Ouvi dizer que os hackers podem fazer o download do software malicioso, informando que eles são uma atualização do sistema operacional por meio do Windows Update. É verdade? Se sim, como posso me proteger?
Ouvi dizer que os hackers podem fazer o download do software malicioso, informando que eles são uma atualização do sistema operacional por meio do Windows Update. É verdade? Se sim, como posso me proteger?
Respostas:
É quase impossível para um hacker comum enviar algo pelo sistema Windows Update.
O que você ouviu é diferente. É um spyware que parece o Windows Update e pede para você instalá-lo. Se você clicar em instalar, um prompt do UAC será exibido solicitando privilégios administrativos. Se você aceitar, pode instalar spyware. Observe que o Windows Update NUNCA exigirá que você passe no teste de elevação do UAC. Isso não é necessário, pois o serviço Windows Update é executado como SYSTEM, que possui os privilégios mais altos. O único prompt que você receberá durante as instalações do Windows Update é aprovar um contrato de licença.
EDIT: fez alterações no post porque o governo pode conseguir isso, mas duvido que como cidadão normal, você possa se proteger contra o governo de qualquer maneira.
Sim, é verdade.
O malware Flame atacou o usuário por falha no processo de atualização do Windows. Seus criadores encontraram uma brecha na segurança do sistema de atualização do Windows que permitia que eles enganassem as vítimas e pensassem que seu patch contém malware é uma atualização autêntica do Windows.
O que os alvos do malware poderiam fazer para se defender? Não muito. Chama passou anos sem ser detectada.
No entanto, a Microsoft agora corrigiu a falha de segurança que permitia ao Flame se esconder como uma atualização do Windows. Isso significa que os hackers precisam encontrar uma nova brecha na segurança, subornar a Microsoft para que eles possam assinar atualizações ou simplesmente roubar a chave de assinatura da microsoft.
Além disso, um invasor deve estar em uma posição na rede para executar um ataque man-in-the-middle.
Na prática, isso significa que é apenas uma questão com a qual você deve se preocupar se pensar em se defender de atacantes de estados-nação como a NSA.
Sempre use o painel de controle do Windows Update para atualizar o software do Windows. Nunca clique em sites em que não possa confiar totalmente.
Muitas das respostas apontaram corretamente que uma falha no processo de atualização do Windows foi usada pelo Flame Malware, mas alguns dos detalhes importantes foram generalizados.
Esta postagem em um technet da Microsoft 'Blog de pesquisa e defesa de segurança' intitulada: Ataque de colisão de malware de chama explicado
... por padrão, o certificado do invasor não funcionaria no Windows Vista ou em versões mais recentes do Windows. Eles tiveram que realizar um ataque de colisão para forjar um certificado que seria válido para assinatura de código no Windows Vista ou em versões mais recentes do Windows. Em sistemas anteriores ao Windows Vista, é possível um ataque sem uma colisão de hash MD5.
"MD5 Collision Attack" = Magia criptográfica altamente técnica - que certamente não pretendo entender.
Quando o Flame foi descoberto e divulgado publicamente pela Kaspersky em 28 de maio de 2012, os pesquisadores descobriram que ele estava operando em estado selvagem desde pelo menos março de 2010 com a base de código em desenvolvimento desde 2007. Embora o Flame tivesse vários outros vetores de infecção, o resultado final é: que essa vulnerabilidade existe por vários anos antes de ser descoberta e corrigida.
Mas o Flame era uma operação no nível "Nation State" e, como já foi mencionado - há muito pouco que um usuário comum pode fazer para se proteger de agências de três cartas.
O Evilgrade é uma estrutura modular que permite ao usuário tirar proveito de implementações ruins de atualização injetando atualizações falsas. Ele vem com binários pré-fabricados (agentes), uma configuração padrão funcional para pentests rápidos, e possui seus próprios módulos WebServer e DNSServer. Fácil de configurar novas configurações e possui uma configuração automática quando novos agentes binários são definidos.
O projeto está hospedado no Github . É gratuito e de código aberto.
Para citar o uso pretendido:
Essa estrutura entra em jogo quando o invasor é capaz de fazer redirecionamentos de nome de host (manipulação do tráfego de DNS da vítima) ...
Tradução: potencialmente alguém na mesma rede (LAN) que você ou alguém que possa manipular seu DNS ... ainda usando o nome de usuário padrão e transmitir seu roteador linksys ...?
Atualmente possui 63 "módulos" diferentes ou possíveis atualizações de software que ataca, com nomes como itunes, vmware, virtualbox, skype, bloco de notas ++, ccleaner, Teamviewer, etc. etc. Devo acrescentar que todas essas vulns foram corrigidas por seus respectivos fornecedores e nenhum é para versões "atuais", mas ei - que faz atualizações de qualquer maneira ...
Demonstração neste vídeo