Criptovirologia

Origem: Wikipédia, a enciclopédia livre.

Criptovirologia refere-se ao estudo do uso de criptografia em malware, como backdoors assimétricos e ransomware.[1] Tradicionalmente, a criptografia e suas aplicações são de natureza defensiva e fornecem privacidade, autenticação e segurança aos usuários. A criptovirologia emprega uma variação na criptografia, mostrando que ela também pode ser usada de forma ofensiva. Ele pode ser usado para montar ataques baseados em extorsão que causam perda de acesso a informações, perda de confidencialidade e vazamento de informações, tarefas que a criptografia normalmente evita.[2]

O campo nasceu com a observação de que a criptografia de chave pública pode ser usada para quebrar a simetria entre o que um analista de antivírus vê em relação ao malware e o que o invasor vê. O analista de antivírus vê uma chave pública contida no malware, enquanto o invasor vê a chave pública contida no malware, bem como a chave privada correspondente (fora do malware), já que o invasor criou o par de chaves para o ataque. A chave pública permite que o malware execute operações alçapão unilaterais no computador da vítima que apenas o invasor pode desfazer.

Visão geral[editar | editar código-fonte]

O campo abrange ataques secretos de malware nos quais o invasor seguramente rouba informações privadas, como chaves simétricas, chaves privadas, estado do P.R.N.G.[a] e dados da vítima. Exemplos de tais ataques secretos são portas dos fundos[b] assimétricas. Uma porta dos fundos assimétrica é uma porta dos fundos (em um sistema criptográfico, por exemplo) que pode ser usada apenas pelo invasor, mesmo depois de ser encontrada. Isso contrasta com a porta dos fundos tradicional que é simétrica, ou seja, qualquer pessoa que a encontre pode usá-la. A cleptografia [en], um subcampo da criptovirologia, é o estudo de backdoors assimétricos em algoritmos de geração de chaves, algoritmos de assinatura digital, trocas de chaves, geradores de números pseudoaleatórios, algoritmos de criptografia e outros algoritmos criptográficos. O gerador de bits aleatórios "Dual E.C. D.R.B.G."[c] [en] do N.I.S.T.[d] possui uma porta dos fundos assimétrica. O algoritmo do E.C.-D.R.B.G.[e] utiliza o cleptograma de logaritmo discreto da cleptografia, que, por definição, torna o E.C.-D.R.B.G.[e] um cavalo de Tróia criptográfico. Como o ransomware, o cavalo de Tróia criptográfico do E.C.-D.R.B.G.[e] contém e usa a chave pública do invasor para atacar o sistema hospedeiro. O criptógrafo Ari Juels indicou que a N.S.A.[f]orquestrou efetivamente um ataque cleptográfico aos usuários do algoritmo de geração de número pseudoaleatório Dual E.C. D.R.B.G.[c] e que, embora profissionais de segurança e desenvolvedores tenham testado e implementado ataques cleptográficos desde 1996, "você teria dificuldade em encontrar um em uso real até agora."[3] Devido ao clamor público sobre este ataque de criptovirologia, o N.I.S.T.[d] rescindiu o algoritmo do E.C.-D.R.B.G.[e] do padrão NIST SP 800-90.[4]

Ataques secretos de vazamento de informações realizados por criptovírus, criptotrojans e criptoworms que, por definição, contêm e usam a chave pública do invasor são um tema importante na criptovirologia. Na "captura de senha negável", um criptovírus instala um criptotrojan que criptografa assimetricamente os dados do hospedeiro e os transmite secretamente. Isso o torna disponível para todos, perceptível por ninguém (exceto o invasor)[carece de fontes?] e decifrável apenas pelo invasor. Um invasor pego instalando o criptotrojan pode afirmar ser uma vítima do vírus.[carece de fontes?] Um invasor observado recebendo a transmissão assimétrica encoberta é um dos milhares, senão milhões de receptores, e pode não exibir nenhuma informação de identificação. O ataque de criptovirologia atinge "negação de ponta a ponta". É uma transmissão assimétrica encoberta dos dados da vítima. A criptovirologia também abrange o uso de recuperação de informação privada (P.I.R.)[g] para permitir que os criptovírus pesquisem e roubem dados do hospedeiro sem revelar os dados pesquisados, mesmo quando o criptotrojan está sob vigilância constante.[5] Por definição, esse criptovírus carrega em sua própria sequência de codificação a consulta do invasor e a lógica de recuperação de informação privada (P.I.R.)[g] necessária para aplicar a consulta aos sistemas hospedeiros.

