Visite também: Currículo ·  Efetividade BR-Mac

O que é LinuxDownload LinuxApostila LinuxEnviar notícia


Malware desvia para proxy externo os acessos via Firefox a bancos brasileiros

Enviado por Renato S. Yamane (renatoyamaneΘgmail·com):

“Notei recentemente que o Firefox para Windows está sendo alvo de um vírus/trojan, que altera o prefs.js habilitando o uso de um servidor de proxy externo que está armazenando todos os dados direcionados aos home-bankings. O funcionamento do vírus/trojan é criativo e extremamente funcional.

A equipe Mozilla já foi alertada e maiores informações sobre o funcionamento desse vírus/trojan podem ser encontradas no meu blog.” [referência: diamondcut.com.br]


• Publicado por Augusto Campos em 2009-07-15

Comentários dos leitores

Os comentários são responsabilidade de seus autores, e não são analisados ou aprovados pelo BR-Linux. Leia os Termos de uso do BR-Linux.

    linuz (usuário não registrado) em 15/07/2009 às 8:18 am

    Pior que independente do sistema operacional, basta um usuario executar um arquivo mal intencionado para que isto aconteça. E neste caso nem precisa ser root.

    []´s

    MarcusJabber (usuário não registrado) em 15/07/2009 às 8:18 am

    Grato por sua colaboração em alertar os usuários e a equipe do mozilla.

    Contudo não sei até onde vai a eficácia desse malware, uma vez que todos os bancos que eu conheço a senha é passada por clique e cartão ou token.
    Digitar senha é o último dos 3 processos que tenho que fazer para realizar operações em banco na internet.
    Deve ser mais eficaz para pegar senha de e-mails, cadastro em site de compras e outros.

    Abs!

    LooL (usuário não registrado) em 15/07/2009 às 8:27 am

    Obrigado pela dica. Já estou atualizando meu malware

    @MarcusJabber,
    Pode ser que o malware não consiga capturar as senhas digitadas pelo “teclado virtual” e/ou “tokens”, porém note que TODO o tráfego será capturado. E nesse caso bastaria descriptografar o conteúdo… E não deve ser difícil, pois a criptografia é ligeiramente fraca (128bits?)

    linuz (usuário não registrado) em 15/07/2009 às 8:49 am

    Não devemos subestimar a capacidade do vírus atuais. O programador brasileiro Marcos Velasco em 2003 já havia publicado artigo e desenvolvido um programa para capturar o clique dos teclados virtuais. Eu até baixei o programa para fins de testes e apredizado. Portanto, todo cuidado é pouco.

    Talvez devesse ser incorporado solicitação de senha quando alterações fossem realizada nos navegadores, principalmente quando for para alterar/incluir proxy. Mais uma camada de proteção não faz mal a ninguém.

    http://www.onorte.com.br/noticias/?10715
    http://www.velasco.com.br/sobre.php

    []´s

    Emerson Gomes (usuário não registrado) em 15/07/2009 às 9:01 am

    E não deve ser difícil, pois a criptografia é ligeiramente fraca (128bits?)

    Fraca mesmo. Alguns poucos milhares de anos com força bruta em super computadores e você quebra essa porcaria :D

    MarcusJabber (usuário não registrado) em 15/07/2009 às 9:17 am

    @yamane

    Como disse anteriormente, devemos tomar cuidado com esse tipo de ação, é claro. Principalmente para sites que não são do banco.

    Mas como o Emerson Gomes disse acima, a criptografia não é tao “fraca assim” e a senha do meu token muda a cada 30 segundos. No cartao a possibilidade de combinações também é bastante extensa. Sem contar que basta eu errar tres vezes para meu acesso ser bloqueado, brute force, nem pensar.

    Abs!

    Garoto_Estranho (usuário não registrado) em 15/07/2009 às 9:49 am

    A forma mais segura de acesso que alguns bancos hoje em dia adotam é o token. Mas não é todo banco que adota.

    Eu tenho conta no Banco do Brasil, e a segurança é precária. Não tem token nem aquele cartãozinho com números que alguns outros bancos adotam. Teclado virtual? pfff.. Até parece que isso protege alguma coisa. Identificação de computadores? Facilmente clonável.

    Mas mesmo o token não é 100% confiável. Um malware bem feito poderia muito bem forjar que estou realizando uma outra transação, enquanto na verdade está transferindo uma quantia em dinheiro para outra conta, ou alguma outra operação. Então eu forneceria o número do meu token para uma transação legítima, que eu desejo realizar, e na verdade ele realizaria outra transação.

    A única forma que vejo de realizar transações de forma segura seria assinar cada transação efetuada utilizando um dispositivo externo ao computador. Poderia ser um dispositivo USB com uma telinha na qual aparecesse um resumo da transação. Então eu apertaria um botão, e ele faria uma assinatura digital. O problema é que isso sairia muito caro para os bancos, então duvido que adotariam uma solução dessas.

    blublublbu (usuário não registrado) em 15/07/2009 às 10:07 am

    Dica: Não use windows!

