Categorias
geral

Spyware? Sony Suspende Sistema Anti Piratatia.

Sony decidiu suspender temporariamente o uso do sistema

Por enquanto, Sony decidiu suspender temporariamente o uso do sistema criado para limitar o número de cópias de CDs.
A controvérsia começou no final de outubro quando foi descoberto que CDs que possuem tecnlogia XCP automaticamente instalavam um "rootkit" dentro o Windows.

Rootkits são geralmente utlizados para acesso rodar softwares não autorizado em computadores e permitir que invasores de sistemas tenham acesso, que muitas vezes, danoso.

Muitas crítricas foram feitas com relação a este atitude da Sony BMG. A empresa alegou que o sistema ajuda a controlar a pirataria de músicas que, por sua vez, causar sérios danos ao computador que faz uso dela, expondo-o a ataques de vírus, crash de sistemas ou abrindo os sitema a hackers.

A suspensão da distribuição de CDs com este sistema, veio depois do grande número de críticas que a empresa recebeu pois o sistema criado por ela é um tipo de spyware. Este spyware da Sony, além de espionar é claro, deixa o computador vulnerável aos ataques de hackers.. No entao, apesar de temporariamente ter suspenso o uso deste, a empresa não admite que estava agindo de modo errado e nega a acusação de que o sistema é um spyware.

Ainda bem que a Sony não publica livros. Imagine que você não poderia reler os livros que mais gostou.

Marfisa

Categorias
geral

Sony BMG e os Spywares. Vírus ou Trojan? Saiba tudo!

Tecnologia hacker em seu software intitulado DRM.

A gravadora Sony BMG foi acusada recentemente de utilizar tecnologia hacker em seu software intitulado DRM – Digital Rights Management. Esse software assemelha-se com rootkits pelo uso de técnicas que permitem esconder arquivos e diretórios do sistema. A solução adotada pela Sony para a proteção de conteúdo expõe seus usuários a sérios problemas de segurança, bem como problemas relacionados a privacidade. É sobre isso que conversaremos com Ronan Gaeti, analista de segurança ACME! Computer Security Research – Laboratório de Pesquisa de Segurança em Redes de Computadores, localizado no campus da Unesp de São José do Rio Preto.

1) Inicialmente vamos tentar entender a tecnologia associada ao problema. O que significa o termo RootKit?

O termo rootkit é usado para descrever mecanismos e técnicas utilizadas por malwares, incluindo vírus, spywares e trojans, que tentam esconder sua presença de Spywares Blockers, Antivírus e utilitários de gerenciamento de sistema. Há diversas classificações de rootkits dependendo se ele permanece ativo ou não após o reinício do sistema se executa em modo usuário ou em modo de kernel.

PERSISTENT ROOTKITS: ativado a toda vez que o sistema é inicializado. Deve armazenar o código em uma meio persistente de armazenamento, podendo ser tanto o Registry ou o sistema de arquivos. O código é automaticamente! Mememory-Based Rootkits: malware que não posse código persistente, não sobrevive a um reboot.

USER-MODE ROOTKITS: intercepta diretamente as APIs do Windows FindFirstFile/FindNextFile, que são usadas por aplicativos de visualização de arquivos, incluindo o IE e o command Prompt.

KERNEL-MODE ROOTKITS: manipula diretamente as estruturas de dados do kernel. Uma técnica comum de esconder um processo é removê-lo da lista de processos ativos do kernel. Um vez que as APIs destinadas ao gerenciamento de processos confiam nessa lista, o processo não aparecerá em ferramentas como Task Manager ou Process Explorer.

2) Como foi descoberto o uso da técnica de root-kit no Software DRM?

Mark Russinovich, do site Sysinternals, ficou surpreso enquanto testava a última versão do RootkirRevealer, um software de detecção de root kits, e encontrou a evidência de um rootkit em seu sistema. O software em questão identificou diretórios escondidos, diversos drivers e um aplicação escondida. Esse foi o ponto de partida para uma investigação minuciosa para descobrir a origem desse rootkit.

É relativamente simples olhar as chamadas de sistemas fazendo um dumping do conteúdo da Tabela de Serviços. Todas as entradas devem apontar para endereços pertencentes ao espaço de memória do Kernel do Windows, todas
as chamadas que não pertencerem são patched functions.

Mar Russinovich fez o dumping da tabela de serviços utilizando o software LikeKd, que revelou algumas patched functions. Ainda em sua análise, Russinovich descobriu que essas chamadas externas pertenciam ao driver Aries.sys pertencente ao diretório $sys$filesystem, ambos identificados pelo RootKitRevealer.

