Lost+Found: Google hackeando Windows e agentes adormecidos no Android
Muito pequeno para serem notícias individuais no editorial, mas interessantes demais para não ficarem de fora, o Lost+Found é uma compilação de várias histórias que estiveram no Hadar do Heise Online nos últimos sete dias. Nesta edição: Google hackeando Windows, estruturas no lugar de assinaturas, um scanner de backdoor, malware Android musical, arquivos de sistema suspeitos, John the Ripper e - inevitavelmente - espiões Chineses.
Google hackeando Windows: Tavis Ormandy do Google publicou detalhes de uma vulnerabilidade de escalonamento de privilégios local no Windows: "Eu tenho trabalhado na exploração que concede acesso ao SYSTEM de todas as versões correntes suportadas do Windows: "O exploit está disponível para estudantes mediante pedido formal. Ele também aproveitou para alfinetar a Microsoft: "Até onde eu posso dizer é que esse código é pré-NT (20+ anos de idade), então lembre-se de agradecer o SDL", em uma referência ao tão alardeado Security Development Lifecycle, que supostamente deveria reduzir de forma drástica o número de vulnerabilidades no Windows.
Enganando anti-vírus: é muito fácil enganar as varreduras de assinaturas dos programas anti-vírus. O Simseer, um serviço anti-virus, está experimentando com assinaturas de malware derivadas da estrutura do programa no arquivo escaneado. Isso deveria permitir a detecção de similaridades com as famílias de malware existentes.
Scanner de backdoor: Fabricantes instalando contas backdoor em dispositivos embarcados parece estar se tornando mais como uma regra que uma exceção. Especialista em segurança da IOActive Labs desenvolveram uma ferramenta de nome Stringfighter que visa identificar backdoors em imagens de firmware. Aparentemente o Stringfighter já descobriu um backdoor em gateways produzidos pela Turck, uma fabricante Alemã. A ferramenta ainda não foi liberada para o público.
Malware Android musical: os smartphones com Android são agentes adormecidos? Pesquisadores da Universidade do Alabama em Birmingham (UAB) investigaram cenários (PDF) nos quais malware Android utiliza os sensores do aparelho para interagir com eventos externos. Eles postularam um trojan que permaneceria inativo até que ouvisse um pedaço de uma música. Criatividade sem limites, não acham?
Arquivos de sistema suspeitos: Nataraj Lakshman, um pesquisador de malware, utilizou o VirusTotal para testar aproximadamente 8000 arquivos de sistemas entregues com várias versões do Windows. Como esperado, todos os 46 programas anti-vírus concordaram de forma unânime que os arquivos são inofensivos. Porém, quando Lakshman comprimiu os arquivos com vários packers exe e reiniciou os testes, os resultados foram bem diferentes. Praticamente a maioria dos arquivos foram detectados como malware por pelo menos 10 programas anti-vírus. Ao que parece, o mero uso de um packer exe já é suspeito o suficiente para muitos programas anti-vírus.
John the Ripper: a versão 1.8 do John the Ripper, um programa multi-propósito para quebra de senhas, é patrocinada pela Rapid7, produtora do Metasploit. Alterações significantes foram realizadas no modo incremental, no qual o programa testa todas as possíveis combinações de caracteres. O programa simplesmente não inicia as tentativas e somente encerra quando alcança 0000000. Ao invés disso, ele sempre tenta as combinações de caracteres mais prováveis, baseados em probabilidades condicionais pré-calculadas (os modelos Markov).
Espiões Chineses: Os Estados Unidos não são os únicos que suspeita de espionagem cibernética Chinesa. A Austrália também identificou acesso não autorizado a segredos de Estado e militares. Dentre outros incidentes, planos confidenciais para os novos quartéis generais da ASIO (Australian intelligence service) parecem ter sido roubados.
Saiba Mais: Lost+Found: Google hacks Windows and Android sleeper agents (em Inglês)
