A fabricante de antivírus Kaspersky Lab alertou na semana passada que uma praga digital brasileira, criada com a finalidade de roubar senhas bancárias, conseguiu uma assinatura digital válida da Comodo, empresa de segurança que atua em diversos segmentos.

 Assinaturas digitais deveriam identificar quem é o autor de um código, mas a Comodo não explica como um criador de vírus conseguiu provar que ele é quem ele não é.

O vírus estava assinado em nome de uma empresa chamada “Gas Tecnology”, uma referência dos criadores de vírus à empresa GAS Tecnologia, que desenvolve soluções para a segurança de bancos. Não há relação do vírus com a empresa – os criadores de pragas digitais brasileiros, por terem que “enfrentar” as defesas da GAS, não raramente colocam referências à companhia nos códigos, como nomes de arquivos semelhantes e até mensagens.

Conseguir uma assinatura digital, porém, foi um tanto mais ousado.

Assinaturas digitais
A assinatura digital no arquivo muda duas coisas. A primeira é que o arquivo não poderá ser modificado tão facilmente por um vírus sem, também, invalidar a assinatura digital. A segunda mudança está na janela que o Windows exibe quando um software é baixado da internet. Sem a assinatura digital, o Windows exibe um alerta em um escudo vermelho com um X branco (veja foto).

Porém, mesmo softwares com assinatura digital ainda trazem um aviso. O motivo disso é simples: os arquivos em si não são verificados antes de receberem a assinatura digital.

A assinatura digital tem por finalidade apenas garantir que um arquivo foi criado por quem ele diz ser. Não há garantia nenhuma sobre o código do arquivo, ou seja, ele ainda pode ter um código malicioso e realizar tarefas destrutivas caso tenha sido criado para isso. O arquivo só não pode ser modificado por um terceiro para realizar essas tarefas após receber a assinatura.

Por exemplo, não é possível, em condições normais, pegar um software da Microsoft, infectá-lo com um vírus e fazer com que ele ainda continue com uma assinatura da Microsoft.

No caso da praga digital brasileira, o arquivo foi criado já com a finalidade de roubar senhas de banco e a assinatura foi feita em nome de uma empresa que não representa nenhuma empresa real. E é esse o problema: era tarefa da Comodo, a certificadora que permitiu essa assinatura, fazer a verificação de identidade e garantir que a autoria do arquivo era realmente conhecida.

No entanto, os dados usados para o registro eram todos falsos.

Uma possibilidade é que a Comodo não tenha de fato verificado nenhuma informação e que os criminosos tenham utilizado um conflito matemático nas fórmulas utilizadas para gerar as assinaturas digitais. Porém, esse caso é ainda mais grave, pois significa que os criminosos conseguiram a capacidade de assinar qualquer arquivo no futuro.

Questionada pelo G1, a Comodo ainda não explicou como o arquivo acabou carregando uma assinatura digital válida em nome de uma empresa falsa.

O Windows é configurado de fábrica, pela Microsoft, para confiar nos certificados emitidos pela Comodo.

Código não é verificado
Quando se verifica as propriedades de um programa, o Windows exibe diversas informações sobre o fabricante na aba “Detalhes”. Nenhuma dessas informações é garantida pela autoridade certificadora. Sim, é confuso.

É por isso que o vírus brasileiro conseguiu, com um certificado falso de uma empresa inexistente, a “Gas Tecnology”, informar, nas propriedades do arquivo, que o software pertencia à Hewlett-Packard (HP). Se a aba específica, “Assinaturas Digitais”, não for conferida, não será possível saber que o arquivo na verdade tinha assinatura da “Gas Tecnology”.

É a primeira vez no Brasil e das poucas no mundo que um código indiscutivelmente malicioso foi encontrado com uma assinatura digital. Essa prática só era comum quando softwares indesejados eram desenvolvidos por empresas legalmente estabelecidas e reais para exibir anúncios no PC, ou seja, os certificados na verdade eram válidos, porque realmente identificavam os autores do programa. Certificados digitais emitidos para empresas totalmente falsas é algo quase “revolucionário”.

Em casos anteriores, como nos vírus Flame e Stuxnet, os certificados haviam sido roubados de empresas legítimas ou gerados a partir de cálculos matemáticos complexos. Se a Comodo realmente emitiu esse certificado, é uma ocorrência raríssima – talvez a primeira. A coluna não conseguiu identificar outro caso.

Atualizado: O leitor Sergio Leal enviou como colaboração a referência em um caso de 2001 em que a empresa VeriSign emitiu um certificado de Classe 3, de confiabilidade mais alta, em nome da Microsoft para alguém que não era a Microsoft. No entanto, não se sabe como esse certificado foi usado. A VeriSign informou, na época, que a causa foi erro humano por falha ao seguir os procedimentos de assinatura do certificado.

Um vírus ser encontrado com assinatura digital coloca mais dúvidas sobre o modelo de certificados digitais baseados em autoridades certificadoras (ACs), ou seja, quando várias empresas diferentes podem emitir certificados e acaba sendo difícil punir uma empresa qualquer, já que revogar a permissão dela de emitir certificados pode causar problemas para os programas já assinados e para clientes.

As assinaturas digitais em computadores Macintosh, por exemplo, vão utilizar o Developer ID, que é emitido pela própria Apple. Já aplicativos no Windows normalmente trazem assinaturas garantidas por empresas terceirizadas, como a Comodo e a Verisign, da Symantec, e que o sistema “confia”.

Por tabela, o Windows também confiou na “Gas Tecnology” e em um ladrão de senhas bancárias.

Fonte: http://g1.globo.com/tecnologia/



Artigos relacionados
CPL Malware ameaça usuários alemãesDecision Report 28/07/2014A Trend Micro lançou um panorama com os principais ataques e tendências de SPAM do primeiro semestr...
Leia Mais [+]
Ataques financeiros triplicaram em 2014O estudo "Ciberameaças financeiras em 2014", da Kaspersky Lab relata que o número de ataques de malware finance...
Leia Mais [+]
De acordo com uma pesquisa realizada pela Kaspersky Lab e pela B2B International, 21% dos internautas dizem que suas senhas não têm nenhum valor para os crimino...
Leia Mais [+]