Category Archives: Security Response News

Prepare-se para os Spams durante a Páscoa

      No Comments on Prepare-se para os Spams durante a Páscoa

A Páscoa, como muitas outras datas comemorativas, deveria significar um dia de alegria, o que obviamente remete a presentes, compras e festas. Porém, essa animação não é a única coisa que está sendo espalhada neste feriado. Os Spammers também começaram a difundir seu trabalho vicioso. A poucos dias da Páscoa, o volume de Spams cresceu significativamente.

A cada ano que passa, a Symantec observa certas categorias de Spam utilizando a Páscoa como tema central e este ano não foi diferente. Vamos ver abaixo alguns dos diferentes tipos de Spam que a Symantec coleta ano após ano bem como alguns exemplos coletados este ano.

Spams de Bens de Consumos

Com presentes sendo o item mais importante de qualquer data comemorativa, Spam de produtos (especialmente bens de consumo) é a categoria de Spam que a Symantec mais observa. Nesse tipo de Spam, itens como relógios e joias falsificadas  são promovidos usando slogans e belas imagens de produtos. O cabeçalho do e-mail inclui exemplos como:

De: “WorldOfWatches” <johnwatson@[REMOVED]>

Assunto: Desafio termina no fim de semana de Páscoa

De: “DailyPromos” <aacpu@[REMOVED]>

Assunto: Nossa sugestão hoje para a Páscoa 2014

Easter Spam 1.png

Imagem 1: Tema de Páscoa replica bom spam

Spams Médicos e Farmacêuticos

Spams de remédios e farmácias são outra categoria de Spam que vemos muito quando chegamos perto das datas comemorativas. Esses Spams normalmente contém algum link para sites de farmácias que fingem vender medicações online sem a necessidade de receitas médicas. Esses sites normalmente exibem banners festivos para criar um clima mais realista.

Easter Spam 2 edit.png

Imagem 2: Temas médicos de Spam de Páscoa

Spams específicos para quem quer perder peso são uma subcategoria dos Spams médicos que são vistos em muitas línguas diferentes. Medicações para perda de peso exibidas nessas mensagens variam de medicações reconhecidas pelo mercado bem como extratos de ervas e plantas exóticas. O cabeçalho do e-mail inclui exemplos como:

De: “Mackenzie Burns” <monday@REMOVED>

Assunto: Começe a comer essa fruta diariamente e perca gordura antes da páscoa!

Spams de Produtos

Grandes lojas de varejo e marcas oferecem inúmeros descontos e promoções durante as datas comemorativas e os Spammers se aproveitam disso. Spammers geralmente constroem seus E-mails para que pareçam vir de conhecidas marcas e lojas de varejo, mas normalmente eles possuem links redirecionando para sites falsos. Ofertas para cupons de presentes também são muito comuns. Os produtos vistos nesse tipo de Spam variam desde brinquedos até Veículos. O cabeçalho do e-mail inclui exemplos como:

De: Auto-Dealer-Online <williamw@[REMOVED]>

Assunto: Promoção de Outono para todos os carros, Jipes, Caminhonetes e SUVs

Easter Spam 3 edit.png

Imagem 3: E-mail com banner de spam

Easter Spam 4 edit.png

Imagem 4: Spam de cupom de presente de Páscoa

Spam de Presentes Personalizados

Presentes e lembranças personalizadas também estão ficando populares este ano e Spams promovendo mensagens personalizadas em ovos de páscoa e coelhinhos da páscoa está se mostrando popular entre os Spammers. A maioria desses Spams possuem links para sites falsos e alguns deles redirecionam o usuário a sites com conteúdo inapropriado.  O cabeçalho do e-mail inclui exemplos como:

De: Easter Bouquets <rebekkahFAjhLg@[REMOVED]>

Assunto: Deixe o coelhinho da Páscoa com inveja! Flores de Páscoa!

Easter Spam 5 edit_0.png

Imagem 5: Spam personalizado para crianças

Spam de Cassinos

Jogos online e Spams de cassinos aparecem em grande volume durante a época das datas comemorativas. Spams de cassinos provocam as vítimas com bônus na inscrição, recompensas em pontos e chances de ganharem fortunas. O cabeçalho do E-mail inclui exemplos como:

De: <suzanne122@[REMOVED]>

Assunto: Nessa páscoa, jogue gratuitamente no Cassino Gold Factory

Spam de Fraudes

Spams de fraudes monetárias rotinamente dão as caras durante essa época do ano. A Symantec observou muitos Spams fingindo serem de orfanatos ou instituições de caridade buscando doações para os menos afortunados. E-mails desconhecidos pedindo informações pessoais sempre deveriam ser tratados com cuidado. O cabeçalho do E-mail inclui exemplos como:

Português

De: <suzanne122@[REMOVED]>

Assunto: Feliz páscoa adiantado

Outra coisa que nos chamou a atenção esse ano foi o alto volume de Spams de páscoa em outras línguas. O ataque de Páscoa normalmente contém presentes e brindes, como o Spam de entrega de Cupcakes e Ovos de Páscoa mostrados aqui:

Russo

From: Пасхи <vamdetal@[REMOVED]>                   | From: pasha

Subject: Скоро Пасха                                                | Subject: Almost Pasha

From: Пряники <sladkie.pashi@[REMOVED]>         | From: Gingerbread

Subject: Кондитерская мастерская                      | Subject: Confectionery masterskaâ

A Symantec deseja um Feliz Páscoa para todos os seus usuários e também aconselha muito cuidado com essas campanhas de Spams. Sempre tenha atenção com e-mails desconhecidos ou inesperados. Nunca clique em links de e-mails que pareçam suspeitos. Lembre sempre de manter seus softwares de segurança atualizados para lhe proteger e poder lhe fornecer a paz de espírito para comemorar e celebrar uma maravilhosa Páscoa.