História[editar | editar código-fonte]

O primeiro ataque de criptovirologia e a discussão do conceito foram feitos por Adam L. Young e Moti Yung [en], na época chamado de "extorsão criptoviral" e foi apresentado na Conferência do I.E.E.E.[h] de segurança e privacidade de 1996.[2][6] Neste ataque, um criptovirus, criptoworm ou criptotrojan contém a chave pública do invasor e criptografa de maneira híbrida [en] os arquivos da vítima. O malware solicita que o usuário envie o texto cifrado assimétrico ao invasor, que o decifrará e retornará a chave de descriptografia simétrica que ele contém por uma taxa. A vítima precisa da chave simétrica para descriptografar os arquivos criptografados se não houver maneira de recuperar os arquivos originais (a partir de cópias de segurança[i], por exemplo). O artigo do I.E.E.E.[h] de 1996 previu que os invasores de extorsão de criptovírus um dia exigiriam dinheiro eletrônico [en], muito antes do Bitcoin existir. Muitos anos depois, a mídia renomeou a extorsão criptoviral como ransomware. Em 2016, os ataques de criptovirologia a prestadores de serviços de saúde atingiram níveis epidêmicos, levando o Departamento de saúde e serviços humanos dos Estados Unidos da América a emitir um folheto informativo sobre ransomware e a H.I.P.A.A.[j] [en].[7] A ficha informativa afirma que, quando as informações eletrônicas de saúde protegidas são criptografadas por ransomware, ocorre uma violação e, portanto, o ataque constitui uma divulgação que não é permitida pela H.I.P.A.A.[j], com base no argumento de que um adversário assumiu o controle das informações. Os dados confidenciais podem nunca ter saído da organização da vítima, mas a invasão pode ter permitido que os dados fossem enviados sem serem detectados. A Califórnia promulgou uma lei que define a introdução de ransomware em um sistema de computador com a intenção de extorsão como sendo contra a lei.[8]

Contramedidas[editar | editar código-fonte]

De acordo com uma revisão de criptovirologia de 2018, especula-se que a disponibilidade de ferramentas criptográficas para os processos do usuário reduza a segurança do sistema, pois pode reduzir o tamanho do vírus e melhorar seu desempenho, além de tornar os vírus mais fáceis de escrever. Sistemas de detecção de intrusão também são sugeridos como um fator atenuante concreto.[1]

Exemplos[editar | editar código-fonte]

Vírus Tremor[editar | editar código-fonte]

Embora os vírus em liberdade tenham usado criptografia no passado, o único propósito desse uso de criptografia era evitar a detecção por software antivírus. Por exemplo, o vírus Tremor[9] usava o polimorfismo como técnica defensiva na tentativa de evitar a detecção por software antivírus. Embora a criptografia ajude a aumentar a longevidade de um vírus nesses casos, os recursos da criptografia não são usados na carga útil. O vírus One-half foi um dos primeiros vírus conhecidos por criptografar arquivos afetados.

Vírus Tro_Ransom.A[editar | editar código-fonte]

Um exemplo de vírus que informa o dono da máquina infectada a pagar um resgate é o vírus apelidado de Tro_Ransom.A.[10] Este vírus pede ao proprietário da máquina infectada para enviar $ 10,99 para uma determinada conta através da Western Union. O Virus.Win32.Gpcode.ag é um criptovírus clássico.[11] Este vírus usa parcialmente uma versão do RSA de 660 bits e criptografa arquivos com muitas extensões diferentes. Ele instrui o proprietário da máquina a enviar uma correspondência eletrônica (e-mail) com uma determinada ID de correio se o proprietário desejar o descriptografador. Se contatado por correspondência eletrônica (e-mail), o usuário deverá pagar uma determinada quantia como resgate em troca do descriptografador.

C.A.P.I.[editar | editar código-fonte]

Foi demonstrado que usando apenas 8 chamadas diferentes para a Interface de programação de aplicação criptográfica (C.A.P.I.)[k] da Microsoft, um criptovírus pode satisfazer todas as suas necessidades de criptografia.[12]

Outros usos de malware com criptografia habilitada[editar | editar código-fonte]

Além da extorsão de criptovírus, existem outros usos potenciais de criptovírus,[5] tais como roubo de senha negável, criptocontadores, recuperação de informação privada e na comunicação segura entre diferentes instâncias de um criptovírus distribuído.

