falha

No início deste mês, um pesquisador da Universidade de Radboud, da Holanda, revelou uma falha em discos rígidos e SSDs das marcas Samsung e Crucial que pode ser usada por invasores para acessar arquivos criptografados armazenados nesses equipamentos.

Mais precisamente, a descoberta de Bernard van Gastel afeta o sistema de criptografia por hardware nos SSDs MX100, MX200 e MX300 da Crucial e os HDs 840 EVO, 850 EVO, T3 e T5 da Samsung.

De acordo com Gastel, a falha acontece principalmente no Windows, que utiliza o aplicativo BitLocker para gerenciar a criptografia dos arquivos. O problema do BitLocker é que às vezes ele pode confiar a proteção dos arquivos somente à criptografia de hardware, não aplicando a camada extra de proteção com a criptografia de software. Por conta disso, indivíduos mal-intencionados podem utilizar a falha com programas que rapidamente conseguem descobrir a chave para descriptografar os arquivos (já que não há nenhum mecanismo de proteção do segredo) para ter acesso total a eles.

O pesquisador explica que o problema não foi encontrado nos outros sistemas operacionais, citando como motivo o fato de todos eles (com exceção do Windows) utilizarem sistemas de criptografia baseados em software. Entretanto, a falha pode acontecer caso o usuário não os configure para utilizar a criptografia por hardware. O pesquisador avisa que, para evitar esse problema, usuários do Windows devem acessar o BitLocker e mudar a opção de criptografia do app para se basear em software. Em seguida, o ideal é fazer backup dos dados, formatar o dispositivo de armazenamento e armazená-los de volta ali para que as alterações do BitLocker façam efeito.

Devido às políticas de descoberta de falhas da universidade, os fabricantes desses dispositivos foram alertados à época da descoberta, em abril, e a falha só foi revelada ao público seis meses depois disso como forma de segurança para evitar influenciar um aumento de ataques a esses dispositivos. Também por segurança, a instituição não irá disponibilizar para o público a ferramenta utilizada nos testes para quebrar a criptografia dos dispositivos.

Fontes: Canal Tech via Universidade de Radboud.

Analistas de segurança estão finalizando seus estudos do código da praga digital “Bad Rabbit”, que atacou computadores principalmente na Rússia e na Ucrânia. Especialistas descobriram que a praga explora uma brecha do Windows para se espalhar dentro das redes das empresas e que a praga possui deficiências no código que sequestra os arquivos.

O Bad Rabbit causou problemas para instituições e empresas na Rússia depois que os hackers invadiram sites para injetar janelas falsas de atualização do Adobe Flash Player. Quem caiu no golpe e executou o programa acabou infectando o seu computador – e possivelmente a rede inteira da empresa – com o vírus de resgate.

O vírus, porém, não se espalhou fora dos países alvos e foram registrados apenas casos isolados fora da Ucrânia e, principalmente, da Rússia, que foi o país mais afetado.

Praga tem ligação com o NotPetya e usa brecha EternalRomance

Há indícios de que o vírus foi obra dos mesmos responsáveis pelo ataque do NotPetya, também chamado de ExPetr, que atacou principalmente empresas na Ucrânia em junho. Além do comportamento do vírus, há uma forte semelhança em uma formulação de “hashing” (cálculo que produz um número de tamanho específico a partir de uma informação qualquer).

A ligação entre os dois vírus foi afastada inicialmente, já que o Bad Rabbit não usa o “EternalBlue”, um código atribuído à Agência de Segurança Nacional dos Estados Unidos (NSA) e que foi vazado na web por um grupo anônimo conhecido como Shadow Brokers. Mas especialistas da Cisco descobriram que o vírus é capaz de usar outra técnica vazada pelos Shadow Brokers, a EternalRomance. A falha já foi corrigida pela Microsoft, mas empresas que não atualizaram os seus sistemas permanecem vulneráveis.

O uso da falha EternalRomance contradiz tanto os primeiros relatos sobre o Bad Rabbit — que apontavam o uso da falha EternalBlue — como as análises posteriores, que afirmavam que o vírus não fazia uso de nenhuma brecha.

Recuperação de arquivos sequestrados é possível

Duas deficiências foram identificadas no processo do Bad Rabbit que sequestra os arquivos do computador. Diferente do NotPetya, cuja rotina de criptografia impossibilitava a recuperação dos arquivos e levou o vírus a ser classificado como “wiper” e não um vírus de resgate, as deficiências presentes no Bad Rabbit podem ajudar as vítimas a recuperar os arquivos.

O Bad Rabbit negligencia as chamadas “cópias de sombra” do Windows, onde alguns arquivos ficam armazenados temporariamente. Essa deficiência era comum em vírus de resgates mais antigos, mas quase todos os vírus de resgate mais recentes apagam as cópias de sombra para fechar esse caminho de recuperação.

Com um programa como o Shadow Explorer, há uma chance de que as vítimas consigam recuperar os arquivos sequestrados.

Outro descuido do vírus está em seu gerenciamento de memória. Os especialistas descobriram que a senha que desbloqueia a inicialização do computador fica na memória enquanto o computador não for reiniciado. Isso significa que um computador contaminado pelo Bad Rabbit e que ainda não foi reiniciado pode ser mais facilmente recuperado, especialmente se as duas deficiências forem combinadas. Para quem já reiniciou o computador, porém, essa descoberta não terá utilidade.

Fonte: G1