Flame: perguntas e respostas

Muita informação sobre o Flame no site da Kaspersky. Um pequeno excerto:

What exactly is Flame? A worm? A backdoor? What does it do?
Flame is a sophisticated attack toolkit, which is a lot more complex than Duqu. It is a backdoor, a Trojan, and it has worm-like features, allowing it to replicate in a local network and on removable media if it is commanded so by its master.
The initial point of entry of Flame is unknown - we suspect it is deployed through targeted attacks; however, we haven’t seen the original vector of how it spreads. We have some suspicions about possible use of the MS10-033 vulnerability, but we cannot confirm this now.
Once a system is infected, Flame begins a complex set of operations, including sniffing the network traffic, taking screenshots, recording audio conversations, intercepting the keyboard, and so on. All this data is available to the operators through the link to Flame’s command-and-control servers.
Later, the operators can choose to upload further modules, which expand Flame’s functionality. There are about 20 modules in total and the purpose of most of them is still being investigated.

How sophisticated is Flame?
First of all, Flame is a huge package of modules comprising almost 20 MB in size when fully deployed. Because of this, it is an extremely difficult piece of malware to analyze. The reason why Flame is so big is because it includes many different libraries, such as for compression (zlib, libbz2, ppmd) and database manipulation (sqlite3), together with a Lua virtual machine.
(...)

How is this different to or more sophisticated than any other backdoor Trojan? Does it do specific things that are new?
First of all, usage of Lua in malware is uncommon. The same goes for the rather large size of this attack toolkit. Generally, modern malware is small and written in really compact programming languages, which make it easy to hide. The practice of concealment through large amounts of code is one of the specific new features in Flame. The recording of audio data from the internal microphone is also rather new. Of course, other malware exists which can record audio, but key here is Flame’s completeness - the ability to steal data in so many different ways.
Another curious feature of Flame is its use of Bluetooth devices. When Bluetooth is available and the corresponding option is turned on in the configuration block, it collects information about discoverable devices near the infected machine. Depending on the configuration, it can also turn the infected machine into a beacon, and make it discoverable via Bluetooth and provide general information about the malware status encoded in the device information.

Flame: uma nova "super-cyberweapon"

Do Público:

O vírus Flame é uma das ameaças mais complexas alguma vez detectadas

Foi detectada a existência de um vírus informático que dá pelo nome de Flame e que já foi descrito como uma das ameaças mais complexas alguma vez detectadas.

Pensa-se que este vírus, que desencadeou um complexo ciberataque à escala mundial, tem recolhido dados privados de uma série de países, incluindo Israel e Irão, afirmaram especialistas citados pela BBC.

A empresa de segurança informática russa Kaspersky Labs indicou à estação britânica que o malware estará operacional desde pelo menos Agosto de 2010. A mesma empresa indicou que os ataques terão origem num programa estatal, mas não quiseram indicar qual a eventual origem geográfica da ameaça.

As investigações às origens e objectivos deste ataque foram levadas a cabo em parceria com a International Telecommunication Union, da ONU.

No passado foi já noticiada a existência de complexo malware internacional com um alvo específico, como o Stuxnet, o vírus que infectou centrais nucleares iranianas. Porém, o novo vírus Flame não terá como objectivo causar danos físicos, mas antes recolher dados sensíveis dos seus alvos, indicou Vitaly Kamluk, perito da empresa Kaspersky Labs.

O professor Alan Woodward, do Departamento de Computação da Universidade do Surrey, disse à BBC que este é um ataque muito significativo. “Isto é basicamente um aspirador industrial de informações sensíveis”, disse, explicando que ao contrário do Stuxnet, que tinha um objectivo específico, este malware pode apanhar tudo aquilo que lhe chegar e considerar potencialmente interessante.

Kamluk explicou à BBC como o vírus actua: “Uma vez infectado um sistema, o Flame dá início a um complexo sistema de operações, incluindo a monitorização do tráfego, a recolha de capturas de ecrã, a gravação de conversas áudio, o registo de acções no teclado e por aí fora”.

Relata a BBC que este vírus consegue detectar conversas telefónicas, gravá-las e enviá-las para os “espiões” e consegue igualmente fazer capturas de ecrã detectando automaticamente quando estão abertos programas “interessantes”, como e-mail ou mensagens instantâneas.

Mais de 600 alvos específicos foram atingidos, desde indivíduos e empresas até governos e instituições académicas.

Uma unidade informática governamental iraniana alertou recentemente para o facto de este vírus Flame ser responsável por “recentes perdas massivas de dados” nacionais.

Os investigadores dizem que poderá demorar vários anos a ser analisado, por causa do seu tamanho e da sua complexidade, o que sugere que a sua origem poderá ser governamental (ou criada com apoios estatais) e não fruto do trabalho de cibercriminosos independentes.

“Actualmente há três categorias de indivíduos/organizações que desenvolvem malware e spyware: hacktivistas, cibercriminosos e Estados”, disse Kamluk.

“O Flame não tem a intenção de roubar dinheiro de contas bancárias. E também é diferente do simples malware usado pelos hacktivistas. Por isso, ao excluirmos os cibercriminosos e os hacktivistas, chegamos à conclusão que o mais provável é que a ameaça venha do terceiro grupo”, indicou o mesmo responsável.

Entre os países afectados pelo ataque contam-se o Irão, Israel, Sudão, Síria, Líbano, Arábia Saudita e Egipto.

“A geografia dos alvos e também a complexidade da ameaça não deixa qualquer dúvida sobre a hipótese de ter sido um Estado-nação a patrocinar a investigação que deu origem a isto”, disse Kamluk.

O primeiro registo da actuação do vírus Flame foi detectado pela empresa Kaspersky em Agosto de 2010, apesar de ser provável que o malware estivesse a operar desde antes.


Alguns excertos do anúncio da Kaspersky (destaques meus):

Kaspersky Lab and ITU Research Reveals New Advanced Cyber Threat
28 May
Virus News

Kaspersky Lab announces the discovery of a highly sophisticated malicious program that is actively being used as a cyber weapon attacking entities in several countries. The complexity and functionality of the newly discovered malicious program exceed those of all other cyber menaces known to date.

The malware was discovered by Kaspersky Lab’s experts during an investigation prompted by the International Telecommunication Union (ITU). The malicious program, detected as Worm.Win32.Flame by Kaspersky Lab’s security products, is designed to carry out cyber espionage. It can steal valuable information, including but not limited to computer display contents, information about targeted systems, stored files, contact data and even audio conversations.

The independent research was initiated by ITU and Kaspersky Lab after a series of incidents with another, still unknown, destructive malware program – codenamed Wiper – which deleted data on a number of computers in the Western Asia region. This particular malware is yet to be discovered, but during the analysis of these incidents, Kaspersky Lab’s experts, in coordination with ITU, came across a new type of malware, now known as Flame. Preliminary findings indicate that this malware has been “in the wild” for more than two years - since March 2010. Due to its extreme complexity, plus the targeted nature of the attacks, no security software detected it.

Although the features of Flame differ compared with those of previous notable cyber weapons such as Duqu and Stuxnet, the geography of attacks, use of specific software vulnerabilities, and the fact that only selected computers are being targeted all indicate that Flame belongs to the same category of super-cyberweapons [grande termo!].

Commenting on uncovering Flame, Eugene Kaspersky, CEO and co-founder of Kaspersky Lab, said: “The risk of cyber warfare has been one of the most serious topics in the field of information security for several years now. Stuxnet and Duqu belonged to a single chain of attacks, which raised cyberwar-related concerns worldwide. The Flame malware looks to be another phase in this war, and it’s important to understand that such cyber weapons can easily be used against any country. Unlike with conventional warfare, the more developed countries are actually the most vulnerable in this case.”