Notas[editar | editar código-fonte]

  1. gerador de números pseudoaleatórios (do inglês, pseudorandom number generator)
  2. do inglês, backdoor
  3. a b gerador de bits aleatórios determinísticos de curva elíptica dupla (do inglês, dual elliptic curve deterministic random bit generator)
  4. a b Instituto Nacional de Padrões e Tecnologia (do inglês, National Institute of Standards and Technology)
  5. a b c d gerador de bits aleatórios determinísticos de curva elíptica (do inglês, elliptic curve deterministic random bit generator)
  6. Agência de Segurança Nacional (do inglês, National Security Agency)
  7. a b do inglês, private information retrieval
  8. a b Instituto de engenheiros elétricos e eletrônicos (do inglês, Institute of electrical and electronics engineers
  9. do inglês, backup
  10. a b lei de responsabilidade e portabilidade de seguro saúde (do inglês, health insurance portability and accountability act)
  11. do inglês, cryptographic application programming interface

Referências

  1. a b Yogi, Manas Kumar; Aparna, S. .Lakshmi (31 de julho de 2018). «Novel insights into cryptovirologyA comprehensive study» [Novas percepções sobre criptovirologia – Um estudo abrangente]. International Journal of Computer sciences and engineering – Jornal Internacional de Engenharia e Ciências da computação (em inglês). 6 (7): 1252–1255. ISSN 2347-2693. doi:10.26438/ijcse/v6i7.12521255 
  2. a b Young, A.; Moti Yung (1996). «Cryptovirology: Extortion-based security threats and countermeasures – Criptovirologia: contramedidas e ameaças à segurança baseadas em extorsão». Proceedings 1996 IEEE Symposium on Security and Privacy [Anais do Simpósio do I.E.E.E. sobre segurança e privacidade de 1996] (em inglês). [S.l.: s.n.] pp. 129–140. ISBN 0-8186-7417-2. doi:10.1109/SECPRI.1996.502676. Consultado em 8 de outubro de 2022. Cópia arquivada em 8 de outubro de 2022 
  3. Larry Greenemeier (18 de setembro de 2013). «N.S.A. efforts to evade encryption technology damaged U.S. cryptography standard» [Os esforços da N.S.A. para fugir da tecnologia de criptografia prejudicaram o padrão de criptografia dos Estados Unidos da América] (em inglês). Scientific American. Consultado em 4 de agosto de 2016. Cópia arquivada em 18 de agosto de 2016 
  4. «N.I.S.T. removes cryptography algorithm from random number generator recommendations» [N.I.S.T. remove algoritmo de criptografia das recomendações de gerador de número aleatório]. Instituto nacional de padrões e tecnologia (em inglês). 21 de abril de 2014. Consultado em 13 de julho de 2017. Cópia arquivada em 29 de agosto de 2016 
  5. a b A. Young, M. Yung (2004). Malicious cryptography: Exposing cryptovirology [Criptografia maliciosa: expondo a criptovirologia] (em inglês). [S.l.]: Wiley. ISBN 0-7645-4975-8 
  6. Korsakov, Alexey (2014). Cryptovirology and malicious software [Software malicioso e criptovirologia] (PDF) (Tese de mestrado). Universidade do Leste da Finlândia [en], Departamento de ciência da computação 
  7. «Fact sheet: Ransomware and HIPAA» [Ficha informativa: ransomware e H.I.P.A.A.] (PDF). Departamento de Serviços Humanos e Saúde dos Estados Unidos (H.H.S.). Consultado em 22 de julho de 2016. Cópia arquivada (PDF) em 13 de abril de 2018 
  8. SB-1137 que altera a seção 523 do código penal.
  9. «Tremor description | F-Secure Labs» [Descrição do Tremor | Laboratórios F-Secure]. www.f-secure.com (em inglês). Consultado em 2 de março de 2021. Cópia arquivada em 24 de junho de 2021 
  10. «Sophos security labs: Real-time malware threat prevention» [Laboratórios de segurança da Sophos: prevenção em tempo real contra ameaças de malware] (em inglês). Consultado em 23 de maio de 2008. Cópia arquivada em 10 de maio de 2008 
  11. «Securelist». securelist.com (em inglês). Consultado em 2 de março de 2021. Cópia arquivada em 7 de abril de 2015 
  12. Young, Adam L. (2006). «Cryptoviral extortion using Microsoft's Crypto API» [Extorsão de criptovírus usando a Interface de programação de aplicação criptográfica da Microsoft]. International Journal of Information Security – Jornal Internacional de Segurança da informação (em inglês). 5 (2): 67–76. doi:10.1007/s10207-006-0082-7 

Ligações externas[editar | editar código-fonte]