É comum que rootkits escondam arquivos e pastas sem necessariamente bloquear o acesso direto a eles. Russinovich abriu um Command Prompt e tentou entrar no diretório escondido:

c:\Windows\system32\$sys$filesystem\.

Sem maiores surpresas conseguiu entrar no diretório e listar os arquivos. Tentando descobrir o que realmente o Aries.sys estava fazendo ele copiou o arquivo para outro diretório e abriu-o no IDA Pro, um poderoso disassembler. Estudando as funções de inicialização do driver ele descobriu que o driver interferia diretamente na tabela de chamadas de sistema escondendo qualquer arquivo, diretório ou chave de registro iniciada por $sys$. Para provar sua conclusão ele realizou uma copia do arquivo Notepad.exe renomeando-o para $sys$Notepad.exe e o arquivo simplesmente desapareceu.

Observando a assinatura dos arquivos contido no diretório oculto, por meio do software Sigcheck, ele conseguiu identificar uma empresa chamada First 4 Internet. Tentou achar algo relacionado ao Aries.sys no site da empresa porém não obteve sucesso. Entretanto descobriu que a empresa vende a tecnologia chamada XCP, o que o fez pensar que aqueles arquivos encontrado fariam parte de algum Sistema de Proteção de Conteúdo.
Pesquisando pela internet, descobriu que a empresa First 4 Internet tinha contrato com diversas gravadoras incluindo a Sony, para implementar o software Digital Rights Management (DRM) para CDs.

Essa referência ao DRM o fez lembrar que havia comprado um CD recentemente que só poderia ser tocado por meio de um media player que veio com CD, e que limitava até três o número de cópias. O CD que ele havia comprado era o Van Zant Brothers – Get Right with the Man (um nome um tanto quanto irônico, dado as devidas circunstâncias) que é protegido com o software DRM

Para provar sua tese ele colocou o CD no computador e notou um aumento do uso de CPU pelo processo $sys$DRMServer.exe, que se auto intitulava Plug and Play Device Manager, o que obviamente representa a tentativa de mascarar o serviço. Retirando o CD esperava-se que o uso da CPU voltasse ao normal, porém para uma surpresa não muito agradável o software, ainda por cima, era mal escrito! Utilizando os softwares "Regmon" , e "Filemon", ele descobriu que o software scaneava os executáveis correspondentes ao processo a cada dois segundos, em busca de informações básicas sobre os arquivos incluindo o tamanho (oito vezes a cada scan). Para confirmar a conexão entre o processo e o CD Playes Mark observou mais atentamente os processos. Baseado nos pipe handles ele descobriu a comunicação entre o player e o DRMServer.

Conclusão: Foi provado que o RootKit encontrado pelo RootKitRevealer estava associado ao software da empresa First 4 Internet que a Sony disponibiliza em seus CDS.

3) É possível a remoção desse software? Quais os riscos de segurança associados?

Quando Mark Russinovich concluiu a relação entre o CD e o RootKit, e começou uma jornada na tentativa de remover o software. Porém, não foi encontrado nenhuma referência em Adicionar ou Remover Programas no Painel de Controle, nem no site da First 4 Internet. Procurando na EULA (END-USER LICENSE AGREEMENT), que é apresentada na instalação do software, não foi encontrado nenhum termo que mencionava na aceitação da instalação de um software que não poderia ser removido.

Tentando a desinstalação manual, Mark removeu as entradas no Registro do windows, parou o serviço DRMServer e deletou sua imagem. Enquanto removia as entradas no registro do windows descobriu que o software se auto intitulava como SafeBoot, ou seja os drivers são carregados até mesmo em modo de segurança, tornando a recuperação do sistema extremamente difícil, se houver um bug em um desses serviços que previnam o sistema de iniciar.

Para sua surpresa maior ao reiniciar o computador Mark descobriu que o seu driver de CD havia desaparecido do Explorer. Ao deletar os drivers, ele havia desabilitado o drive de CD.

O WINDOWS suporta um esquema de "Filtros" que permite um driver se inserir acima ou abaixo de outro driver para que ele possa ver e modificar as requisições de I/O. Abrindo o Device Manager descobriu que a CD-ROM estava associado o driver escondido, Crater.sys Infelizmente só é possível visualizar os nomes dos filtros registrados mas não há nenhuma interface administrativa que permita a remoção. Entrando no Registro, Mark encontrou o registro associado ao filtro do CD-ROM. Na tentativa de removê-lo obteve um erro de acesso negado. Só é possível alterar esse tipo de registro com a conta Local System. Entrando do Register como Local System obteve sucesso na remoção do filtro e na remoção de outro dispositivo chamado Cor.sys. Ao reiniciar o sistema obteve seu drive novamente.

