Semana de Criptografia – #5 Não há WannaCry sem NSA

Na manhã do dia 12 de maio de 2017, jornais do mundo inteiro noticiaram um ataque virtual à rede do serviço nacional de saúde do Reino Unido. Horas mais tarde, o vírus, autodenominado WannaCry1 se espalhou de uma maneira nunca antes vista, alarmando cidadãos de dezenas de países e afetando bancos, empresas e órgãos públicos. Em uma mensagem exibida nos computadores infectados, os hackers avisam que os arquivos da vítima estariam criptografados, exigindo o pagamento de 300 dólares (em bitcoins) para poder recuperá-los.

Este tipo de ataque, chamado ransomware,2 existe desde os anos 1990, e estima-se que hackers faturaram mais de um bilhão de dólares só em 2016 com ataques como esse. O WannaCry, contudo, se destacou dos outros, principalmente, pela velocidade com que se espalhou.

No quinto dia da Semana de Criptografia, vamos explicar como o WannaCry afeta suas vítimas usando criptografia, e como o seu surgimento e sucesso só foi possível graças à criação de backdoors governamentais como os descritos no post de ontem.

 

Origens: hackers vs hackers

 

Em relação a outros ataques ransomware, o WannaCry trouxe uma inovação crucial. Enquanto outros malwares até então se valiam de técnicas como phishing, e dependiam de alguma participação da vítima para funcionarem – por exemplo, abrindo arquivos suspeitos recebidos por e-mail como fotosdafesta.exe,” o WannaCry é capaz de infectar PCs vulneráveis automaticamente, sem qualquer ação do usuário. Isto é possível pois o malware faz uso de uma ferramenta (ou exploit) chamada EternalBlue, que se vale de uma falha nos protocolos de comunicação do Windows que deixa terminais e servidores vulneráveis a ataques. Além disso, o vírus depende de um backdoor chamado DoublePulsar para conseguir executar remotamente códigos maliciosos em computadores infectados. Essas duas ferramentas foram responsáveis pelo impacto do WannaCry – mas não foram desenvolvidas pelos hackers. Para entender de onde elas vieram, é preciso voltar alguns meses no tempo.

Em agosto de 2016, um grupo de hackers chamado Shadow Brokers publicou nota alegando ter infiltrado os servidores de outro famoso grupo de hackers conhecido por Equation Group, ganhando acesso a todo seu arsenal de ferramentas de hacking, incluindo várias capazes de explorar falhas ainda inéditas (ou zero-day), ou seja, que ainda não foram corrigidas por atualizações de segurança, e que portanto constituem alvos ideais para hackers. O Equation Group, por sua vez, já vinha sendo denunciado desde 2015 pela empresa de segurança Kaspersky Labs desde como ligado à NSA (Agência de Segurança Nacional dos EUA).

Fazendo jus ao nome3, os Shadow Brokers tentaram lucrar com suas descobertas, criando um verdadeiro “leilão” para vendê-las a governos ou outros grupos de hackers interessados na coleção de ferramentas (algumas das quais criadas na década de 1990). Contudo, algo inesperado aconteceu: ninguém apareceu. Nem governos, nem empresas de tecnologia, ninguém parecia interessados em comprar seus malwares. Assim, em dezembro de 2016, o grupo colocou algumas das ferramentas à venda. Novamente, nenhum comprador surgiu.

Para provar que realmente possuíam as ferramentas que ofereciam, em fevereiro os Shadow Brokers divulgaram detalhes de algumas das ferramentas roubadas – dentre elas, a EternalBlue. Com isso, as vulnerabilidades exploradas pelo EternalBlue e do DoublePulsar vieram à público, e em março a Microsoft lançou uma atualização de segurança para corrigi-las. Usuários que não instalaram a atualização permaneceram vulneráveis – bem como usuários de sistemas antigos, como o Windows XP ou Windows Server 2003, que não recebem mais suporte oficial da Microsoft.

Em abril, os Shadow Brokers liberaram uma parte do arsenal roubado na Internet, contendo a EternalBlue e a DoublePulsar, como uma “amostra grátis” do que têm para vender. A partir das ferramentas lançadas pelo grupo, diversos malwares potentes foram desenvolvidos por hackers espalhados pelo mundo todo: A capacidade de auto-replicação trazida pela EternalBlue permitiu, por exemplo, que hackers “sequestrassem” computadores para minerar bitcoins. Um desses malwares é justamente o WannaCry.

Deixando de lado a sua excepcional capacidade de replicação, o WannaCry opera como qualquer ransomware tradicional. Após a infecção, ele criptografa todos os arquivos do computador com uma chave conhecida apenas pelos hackers. Como explicamos no post 2 da Semana de Criptografia, uma vez executadas as operações matemáticas sobre os arquivos, só é possível descriptografá-los com a chave correta.