Highlights from the SyScan 2014 Conference

      No Comments on Highlights from the SyScan 2014 Conference

syscan image.png

An industry conference is always a good place to learn and get updates on the latest security trends. I recently attended the Symposium on Security for Asia Network (SyScan), an annual conference held in Singapore, which brings together computer security researchers from around the world. This year, security myths were dispelled and several interesting topics were discussed at the conference. The following is a list of some of the topics and demonstrations I found interesting at this year’s conference.

Smart cars at risk
Most cars today contain Engine Control Units (ECUs), computers that enable the engine to communicate with other vehicle components. Researchers at SyScan 2014 explained how they managed to simulate a car environment on their desktop using second-hand ECU devices purchased from online Web stores. The researchers managed to carry out basic automotive actions such as acceleration, braking and steering, as well as gain an understanding of the underlying proprietary protocols of the car. What this means is that once an attacker gains control of the ECU, they can basically control the car.

Being able to control a car’s ECU is far more dangerous than being able to manipulate its automation functions such as opening closing windows and turning lights on and off. It is pretty scary if adequate controls are not put in place to prevent an attacker from gaining control of the ECU. This could become more problematic as more and more cars become part of the Internet of Things (IoT). Microsoft has recently tested the latest version of their Windows in-vehicle infotainment system, while Apple already unveiled CarPlay, an entertainment system that enables users to see their iPhone interface on a car’s built-in display.

Mobile point-of-sale infected with malware
2014 has seen the emergence of several point-of-sale (PoS) malware, some of which were involved in several high-profile attacks against the retail industry. Today, mobile point-of-sale (mPOS) terminals have also become a target. mPOS devices are often used for card payments, especially for small and medium-sized businesses.

Most mPOS devices run on Linux, and researchers at SyScan were able to compromise and take over an mPOS device by using removable drives or Bluetooth. To prove their claims, they installed the game Flappy Bird on the device, and then played it on the device’s LCD screen using the PIN input buttons as the controls.

The researchers highlighted how mPOS devices can be hit by malware that can keep track of payment information and subsequently share the records online, or perform special functions such as making  the device accept payment from cards using any PIN code.

The proliferation of RFID and NFC devices
Today, everyone interacts with radio frequency identification (RFID) and near field communication (NFC) enabled devices. They are present in our door-entry cards, transport cards and contactless credit cards. Radio waves are everywhere!

The “RFIDler”, a low-level RFID communication open-source platform prototype presented during the conference, is used to read and write common types of tags. The platform will soon be available to the general public. It was interesting to see how easily it can be used, as well as the potential damage it can cause. For example, an existing card can be duplicated in a couple of seconds. According to the platform’s author, even if a card format is unknown, the platform is extensible and a new card format can be added in less than a week.

Now that a common extensible reader and writer exist, how long will it be before these devices become targeted by attackers??

Mobile security versus anonymity
Users who cannot live without their smartphones may have already thought about the consequences of losing their devices. To help ease those fears, a researcher at SyScan 2014 presented a hardened Android Read-Only Memory (ROM) solution that he created, dubbed Cryptogenmod. Cryptogenmod is based on Cyanogenmod, an open-source operating system for mobile devices based on Android. The  aim is to provide a minimal ROM with remote and physical access protection. Remote protection is achieved by reducing the attack surface, so there will not be a Web browser or an app store on the smartphone. Physical access protection is more complex and is achieved by using secure application containers, strong encryption, and some indicators of a negative operational environment.

Other safeguards were described including one which detects if a SIM card is removed or a debugger is attached. If one of these actions is detected, the application containers will be unmounted and require a passphrase to be opened again, while the phone will be locked automatically and require the owner to login again. With this solution, should you lose your phone, your data will remain secure. However, I am not sure if users want a device that is connected but does not allow them to surf the Web or even use the camera (which is known to leak the user’s location). That sounds like a not-so-smartphone.

Overall, while smartphones are still a hot topic I expect to see the Internet of Things dominate industry discourse for the foreseeable future as people gradually delegate tasks to smart devices in order to save themselves time and effort.

To find out more, check out the videos and published papers at SyScan’s main website.

Bebês Oferecidos para Adoção em 419 Scam

      No Comments on Bebês Oferecidos para Adoção em 419 Scam

Uma variação de 419 scam de e-mails está sendo usada por fraudadores para tirar proveito de casais desprotegidos que querem adotar um bebê. Cuidadosamente as vítimas são atraídas para um falso processo de adoção, que em seguida, solicita dinheiro para cobrir despesas jurídicas e administrativas.

Enquanto a maioria dos últimos 419 golpes estão ligados à simplicidade e ingenuidade das vítimas, alguns criminosos online já começam a fazer um grande esforço para se comunicar diretamente com a vítima para conquistar a sua confiança. Os golpes são bem estudados e apresentados de forma convincente, inclusive demonstram histórias de vida real para deixá-los mais autênticos.

Fig1_9.png

Figura 1. e-mail malicioso usando uma história de adoção

Ao invés de usar os discursos mais populares para simular fraudes online usuais, tais como ganhar na loteria ou a morte de uma pessoa famosa, este tipo de fraudador adota uma abordagem diferente. A mensagem acima foi enviada para destinatários ocultos (por meio de uma conta de webmail hackeada originária da Hungria, mas encaminhada a partir da Itália) e exigia uma resposta a um diferente remetente. Estas são características típicas de um golpe de pagamento antecipado. Por isso, a Symantec decidiu investigar mais a fundo para ver como o cibercriminoso pedia dinheiro em troca de um serviço falso.

Com a finalidade de tornar esta narrativa de adoção a mais legítima possível, o fraudador nos fez passar por várias fases antes de, finalmente, chegar ao ponto em que fomos convidados a enviar dinheiro. Durante a nossa correspondência que se estendeu por 11 mensagens de respostas e réplicas de e-mail – durante mais de dois meses – o criminoso digital nos informou com riqueza de detalhes a história da mãe da criança e os regulamentos envolvidos para a adoção privada e independente. Eles ainda foram tão longe a ponto de fornecer um formulário de adoção falso e fotos do bebê.

