Hackers Instalam um Backdoor na Biblioteca de Verificação de Força de Senha Ruby
Os medidores de força de senha foram criados pelas melhores razões. A ideia deles é alertar as pessoas sobre o perigo de senhas fracas e incentivá-las a proteger melhor seus dados. Infelizmente, eles não são perfeitos.
Em essência, um medidor de força de senha é uma coleção de códigos de computador e, por mais inteligente que seja, nunca pode levar em consideração todos os fatores que determinam a força de uma senha. O fato de os contadores de força de senha consistirem em comandos do computador cria outro problema - se o código for adulterado, os contadores poderão se tornar perigosos. Na semana passada, o desenvolvedor argentino Tute Costa nos mostrou quão real esse cenário poderia ser.
Índice
Uma Auditoria de Segurança Regular Revela uma Biblioteca Ruby Seqüestrada
Sendo um desenvolvedor diligente, Costa estava no meio da auditoria de um aplicativo Ruby em que estava trabalhando. Recentemente, ele havia aplicado algumas atualizações e queria confirmar que tudo estava funcionando conforme o esperado.
Isso significava passar por alguns changelogs e varrer centenas de linhas de código. Eventualmente, ele acabou analisando strong_password - uma biblioteca Ruby projetada para verificar a força das senhas dos usuários. Ele ficou imediatamente intrigado.
O strong_password estava disponível no RubyGems, o repositório oficial das bibliotecas Ruby e no GitHub, mas as versões eram diferentes. O GitHub sugeriu que não havia atualizações por mais de seis meses, mas a versão no RubyGems (0.0.7) não tinha mais do que alguns dias. O Costa não conseguiu encontrar nenhum changelogs ou outra documentação oficial, o que significava que a única maneira de proceder era baixar o código do GitHub e compará-lo com o que o RubyGems estava hospedando.
As duas bibliotecas eram idênticas, exceto por algumas linhas de código que extraíam e executavam alguns comandos do Pastebin. Costa estava desconfiado e decidiu entrar em contato com Brian McManus, desenvolvedor do strong_password, para ver o que ele diria. A resposta veio quinze minutos depois, e confirmou os piores temores de Costa - McManus de alguma forma perdeu o controle da biblioteca, e a versão 0.0.7 era desonesta.
Um Backdoor Usou Cookies para Permitir a Execução do Código
A versão maliciosa do strong_password primeiro verifica o ambiente em que está sendo executado. Se o aplicativo ainda estiver na fase de teste, não faria nada. Se estiver em produção, no entanto, acionaria a cadeia de infecção que eventualmente permitiria a execução remota de código.
A biblioteca backdoored verifica o URL do site ou aplicativo da web e o envia para smiley.zzz.com [.] Ua. Em seguida, aguarda instruções que vêm na forma de arquivos de cookies. O código malicioso foi projetado para descompactar e executar o que estiver no cookie, o que significa que as portas do criminoso que seqüestrou a biblioteca strong_password estavam abertas. Felizmente, eles não são mais.
A Biblioteca Maliciosa foi Colocada Offline Rapidamente
O strong_password backdoored foi publicado em 25 de junho e Tute Costa descobriu em 28 de junho. Logo após receber uma confirmação de que a atualização é maliciosa, ele entrou em contato com Rafael França, coordenador de segurança de Ruby, e em menos de meia hora, a biblioteca foi colocado offline. Brian McManus parece estar de volta ao controle e a versão 0.0.8 deve ser segura de usar. O repositório Pastebin que iniciou a cadeia de infecção também está inoperante agora, o que significa que o backdoor está bem e verdadeiramente fechado.
Embora a biblioteca maliciosa permaneça on-line por não mais do que alguns dias, ainda assim conseguiu acumular uma contagem de downloads de 537, no entanto, o que mostra como a rapidez com que softwares maliciosos podem afetar usuários desavisados.
