Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

Dois golpes contra usuários do Chrome, aparentemente sem relação um com o outro, foram reveladas por empresas de segurança na semana passada. Os criminosos utilizaram extensões do Chrome, disponíveis no repositório oficial - a Chrome Web Store - para realizar atividades indesejadas no navegador dos usuários. Uma das extensões chegou à impressionante marca de 500 mil downloads, mas as outras tinham aproximadamente 10 mil downloads cada.

É verdade que ataques usando extensões de navegadores não parecem muito graves. Eles não causam o espetáculo, o horror e os prejuízos de um vírus de resgate, por exemplo. Mas a evolução da segurança dos navegadores colocou esse tipo de ataque como um dos mais viáveis para substituir fraudes antigas e, em muitos casos, a capacidade de uma extensão é suficiente para realizar golpes e roubar dados.

Como chegamos nisso?

O navegador mais popular há 15 anos era o Internet Explorer 6, da Microsoft, e muitos internautas não instalavam atualizações regularmente. Até quem atualizava o navegador era atacado por brechas "dia zero" (falhas ainda sem correção), já que a base da segurança do Internet Explorer era ruim. Em último caso, os criminosos ofereciam o download direto de arquivos executáveis (programas) e componentes ActiveX. Esta última é uma tecnologia tão ruim que não existe mais no Edge, o novo navegador da Microsoft.

Hoje, o navegador mais popular é o Chrome, do Google, que é atualizado com frequência e nem sequer pede autorização para fazê-lo. As brechas encontradas no Chrome, que não costumam ser graves, às vezes são fechadas antes de haver tempo para criar um código ataque. Downloads e páginas clonadas têm sua efetividade inibida pelos filtros de segurança do próprio navegador.

Foi por isso que criminosos recorreram a extensões fraudulentas do Chrome para conseguir rodar código nos computadores das vítimas. Promessas como "mude a cor do Facebook" ou "veja quem visitou seu perfil" (esta última é impossível, mas continua sendo feita) serviram de isca para que usuários incautos instalassem essas extensões com um único clique.

Não parece, mas extensões são suficientes para realizar diversas atividades lucrativas para o crime na web. Elas podem ser usadas para espalhar links contaminados por meio de comunicadores (como o chat do Facebook), são capazes de ter acesso aos seus dados de navegação para roubar senhas, têm permissão para adulterar páginas e substituir publicidade (para roubar tráfego e sequestrar receita de anúncios publicitárias, como fazia a extensão que teve 500 mil downloads revelada na semana passada) e outras atividades ilícitas.

Em outras palavras, as extensões se tornaram um problema porque o Chrome conseguiu avanços defensivos extraordinários em todas as frentes usadas em ataques.

Instalação restrita

O Google e a Mozilla, desenvolvedora do Firefox, acabaram percebendo que era necessário fazer algo a respeito dos plug-ins e extensões e impuseram uma exigência para que todas as extensões fossem instaladas somente a partir de um repositório oficial, controlado por eles próprios. A Mozilla, que tem 11% do mercado com o Firefox, parece ter resolvido o problema -- confiando em revisão humana. Mas a fatia de 60% controlada pelo Chrome e a filtragem automatizada do Google é suficiente para garantir uma insistência considerável por parte dos malfeitores. E é isso que vem acontecendo.

Além de cadastrarem extensões maliciosas na Chrome Web Store, os criminosos miram os próprios programadores e às vezes até fazem ofertas para comprar extensões populares. O objetivo dos criminosos é usar o recurso de atualização automática das extensões -- normalmente, algo muito positivo para a segurança -- para colocar código malicioso no navegador. O codigo malicioso muitas vezes é baixado pela extensão depois de instalada, o que burla as análises automatizadas.

Embora o número de extensões maliciosas seja certamente muito pequeno dentro do universo de extensões para o Google Chrome, instalar extensões de desenvolvedores menos conhecidos, para qualquer finalidade, é um grande risco. Mesmo que a extensão não seja fraudulenta quando você a instala, ela pode ser adquirida por um criminoso no futuro.