Fig2_4.png

Figura 2. Fotos dos bebês oferecidos para adoção

fig3_1.png

Figura 3. Formulário falso de adoção usado para convencer as vítimas

Quando o fraudador finalmente decidiu pedir dinheiro, a quantia solicitada foi de US$2.500 para cobrir as taxas de entrada do processo de adoção no tribunal. Inclusive, o cibercriminosos informou a forma de um pagamento em duas parcelas – uma de US$ 1.500 e outra de US$ 1.000 – via transferência bancária eletrônica. O criminoso solicitou que os pagamentos fossem enviados desta forma para a transação parecer mais legítima e a vítima ter mais confiança no esquema.

Fig4_3.png

Figura 4. E-mail do crimonoso virtual pedindo dinheiro

Quando o fraudador fornecia um nome e endereço para receber o pagamento por transferência bancária, assumimos que essa informação era falsa. No entanto, olhando para este endereço, de forma aprofundada, tivemos uma descoberta surpreendente.

O endereço solicitado para o envio era do escritório de um legítimo advogado especializado em adoção e leis familiares (que não possuía nenhuma conexão com este esquema). Isso comprova que a maioria dos criminosos utiliza qualquer nome falso para cometer uma fraude de pagamento antecipado, roubando a identidade de uma pessoa real para a fraude parecer mais convincente. O alvo desavisado pode procurar o nome e confirmar que a pessoa é um advogado legítimo que atua Estados Unidos. Tudo ”faz sentido”, eles enviam o dinheiro e se tornam mais uma vítima da fraude.

A execução deste golpe de adoção sinaliza uma nova abordagem com 419 e-mails de SCAM. Em entrevista à The Economist, há dois anos, foi relevado pela Symantec como alguns fraudadores de pagamento antecipado mudaram a sua abordagem e enviam mensagens de e-mail que parecem legítimos. Nenhuma destas narrativas é muito sofisticada, isto porque os golpistas procuram vítimas que se “auto-selecionam”.

Este exemplo serve como um lembrete de que nem todos os esquemas fraudulentos de pagamento antecipado são tentativas ociosas para obter das vítimas mais ganhos financeiros. Alguns fraudadores usam táticas criativas, como esta narrativa sobre adoção, com convincentes detalhes da vida do bebê e formulários aparentemente oficiais. Não há dúvida de que a imaginação e criatividade dos criminosos vai continuar a evoluir no futuro.

Expect Beautifully Packaged Spam along with Your Easter Gifts!

      No Comments on Expect Beautifully Packaged Spam along with Your Easter Gifts!

Contributor: Azam Raza

Easter, like all other celebrations is meant to be a day of jubilation, which of course means gifts, shopping, and spreading cheer. However, cheer is not the only thing that is being spread this holiday. Spammers have also started spreading their handiwork. With just a few days left before Easter, the volume of spam is on the rise.

Each year Symantec observes certain categories of spam using Easter as a theme and this year is no different. Let’s take a look at some of the different types of spam Symantec sees year-over-year, as well as some samples from this year.

Replica goods spam
With gifts being at the core of many major celebrations, product spam (replica goods spam in particular) is the spam category Symantec observes the most. In this spam, items such as fake watches and jewelry are promoted using catchy subject lines and product images. Email header examples include:

From: “WorldOfWatches” <johnwatson@[REMOVED]>

Subject: Challenge Ends Easter weekend

From: “DailyPromos” <aacpu@[REMOVED]>
Subject: Our pick today is- easter14

Easter Spam 1.png

Figure 1. Easter themed replica goods spam

Health spam
Pharmacy or medication spam is another spam category we see a lot of when we get close to any holiday season. These spam mails usually contain links to pharmacy sites which pretend to sell medication online without prescription. Season’s greetings are usually displayed as banners on these sites to add a festive touch.

Easter Spam 2 edit.png

Figure 2. Easter themed pharmacy spam

Weight loss spam is another subcategory of health spam which is seen in multiple languages. Weight loss medicines touted in these messages range from approved medication to stories about herbal extracts from exotic plants. Email header examples include:

From: “Mackenzie Burns” <monday@[REMOVED]>

Subject: Begin eating this fruit and lose the fat before Easter Sunday

Product spam
Major retailers and brands offer large discounts and sales during holiday celebrations and spammers take advantage of this. Spammers often craft their emails to make them appear to be from known retailers and brands but they usually include links leading to fake sites. Offers of gift coupons are also common. The products seen in this type of spam can range from kids toys to SUVs. Email header examples include:

Subject: Spring Sale Event on all Cars, Trucks, and SUVs!

From: Auto-Dealer-Online <williamw@[REMOVED]>

Easter Spam 3 edit.png

Figure 3. Product spam with Easter banner

Easter Spam 4 edit.png

Figure 4. Gift coupon spam seen this season

Personalized gifts
Personalized gifts are getting popular these days and spam promoting personalized messages on Easter eggs and Easter bunnies are proving popular among spammers. Most of these spam mails have links to fake sites and some of them even have links to inappropriate content. Email header examples include:

From: Easter Bouquets <rebekkahFAjhLg@[REMOVED]>

Subject: Make the Easter bunny jealous! Easter flowers

Easter Spam 5 edit_0.png

Figure 5. Spam offering personalized Easter bunny letters for children

Casino spam
Online casino and gambling spam show up in larger volumes during holiday periods. Casino spam entices victims with a signup bonus, reward points, and chances of winning a fortune. Email header examples include:

From: AU_AllSlots @ <AllSlots@[REMOVED]>

Subject: 25-free spins on Gold-Factory this-Easter  

419 scam spam
Nigerian spam routinely makes the rounds during all holiday festivals with news of lucky draws and donations. Symantec has observed 419 spam pretending to be from orphanages and charity organizations asking for donations for the unfortunate. Unsolicited emails asking for personal information should always be treated with caution. Examples of email headers include:

Subject: HappyEasterInAdvance,

From: suzanne122@[REMOVED]

Something else which caught our attention this year is the volume of Easter spam in foreign languages. Easter themed attacks in foreign languages are usually about gifts and goodies, like the cupcake and gingerbread delivery spam shown here:

Portuguese

Subject: Páscoa                                                             |Subject: Easter

From: “Cupcake” <contato@[REMOVED]>

Russian

From: Пасхи <vamdetal@[REMOVED]>                       | From: pasha

Subject: Скоро Пасха                                                    | Subject: Almost Pasha

From: Пряники <sladkie.pashi@[REMOVED]>             | From: Gingerbread

Subject: Кондитерская мастерская                              | Subject: Confectionery masterskaâ

Symantec wishes all our customers a very happy Easter, and we also advise you to be cautious of these spam campaigns. Always exercise caution when dealing with unsolicited or unexpected holiday themed emails. Do not click on links in emails that look suspicious. Remember to update your antispam signatures to safeguard your personal information and give you the peace of mind to celebrate the wonderful Easter celebrations.

Babies Offered for Adoption in 419 Scam

      No Comments on Babies Offered for Adoption in 419 Scam

A variation on the 419 email scam is being used by fraudsters to take advantage of couples desperate to adopt a child. Once they are carefully lured into a fake adoption process, the victims are then asked for money to cover legal and administrative fees.

While most recent 419 scams rely more on the naivety of victims than any ingenuity on the part of the spammer, some fraudsters are beginning to make more of an effort to directly communicate with the victim to secure their confidence. Their scams are well researched, convincingly presented and may borrow stories from real life to make their stories more authentic and better able to withstand a little scrutiny.

While fake adoption scams have been seen from time to time before, in this instance Symantec observed real life background details and a scammer who goes to great lengths to engage with the victim.

Fig1_9.png

Figure 1. Scam email using adoption story

Rather than using the usual advance-fee fraud scam narratives, such as winning a foreign lottery or a wealthy African leader dying, this fraudster adopts a different approach. Despite this, there were many telltale signs pointing towards a scam.  The message was sent to hidden recipients (through a hacked webmail account originating from Hungary, but routed through Italy), and the message required a response to a different webmail provider. These are typical characteristics of an advance-fee fraud, but we decided to investigate further to see how the scammer intended to ask for money.

In an effort to make this adoption narrative appear as legitimate as possible, the fraudster made us go through several hoops before finally getting to the point where we were asked to send money. During our correspondence—which spanned 11 email replies over a two month period—the scammer informed us in great detail about the mother’s story, and the regulations involved with private and independent adoption. They even went as far as providing a fake adoption form along with pictures of the baby!

Fig2_4.png

Figure 2. Babies offered for adoption through this 419 scam campaign

fig3_1.png

Figure 3. Fake adoption form used to gain victim’s confidence

When the fraudster finally decided to ask for money, we were asked to send US$2,500 to cover the “Court Order Preparation and Document Fee.” This took the form of one payment of $1,500 and another of $1,000, through a financial services wire transfer. It is likely the scammer requested the payments to be sent this way so the transaction appeared more legitimate and the victim would have more confidence that the scam was actually real.

Fig4_3.png

Figure 4. Scammer requests baby adoption money

When the fraudster provided a name and address to receive the wire transfer payment, we assumed this information was phony. However, looking up this address led us to a startling discovery.

The payee address listed was the office address of a legitimate Adoption and Family Law attorney (who has absolutely no connection to this scam). While most scammers use any old fake name to perpetrate an advance-fee fraud, hijacking a real person’s identity can make the fraud appear more convincing. The unsuspecting target may look up the name and confirm the person is a legitimate attorney who is practicing in the United States. It all “adds up,” they send the money, and become yet another victim of the scam.

The execution of this adoption scam signals a new approach by 419 scammers, some of whom have now come full circle in their approach. In an interview with The Economist two years ago, I revealed how some advance-fee fraudsters have moved from sending legitimate and official-looking scam messages to far less professional looking missives offering large sums of money in unlikely scenarios. None of these scam narratives are very sophisticated because the scammers look for victims to “self-select.”

This example serves as a reminder that not all advance-fee fraud scams are lazy attempts to get the most gullible victims to participate. Some fraudsters use creative tactics, such as this adoption narrative drawn out over months with convincing background details and official-looking forms. There is no doubt that scammer imagination and creativity will continue to evolve in the future.

Heartbleed ??????????? IoT????????????????????????????

      No Comments on Heartbleed ??????????? IoT????????????????????????????

Heartbleed についての議論は、そのほとんどが脆弱な公開 Web サイトに集中していますが、このバグの影響はそれ以上の範囲に及んでいます。利用者の多いサイトのほとんどはすでに対応済みですが、だからといってエンドユーザーが警戒を緩めていいわけではありません。

Heartbleed の影響は、クライアントソフトウェアにも等しく及びます。いくつか例を挙げるだけでも、Web クライアントや電子メールクライアント、チャットクライアント、FTP クライアント、モバイルアプリ、VPN クライアント、そしてソフトウェアアップデータなどが該当します。要するに、脆弱なバージョンの OpenSSL を使って SSL/TLS 通信を行うクライアントであれば、どれも攻撃を受ける恐れがあるのです。

しかも、Heartbleed は Web サーバー以外のさまざまなサーバーにも影響します。プロキシ、メディアサーバー、ゲームサーバー、データベースサーバー、チャットサーバー、FTP サーバーなどです。それどころか、ハードウェアデバイスでさえ Heartbleed 脆弱性の影響は免れず、ルーター、PBX(ビジネス電話システム)、そしておそらくは IoT(モノのインターネット)に分類される無数のデバイスにも影響は及びます。

Heartbleed 脆弱性を悪用してこうしたソフトウェアやハードウェアサーバーに攻撃を仕掛ける手口は、脆弱な Web サイトに対する攻撃に似ています。ただし、クライアントに対する攻撃は実質上、逆の方向でも起きることもあります。

Heartbleed の悪用については、攻撃側のクライアントが脆弱なサーバーに悪質な Heartbleed メッセージを送り付けることで、サーバーが個人データを漏えいしてしまうと説明されています。しかし、その逆方向でも攻撃は成り立ちます。脆弱なクライアントがサーバーに接続し、サーバー自身が悪質な Heartbleed メッセージをクライアントに送信すれば、クライアントはそのメモリ上にある別のデータを伴って応答するため、資格情報や個人データが公開される可能性があるからです。

