por HTTPS, protegendo as pesquisas de usuários em conexões pouco seguras, como por exemplo conexões públicas Wi-Fi.

A segunda implicação é mais interessante. De acordo com testes da Trend Micro, o Google não inclui mais termos de pesquisa do utilizados pelo usuário no cabeção HTTP referente. Abaixo parte da URL que o Google envia como URL referente:

Note que depois dos caracteres &q=, o termo de pesquisa não é especificado. Atualmente, uma URL referente traz essa informação:

Existem duas repercussões. Em primeiro lugar, sites legítimos não terão como destacar quais termos utilizados são mais populares, o que pode dificultar ou impedir o trabalho de otimização. Para um webmaster, essas estatísticas são muito úteis para ajustar o conteúdo e aumentar a encontrabilidade de seu site. Agora, para conseguir esta informação, você precisa utilizar os serviços de analítica do próprio Google - o que pode não ser factível para todos os sites.

Por outro lado, sites de SEO blackhat também não terão acesso a essas estatísticas. Para eles, também é muito útil saber quais termos de pesquisa foram "sequestrados" com sucesso. Para eles, isso também não é bom por razões estatísticas. Quando esses sites recebem visitas dos sites de busca, eles não têm como saber qual termo de pesquisa foi utilizado pelos visitantes. Eles não saberão quais termos funcionam e quais não funcionam, então eles basicamente ficam no escuro. Isso pode ter grande impacto na efetividade de suas atividades maliciosas. Isso, com certeza, é uma boa coisa para o Google, já que suas listas de pesquisa ficam mais limpas, mas é também bom para usuários, que têm probabilidade menor de clicar em links irrelevantes do Google.

É claro que isso acontece apenas quando os usuários estão logados nos serviços do Google. Como várias pessoas já utilizam o Google Mail e o Google+, isso talvez não seja um problema - mas ainda assim não deixa de ser um obstáculo. Se as pessoas continuarem usando pesquisas HTTP sem cadeado, elas continuarão revelando seus termos de pesquisa e mantendo o cenário atual. Quanto mais pessoas utilizarem HTTPS, menos informação será disponibilizada aos cyber criminosos. Portanto aí está: você tem mais uma razão para utilizar conexões seguras ao fazer pesquisas na web.