Extensão maliciosa 'Tiempo en colombia en vivo' impedia abertura da janela para remover extensões e redirecionava usuário para janela de apps para confundir o usuário. (Foto: Reprodução/Malwarebytes)

Medidas de segurança precisam melhorar

O Google, embora tenha colocado no Chrome a restrição para instalar somente extensões na loja oficial (o navegador nem sempre foi assim), pouco tem comentado sobre qualquer medida para impedir que extensões maliciosas sejam cadastradas na Web Store. Em 2013, a empresa anunciou que faria uma análise contra vírus nas extensões, mas isto não parece estar inibindo os ataques: o próprio Google admitiu, em 2015, que 9.523 extensões maliciosas foram cadastradas (e removidas) em um período de três anos, de 2012 a 2015.

Remover extensões é bom, mas, no momento, não está sendo de grande conforto. Sabemos que, em ao menos um caso, relatado pela empresa de segurança Malwarebytes, o Google levou mais de duas semanas para remover uma extensão maliciosa da Chrome Web Store. É um prazo inaceitável. Por que esse problema é difícil de resolver?

Diferente do Android, que conta com um sistema de permissões robusto e específico, as extensões do Chrome quase sempre acabam pedindo permissão para modificar qualquer página visitada. Com isso, fica difícil de classificar o potencial de perigo de cada extensão. Por causa de ataques recentes, aplicativos que pedem acesso aos recursos de usabilidade do Android, por exemplo, podem passar por um crivo maior antes de chegarem ao Google Play e o próprio Android pode limitar a capacidade desses apps.

Além disso, revisões humanas são complicadas -- ou seja, caras. O analista Pieter Arntz, da Malwarebytes, observou que não dispunha de tempo para analisar todo o comportamento da extensão maliciosa que ele encontrou. O código da extensão estava "ofuscado", ou seja, usava técnicas para impedir sua leitura por humanos. Esses mesmos truques também dificultam a análise automatizada.

Em outubro, a equipe de segurança e extensões do Chrome afirmou publicamente que está trabalhando em soluções, mas que não podia revelar detalhes para não deixar que criminosos tirassem proveito da informação e burlassem as medidas. Isso foi em outubro, mas as últimas extensões maliciosas foram identificadas em dezembro.

Espera-se que medidas com o mesmo tipo de rigor que o Google adotou para os aplicativos de Android no Google Play -- incluindo a revisão humana -- sejam adotados (e funcionem) na Chrome Web Store. Para isso, talvez seja preciso redesenhar o funcionamento das extensões no Chrome, dada a popularidade do programa. Infelizmente, sem isso, instalar uma extensão para o Chrome pode ser uma aventura. Uma aventura que, no momento, deve ser evitada sempre que possível.

Siga a coluna no Twitter em @g1seguranca.

Vulnerabilidades encontradas nos consoles PlayStation 4, da Sony e Switch, da Nintendo, abrem as portas para a instalação de aplicativos não autorizados (os chamados "homebrews") e, possivelmente, para o uso de jogos piratas. As novidades foram divulgadas em um evento de segurança e em redes sociais na semana passada.

O ataque contra o Switch foi divulgado no dia 28 de dezembro no 34C3, um evento de segurança em Berlim, mas o código para explorá-lo não foi publicado. Três dos quatro pesquisadores que encontraram as falhas apresentaram suas descobertas no evento. Para eles, o console da Nintendo é o mais seguro já lançado.

O calcanhar de Aquiles do console da Nintendo foi o chip da Nvidia Tegra X1. Como se trata de um hardware comum, a Nvidia disponibiliza diversos materiais com informações técnicas do produto. Com isso, os especialistas conseguiram acesso a uma "porta dos fundos" do chip, criada para dar acesso de diagnóstico.

Os pesquisadores prometem uma plataforma de homebrews "em breve", mas o ataque deve funcionar apenas na versão 3.0 do console. A versão 3.0.1, a primeira a fechar a vulnerabilidade, foi lançada em agosto de 2017. Isso significa que todos que atualizaram o Switch desde então provavelmente não poderão tirar proveito dos problemas no sistema da Nintendo, já que o console não permite a instalação de versões antigas depois que uma mais nova já foi instalada.

No caso do PlayStation 4, a versão vulnerável é a 4.05, lançada no fim de outubro. Hackers lançaram um novo código baseado na falha "namedobj", no dia 27 de dezembro. O código se aproveita de uma falha conhecida desde meados de outubro e é capaz de executar qualquer código diretamente no kernel -- o "coração" do sistema do PS4 -- com 95% de confiabilidade, segundo os autores (isso significa que, em 5% das tentativas, é possível que o console trave ou apresente instabilidade).