Heartbleed-3486810-fig1-v2.png

図 1. 脆弱なクライアントに対する攻撃方法は、基本的にサーバーに対する攻撃方法の逆

幸い、クライアントに脆弱性があるとしても、現実的にはそれを悪用することは難しいと考えられます。この攻撃の主な経路は、悪質な SSL/TLS サーバーにアクセスするようクライアントに指示するか、別の脆弱性を悪用して接続を乗っ取るかの 2 つですが、攻撃者にとって複雑さが増すという点では同じです。

クライアントから悪質なサーバーへの誘導
クライアントを悪用できる最も単純な例は、脆弱な Web ブラウザを介した攻撃です。被害者を欺いて悪質な URL にアクセスさせるだけで、攻撃側のサーバーはクライアント Web ブラウザのメモリにアクセスできるようになります。そうなると、以前のセッションの cookie、アクセスしたことのある Web サイト、フォームデータ、認証資格情報といったコンテンツもリスクにさらされることになります。

広く利用されているブラウザのほとんどは OpenSSL ではなく NSS(Network Security Services)のライブラリを使っています。NSS は Heartbleed に対して脆弱ではありませんが、Web クライアントも多くのコマンドラインでは OpenSSL を使っており(wget、curl など)、やはり脆弱です。

攻撃者にとってはユーザーを欺いて悪質なサイトにアクセスさせるという手間が掛かるので、いくぶんリスクは軽減されますが、その手間が掛からない場合もあります。たとえば、フランス語で書かれたページの URL を入力すると、そのコンテンツが英語に自動的に翻訳されるオンライン翻訳サービスを例に考えてみましょう。この翻訳サービスは、独自のバックエンドクライアントを使ってフランス語ページのコンテンツを取得します。このとき悪質なサーバーの URL を入力すればバックエンドクライアントを悪用して、この翻訳サービスからコードや資格情報といった重要な情報を盗み出せることになります。

接続の乗っ取り
前述のように、クライアントを悪質なサーバーに誘導するには、任意のサーバーにアクセスするようクライアントに指示する必要があります。確かに、多くのクライアントが接続するのは、ハードコード化された、あらかじめ定義されたドメインだけかもしれませんが、そうした場合でも、やはりクライアントの悪用は可能です。一部の公共 Wi-Fi ネットワークのような共有のオープンネットワークでは、他人がトラフィックを傍受して変更できる可能性があるため、攻撃者は脆弱なクライアントをリダイレクトできます。通常であれば、この問題のひとつの解決策となるのが SSL/TLS(たとえば、暗号化された Web ブラウジングである HTTPS)です。暗号化すれば、傍受もリダイレクトも防げるからです。ところが、SSL/TLS セッションが完全に確立する前であれば、悪質な Heartbeat メッセージを送信することが可能です。

攻撃者は、公共のネットワークに参加して、無防備なユーザーの通信を傍受することができます。無防備なユーザーが、正規のサーバーへの SSL/TLS 接続を確立する際に脆弱なクライアントを使っている場合、攻撃者はその接続を悪質なサーバーにリダイレクトします。SSL/TLS 接続が完全に確立される前で、リダイレクトを遮断するチャンスがある段階であれば、攻撃者は悪質な Heartbeat メッセージを送信して被害者のコンピュータのメモリから内容を抜き取ることができます。これには、認証資格情報などの個人データが含まれているかもしれません。

Heartbleed-3486810-fig2.png

図 2. 共有のオープンネットワーク上で攻撃者が脆弱なクライアントを乗っ取ってリダイレクトする仕組み

以前のブログに示した注意事項に加えて、以下の推奨事項にも従うようにしてください。

  • どのようなクライアントソフトウェアを使っている場合でも、不明なドメインにはアクセスしないでください。脆弱な OpenSSL ライブラリを使って Heartbeat メッセージを受信してしまうかもしれません。
  • パッチが適用されていないプロキシサービスは使用しないようにしてください。
  • ソフトウェアもハードウェアも、ベンダーからパッチが公開されたら速やかに更新してください。
  • 公共のネットワークでは、Heartbleed に対して脆弱でないことが確認されている VPN クライアントやサービスを使用してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Heartbleed Representa un Riesgo para Clientes y el Internet de las Cosas

      No Comments on Heartbleed Representa un Riesgo para Clientes y el Internet de las Cosas

Si bien la mayor parte de la atención en Heartbleed ha estado en los sitios web públicos vulnerables, este bug afecta más que eso. Si bien la mayoría de los sitios más populares ya no están vulnerables, esto no significa que los usuarios podamos bajar la guardia.

Heartbleed afecta por igual a clientes de software como a clientes web, de correo electrónico, clientes de chat, clientes FTP, aplicaciones móviles, clientes VPN y actualizadores de software, por nombrar algunos. En definitiva, cualquier cliente que se comunica a través de SSL/TLS utilizando la versión afectada de OpenSSL es vulnerable a los ataques externos.

Adicionalmente, Heartbleed afecta a otros servidores además de los servidores Web. Estos incluyen proxies, servidores de medios , servidores de juegos, de bases de datos, de chat y FTP. En este escenario, los dispositivos de hardware no son inmunes a la vulnerabilidad ya que ésta puede afectar a los routers, PBX (sistemas de teléfono empresariales) y probablemente numerosos dispositivos del Internet de las Cosas.

Atacar estos servidores de software y hardware por medio de la vulnerabilidad Heartbleed se realiza de una manera similar a como se hace en los ataques a los sitios web vulnerables. Sin embargo, los ataques a los clientes pueden suceder prácticamente de la manera inversa.

De forma general, la explotación de Heartbleed ha sido descrita como un cliente que envía un mensaje malicioso de Heartbeat a un servidor vulnerable y el servidor expone información privada. Sin embargo, el proceso a la inversa también podría darse. Es decir, un cliente vulnerable puede conectarse a un servidor, y el propio servidor puede enviar un mensaje Heartbeat malicioso para el cliente. Entonces, el cliente responderá con datos adicionales que se encuentran en su memoria, lo que podría exponer credenciales de acceso y otros datos privados.