Na tela do PC infectado, surge uma janela com a seguinte mensagem:

Oops, seus arquivos foram criptografados

O que aconteceu com meu computador?

Seus arquivos importantes foram criptografados. Vários dos seus documentos, fotos, vídeos, base de dados e demais arquivos não são mais acessíveis, pois foram criptografados. Talvez você esteja ocupado tentando achar um meio de recuperar seus arquivos, mas não desperdice seu tempo. Ninguém conseguirá recuperar seus arquivos sem o nosso serviços de descriptografia.

Posso recuperar meus arquivos?

Claro. Nós garantimos que você pode recuperar todos os seus arquivos com segurança e facilmente. Mas você não tem muito tempo. Você pode recuperar alguns dos seus arquivos de graça. Tente agora, clicando no link <Decrypt>. Mas se você quiser acesso a todos os arquivos, então terá de pagar. Você só tem 03 dias para submeter o pagamento. Após este tempo, o preço será dobrado. Além disso, se você não pagar em 07 dias, você não conseguirá recuperar seus arquivos para sempre. Nós teremos eventos gratuitos para usuários que são tão pobres que não serão capazes de pagar em até 06 meses.

Como eu pago?

O pagamento será aceito em Bitcoins, somente. Para mais informações, clique em <Sobre bitcoins>. Por favor, verifique o preço atual para Bitcoins e compre algumas. Para mais informações, clique em <Como comprar Bitcoins>.

 

Pela propagação na rede numa velocidade nunca antes vista, o WannaCry ganhou notoriedade na mídia, mas não foi o maior vírus da história em número de vítimas, nem em valores obtidos.

 

Nome Quando? Vítimas Informações
Iloveyou 5/2000 > 50mi Usuários de Windows receberam e-mails com o assunto “Iloveyou”. Curiosos, abriam a suposta carta de amor anexada e baixavam o vírus. Este, então, replicava-se e e-mails com suas cópias eram enviadas para todas as pessoas na lista de contatos de e-mail da vítima.
Conficker 11/2008 > 9mi O vírus infectava os computadores e hackers poderiam ter todos os poderes de administrador da máquina.
Code Red 2001 2 mi Apesar de não ter um número tão grande de vítimas, o que coloca o Code Red neste ‘hall da fama” de vírus é a identidade de suas vítimas: esse malware foi capaz de derrubar sites de agências do governo americano, e até o site da Casa Branca.
Stuxnet 2010 Usinas nucleares no Irã e Índia. O Stuxnet impressiona por ser o primeiro malware capaz de causar efeitos no mundo real. Ao invés de só distribuir anúncios (spam) ou se espalhar na rede, o vírus destruiu algumas turbinas das usinas nucleares.

 

Ou seja, mesmo com a rápida disseminação, o WannaCry não fez tantas vítimas. As razões foram explicadas pela Wired: apesar de ter criado pânico a nível mundial, o vírus possuía falhas graves que limitaram o estrago que poderia causar. Em especial, seu código-fonte apresentava uma kill switch, e não é capaz de automatizar o processo de pagamento e descriptografia.

 

Kill switch

 

Por motivos ainda pouco claros,4 os criadores do vírus introduziram em seu código um mecanismo que tornou trivial “desligá-lo”. Antes de criptografar os arquivos do computador infectado, o programa verificava a existência de um endereço web específico. Caso fosse encontrado, o malware parava de agir, sem afetar o computador da vítima. Mas como o endereço foi inventado pelos hackers e, portanto, não existia, o código continuava rodando, proliferando os ataques. Ao analisar o código do WannaCry e perceber essa estranha peculiaridade, o pesquisador britânico conhecido como MalwareTech, resolveu registrar o tal domínio web – efetivamente parando a disseminação daquela versão vírus. Desde então, diversas outras versões do vírus foram lançadas sem o kill switch, infectando mais sistemas que permanecem desprotegidos. Em outras palavras: a ameaça não passou, e é preciso manter seu PC atualizado, sempre.

 

Problemas no sistema de pagamento

Um segundo fator que impediu o sucesso do vírus está relacionado ao sistema de pagamento desenhado pelos hackers. Ao analisar seu código-fonte, pesquisadores perceberam que o vírus não possui um mecanismo de identificação automática e única que permita aos hackers saber quem realizou e quem não realizou o pagamento do resgate. Segundo Matthew Hickey, pesquisador da empresa de segurança de informação Hacker House, provavelmente o processo de resgate está sendo realizado manualmente, com vítimas entrando em contato diretamente com os hackers para informá-los do pagamento. Desde então, algumas vítimas têm recebido mensagens com instruções confirmando essa hipótese. Essa falha pode levar a situações em que a vítima realiza o pagamento e não tem seu computador desbloqueado, diminuindo a “confiança” no processo e o incentivo para pagar.

