Segurança da Informação, Hacking, PenTest, malware, analise forense. Um blog para quem acha que segurança importa.

terça-feira, 23 de fevereiro de 2010

Desafios do mercado de AntiVirus

Trabalhando com resposta a incidentes e analise e coleta de malwares, atendi um caso interessante no final do ano de 2009. Foi enviado um phishing scam utilizando o nome de conhecida empresa, oferecendo grandes beneficios para quem retornasse o formulario (conseguido após o Download) preenchido.
Não havia formulario e sim um Malware capaz de pegar senhas de quase todos os Bancos nacionais.

Junto com os as reclamações recebidas pela empresa, fui coletando tambem os Malwares e entrando em contato com os provedores de hospedagem solicitando as providencias cabiveis.
As URLs originais estavam escondidas utilizando serviços de compactação e redirecionamento de URLs.
Mesmo contando com solicitações diarias, um dos provedores demorou 30 dias para remover o malware do ar, fui informado posteriomente que só o fez depois de ação judicial para esse fim.

No final da "evento", coletei 7 (cabalistico, não) especimes do mesmo Malware, cada uma compactado com uma ferramenta diferente, ferramentas que alem de compacatar um executavel são capazes de impedir/dificultar a analise dos arquivos. ( Mostrando claramente a intensão maliciosa).
Sete arquivos, Sete compactadores diferentes, sete Hashs criptograficos diferentes.

Interessante saber que nenhum dos arquivos havia sido enviado para o VirusTotal antes do envio das ondas de SPAM/Phishing, porem os arquivos foram enviados dias antes do Phishing para ferramentas de analise automatica, como o Anubis e Sunbelt e o resultado foi negativo, nenhuma das ferramentas viu os arquivos como nocivos.

Como analisar alguma feita para não ser analisada de forma rapida e efetiva ?
Como catalogar especimes de malware ? baseado na historia que eu contei .
Quantos analistas humanos necessitamos para analisar a quantidade de malwares que aparecem diariamente ? e nesse caso, pensa na frustação de trabalhar 7 vezes para achar a mesma coisa. Quanto tempo isso demora ? Quanto esse tempo custa ?
Quando teremos Anti-virus focados em mercados especificos ? (Quero dizer laboratorios de analise regionais)

Quando os usuários vão tratar segurança como uma coisa séria e pagar por um Anti-virus ? Voce tranca sua casa com chave, ou amarra o portão com barbante ?

Como voce e as outras empresas catalogam, seus especimes de malware ?

Eu até arrisco algumas respostas, mas ...
NO final, fico pensando ... tem gente que vai ler isso e vai achar ficção-cientifica ...
Quem se importa ?

sexta-feira, 12 de fevereiro de 2010

Em quem confiar ?

Em quem confiar ?

A informação é que a pagina estava bloqueada por propagação de Malwares.

Me deparei esses dias com uma situação interessante.
Um site está listado no Zone-H como "invadido".
Para quem nao conhece, o Zone-h é um site que mantem copia de paginas "modificadas/invadidas", alem da lista e "ranking" dos invasores.
Comuniquei a empresa de tal situação ( estar listado no Zone-h ), onde ninguem sabia do caso.
Até ai, tudo bem, é normal as pessoas escoderem as coisas ruins, tipo invasões.
A pagina da empresa continua a pagina oficial com conteudo estatico.

Foi iniciado um processo de investigação ( gerei demanda de serviço para diversas pessoas).
Por ser fato rescente, pelas datas postadas no Zone-h, conseguirmos todos os LOGs ( situação rara nos dias de hoje - finalmente achei alguem que se importa com isso) para a investigação.
Após a analise, nada foi encontrado.

A equipe que analisou os logs é altamente especializada e competente, os logs estavam integros e nada comprovando o fato foi encontrado.

Baseado nisso podemos chegar a algumas conclusões ou possibilidades.
1. Achamos um "defacement" Fake.
Alguem fez um redirecinamento de DNS ou mesmo alteração local do hosts e mandou a pagina para o Zone-H para ganhar "Ranking".
2. a invasao foi tão bem feita, que eles apagaram rastros de tudo, inclusive da propria pagina alterada. Enviaram para o Zone-h e colocaram a pagina original no local para ninguem perceber o ocorrido.


Com base nisso ( ou não ), um grande forncedor de filtro de conteudos bloqueou a pagina dessa empresa.
Fui informado por uma amigo querendo acessar a pagina.
Ninguem (i)RESPONSAVEL pelo filtro de conteudo, tentou contato, mesmo essa empresa (vitima), tendo todos os contatos de segurança, publicos.
Bloqueados a revelia, sem possibilidade de defesa.

Etica para que ? Entrar em contato com as empresas bloqueadas, para que ?
Quantos negocios não foram efetivados, pelo bloqueio indevido de um site .
Remover seu site dessa lista, é um processo lento e trabalhoso.
Isso para mim é caso de policia ou de justiça.

De onde vem a informação ? Essa informação foi verificada ?
Nada disso importa.
Cuidado com a informação que voce repassa, cuidado com a rede de boataria.
Infelizmente para muitos, Mais vale executar dezenas que vezes que parar um minuto para pensar e executar certo na primeira vez.

Mas, afinal, quem se importa ?