Heartbleed-3486810-fig1-v2.png

Figura 1. La forma en que un cliente vulnerable es atacado, es a la inversa de un ataque que se da en un servidor

Afortunadamente , aunque los clientes son vulnerables, en el mundo real este escenario puede ser difícil de explotar. Los dos principales vectores de ataque instruirían al cliente a visitar a un servidor SSL/TLS malicioso o secuestrarían una conexión a través de una debilidad sin relación. Ambas cuestiones presentan al atacante una complicación adicional.

Llevando al cliente a un servidor malicioso

El ejemplo más simple de cómo se puede explotar un cliente es a través de algo como un navegador Web vulnerable. Uno simplemente tiene que convencer a la víctima de visitar una URL maliciosa con el fin de permitir que el servidor atacante tenga acceso a la memoria del navegador Web del cliente. Esto pone en riesgo el contenido como las cookies de sesiones previas, sitios web visitados, datos de formularios y las credenciales de autenticación.

Cabe mencionar que la mayoría de los navegadores Web más populares no utilizan OpenSSL, sino las bibliotecas NSS (Network Security Services) que no son vulnerables a Heartbleed. Sin embargo, muchos clientes Web de línea de comandos hacen uso de OpenSSL (por ejemplo, wget y curl) los cuales son vulnerables.

La necesidad del atacante de engañar a un usuario para que visite un sitio malicioso puede mitigar algunos riesgos, pero no siempre es necesario. Imaginemos un servicio de traducción de idiomas en línea donde proporcionamos a un servicio automatizado una URL de una página en francés y el servicio nos traduce el contenido a español. Detrás de la pantalla, el servicio está  buscando el contenido de la página en francés utilizando su propio cliente de backend. Pero, si damos la dirección URL de un servidor malicioso, el cliente backend puede ser explotado y el atacante podría obtener información confidencial, como código o las credenciales de acceso del servicio de traducción.

Secuestrando una conexión

Dirigir a los clientes a un servidor malicioso como se describió anteriormente require instruirlos para visitar servidores arbitrarios. Sin embargo, muchos clientes sólo pueden comunicarse con un dominio codificado preestablecido. Aún en estos casos, el cliente todavía puede ser explotado. En las redes abiertas compartidas como ciertas redes WiFi públicas, el tráfico puede ser visible y alterado por otros, permitiendo a los atacantes redirigir a los clientes vulnerables. Normalmente, SSL/TLS (por ejemplo, HTTPS, navegación web encriptada) es una de las soluciones a este problema, ya que el cifrado evita el espionaje y el redireccionamiento. Sin embargo, uno puede enviar mensajes de Heartbeat maliciosos antes de que la sesión SSL/TLS esté plenamente establecida.

Un atacante puede unirse a una red pública y espiar a las posibles víctimas. Cuando una víctima potencial utiliza un cliente vulnerable al establecer una conexión SSL/TLS con un servidor legítimo, el atacante redirige la conexión con el servidor malicioso. Antes de que la conexión SSL/TLS esté totalmente establecida y tenga la posibilidad de bloquear cualquier redirección, el atacante puede enviar un mensaje Heartbeat malintencionado que extraiga contenidos de la memoria de la computadora de la víctima. Esto puede incluir datos privados, como credenciales de autenticación.

Heartbleed-3486810-fig2.png

Figura 2. Forma en que un atacante puede secuestrar y redireccionar un cliente vulnerable en una red abierta.

Además de las recomendaciones dadas anteriormente por Symantec, sugerimos lo siguiente:

• Evitar visitar dominios desconocidos con cualquier software de cliente, que acepten mensajes de Heartbeat y utilicen las bibliotecas de OpenSSL vulnerables.

• Dejar de usar los servicios de proxy que no han sido actualizados.

• Actualizar el software y hardware conforme los fabricantes tengan disponibles los parches.

• Utilizar un cliente VPN y un servicio confirmado como no vulnerable ante Heartbleed cuando estemos en redes públicas. 

Heartbleed – ????

      No Comments on Heartbleed – ????

OpenSSL における「Heartbleed」脆弱性について詳細が判明してから 5 日が経過しました。その間に、シマンテックはこの脆弱性の影響度を調査するとともに、利用者の多い Web サイトのパッチ適用状態を追跡し、攻撃の監視を続けてきました。その結果判明した内容を以下にお伝えします。

利用者の多いサイトはすでに脆弱性に対応済み

シマンテックは、Heartbleed 脆弱性が残っている Web サイトを確認するために、利用者の多い Web サイトを追跡してきました。Alexa による上位 1,000 の Web サイトはすべて、この脆弱性に対応済みです。Alexa の上位 5,000 まで含めても、脆弱性を残している Web サイトは 24 件のみでした。Alexa の上位 50,000 の Web サイトすべてを対象にしても、Heartbleed に対して脆弱なのは 1.8% にすぎません。このデータを見たところ、一般的なユーザーが頻繁に利用する Web サイトは Heartbleed の影響を受けません。

とはいえ、各サイトが更新されるよりも前にデータを盗み出された可能性はあります。そのリスクを軽減するために、複数のサイトで同じパスワードを使い回さないようにしてください。

パスワードは変更すべき

ユーザーがパスワードを変更すべきかどうかについては、相反する情報が飛び交っています。シマンテックが上記の人気のある Web サイトを調べたかぎりでは、オンラインアカウントのほとんどはパスワードを変更したほうが安全と言えそうです。