A SONY é responsável pela instalação de um Software repleto de técnicas utilizada por malwares que tentam mascarar sua existência. Pior ainda, qualquer usuário que utilizar o RootKitRevealer e tentar remover os arquivos sem maiores cuidados, danificará o sistema, como mencionado anteriormente.

4) Esse caso teve uma grande repercussão na mídia, houve alguma preocupação por parte da Sony para desenvolver algum patch ou um desisntalador do Software DRM?

A Sony se recusa em disponibilizar um desisntalador para o seu software. Na página de FAQ da Sony o usuário é direcionado a outra página em que é necessário o preenchimento de um formulário requisitando a desinstalação do software.
Após preencher o formulário, recebe-se um e-mail contendo um "Case ID" e um link para outra página onde deve-se novamente solicitar o desinstalador, e esperar por mais um segundo e-mail.
O download que era para ser pequeno, é de 3.5 mb, pois inclui update para os drivers e para os executáveis do DRM.
Após o patch um novo software é identificado no computador, o MediaJam. Na tentativa de remover o MediaJam, mais um erro.

* * * * * * * * *
An error occurred trying to remove MediaJam. It may have already been unistalled.
Whould you like to remove MediaJam from the Add or Remove programs list?"
* * * * * * * * *

É importante ressaltar que cada link fornecido para a remoção do software só pode ser utilizado uma única vez, o que inviabiliza a redistribuição (deveras importante em grandes organizações) , e obriga os usuários a adotarem todo o processo burocrático que envolve a disponibilização de informações pessoais.

E OS PROBLEMAS CONTINUAM…

Após a aplicação do patch, o driver é descarregado da memória. A correção imposta pelaSony, leva aos usuários o risco da temida TELA AZUL pois o driver Aries não fornece o descarregamento seguro do driver.

"Cada serviço de kernel que é exportado para uso pelas aplicações do Windows tem um ponteiro em uma tabela que é indexada com um número interno de serviço que o Windows atribui a API.

Se um driver modifica uma entrada nessa tabela, com um ponteiro para sua própria função, o kernel então, invoca a função do driver toda vez que a aplicação utilizar a API e o driver pode controlar o comportamento dessa API"

Nunca é seguro descarregar um driver que aplica patches na tabela de chamada do sistema. Um thread pode estar a ponto de executar a primeira instrução de uma função que tem uma ligação externa à tabela de chamada de sistema.

Se isso acontecer o thread saltará para um posição inválida de memória.
Não há uma forma de um driver se proteger dessa ocorrência. Para solucionar esse problema o sistema deveria manter o drive ativo durante o período de desligamento e não ser mais carregado na próxima inicialização..

5) Há alguma forma de prevenção que possa ser tomada pelos usuários?
Uma boa forma de se prevenir é desabilitar o Autorun no computador. Isso irá prevenir que programas em um CD executem automaticamente quando o CD é inserido. Mas é importante saber que isso desabilitará toda e qualquer auto execução, não estando apenas restrito aos CDs de áudio. Portanto quando o Autorun é desabilitado é necessário executar os programas manualmente do CD.

6) Após toda essa cobertura na mídia a Sony ainda pretende continuar com esse esquema de proteção de conteúdo?

A Sony BMG disse que iria suspender a produção de CDs que usem XCP Technology, o rootkit-style DRM desenvolvido pela empresa britânica First4Internet. Entretanto a empresa se recusou pedir desculpas pelo software e também se recusou fazer o recall dos cds que possuem essa tecnologia. Ao todo são 20 CDs que utilizam o XCP Technology, esses produtos estão no mercado desde abril.

Lista dos CDs infectados:
http://www.eff.org/deeplinks/archives/004144.php

Formulário de desinstalação:
http://cp.sonybmg.com/xcp/english/uninstall.html

Referências:
http://www.sysinternals.com/utilities/rootkitrevealer.html


http://www.theregister.co.uk/2005/11/01/sony_rootkit_drm/
http://www.rootkit.com/
http://cp.sonybmg.com/xcp/english/updates.html

Email de contato do Ronan: click aqui.