The primary purpose of Flame appears to be cyber espionage, by stealing information from infected machines. Such information is then sent to a network of command-and-control servers located in many different parts of the world. The diverse nature of the stolen information, which can include documents, screenshots, audio recordings and interception of network traffic, makes it one of the most advanced and complete attack-toolkits ever discovered. The exact infection vector has still to be revealed, but it is already clear that Flame has the ability to replicate over a local network using several methods, including the same printer vulnerability and USB infection method exploited by Stuxnet.Alexander Gostev, Chief Security Expert at Kaspersky Lab, commented: “The preliminary findings of the research, conducted upon an urgent request from ITU, confirm the highly targeted nature of this malicious program. One of the most alarming facts is that the Flame cyber-attack campaign is currently in its active phase, and its operator is consistently surveilling infected systems, collecting information and targeting new systems to accomplish its unknown goals.”

(...)

Estudo sobre segurança informática enquanto profissão


Frost & Sullivan believes this year’s survey shows a clear gap in skills needed to protect organizations in the near future. The information security community admits it needs better training in a variety of new technology areas, yet at the same time reports in significant numbers that these same technologies are already being deployed without security in mind. The profession as a whole appears to be resistant to adopt new trends in technology, such as social media and cloud computing, which are widely adopted by businesses and the average end-user. The information security profession could be on a dangerous course, where information security professionals are engulfed in their current job duties and responsibilities, leaving them ill-prepared for the major changes ahead, and potentially endangering the organizations they secure.  

The 2011 (ISC)2 Global Information Security Workforce Study

Meias-verdades sobre o software aberto


Alguns dos comentários ao artigo do Público sobre pirataria informática repetem uma série de lugares comuns românticos sobre software código aberto. Não há dúvida de que o software código aberto como um todo é um feito extraordinário, que merece todo o respeito e ser considerado como alternativa ao software comercial em inúmeras situações. No entanto, até por isso mesmo, é mau repetir argumentos que não correspondem à verdade:

1- O software aberto é gratuito. É uma meia-verdade. Para uma organização o software tem custos de aquisição, de instalação/configuração, e de administração. No caso do software aberto o primeiro desaparece mas os restantes, que tendem a ser muito superiores, continuam a existir.

2- O software aberto é desenvolvido por pessoas individuais e não por empresas. Dois contra-exemplos: a IBM pôr muitos engenheiros a contribuir para o Linux e a Yahoo! fez o mesmo para o Hadoop.

3- O software aberto não é um negócio. Na realidade existe sempre um modelo de negócio, nem que seja implícito. O negócio pode consistir em fornecer serviços de consultoria e suporte (há sempre inúmeras pequenas consultoras à volta de qualquer projecto de código aberto de grande dimensão), suporte a distribuições do software, ou simplesmente a busca de reconhecimento antecipando benefícios futuros.
 

Governo americano sabota sites ligados à al-Qaeda

Este caso no qual um governo diz em público que sabotou sites é interessante, não porque nunca tenha acontecido, mas por não haver memória de ser confirmado em público.

Hackers do governo americano atacaram sites ligados à al-Qaeda 
Público
Peritos governamentais entraram recentemente em sites e fóruns ligados à al-Qaeda contendo propaganda antiamericana e pró-terrorista e adulteraram as mensagens aí veiculadas, confirmou a secretária de Estado norte-americana, Hillary Clinton.

Numa intervenção à qual a Associated Press chamou de “rara admissão pública acerca da secreta luta cibernética que decorre contra os extremistas”, a secretária de Estado disse na semana passada que o seu departamento “alvejou” sites específicos ligados à rede terrorista al-Qaeda.

“Em cerca de 28 horas, a nossa equipa fez alterações nos sites que passaram a mostrar versões alteradas [dos dados aí mostrados], com o número de mortos que os ataques da al-Qaeda provocaram junto do povo iemenita”, disse Clinton durante um discurso oficial em Tampa, na Florida.