    Garoto_Estranho (usuário não registrado) em 15/07/2009 às 10:17 am

    blublublbu, Vai acreditando que por usar Linux você está seguro. E se tiver saído um malware que se aproveita da falha do JIT do Firefox 3.5 para se instalar, ninguém estiver sabendo, e você estiver infectado?

    Pessoas que confiam demais na própria segurança são mais vulneráveis, ainda mais quando essa confiança não está embasada em princípios lógicos.

    Adilson dos Santos Dantas (usuário não registrado) em 15/07/2009 às 10:38 am

    blublublbu (usuário não registrado) em 15/07/2009 às 10:07 am

    Dica: Não use windows!

    Tá bom. Ainda aproveitando o último comentário. Vai que fazem um pequeno executavel em ELF binario ou script em bash/tcl/python/perl/(insira a sua linguagem de script preferido aqui) para que um desavisado clica da mesma maneira que um usuário Windows faria.

    Como isso afeta o prefs.js que está a nivel de usuário então chegou a hora de prestar muita atenção no que clica ou acessa, seja lá qual for o sistema operacional. (a.k.a. we are all *****)

    amjoao (usuário não registrado) em 15/07/2009 às 11:04 am

    Realmente a questão de segurança é séria. Para tentar minimizar isso, utilizo uma máquina virtual (linux) apenas para acessar o Banco. Não faço mais nada nela, apenas abro o browser e aponto para o site do banco. É uma chatice, mas minimiza os riscos.

    MarcusJabber (usuário não registrado) em 15/07/2009 às 11:12 am

    Paranóia a parte.
    Eu já ouvi falar de gente que só realizava transações bancárias via livecd. Abre a página do banco, executa a operacão e shutdown. rsrs

    Abs!

    Monge (usuário não registrado) em 15/07/2009 às 11:46 am

    Uma pergunta:

    se esse mecanismo pode redirecionar o tráfego para um proxy, poderia esse proxy também simular uma página falsa do banco???

    caso isso seja possível, o ataque seria devastador. o usuário acessa a url correta de seu banco, mas seria direcionado para um site falso, que coleta sua senha e… babau!

    Pra que quebrar a chave de 128 bits se você está apontando para um proxy do malware? Bastaria este proxy ter suas próprias chaves ssl e fazer um man-in-the-middle.

    Garoto_Estranho (usuário não registrado) em 15/07/2009 às 12:16 pm

    Monge, No caso de uso de proxy, poderia sim. Mas um usuário atento perceberia que as páginas não estão utilizando SSL, ou que o certificado SSL é inválido.

    cenoura, Não dá pra fazer man-in-the-middle, a menos que eles roubem a ou quebrem a chave de alguma CA pra assinar o certificado deles. Caso contrário, o certificado ficaria marcado como inválido.

    Seria mais efetivo o ataque se eles usassem algum mecanismo do tipo GreaseMonkey, para modificar o js das páginas que são exibidas pelo navegador. Aí nem usuários mais experientes perceberiam.

    ioca100 (usuário não registrado) em 15/07/2009 às 12:18 pm

    É sempre bom digitar uma senha errada, se o sistema não acusar o erro, pode parar que tem algo errado.

    linuz (usuário não registrado) em 15/07/2009 às 2:25 pm

    Ioca

    Vc ta certo. Quando vc colocar a senha errada acusará acesso negado. Mas quando vc colocar a senha correta o acesso será estabelecido e sua senha capturada. É isso que os vírus/trojans atuais fazem. Acorda Alice!! ;-)

    []´s

    MaxRaven (usuário não registrado) em 15/07/2009 às 2:32 pm

    “Eu já ouvi falar de gente que só realizava transações bancárias via livecd. Abre a página do banco, executa a operacão e shutdown. rsrs”

    Já fiz muito isso, hj não. Contudo quando sei que vou ficar muito tempo afastado da minha maquina levo um live-cd atualizado comigo, vai que eu precise hehehe, habito.

    Dalton Barreto (usuário não registrado) em 15/07/2009 às 2:47 pm

    @Geroto_Estranho,

    cenoura, Não dá pra fazer man-in-the-middle, a menos que eles roubem a ou quebrem a chave de alguma CA pra assinar o certificado deles. Caso contrário, o certificado ficaria marcado como inválido.

    Não é necessário quebrar a chave do CA, nesse caso o atacante é um proxy que está no meio do caminho entre a vítima e o banco. E é sim, possível, gerar em tempo de execução um certificado assinado que a máquina da vítima pode aceitar

    Dê uma olhada nesses links:
    * New Tricks for Defeating SSL in Practice (pdf) – https://www.blackhat.com/presentations/bh-dc-09/Marlinspike/BlackHat-DC-09-Marlinspike-Defeating-SSL.pdf
    * http://www.blackhat.com/html/bh-dc-09/bh-dc-09-speakers.html – procure por New Tricks for Defeating SSL in Practice e leia o
    resumo da palestra.
    * “http://securitytube.net/Defeating-SSL-using-SSLStrip-(Marlinspike-Blackhat)-video.aspx” Esse é um link para o vídeo da palestra com os mesmos slides do pdf acima porém com o áudio original.

