Segurança Cibernética

Duas histórias reais e reveladoras sobre as moedas digitais

Avast Security News Team, 8 Março 2018

Nas últimas semanas, duas histórias levantaram pontos importantes para discussão e algumas grandes perguntas a serem feitas sobre a mineração de moedas digitais.

Na Avast, nosso trabalho é nos manter atualizados sobre os riscos de segurança que afetam os usuários de computador em todo o mundo. À medida que aumenta a popularidade das moedas digitais, além da inevitável criptomineração que a acompanha, essa é uma área que nos comprometemos a monitorar atentamente. Aqui estão duas histórias que chamaram a nossa atenção.

Milhares de sites atingidos por um plugin contaminado com criptominerador

Muitos sites governamentais oficiais, incluindo o do Estado de Indiana, Tribunais dos EUA, além do Serviço de Saúde Nacional do Reino Unido, departamentos do governo da Austrália e muitos, muitos outros, estavam minerando a criptomoeda Monero, sem que os usuários soubessem, através de um malware.

No entanto, não havia um site específico comprometido: em vez disso, era um plugin do navegador chamado de Browsealoud que foi invadido para permitir que o minerador Coinhive sequestrasse a CPU do usuário para minerar criptomoeda sem o consentimento ou a permissão do usuário.

O pesquisador de segurança Scott Helme descobriu o plugin comprometido, mas como isso aconteceu? O que sabemos: o script legítimo foi invadido no servidor da Amazon, onde está hospedado e integra parte da cadeia de suprimentos de código e tecnologias que vêm junto com seu navegador. O que não sabemos é como o cibercriminoso acessou o código, nem quem ele é.

A Browsealoud agiu rapidamente para retirar o código infectado e substituí-lo por uma versão mais segura do plugin. Mas o efeito cascata fez com que muitos sites afetados tivessem que ser retirados do ar, enquanto os seus administradores verificavam a integridade do seu conteúdo e da sua tecnologia.

Embora essa vulnerabilidade específica tenha sido corrigida rapidamente, ela aponta para uma preocupação maior: de que scripts e plugins implantados “off the shelf”, desenvolvidos por terceiros e hospedados em infraestrutura de nuvem pública, como a da Amazon (AWS), poderiam ser sequestrados da mesma forma no futuro, para espalhar malwares muito mais prejudiciais.

Em uma publicação do seu blog sobre essa vulnerabilidade, o pesquisador de segurança Troy Hunt oferece duas técnicas importantes de mitigação. A primeira técnica de mitigação é o SRI, ou Sub Resource Integrity (integridade de sub-recurso), que significa que os sites podem verificar a segurança de scripts de terceiros dos quais eles dependem, verificando o hash do script hospedado em relação ao hash do código verificado. Se os hashes não forem iguais, o script não será executado e o usuário estará seguro.

A segunda técnica é o CSP, ou Content Security Policy (política de segurança de conteúdo). Como Helme descreve, essa política define quais recursos o navegador pode carregar, através de uma lista branca de conteúdo seguro conhecido. O que não for reconhecido, não será carregado.

Parece ótimo, certo? Bem, depende. Como Martin Hron, pesquisador do Laboratório de Ameaças da Avast, aponta, “muitos autores e provedores de conteúdo estão acostumados a fazer as coisas “do jeito antigo” e, às vezes, nem mesmo conhecem essas opções”.

“Definitivamente, eu recomendaria a utilização de recursos como CSP ou SRI”, Hron prossegue. Mas ele foi rápido em apontar que essa é a “troca entre o conforto e a facilidade de implantação com a manutenção segura do site”, o que significa que, às vezes, as pessoas optam pela opção mais fácil em vez da mais segura.

E, usar a técnica SRI significa que sempre que o proprietário de um plugin atualizar o seu código, o novo hash precisa ser enviado aos navegadores. Como Hron aponta, “sempre que você usa um script de terceiros, você precisa pensar como é a sua confiança nessa fonte”.