“Conseguimos perceber que os nossos esforços começam a ter impacto porque os extremistas estão a ventilar publicamente as suas frustrações e a pedir aos seus apoiantes que não acreditem em tudo o que lêem na Internet”, disse a governante.

De acordo com a AP, Clinton disse que estes ataques foram levados a cabo pelo Center for Strategic Counterterrorism Communications, um grupo composto por especialistas civis e militares que usam a Internet e as redes sociais para identificar e deter as manobras de recrutamento da al-Qaeda.

Este tipo de acções faz parte de uma estratégia a que a Administração americana consagra o nome de “poder inteligente”, indica por seu lado a ABC.

Um especialista em contra terrorismo ouvido pelo jornal The Washington Post, indicou, porém, que os fóruns iemenitas aos quais Clinton se refere poderão não ser muito abrangentes, pelo que o impacto desta interferência seria mínimo. “Se uma pessoa vive numa área tribal do Iémen, provavelmente ela não precisa de ir a um site de Internet para se juntar à al-Qaeda”, disse o mesmo responsável.

Reduzir a pirataria informática aumenta o PIB?

Sim, segundo um estudo da Univ. Católica. Notícia no Público:

Cortar pirataria informática em 25% faria o PIB crescer 288 milhões por ano 
Público, 24.05.2012 - 12:39 Por João Pedro Pereira

Reduzir a taxa de pirataria informática em Portugal dos actuais 40% para 30% – um corte de 25% do total – teria um impacto positivo no PIB, ao longo de quatro anos, de 1150 milhões de euros, ou 0,6% do valor actual, estima a Universidade Católica.


Segundo as contas do estudo, que é apresentado nesta quinta-feira, este cenário hipotético de diminuição da pirataria em dez pontos percentuais permitiria ainda a criação de um pouco mais de mil empregos por ano e um aumento da receita fiscal na ordem de 320 milhões de euros no total dos quatro anos.

O relatório nota, porém, que o efeito não é linear e que os impactos na economia são mais ou menos sentidos consoante o nível de pirataria: num país com um nível já baixo, uma determinada redução tem um efeito menor do que num país onde a pirataria seja mais elevada. O mesmo é dizer que, por exemplo, um corte para metade na pirataria em Portugal não se traduziria no dobro do aumento do PIB ou da criação de emprego.

A investigação foi realizada pelo Centro de Estudos Aplicados da Universidade Católica, conduzida pelo investigador Ricardo Ferreira Reis e apoiada pela Microsoft. A Associação de Empresas do Software associou-se à divulgação do relatório.

Os 40% de pirataria informática indicados para Portugal (com base nos dados da Business Software Alliance, que agrega empresas do sector em todo o mundo) colocam o país em 15.º lugar na Europa, em 13.º entre os 27 da União Europeia e em 21.º na lista da OCDE. Em patamares próximos estão países como França, Eslováquia, Hungria e Malta. Estes números, observa o estudo da Universidade Católica, colocam Portugal “a meio da tabela dos países mais desenvolvidos, longe dos piores, mas ainda com um longo caminho a percorrer”.

No geral, porém, os investigadores desenham um retrato positivo. “Portugal apresenta uma taxa de pirataria melhor do que a situação geral do país em muitas outras dimensões” e chama a atenção para o efeito positivo de medidas como os programas de distribuição de computadores portáteis nas escolas, dado que estes, por um lado, já são entregues com software licenciado e, por outro, contribuem para uma abertura tecnológica da população, o que tende a ter um impacto positivo na redução do uso ilegal de software.

(...)

6 bugs para quebrar a sandbox do Chrome

A Google revelou ontem detalhes sobre um dos vencedores da sua "Pwnium browser hacking competition". O ataque envolveu 6 bugs!