少しでも不安がある場合のために、シマンテックは Web サイトが Heartbleed に対して脆弱かどうかを確認する以下のツールを提供しています。

万一 Web サイトに脆弱性が残っている場合、まだそのサイトのパスワードは変更しないでください。

問題は深刻だがインターネットの終わりというわけではない

Heartbleed を悪用すれば、攻撃者はユーザー名やパスワードなどの個人データを盗み出すことができます。しかも、比較的容易に行うことができます。しかし、最も大きな懸念点は、この脆弱性を悪用すると、Web サイトとの暗号通信に使われている秘密鍵を盗まれる恐れがあるということです。秘密鍵を手に入れれば、攻撃者は通信を傍受したり、正規の Web サイトに偽装した Web サイトを作成したりして、さらに多くのデータにアクセスできるようになります。以前のブログでお伝えしたように、秘密鍵を盗み出すのはきわめて困難です。Heartbleed を使って鍵を盗み出すことに成功した研究者もいますが、その場合でも特定の条件が満たされている必要があります。特に、鍵が漏洩する可能性が高いのは、Web サーバーの起動後の一瞬だけです。

Heartbleed は攻撃者にそれほど広く利用されてはいない

シマンテックの監視によると、脆弱な Web サイトに対するスキャンは広く行われていますが、そのスキャンのほとんどは研究者によるもののようです。Heartbleed 脆弱性に関して、攻撃者が実行している大量スキャンは比較的少数しか確認されていません。攻撃者は特定のサイトを標的にしている可能性もありますが、幸い人気のあるサイトは現時点で影響を受けていません。

攻撃の遮断には IPS が有効

シマンテックの IPS シグネチャ 27517「Attack: OpenSSL Heartbleed CVE-2014-0160 3」がリリースされたので、脆弱なサーバーに対して Heartbleed を悪用する試みは検出され遮断されます。

注意事項に変更はない

企業向け:

  • OpenSSL 1.0.1 から 1.0.1f を使っている場合には、最新の修正版(1.0.1g)に更新するか、Heartbeat 拡張機能を使わずに OpenSSL を再コンパイルする必要があります。
  • 修正版の OpenSSL への更新後、Web サーバーの「SSL サーバ証明書」を再発行する必要もあります。
  • 基本的なセキュリティ対策(ベストプラクティス)として、侵入を受けたサーバーのメモリから漏えいした可能性を考慮し、エンドユーザーのパスワードをリセットすることも検討する必要があります。

消費者向け:

  • 利用しているサービスプロバイダのサーバーが脆弱な場合は、データが第三者に盗み見られた可能性があります。
  • 利用しているプロバイダからの通知を見逃さないようにしてください。脆弱性を確認したプロバイダからパスワードを変更するよう連絡があった場合には、指示に従ってパスワードを変更してください。
  • たとえパスワードの更新を促す内容であっても、攻撃者からのフィッシングメールである可能性には注意し、公式サイトのドメインを確認したうえで、偽装された Web サイトにアクセスしないように気を付けてください。
     

最新情報

リスクを最小限に抑える方法なども含めて、Heartbleed に関する最新の情報については、Heartbleed の発生に関するシマンテックの以下のページを参照してください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Bug Heartbleed envia ameaça grave para servidores

      No Comments on Bug Heartbleed envia ameaça grave para servidores

A vulnerabilidade recém-descoberta no OpenSSL, uma das implementações mais usadas do SSL e TLS de protocolos criptográficos, apresenta um perigo grave e imediato para qualquer servidor sem correção. O bug, conhecido como Heartbleed, permite que criminosos virtuais para interceptem comunicações seguras e roubarem informações confidenciais, como login, dados pessoais e chaves de decodificação.

O Heartbleed ou OpenSSL TLS ‘heartbeat’ Extension Information Disclosure Vulnerability (CVE-2014-0160) afeta um componente do OpenSSL conhecido como Heartbeat. OpenSSL é uma das implementações mais utilizadas do SSL e protocolos TLS.

O bug é uma extensão para o protocolo TLS, que permite que uma sessão se mantenha ativa, mesmo que nenhuma comunicação real aconteça há algum tempo. Este artifício verifica que ambos os computadores ainda estão conectados e disponíveis para a comunicação. Ele também poupa o usuário do suposto incomodo de ter que digitar novamente suas credenciais para estabelecer outra conexão segura – isto é, se a conexão original é descartada.

Como  essa vulnerabilidade funciona? O Heartbleed envia uma mensagem para o servidor OpenSSL, que por sua vez retransmite essa mensagem de volta ao remetente, verificando a conexão. A mensagem contém dois componentes, um pacote de dados conhecido como payload, que pode ser de até 64 KB, e as informações sobre o seu tamanho.

No entanto, a vulnerabilidade Heartbleed em OpenSSL permite a um invasor falsificar a informação sobre o tamanho do payload útil. Por exemplo, eles poderiam enviar uma carga de apenas um kilobyte, mas com tamanho real de 64KB. O bug Heartbleed é o último de uma série de vulnerabilidades SSL / TLS descoberto este ano. TLS e seu antecessor mais velho SSL são ambos protocolos seguros de comunicação da Internet e do trabalho de criptografar o tráfego entre dois computadores.

Como o servidor do OpenSSL lida com a mensagem malformada de Heartbeat aí está a chave do perigo que esta vulnerabilidade pode traz, principalmente porque ele não tenta verificar se o tamanho do arquivo enviado é de fato o tamanho real, como afirma a mensagem. Ao invés disso, assume que a carga é a verdadeira e as tentativas para enviá-lo de volta para o computador estão corretas.

Os dados enviados de volta acontecem de forma aleatória e é possível que o atacante receba algumas informações incompletas ou inúteis. No entanto, a natureza da vulnerabilidade significa que o ataque pode ser executado novamente e significa que o criminoso virtual pode construir um quadro maior dos dados armazenados ao longo do tempo.

Em fevereiro, a Apple teve que corrigir duas vulnerabilidades críticas que afetavam o SSL em seu software. Pela primeira vez, foi emitido uma atualização para seu sistema operacional móvel iOS, que corrigiu uma falha. Dias depois, uma segunda atualização foi enviada e, desta vez, para o sistema operacional de Desktop OSX.