Nenhum código específico para executar aplicativos homebrew ou jogos piratas foi lançado até o momento, mas, como o código permite rodar qualquer código diretamente no kernel, que teoricamente dá acesso a todas as funções do videogame, a expectativa é que seja questão de tempo até que um código com essa função seja criado.

Assim como no caso do Switch, o PlayStation 4 tem proteções que impedem a instalação de uma versão mais antiga do sistema do console. Em aparelhos que já instalaram versões mais novas do sistema, o código simplesmente não funciona.

Imagens: Consoles Ninendo Switch e Playstation 4 (Fotos: Divulgação)

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

O código malicioso que foi acrescentado por hackers no download oficial do CCleaner tinha como objetivo atingir um pequeno número de grandes empresas, especialmente no ramo da tecnologia. Essa é a conclusão dos especialistas que estão analisando o ataque e o sistema de controle responsável por distribuir o segundo estágio da infecção.

A Avast, desenvolvedora do CCleaner, estima que 2,27 milhões de computadores receberam o CCleaner infectado entre os dias 15 de agosto e 15 de setembro. Porém, só algumas centenas de máquinas devem ter recebido o chamado "segundo estágio", ou seja, o verdadeiro código espião.

Todos os demais computadores atingidos não teriam recebido o segundo estágio. Em computadores fora das redes alvo, o CCleaner infectado não chega a causar incômodos e nem roubar informações relevantes do computador.

Especialistas do Talos, o time de segurança da Cisco, divulgaram uma lista usada pelo sistema criminoso para decidir se um sistema receberia ou não o segundo estágio. A lista mostra que os invasores estavam buscando atingir computadores em redes da própria Cisco e de várias outras empresas de tecnologia.

HTC, Samsung, Sony, VMware, Intel, Microsoft, Vodafone, MSI, Google e D-Link estão entre as empresas alvo. Caso o CCleaner infectado tenha sido executado em um computador da rede interna dessas empresas, é provável que a máquina tenha recebido um segundo software espião.

A Avast havia inicialmente informado que não tinha evidências de que o segundo estágio tinha sido distribuído para algum usuário. As novas informações comprovam que ao menos 20 computadores em oito empresas receberam o vírus secundário. Essas evidências, coletadas do servidor de controle dos criminosos, cobrem apenas alguns dias. É por isso que os especialistas estimam que até centenas de computadores podem ter sido atacados durante o mês que o CCleaner infectado foi distribuído.

Os dados, porém, trazem boas notícias para a maioria dos usuários do CCleaner. Agora que os alvos são conhecidos, não há motivo para pânico. Basta atualizar para a versão mais nova do programa para estar livre do problema.

SAIBA MAIS
'CCleaner' infectado é alerta para usuários e empresas de segurança
Versão do 'CCleaner' foi contaminada por vírus, alertam empresas

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

O CCleaner é um dos programas mais populares do mundo. No dia 15 de agosto, foi ao ar uma versão do programa alterada por hackers, capaz de se comunicar com um servidor para enviar informações do computador e baixar um programa qualquer especificado pelos malfeitores. O problema só foi percebido no dia 12 de setembro, quase um mês depois de ir ao ar. Estima-se que até 2,3 milhões de computadores tenham recebido o arquivo envenenado.

Sendo o CCleaner um programa tão popular, tudo aconteceu debaixo do nariz das empresas de segurança. De fato, a Piriform, desenvolvedora do CCleaner, pertence à Avast, uma fabricante de antivírus.

O problema foi percebido por uma ferramenta do Talos, o grupo de pesquisa de segurança da Cisco, a fabricante de equipamentos de rede. Os especialistas verificaram que a ferramenta alertou para uma comunicação suspeita iniciada pelo CCleaner. Investigando, chegaram à raiz do problema.

Por que isso conseguiu passar despercebido? O maior fator é o da confiança. O programa malicioso estava assinado digitalmente com o certificado legítimo da Piriform. A empresa não quis comentar como isso aconteceu. O fato é que um arquivo legítimo, assinado digitalmente, merece confiança.

Mas os especialistas da Cisco não hesitaram em especular que, para conseguir isso, a o ambiente de desenvolvimento da Piriform pode ter sido comprometido pelos invasores.

Em outras palavras, algum hacker podia acompanhar todo o processo de desenvolvimento do CCleaner e, em dado momento, introduziu o código espião.

