gil

06/12/2010 08h56 - Atualizado em 06/12/2010 09h00

Vírus brasileiro falsifica 'cadeado
de segurança' para roubar senhas

Código sofisticado também apaga programas de proteção.
Ataque usa um applet Java para infectar o sistema.

Altieres Rohr Especial para o G1*

imprimir

Um “mandamento” frequentemente repetido sugere que usuários verifiquem a presença do cadeado de segurança no navegador web. O cadeado serve para confirmar que o site que se está visitando é o site verdadeiro – o que está na barra de endereços – e que a comunicação é segura. Mas pragas digitais conseguem “falsificar” o cadeado. A coluna Segurança para o PC explica como isso acontece.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Cadeado de segurança autentica a página e
criptografa o conteúdo para proteger senhas
de interceptação. (Foto: Reprodução)

Um vírus capaz de realizar a façanha de falsificação do cadeado foi recentemente encontrado por Fabio Assolini, pesquisador antivírus brasileiro da fabricante russa Kaspersky Lab. Assolini investigou a praga e verificou que ela instala uma “autoridade certificadora” (AC, ou CA, na sigla em inglês) no Windows.
O “cadeado de segurança” que aparece nos navegadores web é um certificado SSL. O certificado diz ao navegador como ele deve embaralhar a informação para impedir que ela seja decodificada, caso alguém consiga interceptá-la. Nesse mesmo processo, o certificado precisa informar qual é seu dono, autenticando o site e informando ao usuário que esse é mesmo o site legítimo – pois não devem existir dois certificados para o mesmo site.
O navegador (seja ele o Internet Explorer, o Firefox, o Chrome, Opera, Safari ou outros) confia nessa informação porque o certificado é assinado por uma autoridade certificadora, que funciona como um “cartório digital”. Cada certificado precisa ser “carimbado” por uma autoridade certificadora e o navegador web traz consigo meios de reconhecer os carimbos dados pelos “cartórios” em que ele confia.
Se o certificado não tiver um “carimbo” dessas organizações, o navegador exibirá um erro apontando os problemas encontrados no certificado.
Em um ataque de phishing – em que o internauta recebe um e-mail falso em nome do banco que imediatamente solicita as informações –, o criminoso não tem o controle sobre o computador da vítima. No entanto, quando o usuário instala um vírus no PC, as possibilidades de ataque são mais variadas.

Nos detalhes do certificado, o campo 'emitido por' é diferente do certificado original.
(Foto: Reprodução/Kaspersky)

A praga identificada pela Kaspersky redireciona os sites de bancos por meio do arquivo hosts, cujo funcionamento foi explicado por essa coluna anteriormente. O “problema”, para o criminoso, é que o site falso terá exatamente o mesmo endereço do site do banco e, por isso, não irá exibir um certificado – e não é possível obter um certificado para um site que já tem um certificado emitido (as autoridades certificadoras devem conversar entre si para não assinarem dois certificados idênticos). Os criminosos arranjam outro jeito: o vírus adiciona um novo “cartório confiável” na lista dos navegadores. Com isso, os criminosos podem carimbar certificados para qualquer site e o navegador irá ver que a assinatura é de uma autoridade confiável, mostrando o cadeado e nenhuma mensagem de alerta.
“Com o ataque concluído, as vítimas passam a ser direcionadas para páginas falsas de bancos com cadeados de segurança e com o https na barra de endereço. Nenhum alerta será exibido na tela no acesso ao site falso, nem quanto a veracidade do certificado digital que está sendo usado, pois ele foi atestado como “legítimo”pela Autoridade Certificadora falsa”, escreveu o especialista da Kaspersky.
Infecção e remoção de programas de segurança
A Kaspersky identificou que a praga usa applets Java para se instalar no sistema. Nesse ataque, mais sofisticado, o internauta visita uma página e é imediatamente infectado caso a versão do Java esteja vulnerável. Após a infecção, o vírus apaga uma chave no registro que avisa o usuário a respeito de atualizações do Java, garantindo que a versão vulnerável permaneça instalada.

Lista de certificados instalados no sistema.
Vírus precisa adicionar servidor do criminoso
a esta lista. (Foto: Reprodução)

Em seguida, o vírus instala um driver de sistema com o intuito de garantir a resistência da infecção. Drivers são programas especiais que rodam com privilégios elevados, normalmente usados para permitir que o sistema “converse” corretamente com periféricos (hardware). O driver malicioso tem o intuito de impedir que o vírus seja removido enquanto apaga os softwares de segurança usados pelos bancos.
Finalmente, a praga instala a autoridade certificadora falsa e um arquivo hosts que irá redirecionar os sites de bancos para sites idênticos controlados pelos criminosos. Com isso, o vírus dispensa a criação de janelas falsas ou captura de teclas (keylogging). Afinal, o usuário estará visitando o site “verdadeiro” (inclusive com o cadeado de segurança), mas com o criminoso como ponte entre as duas pontas da conexão, garantindo o roubo dos dados.
Vale ressaltar que essa não é uma vulnerabilidade no protocolo de segurança dos cadeados. Uma vez infectados, computadores não podem mais ser confiados – e isso inclui o cadeado. A Kaspersky recomenda que um computador exclusivo seja usado para acesso ao internet banking quando possível, demonstrando a dificuldade em detectar esse tipo de ataque. Fora isso, a única possibilidade é verificando manualmente o certificado – coisa que poucos usuários fazem ou mesmo saberiam fazer.
Assolini também recomenda que usuários falem com o banco no caso de suspeita de irregularidades na página e, claro que um antivírus atualizado seja usado.
A lição que fica é a de que está cada vez mais difícil combater ataques depois que eles já tiveram início. O melhor a se fazer é ficar prevenido: atualizando o navegador, sistema e plugins e desconfiando de links maliciosos em e-mails.
A coluna Segurança para o PC de hoje fica por aqui. Se você tem alguma dúvida ou sugestão, deixe-a na área de comentários, porque quarta-feira tem o pacotão com respostas a leitores. Fique também atento para notícias e alertas a qualquer momento aqui no G1. Até a próxima!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranc