Dois pesquisadores da Informatica64, uma empresa de consultoria em segurança com base em Madri (Espanha) demonstraram na conferência Black Hat USA 2012 em Las Vegas (EUA), o uso de uma cavalo de troia JavaScript para obter controle de computadores. Pelo exemplo, foi usado um proxy não confiável para obter dados em inúmeras atividade criminosas, desde spammers nigerianos em sites de namoros até invasores de endereços eletrônicos.
Curta, no Facebook, a Fan Page do IT Web
Na apresentação, o consultor de segurança Chema Alonso apresentou uma técnica legalmente questionável para espionar a atividade das pessoas ou criar um botnet, ao substituir um cache JavaScript por uma cópia de invasão. Para injetar o arquivo JavaScript dentro do navegador da vítima, Alonso e um colega criaram um servidor proxy anônimo e depois publicaram seu endereço em um fórum proxy.
Em um dia, mais de quatro mil computadores se conectaram aos servidores proxy e tiveram o arquivo JavaScript corrompido instalado em seus caches de navegação. Usando o cavalo de troia JavaScript, o grupo começou a coletar cookies e credenciais de site de rede.
Os pesquisadores descobriram vários níveis de criminosos usando seu servidor proxy: fraudadores fingindo-se de oficiais de imigração ingleses, oferecendo permissões de trabalho na esperança de roubar dinheiro e documentos importantes de suas vítimas; um homem afirmando ser uma linda mulher em inúmeros sites de namoro para convencer vítimas e enviar dinheiro para uma passagem de avião; e outro fraudador vendendo cachorros de raça Yorkshire Terriers que não existiam.
Enquanto outros ataques man-in-the-middle (ataque em que os dados trocados legitimamente por duas pessoas são interceptados por um invasor) podem capturar dados, ao usar o JavaScript os pesquisadores de segurança é possível ganhar acesso para dados que de outra forma seriam criptografados usando o protocolo secure sockets layer (SSL – cria um canal criptografado entre um servidor de rede e um navegador para garantir que todos os dados transmitidos sejam sigilosos e seguros).
A técnica pode ser usada para ter como alvo sites de rede específicos ao recolher informações em arquivos JavaScript. Ao substituir um dos arquivos com uma versão maliciosa por meio de um servidor proxy, o invasor pode ajustar ataques direcionados.
Alonso reconhece que a técnica pode ser legalmente questionável. Apesar de ter publicado um alerta de privacidade e termo de responsabilidade no site proxy, avisou que é preciso ter cuidado onde coloca o servidor proxy. “É melhor pesquisar por servidores em países sem lei específica”.
É possível que empresas e o governo já usem essa técnica para espionar atividades criminosas, observou Alonso. “Se conseguimos coletar essa quantidade de dados em somente um dia, com dois pequenos arquivos JavaScript, quanto o governo faz na internet? E quanto as agências de inteligência fazem?”
O pesquisador recomenda a quem usa proxies anônimos ou até mesmo rede Tor (é uma rede de computadores distribuída com o intuito de prover meios de comunicação anônima na internet) apostar somente em servidores confiáveis. Além disso, as pessoas com dados sensíveis devem regularmente limpar seu cache do navegador. “O cache não é seu amigo”.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
A computação quântica ainda não tem aplicação comercial em escala. A Hewlett Packard Enterprise (HPE)…
A China voltou a defender a criação de mecanismos internacionais de governança para inteligência artificial…
A SpaceX alcançou um marco importante e histórico poucos dias após sua estreia na bolsa…
A inteligência artificial já entrou no radar estratégico das empresas brasileiras, mas sua adoção ainda…
Na visão de Domingos Bruno, especialista do IT Forum Inteligência, o CIO do futuro não…
O presidente Luiz Inácio Lula da Silva apresentou a posição brasileira sobre governança digital e inteligência…