Outra alternativa é que o acesso tenha se limitado ao ambiente de assinatura digital. Isso talvez seria ainda pior para a Piriform: esse ambiente precisa estar, necessariamente, bem resguardado. Se o sistema que realiza a assinatura digital foi comprometido, não seria possível apenas legitimar cópias falsas do CCleaner, mas também usar o certificado para conferir legitimidade a qualquer outro software, mesmo sem qualquer relação com produtos da própria Piriform.

Fontes oficiais

Seja para os usuários ou para as empresas de segurança, o caso do CCleaner traz uma lição: não basta confiar em fontes oficiais, mesmo com assinaturas digitais. O problema, porém, é que não há alternativa. Se não é possível confiar na fonte, a única alternativa é não fazer uso do produto.

Este blog já vem alertando há algum tempo que ataques diretos contra internautas estão ficando mais difíceis. Sistemas operacionais, como o Windows, estão ficando mais robustos. Navegadores de internet estão repletos de recursos de segurança. Smartphones, que limitam ou até proíbem a instalação de aplicativos fora das lojas oficiais, complicam a vida dos golpistas.

Para os invasores, resta atacar as empresas que desenvolvem os programas. Os exemplos não param de chegar: o vírus de resgate ExPetr foi distribuído pelo sistema de atualização automática de um software ucraniano; fraudes são realizadas contra desenvolvedores de extensões para o Google Chrome; downloads adulterados foram deixados para programas de macOS, como Handbrake e Transmission. Com o CCleaner,, temos o caso mais grave de todos - um software extremamente popular que foi adulterado e distribuído pelo site oficial e com assinatura digital.

Não existe "dica" para se prevenir desse tipo de ataque. Quem precisa tomar conta de seus usuários são os programadores e empresas de desenvolvimento de software. Mas, independentemente de quem carrega a culpa, o problema não vai ser resolvido apenas com a identificação do culpado.

Portanto, isso não significa que a Piriform e a Avast passaram a ser empresas que não merecem mais a confiança dos usuários. A questão é uma mudança de mentalidade, especialmente das empresas de segurança, que de agora em diante precisam analisar com cuidado até arquivos que não despertam nenhuma suspeita.

(Foto: Divulgação)

Siga a coluna no Twitter em @g1seguranca.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.) vá até o fim da reportagem e utilize o espaço de comentários ou envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores no pacotão, às quintas-feiras.

>>> Pornô de vingança
Uma pessoa próxima a mim foi vítima de um pornô de vingança (revenge porn) de um ex-namorado. Ele colocou no site Xvideos um vídeo antigo deles quando ela terminou com ele. Eu notifiquei o site Xvideos e eles removeram o vídeo. O vídeo tinha sido replicado por outros sites e fotos do vídeo também foram replicados na web. Eu consegui com muito esforço evitar de aparecer os resultados da imagem dela do Google e nos sites que replicaram.

Agora vai minha pergunta: existe algo mais que possa fazer para evitar que o vídeo volte à tona na internet? Ele pode estar na Deepweb? Quais são os direitos dela caso alguém possa compartilha o vídeo no WhatsApp? Ela tem direito a indenização? O que deve ser feito para coibir e punir alguém que possa replicar este vídeo?
 (O leitor pediu anonimato)

Infelizmente, é muito difícil controlar a circulação de informações na internet depois que algo foi publicado. Muitos sites menores replicam o conteúdo de sites grandes. Como a internet é descentralizada, não existe meio de simplesmente erradicar um conteúdo da internet inteira. Outro problema é que usuários desses sites podem não saber a natureza do mesmo ao compartilhá-lo, então não são eles que agiram de má-fé.

Portanto, os culpados nesse tipo de caso são aqueles que sabiam que o vídeo foi gravado ou divulgado sem consentimento. Nesse caso, o ex-namorado da vítima. É ele que precisa arcar com todos os danos decorrentes da divulgação imprópria do material.

O ideal é que seja movida uma ação judicial contra ele e também que ele seja denunciado à polícia para pagar pelo crime cometido e parar de difundir as imagens.

>>> WhatsApp Sniffer
Olá, gostaria de saber como se proteger de um app que existe chamado "whatsapp sniffer" que a pessoa é espionada quando é conectada em uma rede Wi-Fi do espião.
Lucas

Lucas, é difícil saber de qual aplicativo você está falando, mas o "WhatsApp Sniffer" é isca para pragas digitais. Em outras palavras, é um aplicativo que não funciona e serve apenas para contaminar o celular - muitas vezes, aí, sim, com aplicativo de espionagem - de quem se interessa em "obter" esse tipo de função.

