Criptovirologia - Cryptovirology
| Este artigo faz parte de uma série sobre |
| Hacking de computador |
|---|
| História |
| Cultura e ética hacker |
| Conferências |
| Crime virtual |
| Ferramentas de hacking |
| Locais de prática |
| Malware |
| Segurança informática |
| Grupos |
|
| Publicações |
Criptovirologia é um campo que estudos como usar criptografia para projetar poderoso software malicioso . O campo nasceu com a observação de que a criptografia de chave pública pode ser usada para quebrar a simetria entre o que um analista de antivírus vê em relação ao malware e o que o invasor vê. O analista de antivírus vê uma chave pública contida no malware, enquanto o invasor vê a chave pública contida no malware, bem como a chave privada correspondente (fora do malware), uma vez que o invasor criou o par de chaves para o ataque. A chave pública permite que o malware execute operações de alçapão unilateral no computador da vítima que apenas o invasor pode desfazer.
Visão geral
O campo abrange ataques secretos de malware nos quais o invasor rouba com segurança informações privadas, como chaves simétricas, chaves privadas, estado PRNG e dados da vítima. Exemplos de tais ataques secretos são backdoors assimétricos . Uma porta dos fundos assimétrica é uma porta dos fundos ( por exemplo , em um criptossistema ) que pode ser usada apenas pelo invasor, mesmo depois de ser encontrado. Isso contrasta com a porta dos fundos tradicional que é simétrica, ou seja , qualquer pessoa que a encontre pode usá-la. Cleptografia , um subcampo da criptovirologia, é o estudo de backdoors assimétricos em algoritmos de geração de chaves, algoritmos de assinatura digital, trocas de chaves, geradores de números pseudo-aleatórios, algoritmos de criptografia e outros algoritmos criptográficos. O gerador de bits aleatórios NIST Dual EC DRBG possui uma porta traseira assimétrica. O algoritmo EC-DRBG utiliza o cleptograma de log discreto da cleptografia, que por definição torna o EC-DRBG um criptotrojan. Como o ransomware, o cryptotrojan EC-DRBG contém e usa a chave pública do invasor para atacar o sistema host. O criptógrafo Ari Juels indicou que a NSA orquestrou efetivamente um ataque cleptográfico aos usuários do algoritmo de geração de número pseudo-aleatório Dual EC DRBG e que, embora profissionais de segurança e desenvolvedores tenham testado e implementado ataques cleptográficos desde 1996, "você teria dificuldade em encontrar um em uso até agora. " Devido ao clamor público sobre este ataque de criptovirologia, o NIST rescindiu o algoritmo EC-DRBG do padrão NIST SP 800-90.
Ataques secretos de vazamento de informações realizados por criptovírus, criptotrojans e cripto-vermes que, por definição, contêm e usam a chave pública do invasor é um tema importante na criptovirologia. Na "captura de senha negável", um criptovírus instala um criptotrojan que criptografa assimetricamente os dados do host e os transmite secretamente. Isso o torna disponível para todos, não perceptível por ninguém (exceto pelo invasor) e apenas decifrável pelo invasor. Um invasor pego instalando o cryptotrojan afirma ser uma vítima do vírus. Um invasor observado recebendo a transmissão assimétrica encoberta é um dos milhares, senão milhões de receptores, e não exibe nenhuma informação de identificação. O ataque de criptovirologia atinge "negação de ponta a ponta". É uma transmissão assimétrica encoberta dos dados da vítima. A criptovirologia também abrange o uso de recuperação privada de informação (PIR) para permitir que os criptovírus pesquisem e roubem dados do host sem revelar os dados pesquisados, mesmo quando o criptotrojão está sob vigilância constante. Por definição, esse criptovírus carrega em sua própria sequência de codificação a consulta do invasor e a lógica PIR necessária para aplicar a consulta aos sistemas host.
História
O primeiro ataque criptovirológico, inventado por Adam L. Young e Moti Yung , é chamado de "extorsão criptoviral" e foi apresentado na conferência IEEE de Segurança e Privacidade de 1996. Neste ataque, um cryptovirus, cryptoworm ou cryptotrojan contém a chave pública do atacante e criptografa híbrida os arquivos da vítima. O malware solicita que o usuário envie o texto cifrado assimétrico ao invasor, que o decifrará e retornará a chave de descriptografia simétrica que ele contém por uma taxa. A vítima precisa da chave simétrica para descriptografar os arquivos criptografados se não houver maneira de recuperar os arquivos originais (por exemplo, de backups). O artigo do IEEE de 1996 previu que os atacantes da extorsão de criptovírus um dia exigiriam dinheiro eletrônico , muito antes que o Bitcoin existisse. Muitos anos depois, a mídia renomeou a extorsão criptoviral como ransomware . Em 2016, os ataques de criptovirologia a provedores de saúde atingiram níveis epidêmicos, levando o Departamento de Saúde e Serviços Humanos dos Estados Unidos a publicar um folheto informativo sobre Ransomware e HIPAA . A ficha informativa afirma que, quando as informações de saúde protegidas eletrônicas são criptografadas por ransomware, ocorreu uma violação e, portanto, o ataque constitui uma divulgação que não é permitida pela HIPAA, com base no argumento de que um adversário assumiu o controle das informações. Os dados confidenciais podem nunca sair da organização da vítima, mas a invasão pode ter permitido que os dados fossem enviados sem serem detectados. A Califórnia promulgou uma lei que define a introdução de ransomware em um sistema de computador com a intenção de extorsão como sendo contra a lei.
Exemplos
Vírus Tremor
Embora os vírus em liberdade tenham usado criptografia no passado, o único propósito desse uso de criptografia era evitar a detecção por software antivírus . Por exemplo, o vírus tremor usava polimorfismo como técnica defensiva na tentativa de evitar a detecção por software antivírus. Embora a criptografia ajude nesses casos a aumentar a longevidade de um vírus, os recursos da criptografia não são usados na carga útil. O vírus da metade foi um dos primeiros vírus conhecidos por criptografar arquivos afetados.
Vírus Tro_Ransom.A
Um exemplo de vírus que informa o dono da máquina infectada a pagar um resgate é o vírus apelidado de Tro_Ransom.A. Este vírus pede ao proprietário da máquina infectada para enviar $ 10,99 para uma determinada conta através do Western Union .
Virus.Win32.Gpcode.ag é um criptovírus clássico. Este vírus usa parcialmente uma versão de RSA de 660 bits e criptografa arquivos com muitas extensões diferentes. Ele instrui o proprietário da máquina a enviar um e-mail com um determinado ID de correio se o proprietário desejar o descriptografador. Se contatado por e-mail, o usuário deverá pagar uma determinada quantia como resgate em troca do descriptografador.
CAPI
Foi demonstrado que usando apenas 8 chamadas diferentes para a API criptográfica da Microsoft (CAPI), um criptovírus pode satisfazer todas as suas necessidades de criptografia.
Outros usos de malware habilitado para criptografia
Além da extorsão de criptovírus, existem outros usos potenciais de criptovírus, como roubo de senha negável, criptocontadores, recuperação de informação privada e na comunicação segura entre diferentes instâncias de um criptovírus distribuído.
Referências
links externos
- Cryptovirology Labs - site mantido por Adam Young e Moti Yung
- Artigos sobre criptografia e criptovirologia em VX Heavens Arquivado em 03/02/2015 na Wayback Machine Computer virus
- O cavalo de Troia Cryzip criptografa arquivos e exige resgate
- Um vírus pode levar uma empresa a tribunal?
- Um relatório do aluno intitulado Superworms and Cryptovirology
- Próxima geração de vírus: uma visão geral (criptovírus) por Angelo PE Rosiello