Enquanto os proprietários dos sites se recuperam da vulnerabilidade Browsealoud, é importante que iniciemos uma conversa crucial sobre confiança e especificamente sobre como e onde os trechos de código que compõem a cadeia de suprimentos de software são desenvolvidos, hospedados e implantados.

A Salon oferece uma escolha aos leitores: ver os anúncios ou executar um criptominerador

Criptominadores não são necessariamente malwares, como os visitantes no site Salon.com descobriram. Às vezes, eles são deliberadamente implantados em sites.

Embora na história anterior, o Coinhive tivesse sido injetado de maneira secreta e mal-intencionada no plugin Browsealoud, o Coinhive serve, na verdade, como uma maneira de ganhar dinheiro dos visitantes que bloqueiam os anúncios.

Claro, há muitos bons motivos para bloquear anúncios: mitigar o risco de malware ser injetado através de redes de propaganda comprometidas, reduzir a distração visual em um site, impedir que o site fique lento devido ao carregamento de conteúdo e scripts de publicidade de terceiros e reduzir o número de scripts que rastreiam atividades do usuário e invadem a sua privacidade.

No entanto, anúncios são vitais para as finanças dos editores. Por isso, à medida que os usuários encontram bloqueadores de anúncios mais ferozes e eficientes que desativam pop-ups, sons e alertas incansáveis que ficam entre eles e o conteúdo que desejam ler, não é nenhuma surpresa que os editores estejam procurando simultaneamente por novas maneiras de monetizar seus sites. Uma dessas maneiras é oferecer uma opção aos leitores: ver os anúncios ou bloqueá-los e, em vez disso, executar o Coinhive durante sua visita ao site.

A Salon enfrentou críticas dos usuário pela maneira menos que transparente que ela posicionou a última escolha. Os visitantes com bloqueadores de anúncios ativados foram confrontados com um pop-up que timidamente oferecia o seguinte: “Bloqueie anúncios permitindo que a Salon use o poder não utilizado do seu computador”.

Os críticos foram rápidos em apontar que há mais do que simplesmente permitir que a Salon “use o poder não utilizado do seu computador”. David Gerard, autor de um livro sobre a tecnologia de blockchain, tweetou que a Salon estava contando uma “mentira deslavada sobre como os computadores funcionam”.

O motivo de a Salon explorar essa rota é compreensível: como os editores caçam anúncios e receitas para tentar encontrar maneiras de monetizar o seu conteúdo, o bloqueio de anúncios é um enorme problema. O conteúdo, afinal de contas, custa caro para ser produzido.

Aqui está a grande questão: em troca do bloqueio de anúncios, você deveria permitir que a Salon (ou qualquer outro site) executasse um criptominerador enquanto você estivesse navegando em seu conteúdo? Martin Hron do Laboratório de Ameaças da Avast diz que essa é a “faca de dois gumes” do mundo dos anúncios/monetização.

“Se o site estiver solicitando permissão para escolher entre a opção anúncios e criptomineração em troca de conteúdo gratuito e essa solicitação for transparente, idealmente com um prazo de validade limitada para tal permissão, então acho que seja seguro e, do meu ponto de vista, uma maneira honesta de fazer isso”, diz Hron.

Concluindo, a decisão é sua. Mas você deve saber: executar um criptominerador, mesmo com seu conhecimento, utilizará sua CPU e deixará seu computador mais lento. A Salon reconhece isso de maneira não transparente, dizendo que “sua ventoinha poderá ser ativada pelo mesmo motivo que seu computador a ativa ao fazer qualquer tarefa intensiva”, como jogar um jogo de computador ou assistir a vídeo de tela cheia”.

A Salon pode ser um dos primeiros sites a entrar nesse caminho para monetizar o seu conteúdo, mas não será o último. Outros editores observarão atentamente o resultado desse experimento.