 

Backdoors e vazamentos

 

Ainda não se sabe quem foi o responsável pela criação do WannaCry. Não se tem informação se foi obra de um único indivíduo, ou de um grupo de hackers. Não se sabe de que países vêm, se trabalham para algum governo, ou se são independentes. Contudo, um fator foi determinante para a criação do vírus: a existência de backdoors e exploits criados pela NSA.

Ao desenvolver ferramentas como a EternalBlue, a NSA se valeu de informações privilegiadas sobre bugs em sistemas de computador usados por milhões de empresas, cidadãos, e órgãos públicos. Tais vulnerabilidades, se conhecidas por hackers, poderiam ser exploradas para a criar ferramentas similares às da NSA e cometer crimes virtuais. Até serem exploradas pela primeira vez, falhas desse tipo são conhecidas como zero-day. Na área de segurança da informação, em casos de descobertas como essa, é costume reportá-la, primeiro, ao fabricante do software afetado, para que ele possa ter tempo de corrigi-la, evitando danos aos usuários. Após um prazo determinado, contudo, tenha a empresa corrigido o problema ou não, é recomendado que a vulnerabilidade seja divulgada ao público, para que usuários possam tomar providências e também para impor pressão sobre a empresa. Este costume está ligado diretamente ao princípio segundo o qual a segurança de nenhum sistema deve depender de esconder seu funcionamento. Uma das razões para isto é óbvia: nada garante que o pesquisador bem-intencionado que reportou a falha tenha sido o primeiro (ou o último) a descobri-la. A segurança deve vir da correção de falhas, não da omissão de sua existência.

A NSA não apenas omitiu a existência de falhas graves no Windows, deixando de informá-las à Microsoft, como desenvolveu armas (ou ferramentas) de guerra com base nelas, como a EternalBlue (bem como todas as outras ferramentas ainda não divulgadas pelos Shadow Brokers). Pretendendo usá-las como ferramentas de vigilância ou contra-terrorismo (ou seja, para facilitar seu trabalho de segurança), a agência criou riscos para milhões de usuários – que hoje pagam o preço. Ao invés de manter a população segura, a EternalBlue foi usado para causar um ataque virtual histórico.

É como se, descobrindo uma “falha” em coletes à prova de bala que permitisse a passagem de um tipo específico de munição, o governo não só se mantivesse quieto, como começasse a usar tal munição. Quem garante que apenas o governo terá acesso a ela? E quem gostaria de andar com um colete que falha, mas “só com tiros legítimos”?

Essa invasão pode (e deve) servir como lição para que governos não continuem a usar backdoors para avançar seus interesses, deixando o caminho aberto para hackers se aproveitarem da situação. Nas palavras da própria Microsoft:

Repetidamente, exploits nas mãos de governos vazaram para o domínio público e causaram danos generalizados. Um cenário equivalente envolvendo armas convencionais seria se mísseis Tomahawk fossem roubados do exército dos EUA. E este ataque mais recente evidencia uma conexão não intencional, mas perturbadora, entre as duas ameaças à segurança virtual no mundo hoje – ações governamentais e ações do crime organizado.

Os governos deveriam tratar esse ataque como uma forma de aviso. Eles precisam adotar outra postura e obedecer no adotar no ambiente virtual as mesmas regras que se aplicam às armas no mundo físico. Precisamos que os governos considerem os danos a civis que acompanham a omissão de vulnerabilidades e o uso de exploits.

O WannaCry demonstra mais uma vez os riscos inerentes às decisões governamentais de implementação de backdoors ou outros meios de acesso excepcional: ao invés de garantir maior segurança para a população, o resultado têm sido os graves ataques virtuais a que temos assistido. A segurança da Internet e de todos os seus usuários não deve depender apenas da segurança da rede da NSA – afinal, esta é claramente bem ruim.5

  1. Ou WannaCryptor, ou WannaDecryptor, ou outros nomes similares.
  2. De ransom, inglês para “resgate” em casos de sequestro ou rapto.
  3. Em tradução livre, ”shadow broker” significa “corretor sombrio.”
  4. Possivelmente, a técnica foi uma estratégia para tentar evitar que o vírus fosse detectado em ambientes controlados. Mais informações aqui.
  5. Fonte da imagem: montagem por @oleganza e @zynphull