A Tale of Two Pwnies (Part 1)
Tuesday, May 22, 2012

"Just over two months ago, Chrome sponsored the Pwnium browser hacking competition. We had two fantastic submissions, and successfully blocked both exploits within 24 hours of their unveiling. Today, we’d like to offer an inside look into the exploit submitted by Pinkie Pie.

So, how does one get full remote code execution in Chrome? In the case of Pinkie Pie’s exploit, it took a chain of six different bugs in order to successfully break out of the Chrome sandbox."



Porquê é que não há muito mais vítimas?

Um artigo interessante:

The fact that a majority of Internet users appear unharmed each year is difficult to reconcile with a weakest-link analysis. We seek to explain this enormous gap between potential and actual harm. The answer, we find, lies in the fact that an Internet attacker, who attacks en masse, faces a sum-of-effort rather than a weakest-link defense. Large-scale attacks must be profitable in expectation, not merely in particular scenarios. For example, knowing the dog's name may open an occasional bank account, but the cost of determining one million users' dogs' names is far greater than that information is worth. The strategy that appears simple in isolation leads to bankruptcy in expectation. Many attacks cannot be made profitable, even when many profitable targets exist. We give several examples of insecure practices which should be exploited by a weakest-link attacker but are extremely difficult to turn into profitable attacks.

BDD-Security

interessante:

http://www.continuumsecurity.net/bdd-intro.html 

BDD-Security

A framework for security testing web applications through Behaviour Driven Development techniques
BDD-Security is a framework written in Java and based on JBehave and Selenium 2 (WebDriver) that uses predefined security tests and an integrated security scanner to perform automated security assessments of web applications.

Don't scanning tools already to that?

Partly. Scanning tools are good at finding certain types of vulnerabilities, such as injection vulnerabilities (Cross Site Scripting, SQL injection, etc.). But scanners don't understand the semantics of a web application. From a scanner's point of view E-bay.com and Citibank.com are the same thing: a series of HTTP requests with fields that can be scanned.
This means that purely automated scanning is a shallow form of security testing. In many cases the precise tests performed, and how they were performed is hidden from the user. The result of the scan is a report that only contains vulnerabilities. You could think of a scanning tool as a Badness-ometer.
Manual application security assessments result in a much deeper form of testing, because humans understand context.

(...)

What about scanning?

BDD-Security makes use of the excellent Burp security scanner to perform the automated scanning in addition to the functional tests. Everything is driven from the JBehave stories, so it can all be executed from familiar build tools and integrated in continuous integration environments.
It uses a plugin we developed called resty-burp that allows Burp to be controlled through a web service interface over REST/JSON.

(...)

IBM suporta o Snort

IBM Gets Behind Snort, Expands Anomaly Detection
eSecurityPlanet

"Since its debut in 1998, the open-source Intrusion Prevention System (IPS) known as Snort has become a popular platform for security signatures to protect enterprise IT assets. Today, IBM announced support for Snort signatures as part of an expanded security threat analytics capability that is designed to alert organizations to suspicious outbound traffic from infected "zombie" computers.

According to IBM, enterprises are increasingly exposed to new and advanced threats that may have already invaded the corporate network. In addition to support for Snort signatures, IBM's expanded Advanced Threat Protection Platform includes the QRadar Network Anomaly Detection appliance, which is designed to analyze network traffic and report suspicious behavior."

Dados pessoais de estudantes acessíveis online

Do site do Público. O destaque é meu. O problema parece ter sido uma típica vulnerabilidade de referência directa a um objecto (v. OWASP top 10).


Dados pessoais de 220 mil estudantes estiveram acessíveis no site da DGES

18.05.2012 - 12:27 Por Samuel Silva

Dados dos candidatos a bolsas e das suas famílias estiveram disponíveis Dados dos candidatos a bolsas e das suas famílias estiveram disponíveis (Foto: Enric Vives-Rubio)

Os dados pessoais de 220 mil estudantes bolseiros do ensino superior estiveram acessíveis durante várias semanas no site da Direcção-Geral do Ensino Superior (DGES).