Categorias
geral

Mais um vírus envolvendo a ferramenta de relacionamento Orkut

Os piratas virtuais passaram, mais uma vez, a utilizar o Orkut.

+ Alerta No. 20051019.01
+ Assunto: Mais um vírus envolvendo a ferramenta de relacionamento Orkut

14:13:00 GMT-03 (BRT) | Registro dos analistas de plantão (Carina Tebar
Palhares):

Os piratas virtuais passaram, mais uma vez, a utilizar o Orkut (ferramenta de relacionamento) para aplicar seus golpes.

O vírus denominado patch-orkut-v1.0.exe, embutido em um e-mail fraudulento cujo visual é parecido com a página original e o qual oferece uma correção para as mensagens de erro no site do Orkut, rouba senhas bancárias de clientes do Itaú, Bradesco, Unibanco, Banco do Brasil e Caixa Econômica.
Ao clicar no link para download do programa com o código malicioso denominado Banker.gen, os dados confidenciais do internauta é encaminhado para os endereços eletrônicos pertencentes ao estelionatário, que podem realizar transações financeiras sem autorização do titular da conta.

Sistemas afetados: plataforma Windows.

Recomendações: Não clicar em links e anexos de e-mails suspeitos. Para os usuários do Orkut, muito cuidado com os dados que são disponibilizados no campo perfil de usuários.
========================================================
(C) 2005 ACME! Computer Security Research
Este é um serviço gratuito. Este boletim pode ser distribuído livremente.
O usuário destas informações declara estar ciente e aceitar a
“Política de Serviço do Sistema de Informação da UNESP”, disponível em:
http://www.unesp.br/politicas/servico.htm
– – – – –
Laboratório ACME! de Pesquisa em Segurança de Computadores e Redes
http://www.acmesecurity.org
UNESP – Universidade Estadual Paulista. Campus de S.J.Rio Preto
R. Cristóvão Colombo, 2265
15054-000 / São José do Rio Preto – SP – Brasil

Carina Tebar Palhares

Categorias
geral

Vírus P2Load. A cria clone perfeito do Google

O P2Load.A é um novo worm[1] que se propaga através de programas peer-to-peer (P2P)

+ *ALERTA* No. 20050919.01
+ Assunto: Vírus P2Load.A cria clone perfeito do Google

16:00:00 GMT-03 (BRT) Registro dos analistas de plantão (Maria Carolina Matera Bozza):

DESCRIÇÃO:
O P2Load.A é um novo worm[1] que se propaga através de programas peer-to-peer (P2P), como Imesh e Shareaza, com o nome do jogo “Knights of the Old Republic 2”. Quando o falso jogo é executado, o worm P2Load.A
inicia sua ação.
Ao infectar um computador, o worm modifica a página inicial e as opções de busca do navegador. Adicionalmente, toda vez que o usuário tentar acessar o site do Google[2], será redirecionado a uma página falsa, com
aparência idêntica à da página oroginal.
Portanto, os internautas não irão se deparar com resultados reais quando tentarem acessar o Google, mas com resultados escolhidos pelos autores do P2Load.A.
O objetivo da criação do worm, é aumentar o tráfego de determinados sites, gerando um ganho financeiro através de acordos de filiação com eles.

SISTEMAS AFETADOS:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP.

RECOMENDAÇÕES:

1) Recomenda-se que os usuários mantenham sempre seus programas antivírus atualizados e habilitados.

2) Evite o uso de programas de compartilhamento de arquivos P2P. Eles frequentemente utilizados como vetores de propagação de vírus. Quando possível, configurar o software antivírus instalado para realizar a
verificação automática de qualquer arquivo transferido para o computador.

FONTES E NOTAS (em Inglês):
1)http://securityresponse.symantec.com/avcenter/venc/data/w32.p2load.a.html
2)http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=det&idvirus=89977

[1] Worm: http://www.webopedia.com/TERM/w/worm.html
[2] Google: http://www.google.com

+ Laboratório ACME! de Pesquisa em Segurança de Computadores e Redes
+ UNESP – Universidade Estadual Paulista
+ Campus de São José do Rio Preto, SP.
+ Equipe ACME! de Resposta a Incidentes (ACME-CSIRT)
+ Tel. +55 (17) 3221-2475 -|- VoIP UNESP 17.3475
+ alerta em acmesecurity.org -|- http://www.acmesecurity.org
+ R. Cristóvão Colombo, 2265 – 15054-000 – S.J.Rio Preto – SP – Brasil

Maria Carolina Matera Bozza