Os Riscos Reais do BYOD

Em Outubro estive em Atlanta participando do Hacker Halted 2014 e minha palestra (ver mais detalhes aqui) foi justamente sobre BYOD (Bring Your Own Device). Sem dúvida este é um tema importante, pois não há como escapar da consumerização de dispositivos móveis e com isso a natural demanda para uso destes dispositivos na rede empresarial. Porém, a adoçao de dispositivos de usuários para acesso a dados corporativos deve ser planejada com bastante cautela. Em um artigo que escrevi para a ISSA Fort Worth Chapter e publicado na ISSA Journal de Março deste ano (você pode fazer o download do artigo aqui), proponho antes de mais nada um desenho de uma solução neutra de fabricante, onde todas considerações de segurança sejam levantadas e somente depois do desenho completo é que se deve fazer a reunião com os fabricantes que iram endereçar as necessidades da empresa.

Porém, este arigo tem como intuito lhe guiar para um cenário real, que aconteceu comigo e expõe a fragilidade do uso de dispositivos pessoais para negócio caso não exista um planejamento e um conjunto de tecnologias que dê suporte ao BYOD. A seguir vou descrever em detalhe tudo que ocorreu.

Era Apenas um Simples E-Mail

Já estou bastante acostumado a receber e-mails falsos, uma grande parte vai direto para o lixo eletrônico, outra passa, mas com simples cuidados vejo que é um phishing email e deleto. Na grande maioria das vezes chego a debugar em um ambiente isolado para ver o que está ocorrendo e documento estas ações no meu blog. Seguem alguns exemplos:

Com esse fiz a mesma coisa, o email tinha o seguinte conteúdo:

image

Note que imediatamente já da para saber que é falso, pois um banco como o Itaú não terá como remetente de um e-mail com esse uma conta que não seja do seu próprio domínio. Ao passar o ponteiro do mouse sobre o link que o e-mail sugere aparece o seguinte destino:

image

Mais uma prova que o e-mail era falso, pois estava apontando para outro site e não o do Itaú. Ao tentar acessar o site fui direcionado para a seguinte página:

image

Note que agora já estou em outro site (ver barra de endereço) e sem o tradicional cadeado do HTTPS, pois afinal neste caso está trafegando tudo via HTTP. Porém o mais intrigante não foi isso, ao verificar os logs do meu Firewall vi a seguinte sequencia:

image

Note que este servidor fornece o HTTP 302, que por natureza faz um redirect para uma outra localização, e no log seguinte de fato apareceu para onde a requisição foi:

image

Chegando neste novo destino (que por sinal está na Russia) ele tenta executar um arquivo chamado Function.php. Este era um artigo que fazia chamadas Java ao invés de executar no Browser, resolvi usar o WGET para baixar o arquivo. Ao tentar baixar este arquivo, ele foi buscar um outro arquivo (veja novamente outro HTTP 302), agora na Ucrania conforme mostra abaixo:

image

A razão pela qual digo que foi na Ucrania é devido a este domínio final ser de lá e ao abrir o Index.html o que vejo é a seguinte chamada:

image

Como você deve saber, um arquivo APK é um arquivo de um pacote do Android, ou seja, este programa (seja o que ele vai fazer foi criado com intuito de explorar um dispositivo com Android). Usei um Android que tenho instalado em um Hyper-V para fazer a instalação do aplicativo e recebi as seguintes mensagens:

image

Nota: essa mensagem também pode aparecer pelo fato desta app não está sendo distribuida via Google Store, ou seja, estou instalando ela por fora do método normal.

A instalação com as configurações padrões do Android já me alertava do risco, porém, como queria testar troquei as configurações e continuei a instalação:

image

Note que esta App precisa de acesso a tudo isso, ou seja, um usuário desinformado que apenas quer de alguma forma usar a app poderá simplesmente dizer sim nesta tela. Ao instalar recebi a seguinte mensagem:

image

Mais uma vez fui alertado do perigo e resolvi continuar, a app não funcionou mas isso ocorreu devido ao fato de que não havia os outros arquivos (previamente instalados – que no meu caso foram instalados na máquina com Windows 7) no mesmo host.

Conclusão

Ao passo que nada ocorreu no final (pois fiz testes em hosts separados e buscando arquivos individuais) é possível concluir que o intuito do e-mail era fazer com que usuários de dispositivos móveis, clicassem no link e com isso fazer com que a app fosse instalada no sistema. Sem saber o código da app não da para dizer ao certo o que seria realizado, mas as hipoteses mais comuns são:

  • Roubo de credentiais (devido ao fato de que a página do Itaú era fake e iria capturar seus dados)
  • Transformar o dispositivo móvel em um bot agent. Isso ficou claro para mim quando no arquivo index.html a chamada para o APK era feito e o id da chamada era “bots”

Este é o típico cenário que um usuário com seu dispositivo pessoal poderia comprometer não só suas informações pessoais, mas também da empresa devido a falta de políticas de segurança que resguarde a empresa em cenários de BYOD.

Caso você foi uma vítima de golpe online, leia este artigo para saber como proceder. Você também pode ver a lista de contatos disponíveis neste artigo para saber como denuciar este tipo de fraude online.

This entry was posted in BYOD, E-Mail Malicioso, Phishing, segurança. Bookmark the permalink.

7 Responses to Os Riscos Reais do BYOD

  1. Yuri, até que ponto o software de gerencimento BYOD pode ajudar uma empresa para que um usuário leigo não consiga excutar tal malware ?

    Ah e parabéns por mais um post! ” vlw mah”😛

    • Olá Gustavo, obrigado.

      Como o software de gereciamento (MDM) vai ajudar depende da empresa e o quão restrito sera as políticas de BYOD. Um exemplo seria o hardening do dispositivo para apenas executar as aplicações aprovadas pela empresa. Aí você pergunta, mas este é meu dispositivo e quero executar o que quiser! Tudo bem, mas algumas empresas vão ter políticas de BYOD que vão dizer: você pode trazer seu dispositivo, mas a partir do momento que registrar no nosso programa, terá que concordar com nossoas políticas. Por isso digo: depende. E por isso em todas minhas palestras acerca do assunto digo que não há uma solução “One Size Fits All”, tudo vai depender dos requisitos do negócio e de como a empresa que abraçar o BYOD.

      Espero que tenha ajudado a esclarecer.

      • Compreendi! Não estava me atentando para o fato do software ter autonomia sobre o aparelho do usuário no momento que ele se conecta a rede corporativa. Yuri, você poderia informar quais os software que o mercado americano está trabalhando. Pelo que ando conversando com uns amigos aqui em Fortaleza, o gerencimento de BYOD parece que ainda não existe.

  2. Olá Gustavo,

    Apesar de não estarmos (Microsoft) ainda no quadrante mágico de gerenciamento de dispositivos móveis, isso deve mudar em 2015 com o Enterprise Mobility Suite. No momento os produtos que fazem parte do quadrante são os listados no artigo abaixo:
    http://www.gartner.com/technology/reprints.do?id=1-1UWW5XX&ct=140603&st=sb

  3. Pingback: Mais uma tentativa de golpe via e-mail | Yuri Diogenes

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s