A situação foi corrigida quinta-feira pela empresa responsável pelo desenvolvimento da plataforma, mas vai ser investigada pela Comissão Nacional de Protecção de Dados (CNPD).

Os nomes completos e os números dos bilhetes de identidade e de identificação fiscal dos mais de 220 mil alunos candidatos a bolsas de estudo podiam ser consultados sem grandes dificuldades numa área específica do site da DGES. O sistema permitia também aceder aos mesmos dados pessoais dos pais e restantes elementos do agregado familiar destes estudantes do ensino superior.

O problema prendia-se com o acesso à área reservada do site a bolseiros, que era feita através de um endereço inseguro, que podia ser manipulado. O link à vista no browser (programa de navegação na Internet) de qualquer computador mostrava os parâmetros de acesso "ID" preenchidos com vários X. Substituindo os X pelos números de contribuinte ou de BI dos estudantes era possível aceder a essa zona do site. Uma vez ultrapassada a barreira, os dados pessoais estavam inteiramente disponíveis.
Uma denúncia anónima fez com que o portal pplware.com, associado à rede Sapo Tek, tivesse detectado o problema, dando origem a uma publicação naquele site feita anteontem. A forma como a notícia se começou a espalhar levou também o Ministério da Educação e Ciência (MEC) e a DGES a olhar para o caso e, a meio do dia de ontem, já havia uma solução, ainda que temporária.

O endereço de acesso à zona "reservada" a candidatos foi desactivado, o que impede agora o acesso à área onde os dados pessoais estavam acessíveis. A solução não corrige, todavia, o problema em definitivo. Numa nota escrita enviada ao PÚBLICO, o MEC garante que "têm vindo e estão a ser desenvolvidos os procedimentos normais nestas circunstâncias, designadamente em matéria de auditoria informática".

"O endereço já não se encontrava acessível através da plataforma de candidatura, onde tinha sido substituído, na sequência da adopção de um método diferente de geração de formulários", informa o gabinete de Nuno Crato. Segundo o ministério, "nunca esteve em risco a divulgação de qualquer informação acerca, designadamente, dos rendimentos e património dos candidatos e do seu agregado familiar". Além disso, a consulta da informação através do endereço em causa "não era possível por engano ou casualidade", obrigando a uma "deliberada e intencional" manipulação de dados, uma prática que é ilegal, explica o MEC.

Comissão em campo

O caso foi também detectado no início desta semana pela CNPD, dando origem a um procedimento interno que deverá motivar um processo de averiguações por parte daquele organismo. De acordo com a CNPD, nenhuma queixa relativa a esta situação deu até agora entrada nos seus serviços.

A plataforma de acesso a bolsas de estudo foi desenvolvida pela empresa Brightpartners, com quem a DGES tem quatro contratos registados no portal da contratação pública. Desde 2010, a firma recebeu mais de 400 mil euros relativos a quatro serviços de "manutenção e assistência técnica de software informático de suporte" ao concurso de atribuição de bolsas de estudo. Os contratos são renovados anualmente e o último foi lançado no portal em Fevereiro deste ano, com um valor de 76 mil euros.

(...)

Blackhole exploit kit

Uma análise do Blackhole exploit kit, supostamente o mais popular actualmente:

Exploring the Blackhole exploit kit
Author:
Fraser Howard
SophosLabs, UK
fraser.howard@sophos.com
Read the paper in pdf format, or view the online version.

Boa dica de segurança

Se for entrevistado na TV, não tenha as passwords escritas atrás de si :-)

Security tip: When being interviewed on TV, make sure passwords aren't written behind you


Proteger o router wireless

Um post com dois anos e meio cuja discussão continua até hoje. Tem informação útil e não se aplica apenas ao MEO (o meu é Vodafone e é igual...):

Proteja o seu router MEO dos vizinhos