Desse modo, uma dica para de não ter seu WhatsApp espionado é, em primeiro lugar, não acreditar nesse tipo de aplicativo. Se você por acaso baixar e instalar esse programa, seja no seu celular ou no seu computador, existe um alto risco de contaminação do sistema.

Com a segurança que existe hoje no WhatsApp, não é mais viável espionar conversas na mesma rede Wi-Fi. Isso era possível só em versões mais antigas do WhatsApp.

(Foto: Altieres Rohr/Especial para o G1)

>>> Rastreamento de ligação
Ontem meu filho recebeu uma ligação do pai dele e ele me agrediu verbalmente queria rastrear a conversa. Tem como?
Silvania

Silvania, se você já sabe o responsável pela conversa, não é preciso rastrear a chamada. É mais fácil rastrear a pessoa. Procure a polícia e faça a denúncia.


>>> 'Exchange' de criptomoedas
Tenho lido suas matérias sobre Bitcoin e Ethereum, mas não entendi o funcionamento das Exchange. Como elas compram essas moedas para revenderem?

Obrigado pela atenção, esse caderno de segurança no G1 é o mais completo e detalhado que já vi!
Leonan Souza

Leonan, obrigado pelo elogio.

As "Exchanges" ou "casas de câmbio" de Bitcoin atuam com a compra e venda da moeda. Portanto, elas compram moedas de outros usuários para revender e ficam com um percentual dessa operação para si, da mesma forma que uma casa de câmbio ou banco quando você quer trocar reais por dólares, por exemplo. Por isso, o Bitcoin ou Ethereum comprado numa Exchange tende a ser um pouco mais caro.

Uma Exchange pode ainda comprar moedas de outras Exchanges e ter uma carta de clientes que regularmente trocam seus Bitcoins com ela, de modo a manter uma reserva de moedas para as operações de venda.

Existem alguns sites e serviços que permitem a você comprar criptomoedas diretamente de outros usuários, mas isso pode ser arriscado para ambas as partes. Alguns serviços de pagamento online, por exemplo, se negam a intermediar a compra de criptomoedas, justamente pelo risco e a dificuldade de dar garantia sobre a "entrega" da moeda comprada.

No caso de Bitcoin, uma transação pode levar 10 minutos ou mais para ser confirmada. Nesse intervalo, é possível que ocorra um calote.

No entanto, se você conseguir comprar diretamente de outro dono de Bitcoin, a operação normalmente sai mais em conta. Afinal, você não terá a "Exchange" como intermediária da operação e não terá de cobrir o custo e o lucro dela referente à transação.

O pacotão da coluna Segurança Digital vai ficando por aqui. Não se esqueça de deixar sua dúvida na área de comentários, logo abaixo, ou enviar um e-mail para [email protected]. Você também pode seguir a coluna no Twitter em @g1seguranca. Até a próxima!

A Mozilla, criadora do navegador web Firefox, está testando um serviço de compartilhamento de arquivos chamado Send. Diferente de outros serviços do gênero, como o Mega e serviços de armazenamento em nuvem como Dropbox e Google Drive, o Send remove o arquivo compartilhado após um único download ou após passadas 24 horas, o que ocorrer primeiro, funcionando quase como um "Snapchat para arquivos".

O serviço está disponível para usuários de qualquer navegador web e pode ser acessado em:
https://send.firefox.com/

Os arquivos enviados são criptografados e podem ser compartilhados por meio de um link informado ao final do envio. A Mozilla recomenda que os arquivos compartilhados tenham menos de 1 GB, mas o serviço permite o envio de arquivos maiores.

Segundo a Mozilla, o arquivo chega aos servidores da empresa já criptografado e a Mozilla não tem acesso ao conteúdo enviado. Os únicos dados que ficam nos servidores do Send são o nome do arquivo e o tamanho. A chave capaz de decifrar o arquivo é transmitida no endereço compartilhado pelo link em um trecho que não é recebido pelo servidor.

O Send passa a ser uma alternativa para o envio de arquivos criptografados, assim como o WhatsApp, que foi recentemente atualizado para permitir o compartilhamento de qualquer arquivo.

Dúvidas sobre segurança, hackers e vírus? Envie para [email protected]