Em março, uma ameaça também foi encontrada na biblioteca de segurança GnuTLS, que é usado em um grande número de versões do Linux, incluindo Red Hat Desktop e produtos de servidor. Inclusive, sistemas operacionais Ubuntu e Debian demonstraram a mesma vulnerabilidade. O GnuTLS é uma implementação de software de código aberto de SSL/TLS e este fez com que a biblioteca não conseguisse lidar corretamente com alguns erros – que poderiam ocorrer na verificação de um certificado de segurança. Com isso, poderia permitir que um invasor pudesse usar um certificado especialmente criado para enganar GnuTLS, confiando em um site malicioso. A vulnerabilidade foi imediatamente corrigida pela GnuTLS .

Para se proteger desta vulnerabilidade, a Symantec oferece as seguintes dicas:

Para as empresas:

  • Qualquer usuário do OpenSSL 1.0.1 through 1.0.1f deve atualizar o software para a versão mais recente – 1.0.1g – ou recompilar a solução sem a extensão Heartbeat;
  • Se após esta instalação você acredita que o certificado do servidor de Internet possa estar corrompido, entre em contato com a autoridade responsável pela certificação e peça a troca;
  • Além disso, como uma boa prática, as empresas devem considerar a reconfiguração de senhas dos usuários finais – especialmente aquelas com indícios de violação.

Para os consumidores:

  • Esteja ciente de que seus dados podem ser vistos por terceiros, principalmente se utiliza provedores de serviço vulneráveis;
  • Monitore qualquer notícia dos fornecedores que você utiliza. Uma vez que a vulnerabilidade é comunicada, os consumidores devem alterar suas senhas;
  • Evite acessar e-mail com links estranhos, pois eles podem conter o chamado phishing – as iscas, que buscam o seu clique;
  • Não acesse sites duvidosos. Opte por portais oficiais e com reputação;
  • Acompanhe a sua conta bancária e fatura do cartão de crédito. Desconfie de qualquer transação incomum ao seu perfil.

Atualização 10 de abril de 2014: As ferramentas da Symantec para checagem de certificação SSL irá vereficar quando um site é vulnerável. Você pode acessar o certificado a partir deste link: https://ssltools.websecurity.symantec.com/checker/

Para usar o seu certificado, clique em “Check your cerftificate installation” e, após isso, entre no website desejado.

heartbleed-explained_02.png

?????????????????? Facebook ?????????????????

      No Comments on ?????????????????? Facebook ?????????????????

政治家がフィッシングサイトで利用される例は後を絶ちませんが、インドの総選挙が始まったことを受け、フィッシング詐欺師は地元の政治家やその政党を餌にインドのユーザーを狙い始めています。

シマンテックは最近、Facebook の表示を偽装するフィッシングサイトを確認しており、なかには元ニューデリー州首相でありアーム・アードミ党の党首であるアルビンド・ケジリワル(Arvind Kejariwal)氏も含まれています。フィッシングサイトのホストサーバーは、米国ミシガン州のランシングに置かれていました。

figure1_facebookspam.png
図 1. フィッシングサイトに掲載されている偽の「いいね」ボタンとアルビンド・ケジリワル氏の写真

上の画像でもわかるとおり、フィッシングサイトには「Unite With Us Against Corruption(団結して政治の腐敗と戦おう)」というタイトルが付けられ、アーム・アードミ党のポスターと、Facebook の偽の「いいね」ボタンが使われています。サイトの背景画像は同党の党首アルビンド・ケジリワル氏の写真で、氏が先日 Twitter に投稿した「Political revolution in India has begun.(インドの政治革命が始まった。)Bharat jaldi badlega」というモットーも書かれています。最後の言葉は「もうすぐインドは変わる」という意味です。

この「いいね」ボタンをクリックすると、アーム・アードミ党のページに「いいね」を付けるために、Facebook のログイン情報を入力するよう求められます。

figure2_facebookspam.png
図 2. アーム・アードミ党のページに「いいね」を付けるために Facebook のログイン情報を入力するよう求められる

このフィッシングページで使われているログインの指示には、紛らわしい部分もあります。アーム・アードミ党の名前を出すかわりに、Facebook のユーザー情報でログインし、可愛い女の子の写真に「いいね」を付けるよう求めてくるのです。これと同じように女の子の写真を使うフィッシングサイトは、以前にも登場したことがあります。フィッシング詐欺師が同じテンプレートを使って別のアプリケーションをホストするのはよくあることですが、どうやら今回は、可愛い女の子の写真についての説明を変更し忘れたようです。ユーザーがログイン情報を入力すると、フィッシングサイトから確認ページにリダイレクトされます。確認ページでは、もう一度「いいね」ボタンをクリックするよう求められます。

figure3_facebookspam.png
図 3. 確認ページに表示されるログイン確認メッセージと「いいね」ボタン

確認ページには、前のログインページで入力した電子メールアドレスが表示されます。「いいね」ボタンの横には、アーム・アードミ党がこれまでに獲得した「いいね」の件数も表示されますが、これは偽の数字です。ボタンもダミーであり、何の機能も果たしていません。この手口に乗って個人情報を入力したユーザーは、個人情報を盗まれ、なりすまし犯罪に使われてしまいます。

インターネットを利用する際には、フィッシング攻撃を防ぐためにできる限りの対策を講じることを推奨します。

  • アカウントにログインするときに、アドレスバーの URL を確かめ、間違いなく目的の Web サイトのアドレスであることを確認する。
  • 電子メールメッセージの中の疑わしいリンクはクリックしない。
  • 電子メールに返信するときに個人情報を記述しない。
  • ポップアップページやポップアップウィンドウに個人情報を入力しない。
  • 個人情報や口座情報を入力する際には、鍵マーク(画像やアイコン)、「https」の文字、緑色のアドレスバーなどが使われていることを確かめ、その Web サイトが SSL で暗号化されていることを確認する。
  • ノートン インターネットセキュリティやノートン 360 など、フィッシング詐欺やソーシャルネットワーク詐欺から保護する統合セキュリティソフトウェアを使う。
  • 電子メールで送られてきたリンクや、ソーシャルネットワークに掲載されているリンクがどんなに魅力的でも不用意にクリックしない。

 

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。