    Apenas lembrando que não se trata de força bruta pra quebrar nada!

    MarcusJabber (usuário não registrado) em 15/07/2009 às 3:35 pm

    @Dalton Barreto

    Mas se a senha do meu token muda a cada 30 segundos ou meu cartao possui uma combinacao de mais 30 opcoes aleatorias, de que adianta capturar meu dados se na proxima visita ao banco na internet nao vai ser pedido nada do que eu digitei anteriormente?
    E ainda que isso fosse possivel, nao sei se nessa captura ele conseguiria descobrir minha senha que foi inserida atraves de um teclado virtual randomico.

    Abs!

    Garoto_Estranho (usuário não registrado) em 15/07/2009 às 3:35 pm

    Dalton, Se você ler os slides, vai ver que (tirando a parte do punycode, que foi realmente genial) foi exatamente o que eu disse no meu comentário anterior: “um usuário atento perceberia que as páginas não estão utilizando SSL”. Sim, eu sei que 99.9999% dos usuários não estariam atentos a isso, justamente por isso esse ataque é efetivo…

    Garoto_Estranho (usuário não registrado) em 15/07/2009 às 3:37 pm

    MarcusJabber, Como eu disse em um comentário anterior, basta automatizar a transação. A pessoa não precisa salvar o código do seu token para usar depois. Ela pode escrever um software para efetuar uma transação automaticamente na sua conta assim que você fornecer o código do token, se quiser até mesmo antes da sua transação legítima.

    MarcusJabber (usuário não registrado) em 15/07/2009 às 3:39 pm

    Sim, eu sei que 99.9999% dos usuários não estariam atentos a isso, justamente por isso esse ataque é efetivo…

    Isso é verdade, mas hoje os browsers repudiam os certificados nao confiaveis de tal maneira, que acho que até os usuários leigos nao usariam estes certificados em sites de banco.

    Ok, eu sei. Ainda tem aquela galera que usa o Internet Explorer 6.

    Abs!

    Garoto_Estranho (usuário não registrado) em 15/07/2009 às 3:41 pm

    Isso é verdade, mas hoje os browsers repudiam os certificados nao confiaveis de tal maneira, que acho que até os usuários leigos nao usariam estes certificados em sites de banco.

    Estou falando de quando a página não estiver usando SSL, a exemplo do MITM usando sslstrip apresentado nos slides que o Dalton colou.

    Dalton Barreto (usuário não registrado) em 15/07/2009 às 3:43 pm

    @MarcusJabber,

    E ainda que isso fosse possivel, nao sei se nessa captura ele conseguiria descobrir minha senha que foi inserida atraves de um teclado virtual randomico.

    Sim, ele conseguiria!! Depois que você digitou sua senha ela viaja até o servidor do banco e é exatamente nessa hora que ele vê sua senha passar. Ele nem sabe que ela foi digitada via teclado virtual ou por qualquer outro meio. Ele pega seus dados no meio do caminho, ou seja, depois que eles já sairam do seu computador.

    Dalton Barreto (usuário não registrado) em 15/07/2009 às 3:47 pm

    MarcusJabber, Como eu disse em um comentário anterior, basta automatizar a transação. A pessoa não precisa salvar o código do seu token para usar depois. Ela pode escrever um software para efetuar uma transação automaticamente na sua conta assim que você fornecer o código do token, se quiser até mesmo antes da sua transação legítima.

    Concordo com o Garoto_Estranho e acredito também que isso seja possível! E pior, está fora do seu controle. Imagina que o banco só deixa executar uma transação por token fornecido. Nesse caso, tendo uma aplicação automática, apenas a transação do atacante seria efetuada!!

    Imagina a situação: Você pede um extrado e o atacante limpa sua conta. E pior, nem o extrato você conseguiu tirar!! =P

    p.s. Não é por acreditar que isso seja possível que significa que seja fácil de ser feito. Mas como não podemos subestimar a vontade de alguém de fazer isso, prefiro me previnir.

    MarcusJabber (usuário não registrado) em 15/07/2009 às 4:46 pm

    Ok, voces me conveceram, agora so uso bankline via live-cd, sem antes ter feito qualquer acesso a qualquer site. Livre de malware (ou nao?)! rsrs

    Brincadeiras a parte. Bom saber que isso é possível e como se torna possível.

    Agradeço a boa vontade de voces em me explicar. Vou pesquisar para me inteirar mais sobre o assunto, achei interessante. :)

    Abs, fiquem com Deus!

Este post é antigo (2009-07-15) e foi arquivado. O envio de novos comentários a este post já expirou.