segunda-feira, 15 de maio de 2017

O vírus global que veio de Washington

Por Sam Biddle, no site Outras Palavras:

Em meados de abril, um poderoso arsenal de ferramentas de software, aparentemente projetadas pela NSA para infectar e controlar computadores que usam sistema operacional Windows, foi vazado por uma entidade conhecida pelo nome de “Shadow Brokers” (agentes da sombra). Menos de um mês depois, a suposta ameaça de que criminosos usariam estas ferramentas contra o público em geral tornou-se real, e milhares de computadores no mundo inteiro estão agora paralisados, dominados por uma quadrilha desconhecida que exige uma recompensa.

O vírus que está assumindo o controle dos computadores denomina-se “WannaCry” ou “Wanna Decryptor”. Espalha-se de aparelho em aparelho silenciosamente e permanece invisível para seus usuários até que se revela como um chamado ransomware ou “vírus de sequestro”, informando a seus usuários que todos seus arquivos foram criptografados com uma chave que somente o agressor conhece, e que estes só serão liberados após o pagamento de 300 dólares a uma facção anônima, por meio da criptomoeda Bitcoin. O resgate aumenta para 600 após alguns dias; e, mais tarde, se o resgate não for pago, os arquivos do usuário são deletados. Os hackers fornecem um relógio de contagem regressiva de fácil acesso, com o qual as vítimas sabem exatamente quanto tempo lhes resta.

Vírus de sequestro (ransomware) não são algo novo; para as vítimas, um ataque desses costuma ser uma dor de cabeça colossal. Porém, o surto de hoje espalhou o vírus de sequestro numa escala maciça, atingindo não só computadores domésticos, como também sistemas da área de saúde, infraestruturas de comunicação, logística e entidades governamentais. Segundo a agência Reuters, “hospitais em toda a Inglaterra reportaram que o ciberataque estava causando enormes problemas em seus serviços, e as populações de áreas afetadas pelos ataques foram orientadas a procurar assistência médica somente em casos de urgência”. Além disso, “o ataque afetou os sistemas de imagem dos raio-x, resultados de testes patológicos, sistemas telefônicos e de atendimento aos pacientes”.

Relatou-se que o vírus também afetou universidades, uma grande empresa espanhola de telecomunicações, a corporação global de correios privados FedEx e o ministério do Interior russo. Ao todo, pesquisadores detectaram o vírus WannaCry em mais de 57 mil computadores ao menos em 70 países (e contagens como esta costumam variar, aumentando rapidamente).

De acordo com especialistas no rastreio e análise do vírus e sua difusão, este poderia ser um dos piores ataques do tipo de que se tenha registro. O pesquisador especialista em segurança, que tuíta e escreve assinando “MalwareTech”, declarou ao The Intercept: “Nunca vi nada igual no que se refere a vírus de sequestro”, e “o último vírus desse nível que eu me lembro é o Conficker”. Conficker foi um famoso vírus para Windows, que foi descoberto pela primeira vez em 2008 e que chegou a infectar mais de 9 milhões de computadores em aproximadamente 200 países.

O atual ataque do WannaCry parece utilizar um exploit [1] da NSA - a Agência Nacional de Segurança dos EUA - de codinome ETERNALBLUE. Trata-se de uma ferramenta de software que teria permitido que os hackers espiões da agência invadissem milhares de computadores que rodam Windows, explorando uma falha. Por meio desta, os hackers da NSA implantavam um protocolo de rede, utilizado para compartilhar arquivos e para imprimir. Embora a Microsoft tenha corrigido a vulnerabilidade ao ETERNALBLUE, numa atualização de software em março, dependeria de que os usuários mantivessem seus sistemas atualizados com a versão mais recente do Windows. Muitas pessoas (inclusive os governos) não instalam atualizações. Anteriormente, alguns se consolavam em saber que somente inimigos da NSA poderiam temer que o ETERNALBLUE fosse utilizado contra si. Porém, desde o momento em que a agência perdeu o controle de seu próprio exploit no último verão, já não existe essa garantia.

A atualidade escancara exatamente o que está em jogo quando hackers governamentais não são capazes de manterem suas armas virtuais guardadas. Como foi colocado pelo pesquisador especialista em segurança, Matthew Hickey, que rastreou as ferramentas da NSA vazadas no último mês: “na realidade, me surpreende que um vírus armado dessa natureza não tenha se espalhado antes.”

Esta contaminação certamente irá reacender argumentos sobre o que se sabe do “Vulnerabilities Equities Process” (VEP), o procedimento de decisão utilizado para determinar quando a NSA deve utilizar para si as brechas de segurança que descobre (ou cria) – e mantê-las em segredo – e quando deve compartilhá-las com as companhias afetadas, de forma que possam proteger seus usuários.

Christopher Parsons, um pesquisador do Laboratório Cidadão, da Universidade de Toronto, explicou claramente ao The Intercept: “O ataque do vírus de sequestro hoje é possível graças ao trabalho realizado e assumido pela NSA”. Acrescentou: “idealmente, este poderia conduzir a mais revelações que melhorariam a segurança dos computadores”

Mas, mesmo se a NSA estivesse disposta a divulgar seus exploits, em vez de armazená-los, ainda assim enfrentaríamos o problema de que muita gente parece não se importar em atualizar seus softwares. “Autores maliciosos exploram vulnerabilidades antigas ao realizarem suas operações, de forma rotineira”, aponta Parsons. “Não há razão pela qual uma divulgação maior das vulnerabilidades por meio do VEP mudaria tais atividades.”

Um porta-voz da Microsoft comentou: “Atualmente nossos engenheiros acrescentaram detecção e proteção contra um novo software malicioso conhecido como Ransom:Win32.WannaCrypt. Em março, nós fornecemos uma atualização de segurança que oferece proteção adicional contra este potencial ataque. Aqueles que utilizam nosso software de antivírus grátis e que possuem as atualizações do Windows ativadas, estão protegidos. Estamos trabalhando com os clientes para prover assistência adicional. ”

Nota:

[1] Em português, “explorar”, com sentido “usar algo para sua própria vantagem”, é um pedaço de software, um pedaço de dados ou uma sequência de comandos que se aproveitaq de um defeito, falha ou vulnerabilidade a fim de causar um comportamento acidental ou imprevisto no software ou hardware de um computador ou em algum eletrônico (normalmente computadorizado).

* Publicado originalmente no site The Intercept-EUA. Tradução de Simone Paz Hernández.

0 comentários: