centro de instruÇÃo de guerra eletrÔnicabdex.eb.mil.br/jspui/bitstream/1/936/1/tcc cap...
TRANSCRIPT
1
CENTRO DE INSTRUÇÃO DE GUERRA ELETRÔNICA
Cap Com ELIEZER DE SOUZA BATISTA JUNIOR
USO DE VÍRUS DESENVOLVIDO NO SOFTWARE MSFVENOM
CONTRA SISTEMAS OPERACIONAIS ANDROID COM UTILIZAÇÃO DE
MENSAGENS SMS.
Brasília – DF2016
2
Cap Com ELIEZER DE SOUZA BATISTA JUNIOR
USO DE VÍRUS DESENVOLVIDO NO SOFTWARE MSFVENOM
CONTRA SISTEMAS OPERACIONAIS ANDROID COM UTILIZAÇÃO DE
MENSAGENS SMS.
Trabalho de Conclusão de Cursoapresentado ao Centro de Instruçãode Guerra Eletrônica, como requisitoparcial para a obtenção do Grau dePós-graduação em GuerraCibernética.
Orientador: 2º Sgt Márcio Antônio Lawisch
Brasília - DF2016
3
Cap Com ELIEZER DE SOUZA BATISTA JUNIOR
USO DE VÍRUS DESENVOLVIDO NO SOFTWARE METASPOITABLE
CONTRA SISTEMAS OPERACIONAIS ANDROID COM UTILIZAÇÃO DE
MENSAGENS SMS.
Trabalho de Conclusão de Cursoapresentado ao Centro de Instruçãode Guerra Eletrônica, como requisitoparcial para a obtenção do Grau dePós-graduação em Segurança daInformação.
Aprovado em: _____/_____/_______
COMISSÃO DE AVALIAÇÃO
_________________________________________________Saulo ASSAD Pereira- Maj
Presidente
_________________________________________________Felipe Rodrigues VASCONCELLOS - Cap
1º Membro
_________________________________________________MÁRCIO Antônio Lawisch - 2º Sgt
2º Membro - Orientador
4
AGRADECIMENTOS
A Deus por me proporcionar saúde e condições para realizar este curso.
Ao meu orientador meus sinceros agradecimentos pela orientação firme
e objetiva na realização deste trabalho. A todos os professores que tiveram
participação direta ou indireta na produção deste trabalho.
Ao meu comandante de Batalhão, TC Morais, por proporcionar a
oportunidade de realizar este curso, mesmo com todas as demandas que
existem no Batalhão de Guerra Eletrônica.
Aos meus pais, Eliezer de Souza Batista e Aparecida Maria Arcaro
Batista, pelo amor com que me conceberam e educaram, pelas inúmeras horas
que velaram meu sono, e pelas palavras de incentivo a cada tropeço de minha
jornada, minha eterna gratidão.
A minha esposa pela compreensão apoio e companheirismo nos
momentos em que este trabalho foi priorizado. E principalmente a sua
abnegação de ter largado tudo de sua vida para me acompanhar.
A todos aqueles que direta ou indiretamente colaboraram para este
projeto fosse concluído.
5
“Tecnology is not an issue, it´s howwe put it together”. (Gen Koengisber,NATO Allied ComandTransformation)
6
USO DE VÍRUS DESENVOLVIDO NO SOFTWARE MSFVENOM
CONTRA SISTEMAS OPERACIONAIS ANDROID COM UTILIZAÇÃO DE
MENSAGENS SMS.
Eliezer de Souza Batista Junior1, Márcio2
Resumo: A Era da Informação impôs corrida sobre informações do campo de
batalha, fazendo com que os centros de comando e controle tenham que
proteger a sua informação e atacar as informações do oponente. No cenário
atual, a mídia informa vários eventos de agências de inteligência contra
meliantes que utilizam dispositivos móveis que possuam segurança
embarcada. Os provedores não oferecem às agências possibilidade de retirar
os dados destes aparelhos. Desta forma, este trabalho busca retirar e produzir
dados de um dispositivo móvel, verificando os impactos dos mecanismos de
segurança adotados por estes aparelhos. Para tal, foram utilizadas mensagens
SMS com intuito de induzir o atacado ao erro de fazer o download do vírus. Os
resultados indicam que é possível realizar a infecção de sistemas operacionais
Android utilizando a ferramenta Msfvenom do sistema operacional Kali Linux,
obtendo e produzindo informações relevantes em um cenário de operações
militares. Os resultados indicam também que há impactos de acesso, caso o
atacado esteja utilizando mecanismos de segurança, principalmente antivírus.
PALAVRAS-CHAVE: Sistema operacional Android, sistema operacional Kali
Linux, mensagens SMS, Msfvenom, antivírus, Companhia de Cibernética do 1º
BGE.
1 Mestrado em Sistemas Táticos de enlace de dados – Escola de Aperfeiçoamento de Oficiais, Pós-graduado em Guerra Eletrônica – Centro de
Instrução de Guerra Eletrônica e Bacharel em Sistemas de Informações – Faculdade Porto Velho;
2.
7
RESUMEN
Resumo: La Edad de la Información ha impuesto carrera para lograrse
información en el campo de batalla, haciendo que los centros de mando y
control tengan que proteger su información y atacar a la información del
oponente. En el escenario actual, los medios de comunicación informan
muchos eventos de agencias de inteligencia contra malhechores que usan
dispositivos móviles con seguridad incorporado. Los proveedores de
comunicación no ofrecen posibilidad de quitar los datos de estos dispositivos.
Así, ese trabajo pretende sacar y producir datos de un dispositivo móvil,
verificando los impactos de los mecanismos de seguridad adoptados por estos
aparatos. Para lograrse eso, se usaron mensajes SMS con el fin de inducir el
atacado al error de descargar el virus. Los resultados indican que es posible la
infección de sistemas operativos Android usando la herramienta Msfvenom del
sistema operativo Kali Linux, obteniendo y produciendo informaciones en un
escenario de operaciones militares. Los resultados también muestran que hay
impactos en el caso del atacado esté usando mecanismos de seguridad,
especialmente antivirus.
PALAVRAS-CLAVES: Sistema operativo Android, sistema operativo Kali Linux,
mensaje SMS, Msfvenom, antivirus, Companía de Cibernética del 1º Batallón
de Guerra Electrónica.
8
LISTA DE TABELAS
9
LISTA DE FIGURAS
10
LISTA DE ABREVIATURAS E SIGLAS
1º BGE............................. 1º Batalhão de Guerra EletrônicaCia G Ciber...................... Companhia de Guerra CibernéticaPx..................................... PixelsTIC...................................
Tecnologia da Informação e Comunicação
11
Sumário
INTRODUÇÃO....................................................................................................13
O PROBLEMA...............................................................................................15
OBJETIVOS..................................................................................................16
Objetivo Geral...........................................................................................16
Objetivos específicos..............................................................................16
HIPÓTESES..................................................................................................17
JUSTIFICATIVAS..........................................................................................17
REVISÃO DA LITERATURA.............................................................................19
SUPERIORIDADE DAS INFORMAÇÕES....................................................19
Operações de informação.......................................................................21
Guerra Cibernética...................................................................................22
Conclusão parcial....................................................................................22
O 1º BGE........................................................................................................23
A companhia de cibernética do 1º BGE.................................................23
Conclusão parcial....................................................................................25
TIPOS DE AÇÕES CIBERNÉTICAS.............................................................25
Ataque cibernético...................................................................................25
Exploração cibernética............................................................................26
Proteção cibernética................................................................................27
Conclusão parcial....................................................................................27
DISPOSITIVOS MÓVEIS..............................................................................27
Conclusão Parcial....................................................................................28
SISTEMA OPERACIONAL ANDROID..........................................................28
Arquitetura Android.................................................................................29
Segurança do sistema operacional Android.........................................30
Softwares antivírus.................................................................................31
Vetores de ataque do sistema Android.................................................33
Conclusão Parcial....................................................................................34
METODOLOGIA.................................................................................................35
OBJETO FORMAL DE ESTUDO..................................................................35
1.DELINEAMENTO DE PESQUISA..............................................................38
Procedimentos para a revisão da literatura..........................................38
12
Instrumentos ............................................................................................40
Resultado de infecção...........................................................................40
Resultado de utilização de recursos......................................................40
Resultado de manter a conexão por backdoors....................................40
CUSTOS.......................................................................................................40
RESULTADOS ESPERADOS.......................................................................40
APRESENTAÇÃO DOS RESULTADOS...........................................................41
2.O PRIMEIRO TESTE: INFECÇÃO.............................................................41
Desenvolvimento e armazenamento do vírus.......................................41
Envio do SMS...........................................................................................43
O lado atacado..........................................................................................44
O lado atacante.........................................................................................45
3.O SEGUNDO TESTE: VERSÕES COMPATÍVEIS....................................47
4.RESULTADOS 1........................................................................................47
5.O TERCEIRO TESTE................................................................................48
Msfvenom -e..............................................................................................48
Alteração do código-fonte.......................................................................49
6.RESULTADOS 2........................................................................................52
DISCUSSÃO DOS RESULTADOS....................................................................55
CONCLUSÃO.....................................................................................................57
BIBLIOGRAFIA..................................................................................................59
13
INTRODUÇÃO
A Idade contemporânea foi caracterizada pelo o início da Revolução Francesa
(1789), levando a sociedade a um comportamento baseado no desenvolvimento
industrial voltados ao consumismo implantado pelo regime capitalista (resumo escolar).
Segundo a definição de idade utilizada pelo site conceito.de, “era é um período
histórico de grande extensão que se caracteriza por apresentar formas de vidas e culturas
bastante diferentes do período anterior”.
O que se vê nos atuais dias é que a sociedade se modificou em relação à uma
dada sociedade que esteve presente nos anos das grandes Guerras Mundiais, revolução
francesa e outros grandes eventos para a sociedade. Antes, as notícias demoravam muito
para chegar aos destinatários. Hoje, em um simples click de um computador, pessoas se
comunicam através de redes sociais, e-mails ou outros procedimentos computacionais.
Dessa forma, muitos autores entendem que a sociedade não está mais na Era
Contemporânea, mas sim na Era da Informação (ou Era Digital).
Almeida, caracteriza a era da informação do seguinte modo:
A Era da informação: é um período histórico em que as sociedades humanasdesenvolvem as suas atividades num paradigma tecnológico constituído combase nas tecnologias da informação e do conhecimento. O estudo dasinterações entre tecnologia e sociedade é mais importante do que nunca, dadoque estamos no meio de uma revolução tecnológica que está ligada a umarevolução cultural, organizacional, social e política no sentido mais profundoda palavra "revolução". Esta não é uma revolução no sentido de poder econtrole do Estado, mas uma revolução na nossa maneira de pensar, viver eagir. (ALMEIDA, 2012)
Conforme dito por Almeida, há transformação em todos os ramos da sociedade,
inclusive a militar. Assim, as Forças Armadas necessitam de enfrentar as ameaças que
ora se emergem neste contexto novo.
Com o passar dos tempos, as guerras necessitaram de tecnologias diferenciadas.
Era necessário ter conjuntos de meios que permitissem ao comando os melhores modos
de desencadear a forma de combater. Para que isso fosse possível, havia a necessidade
de desenvolver equipamentos com grande poder de processamento de dados para
análise e, posteriormente, transformá-los em linhas de ação. Todo este procedimento
influencia na tomada de decisão por parte dos comandantes. A tomada de decisão
baseada em grande gama de dados transformou a face das guerras, modificando o
14
comportamento dos stakeholders3. Com estas modificações, surgiu a Guerra de
Informações (InformationWarfare).
Juntamente com a Guerra de Informações, surgiu a maior necessidade de
transmissão de dados no campo de batalha e a sua consequente difusão rápida, segura e
oportuna aos diversos usuários. As telecomunicações tiveram que se adequar às novas
demandas. Larguras de bandas aumentadas e processos mais seguros foram
incrementados aos sistemas. Redes de grandes extensões e em tempo real puderam
colaborar com os sistemas de informações de forças armadas do mundo inteiro. Desta
forma, quem estiver com a maior gama de informações relevantes, oportunas e precisas
e negar essas mesmas capacidades ao seu oponente terá uma grande vantagem
operacional, denominada de Superioridade das Informações (Alberts, 2005).
Nota-se que a superioridades das informações pode ser conquistada através de
fontes de inteligências, sejam essas pessoal, sinais ou imagens. Entretanto, segunda a
nova revisão do manual de inteligência do Exército Brasileiro, há uma preocupação
grande com um novo tipo de fonte: a cibernética. Essa fonte pode levar a superioridade
das informações através da exploração de dados, ataques cibernéticos e da segurança
provida aos meios próprios.
A utilização do espaço cibernético em eventos que antecederam a guerras reais
já foi utilizado por países, como a Rússia antes de atacar a Geórgia em meados de julho
de 2008. Na situação, a Rússia supostamente teria enviado vários ataques de negação de
serviço silenciando vários servidores vitais da Geórgia. Com isso, os russos receberam
menos resistência para conseguir conquistar o seu objetivo (G1.com).
Assim, a Era da Informação modificou inclusive a forma de como guerrear. O
departamento de defesa dos EUA (DoD), simplifica tal consideração da seguinte forma:
"À medida que o ciberespaço cresce e se torna mais genérica, arte militarmudou. Hoje, ninguém pode exercer ou manter o poder nacional, semsensibilidade aguda às redes digitais que sustentam as comunicações, aprosperidade e segurança mundial".
A preocupação com o setor cibernético não é restrita às grandes nações. A
Estratégia Nacional de Defesa (versão 2012) considera a cibernética como um dos três
setores estratégicos para serem evoluídos. Tal preocupação pode ser exemplificada com
o seguinte trecho:
“3. (...) As prioridades são as seguintes: (e) Desenvolver tecnologias que permitam o planejamento e a execução daDefesa Cibernética no âmbito do Ministério da Defesa e que contribuam com
3 Apesar de não haver tradução literal, a melhor tradução para stakeholders seria “partes interessadas”
15
a segurança cibernética nacional, tais como sistema modular de defesacibernética e sistema de segurança em ambientes computacionais.” (END,p.20)
Com isso, mostra-se que o setor cibernético é um grande avanço da sociedade
em relação à Era da Informação. Entretanto, também trouxe vários problemas em que
um deles é explicado no próximo tópico.
O PROBLEMA
O sistema de Cibernética do Exército Brasileiro contempla vários órgãos
militares. Um destes órgãos é a Companhia de Guerra Cibernética do 1º Batalhão de
Guerra Eletrônica do Exército Brasileiro.
A Cia G Ciber foi concebida no ano de 2015 por modificação do QCP do 1º
BGE. Pelo seu recente nascimento, existem muitas debilidades principalmente no
tocante a forma de atuação em operações militares.
Várias dessas debilidades são levantadas por meio de apoios em missões em que
a companhia não conseguiu, por qualquer que seja o motivo, cumprir missões relativas
ao campo da cibernética.
Segundo Scherer, exemplos destas situações foram vivenciadas na operação no
bairro da Maré – RJ. Em especial, foi requisitado pelo órgão de inteligência a retirada
de dados de um celular de um meliante. Infelizmente naquele momento, não foi possível
realizar a ordem solicitada por conta de não haver materiais que pudessem resolver este
problema. O relato é apenas um dos problemas que a Cia G Ciber é submetida por não
haver uma doutrina maior que mostre as missões, possibilidades e limitações desta
subunidade.
Com a Era da Informação, não somente as pessoas de bem aderiram ao novo
comportamento baseando suas comunicações em redes. Terroristas, traficantes,
contrabandistas e outros tipos de delinquentes basearam suas redes de comando e
controle em telefones móveis.
Com o incremento de segurança nas comunicações pelas prestadoras de serviços
móveis e no desenvolvimento de softwares e hardwares voltados para aparelhos móveis,
o trabalho de pessoas de inteligência ficou mais complexo.
Nos Estados Unidos da América (EUA), um dos exemplos mais recentes foi o
embate judicial do FBI4 com a empresa Apple. Nesta situação, o FBI desejava acesso
4 Federal Bureau of Investigation, ou agência federal de investigação
16
aos dados do Iphone5 de um atirador que matou 14 (quatorze) pessoas e feriu outras 22
na Califórnia. (G1, 2016)
Tal situação exemplifica a complexidade que os desenvolvedores do Iphone
deixaram o seu produto. A dicotomia entre questões de segurança de pessoas versus
privacidade dos seus dados é retratada em várias outras situações, como foi o caso
supracitado do meliante na Maré.
Pensando-se em outras possibilidades do cenário especificado para esta solução,
verificou-se que seria possível a integração de equipamentos no mercado capazes de
emular estações rádio-base de operadores de aparelhos móveis, configurando uma
situação de invasão do celular através da inserção de malware por meio deste
equipamento.
Dessa forma, este trabalho visa a estudar a viabilidade deste cenário,
respondendo as seguintes perguntas: A invasão de aparelhos Android de versão 3.0 por
meio de malware é possível? Quais os dados que podem ser explorados neste contexto?
A agência de inteligência israelense (MOSSAD) e empresas de segurança
cibernética israelenses são consideradas como estado da arte6 nos cenários de invasão de
dispositivos móveis. Estes ajudaram a Agência Americana de Inteligência (NSA) a
desbloquear dados do famoso caso Iphone. (Câmara Brasil-Israel de Comércio e
Indústria)
OBJETIVOS
Objetivo Geral
O objetivo deste trabalho é analisar a invasão de aparelhos Android de versão
3.0 por meio de malware a ser desenvolvido no software Metasploit.
Objetivos específicos
Para atingir o fim proposto no objetivo geral, será seguido os seguintes objetivos
específicos:
- Relacionar o problema apresentado com operações militares de Informação;
5 Telefone móvel desenvolvido pela empresa Apple6 Nível mais alto de desenvolvimento, seja de um aparelho, de uma técnica ou de uma área científica,alcançado em tempo definido.
17
- Estabelecer relação entre o problema apresentado com o sistema de cibernética
do Exército Brasileiro, particularmente direcionado à Companhia de Cibernética do 1º
BGE;
- Analisar o sistema operacional Android, com vias a verificar as
vulnerabilidades do sistema;
- Utilizar as possibilidades de pós-exploração, com a utilização do vírus;
- Verificar o impacto do uso de antivírus diante do ataque do vírus em sistemas
operacionais Android;
- Mostrar parte do código-fonte;
- Analisar possibilidades de passar pelo bloqueio de antivírus; e
- Explanar os resultados, mostrando as possibilidades e limitações.
HIPÓTESES
H1: É possível a extração de dados, como agenda e mensagens, em aparelhos
Android de versão 3.0 por meio de malware.
H0: O sistema operacional Android bloqueia a interação com o malware,
impossibilitando qualquer extração de dados.
JUSTIFICATIVAS
O presente estudo se justifica por mostrar formas de atuação da Companhia de
Guerra Cibernética do 1º BGE. Dessa forma, o trabalho poderá servir para as operações
futuras e, até a melhoria das formas de atuação desta subunidade em contextos que o
Exército exigirá.
Justifica-se também por conta da inovação, em termos de trabalho acadêmico, de
ser o primeiro trabalho a tentar estabelecer uma ligação entre as fontes de sinais e
cibernéticas, dentro do 1º BGE.
Além disso, a própria END na página 20 respalda o desenvolvimento deste
software ao dizer: “(d) Desenvolver sistemas computacionais de defesa baseados em
computação de alto desempenho no setor cibernético e com possibilidade dual”.
Entende-se como como “possibilidade dual”, os empregos em proteção e também em
ataque.
18
Em termos de doutrina, não existe manuais ou outras referências que façam
menção à Companhia de Guerra Cibernética. Assim, este trabalho pode ser utilizado no
futuro para confeccionar uma doutrina desta subunidade.
No campo pessoal, este autor é o atual comandante da Cia G Ciber, mostrando a
necessidade de ferramentas que são requisitadas para as operações em que a companhia
atua. Também, a formação em bacharelato em Sistemas de Informações mostrou-se
deficiente na parte de segurança da informação. Ambos argumentos se transformam em
motivação para trabalhar e estudar a fim de buscar soluções eficazes para os distintos
cenários.
19
REVISÃO DA LITERATURA
Desde os tempos antigos, há relatos da importância de se adquirir informações
para o sucesso do combate. Sun Tzu dizia: “Conheça o seu inimigo e a si mesmo e você
obterá a vitória sem qualquer perigo; conheça o terreno e as condições da natureza, e
você será sempre vitorioso”.
Atualmente, tais expressões são de senso comum entre as nações em conflito.
Essas nações procuram passar a maior gama de dados possíveis entre si para
conhecimento de suas tropas e das tropas inimigas, conquistando com isso a consciência
do que está ocorrendo no campo de batalha, ou consciência situacional.
Porém, por que estas informações são tão importantes? Até onde elas podem ser
consideradas como de suma importância? Como desenvolver conceitos de colaboração
de informações? Como proteger tais informações? Como explorar os dados do inimigo
ou das forças adversas?
Para discutir tais aspectos, abordar-se-ão as bases teóricas mais relevantes para o
presente estudo. Esta seção será dividida nos seguintes tópicos: Superioridade das
informações e Guerra Centrada em Redes.
SUPERIORIDADE DAS INFORMAÇÕES
Segundo Alberts et al (2001), o conceito de superioridade das informações é:
Um estado de desequilíbrio a favor de algum dos lados (vantagem relativa)no domínio informação que é conseguido por ser capaz de obter asinformações corretas às pessoas certas no momento certo na forma correta enegar um adversário a capacidade de fazer o mesmo. (p. 53 e 54)
O departamento de defesa dos EUA utilizam a figura a seguir para representar a
superioridade da informação.
20
FIGURA 1: Superioridade da informação e suas característicasFonte: http://www.iwar.org.uk/iwar/resources/info-superiority1999/
Segundo essa figura, há dois triângulos. O primeiro mais acima, representa as
forças amigas e o abaixo, as forças inimigas.
A maior seta indica que a superioridade da informação das forças amigas para as
forças inimigas devem atuar, indicando a capacidade de atacar informações
operacionais (information IO).
A seta menor sai do triângulo das forças inimigas e é bloqueada por um círculo
antes de chegar nas forças amigas. Isso indica a capacidade de proteção (Protection).
Dentro do maior triângulo das forças amigas há as seguintes capacidades:
colaboração, conhecimento, consciência e compartilhamento.
A colaboração faz menção a capacidade que os integrantes da força amiga tem
de inserir, excluir ou modificar informações que estejam dentro do sistema de comando
e controle7.
Dentro da colaboração, existem duas sub-capacidades: conhecimento e
consciência. O conhecimento “gera capacidade preditiva com base em interpretações
com base na experiência e conhecimentos percebidos”. A consciência “resulta na fusão
de elementos-chave da informação que caracterizam o campo de batalha”.
O compartilhamento é a capacidade de partilhar informações com os integrantes
corretos, possibilitando todos terem o nível de consciência necessário para as
respectivas formas de atuação.
7 Entende-se como comando e controle Exercício da autoridade e direção por um comandantedevidamente designado sobre as forças atribuídas no cumprimento da missão. Funções de comando econtrole são realizadas através de um arranjo de pessoal, equipamentos, comunicações, instalações eprocedimentos utilizados por um comandante no planejamento, direção e controle das forças e operaçõesno cumprimento da operação. (DoD, 2002)
21
Operações de informação
As Operações de Informação contribuem para a alcançar a superioridade das
informações, através da “atuação metodológica integrada de capacidades relacionadas à
informação, em conjunto com outros vetores, para influenciar e informar grupos e
indivíduos, bem como afetar o ciclo decisório de oponentes, ao mesmo tempo em que
protege o nosso”. (EB20-MC-10.213)
O glossário das Forças Armadas, conceitua Operações de Informações da
seguinte forma:
Ações coordenadas que concorrem para a consecução de objetivos políticos emilitares. Executadas com o propósito de influenciar um oponente real oupotencial, diminuindo sua combatividade, coesão interna e externa ecapacidade de tomada de decisão. Atuam sobre os campos cognitivo,informacional e físico da informação do oponente, e, também, sobre osprocessos e os sistemas nos quais elas trafegam, ao mesmo tempo em queprocuram proteger forças amigas e os respectivos processos e sistemas detomada de decisão. (p.183)
Com este conceito, verifica-se a ligação entre as operações de informação e a
superioridade das informações ao dizer que atuam sobre as forças inimigas ao mesmo
tempo que protegem as forças amigas.
As operações de Informação vem a nortear os procedimentos dentro do contexto
da dimensão informacional8.
Segundo Fontenele (2010), as operações de informações podem ser divididas em
vários segmentos, destacando-se: sistemas de C2, Guerra Eletrônica, Guerra
Psicológica, Guerra Econômica, Pirataria Eletrônica, Guerra Centrada em Redes,
Guerra da Inteligência, Bloqueio de informações, SIC e guerra de navegação.
FIGURA 1: Operações de InformaçõesFonte: Fontenele, 2010
8 Entende-se dimensão informacional como conjunto de indivíduos, organizações e sistemas noqual tomadores de decisão são utilizados para obter, produzir, difundir e atuar sobre a informação.(manual EB20-MC-20.213)
22
Dentro do problema apresentado, a Guerra Cibernética é o foco deste trabalho.
Guerra Cibernética
Segundo o manual EB20-MC10.213, o conceito de Guerra Cibernética é:
Domínio global dentro da dimensão informacional do ambiente operacionalque consiste em uma rede interdependente de infraestrutura de TIC9 e dedados residentes, incluindo a internet, redes de telecomunicações sistemas decomputador e processadores embarcados e controladores. (p.4-8)
A cibernética não está somente focada em redes de computadores. Há a
preocupação também com os sistemas de computador e processadores embarcados e
controladores. Computador entende-se como “máquina usada para armazenar, organizar
e buscar números, palavras e figuras, para fazer cálculos e controlar outras máquinas”
(Bonato). Assim, máquinas como celulares, tablets e palm tops podem ser consideradas
computadores.
Em apoio às operações de Informação, a Guerra Cibernética pode atuar de forma
ofensiva e defensiva.
Tais ações ajudam a aumentar o volume de informações, dentro de um cenário
de operações de informação. Essas informações serão juntadas à outras fontes e
sincronizadas por uma matriz de informações. O resultado é melhores condições de
consciência situacional para que o decisor consiga decidir mais acertadamente.
FIGURA 1: Fluxo de dados na Guerra cibernética travada nos dias atuaisFonte: http://pages.erau.edu/~andrewsa/lapietra_project3.html
Conclusão parcial
As operações de informação empregam gama de ferramentas que para atingir e
manter o estado da superioridade da informação. Uma das formas de se obter tal
capacidade é pela a utilização da Guerra Cibernética. Com isso, há capacidade de
atuação nos níveis de rede e de sistemas computacionais.
9 Acrônimo de Tecnologia da Informação e Comunicação.
23
O propósito deste trabalho atinge o compartilhamento de informações, ainda que
a nível celular. Os resultados da análise de mensagens e outras informações poderão ser
de valia dentro do sistema de comando e controle das forças amigas a nível de
inteligência, melhorando as condições de cumprimento de missões por parte das tropas
de manobra.
Dessa forma, nota-se que o problema apresentado se insere dentro do contexto
da Guerra Cibernética, pois o celular do meliante é um sistema de computador. Por estar
inserido em um cenário de operações militares, pode-se dizer que faz parte também de
Operações de Informação.
Dentro do Exército, há Organizações Militares com capacidade de trabalhar com
ataques cibernéticos. Uma dessas é a Cia de G Ciber do 1º BGE.
O 1º BGE
O 1º Batalhão de Guerra Eletrônica é uma Organização Militar do Exército
Brasileiro criada no dia 20 de maio de 2013. É uma OM relativamente nova que
transformou-se de nível companhia em Batalhão.
A modificação trouxe mais uma companhia para este Batalhão, a Companhia de
Guerra Cibernética, modificando o organograma da seguinte maneira:
FIGURA 1: Organograma do 1º BGEFonte: CCOMGEX
A principal missão do 1º BGE é apoiar em Guerra Eletrônica e em Guerra
Cibernética nos diversos escalões da força terrestre.
Dessa forma, as missões do 1º BGE estão divididas nas capacidades de suas
companhias. Por ser uma OM relativamente nova, a doutrina ainda está baseada na
antiga companhia de guerra eletrônica que não contemplava a companhia de cibernética.
A companhia de cibernética do 1º BGE
A companhia de Cibernética é a subunidade do 1º BGE com capacidade de fazer
Guerra Cibernética e Operações de sinais. Foi concebida na mesma data que a criação
do 1º BGE.
Possui o seguinte organograma:
24
FIGURA 1: Organograma da Cia Ciber do 1º BGEFonte: CCOMGEX
A principal missão da Companhia de Guerra Cibernética é executar ações de
Guerra Cibernética nos níveis Operacionais e Táticos (Política Cibernética de Defesa),
ou seja, tipicamente empregada no contexto de uma Operação Militar, contribuindo para
obtenção de um efeito desejado.
No nível Operacional, fica a cargo dos Comandos Operacionais e de seus
Estados Maiores. No nível tático, fica a cargo das Forças Componentes com seus
elementos.
Segundo a Doutrina Militar de Defesa Cibernética (BRASIL, 2014), o foco
dessas operações é a preparação do campo de batalha, dentro de um contexto de crise ou
conflito, apoiando uma ação militar.
A duração do evento é considerada limitada, pois as crises e conflitos não são
permanentes. Normalmente, possui moderado ou curto tempo de preparação, utilizando
conhecimentos já levantados e técnicas previamente preparadas.
Pode-se interpretar que as possibilidades da Cia G Ciber são as mesmas que o
Destacamento conjunto de Guerra Cibernética, pois estes realizam a atividade de Guerra
Cibernética. As possibilidades são:
a) identificar e analisar vulnerabilidades (conhecidas) nas redes decomputadores e aplicações empregadas no Sistema de C2 desdobrado para aoperação;b) recomendar ações para mitigar as vulnerabilidades identificadas;c) estudar as ameaças e entender seu impacto nas redes de C2 ou quaisqueroutras estruturas/recursos computacionais das forças amigas;d) verificar a conformidade de Segurança da Informação e Comunicações noSistema de C2 desdobrado para a operação;e) planejar e executar ações cibernéticas (proteção, exploração e ataque), nocontexto da operação conjunta, com apoio dos órgãos de Defesa Cibernéticadas Forças Armadas em cumprimento às orientações e diretrizes emanadas doComando Operacional;f) assessorar o(s) comandante(s) da(s) Força(s) Componente(s) nos pedidosde efeito desejado dirigidos ao escalão competente para obtê-los;g) colaborar com a execução das Op Info planejadas; e informação, enquantoexplora ou nega ao oponente a capacidade de fazer o mesmo.h) colaborar com o esforço de obtenção de dados para a produção deconhecimento de Inteligência, por intermédio da Fonte Cibernética, nocontexto da operação conjunta, em cumprimento às orientações e diretrizesemanadas pelo EMCj. (p. 30 e 31)
Assim como o 1º BGE, a companhia de Guerra Cibernética também não possui
doutrina especificada. As informações tidas como referência são originadas da Política
Cibernética de Defesa e da Doutrina Militar de Defesa Cibernética.
25
Conclusão parcial
O 1º Batalhão de Guerra Eletrônica está inserido dentro das Operações de
Informação através de suas duas companhias: Guerra Eletrônica e Cibernética.
A companhia de Cibernética tem atuação em ações de Guerra Cibernética.
Dentro das possibilidades, destacam-se a possibilidade de “planejar e executar ações
cibernéticas (proteção, exploração e ataque)” e “colaborar com o esforço de obtenção de
dados para produção do conhecimento de inteligência”.
Com tais capacidades, a Companhia de Guerra Cibernética tem possibilidades de
atuar frente a demanda de exploração de aparelhos móveis para colaborar com a
inteligência, criando novos dados ou informações que serão utilizadas pelo decisor.
TIPOS DE AÇÕES CIBERNÉTICAS
As técnicas utilizadas pela Guerra Cibernética devem basear-se pelos tipos de
ações cibernéticas. São três os tipos de ações cibernéticas: ataque, exploração e proteção
cibernética.
Ataque cibernético
Conceitua-se ataque cibernético como “compreende ações para interromper,
negar, degradar, corromper ou destruir informações ou sistemas computacionais
armazenados em dispositivos e redes computacionais e de comunicação do oponente”.
Cada verbo descrito, sintetiza uma ação que leva a retirar ou modificar algum
dado direcionado ao oponente.
No caso de “interromper”, o atacante retira a disponibilidade do oponente ter
determinado tipo de acesso que estava ativo, ou seja, suspende.
Em “negar” o atacante proíbe o oponente de ter acesso a determinado arquivo ou
rede. A disponibilidade também é afetada neste caso. O grupo autointitulado
“Anonymous” é um exemplo de ataque em sites para negação de dados.
FIGURA 1: Ataque do grupo Anonymous ao site da justiça britânciaFonte: Anonymous
26
“Degradar” significa danificar ou deteriorar parte de um todo. Assim, a
integridade dos dados contidos foi modificada pelo atacante, não deixando o oponente
receber todas as informações que necessitava.
A ação de “corromper” faz-se referência a alterar dados. Novamente a
integridade dos dados é retirada.
“Destruir” é suprimir por completo determinado dado.
Exploração cibernética
Segundo o manual Doutrina Militar de Defesa Cibernética, o conceito de
exploração cibernética é:
Consiste em ações de busca ou coleta, nos Sistemas de Tecnologia daInformação de interesse, a fim de obter a consciência situacional do ambientecibernético. Essas ações devem preferencialmente evitar o rastreamento eservir para a produção de conhecimento ou identificar as vulnerabilidadesdesses sistemas. (p. 23 e 24)
Ações de coleta cibernética são atividades para encontrar dados em fontes
abertas, como as mídias sociais ou páginas que estejam disponíveis no buscador Google.
As ações de busca são atividades para encontrar dados em fontes protegidas.
FIGURA 1: Busca de dadosFonte: gktek
O grande problema da exploração cibernética é a manutenção do anonimato, ou
seja, explorar sem que o oponente perceba que foi invadido. Por essa razão, a doutrina
diz que a ação deve evitar o rastreamento.
O resultado da exploração cibernética é a produção do conhecimento ou
identificar as vulnerabilidades desses sistemas.
No caso do primeiro, poderá compor informações para um quadro de operações
de inteligência. No segundo caso, poderá ser o primeiro passo para um ataque
cibernético.
27
Proteção cibernética
Segundo o manual Doutrina Militar de Defesa Cibernética, o conceito de
proteção cibernética é:
Abrange as ações para neutralizar ataques e exploração cibernética contra osnossos dispositivos computacionais e redes de computadores e decomunicações, incrementando as ações de Segurança, Defesa e GuerraCibernética em face de uma situação de crise ou conflito. É uma atividade decaráter permanente. (p. 23)
A proteção cibernética são ações para impedir ou, ao menos, dificultar a ação de
um oponente sobre as redes ou dados de forças amigas.
Diferentemente das demais, esta atividade é realizada a todo momento.
Conclusão parcial
Diante do problema apresentado, verifica-se que as ações de cibernética a serem
realizadas são a exploração e o ataque cibernética.
A razão é que o celular do meliante é um Sistema de Tecnologia da Informação
ao qual necessita-se buscar informações para produção de conhecimento solicitada pelos
militares de inteligência, sendo também necessária a invasão deste computador.
DISPOSITIVOS MÓVEIS
Os dispositivos móveis são ferramentas utilizadas cada vez mais na Era da
Informação. Tem essa denominação derivada do inglês handheld.
O mercado utiliza o termo BYOD (Bring your own device, ou traga o seu
próprio dispositivo) para se referirem a um dispositivo móvel que pode ser de várias
maneiras, como smartphones, PDA, consoles portáteis, televisão portátil ou aparelho
GPS. (VANNI)
Os pontos que mais influenciaram o desenvolvimento deste segmento da
tecnologia são a mobilidade (capacidade de acessar facilmente os recursos de
informática), portabilidade (capacidade de ser facilmente movido de um lugar), multi-
tarefas (capacidade de realizar mais de uma tarefa ao mesmo tempo), comunicação
(capacidade de transmitir e receber dados) e entretenimento (jogos).
O Smartphone é atualmente o mais famoso do ramos dos dispositivos móveis.
Segundo Lemos (2009), o conceito de smartphone é:
O que chamamos de smartphone é um Dispositivo (um artefato, umatecnologia de comunicação); Híbrido, já que congrega funções de telefone,computador, máquina fotográfica, câmera de vídeo, processador de texto,GPS, entre outras; Móvel, isto é, portátil e conectado em mobilidade
28
funcionando por redes sem fio digitais, ou seja, de Conexão; e Multirredes, jáque pode empregar diversas redes, como Bluetooth [...], internet (Wi-Fi ouWi-Max) e redes de satélites para uso como dispositivo GPS.
Uma das maiores características dos smartphones é que são dispositivos
“abertos”, ou seja, qualquer pessoa pode desenvolver softwares para serem utilizados e
interpretados por seus sistemas operacionais. Isso os torna extremamente flexíveis, tanto
para o “bem”, quanto para o “mal”.
Os principais sistemas operacionais utilizados no mundo são Android, IOS,
Windows Phone e Blackberry. O sistema Android é atualmente o sistema operacional
mais usado no mundo, segundo o site ComScore.
FIGURA 1: Ranking dos sistemas operacionais para smartphonesFonte: comScoreConclusão Parcial
Com este resultado, torna-se mais importante estudar o sistema operacional
Android, pois é mais provável de defrontar contra este aparelho em operações militares.
SISTEMA OPERACIONAL ANDROID
O Android é um sistema operacional baseado em Linux, desenvolvido e mantido
pela empresa Google, atualmente. É projetado para ser utilizado em dispositivos móveis
com tela sensível ao toque para manipular objetos virtuais e teclado virtual. A principal
causa da popularidade do Android em relação aos demais é o seu custo. (Lecheta, 2013)
A flexibilidade do Android é tão grande que chegou até aos automóveis. Em 25
de junho de 2014, a empresa lançou o Android Car que é o sistema operacional
embarcado em centrais multimídias. (UOL, 2015)
O versionamento do sistema Android não possui datas fixadas. Obedece à
equipe da Google com suas visões de mercado. As versões são ordenadas com nomes de
doces (com exceção da 1.0 - Alpha e 1.1 - Beta) em ordem alfabética. Atualmente, a
versão mais utilizada é a Lollipop, segundo Kleina (2016).
29
FIGURA 1: Ranking do sistema AndroidFonte: Tecmundo
Alguns exemplos de fabricantes que utilizam o sistema operacional Android são:
Samsung, Sony, Motorola, Asus, LG e Positivo.
Arquitetura Android
A Google se refere ao Android como uma pilha de software. Possui,
basicamente 05 (cinco) camadas: aplicação, kernel, bibliotecas, Runtime (Máquina
Virtual) e Framework.
FIGURA 1: Arquitetura AndroidFonte: COSTA, 2011
A camada de aplicação é onde se localizam os aplicativos que são executados no
sistema operacional. Geralmente são escritas em Java (por isso, a cor azul na figura 10).
Exemplos: agendas, mensagens de texto, calculadora e email. (COSTA, 2011)
30
A camada de Framework inclui os programas que gerenciam as funções básicas
do telefone, ou seja, um conjunto de ferramentas básicas de como um desenvolvedor
pode construir um aplicativo mais complexo. Isso simplifica a reutilização de
componentes, economizando processamento. (BARROS et al, 2015)
As bibliotecas são escritas em C++ e utilizadas em funções para navegadores,
visualização de camada 2D e 3D, renderização 3D, funções de gráficos, fontes bitmap e
vetorizadas e funções de acesso ao banco de dados SQLite. (DIAS, 2011)
A camada de Runtime instancia a máquina virtual Dalvik, criada para cada
aplicação executada em Android. A importância disso é que nenhuma aplicação
dependa da outra, para que não haja interferências e simplificação do gerenciamento de
memória. (BARROS et al, 2015).
O kernel é o núcleo do sistema. É derivado do Linux 2.6, herdando diversas
características desta plataforma. Responsável por funções como controle de processos,
gerenciamento de memória, threads, protocolos de redes, gerenciamento de vários
drivers e a segurança de arquivos. (BARROS et al, 2015)
Segurança do sistema operacional Android
Os mecanismos de defesa do sistema operacional Android possuem basicamente
quatro camadas de segurança: acesso físico, permissões de aplicativos, sandbox e
enraizamento. (SIMS, 2012)
O acesso físico, uma vez ativado, dificulta ao atacante ter acesso aos dados
contidos no sistema operacional. Inclui a senha inicial de tela bloqueada.
As permissões de aplicativos são as possibilidades de acesso (ler, modificar e
executar) a um determinado arquivo. Todas as vezes que aplicativos são instalados,
estes solicitam permissões para determinadas tarefas. Infelizmente, muitos usuários não
leem estas permissões, dando acessos não necessários a certos tipos de aplicações.
O Sandbox é uma camada naturalmente de proteção. Ela faz com que as
máquinas virtuais Dalvik não interfiram umas nas outras, criando uma barreira. Com
isso, impede com que os vírus ataquem e espalhem por outros arquivos e aplicativos do
sistema.
O enraizamento está embutido no kernel do Linux, que possui o modo root
(usuário com amplos privilégios). Esse modo, por padrão, é configurado ao cliente para
estar bloqueado, impedindo com que aplicativos e vírus tenham acesso a modificações
do sistema. (SIMS, 2012)
31
Entretanto, mesmo com estas três camadas ativadas, a segurança do sistema
operacional Android é deficitária. O maior requisito do Android é a usabilidade do
cliente, fazendo com que várias vulnerabilidades sejam aproveitadas por códigos
maliciosos.
Muitos usuários mitigam vulnerabilidades de segurança através de softwares
chamados de antivírus.
Softwares antivírus
Antivírus são programas de computadores com funções de detecção, prevenção,
neutralização ou remoção de softwares maliciosos. A maioria das soluções de antivírus
compara códigos potencialmente perigosos com um conjunto de padrões e regras que
compõe as definições de antivírus. Essas definições são atualizadas regularmente por
banco de dados. (Weidmein, 2014 p. 322)
Há duas formas principais de se identificar os vírus: através da análise estática e
dinâmica. A análise estática busca os códigos-fonte de um vírus conhecido e que foram
disponibilizadas por um programa antivírus. A análise dinâmica verifica as atividades
maliciosas, como abertura de portas, conexões TCP ou UDP e modificações de padrões
de configuração. (Weidmein, 2014 p. 322)
Existem várias empresas que desenvolvem antivírus. As principais modalidades
destes programas são os gratuitos e os pagos que se diferenciam pela a necessidade de
pagamento para liberação do serviço.
A tabela a seguir mostra os principais dados dos principais softwares antivírus
comercializados no Brasil de forma gratuita. Os dados são do site olhardigital e foram
coletados em maio de 2016:
AvastsecurityandAntivirus
AVGAntivirusfree forAndroid
CMSecurityApplockAntivirus
ESETMobileSecurity andAntivirus
KarsperskyInternetSecurity
360SecurityantivirusBoost
Atividade deEscanear
Ao iniciaroaplicativo,já inicia avarredura.– 1º
Ao iniciaroaplicativo,já inicia avarredura.– 1º
Ao iniciaroaplicativo,já inicia avarredura.– 1º
Necessidadede buscar atela paraescanear. –4º
Solicitavariosregistrospara iniciara varredura– 6º
Necessidadede buscar atela paraescanear. –5º
Desempenhoeperformance
Rápido – 2º Rápido – 2º O maisrápido – 1º
Lento – 4º Mais lento.6º
Lento – 4º
Eficácia –interação nodownload demalware (1)
Bloqueado Bloqueado Bloqueado Bloqueado Nãobloqueado
Nãobloqueado
32
Eficácia –depois dodownload de3 códigoscom vírus
Bloqueou 2códigos
Bloqueou1.
Bloqueou 2códigos
Bloqueou os3 arquivos
Bloqueou ostrês na 2ªvarredura
Bloqueouapenas 1.
Eficácia –Acesso apágina comphishing (2)
Bloqueado Nãobloqueado
Bloqueado Nãobloqueado o
Nãobloqueado
Nãobloqueado
Funçõesextras
- Anti-roubo- Perda-Bloqueadorde chamada- Antiphishing- Bloqueadorde aplicativo- Controle depermissões
- Anti-roubo- Perda-Bloqueadorde chamada- Antiphishing- Bloqueadorde aplicativo
- Anti-roubo- Perda-Bloqueadorde chamada- Antiphishing- Bloqueadorde aplicativo
- Anti-roubo- Perda-Bloqueadorde chamada- Antiphishing
- Anti-roubo- Perda-Bloqueadorde chamada- Antiphishing
- Anti-roubo- Perda-Bloqueadorde chamada- Bloqueadorde aplicativo
Colocação 2º 5º 1º 4º 6º 3º
Obs: (1) Deveria ser imediatamente bloqueado(2) Atestado pela instituição phishtank
TABELA 1: Comparação entre os antivírus gratuitos.Fonte: OlharDigital
Em relação aos antivírus pagos para o sistema operacional Android, a AV-
Test.org (2016), elaborou ambiente de teste baseado em quatro requisitos: proteção em
tempo real, detecção dos malwares descobertos nas últimas quatro semanas, teste de
detecção de falsos positivos e influência do antivírus no desempenho do computador. A
tabela a seguir mostra o resultado deste teste.
Proteção emtempo real(1)
Detecção dos malwaresdescobertos nas últimas4 semanas (1)
Teste de detecçãode falsos positivos(2)
Influência doantivírus nodesempenho docomputador
Karspersky 99,9% 100% 0 PoucaESET 100% 99,9% 0 PoucaIntel Security 99,9% 99,7% 0 PoucaNorton 100% 100% 0 MédiaAvira 98,6% 99,3% 0 Pouca
Avast 99,5% 99,9% 0 Pouca
AVG 98,5% 99,6% 2 Pouca
PSafe 94,8% 99,7% 0 Pouca
Obs: (1) Ação: proteger e evitar que o computador seja infectado, atuando emtempo real e monitorando os arquivos, downloads e e-mails. Leva-se me consideraçãoos últimos malwares encontrados em maio de 2016.
(2) Usados 1997 exemplos para legitimar aplicações da loja do Google e 998softwares de lojas de terceiros.TABELA 1: Comparação entre os antivírus pagos.Fonte: AV-test.org (tradução, do autor)
33
Os dados acima apontam o Norton e o Karsperky, como os melhores antivírus
pagos para o Sistema Operacional Android, levando-se em consideração os requisitos
apresentados pelo avaliador.
Vetores de ataque do sistema Android
As vulnerabilidades do sistema Android são muitas. Não somente relacionadas a
seu sistema operacional, mas também a pilha TCP/IP, acesso de recursos que os
computadores tradicionais também acessam e os recursos exclusivos da plataforma. Isso
acrescenta novos vetores de ataque10. Alguns exemplos serão mencionados a seguir.
A primeira é relacionada a mensagens de texto. As mensagens SMS11 fazem os
dispositivos móveis serem capazes de receberem e enviarem mensagens de texto. O
SMS funciona quase como um email, porém com prioridade, fazendo com que a
mensagem chegue mais rápida ao destinatário. Assim como existem as vulnerabilidades
de email, os SMS também podem ser utilizados para ataques de spam12 e phishing13.
Caso o usuário seja uma pessoa sem cuidados de segurança, o mesmo poderá ser alvo de
uma simples mensagem de texto sendo direcionada para links em navegador móvel ou
outro aplicativo com capacidade de explorar vulnerabilidades. (Weidman, 2014)
FIGURA 1: Exemplo de envio de SMS com phishingFonte: mediacorp
Outra possibilidade são as mensagens MMS14 que são consideradas uma
evolução das mensagens SMS por carregarem dados multimídias, como imagens e sons.
Geralmente, são carregadas automaticamente (sem necessidade do usuário permitir). As
mensagens MMS criam a possibilidade de esteganografar15 dados. A esteganografia
permite que dados sejam encapsulados dentro de um determinado arquivo. Ao executar
10 Segundo o glossário de segurança da Symantec, entende-se como vetor de ataque como “o método queo agente ameaçador utiliza para atacar um sistema”.11 Short Message Service ou serviço de mensagem curto12 Mensagens enviadas a um grande número de pessoas (antispam.br)13 Forma fraudulenta de conseguir dados ao se passar por fonte confiável (UOL segurança online)14 Multimedia Messaging Service ou serviço de mensagem multimídia. 15 Ocultar uma mensagem dentro da outra, sem ser percebida (tecmundo)
34
o arquivo original, o arquivo incubado é liberado, como é o que ocorre com os cavalos
de Tróia. (Tudocelular)
A tecnologia NFC16 está se estabelecendo no mercado ainda. Funciona por
campo de proximidade para troca de informações entre dispositivos. Tem sido bastante
utilizado para realizar compras. Ao invés de utilizar o cartão de crédito, o celular troca
informações com outro dispositivo, fazendo as vezes do mesmo. Para tal, os
dispositivos devem estar a distância de 10 centímetros. Essa distância é relativa, pois
necessita da potência rádio utilizada por ambos equipamentos. Pesquisadores já usaram
o NFC para atacar um dispositivo Android ao transmitir um payload17 malicioso a um
aplicativo vulnerável na Pwn2Own 201318. (Alecrim, 2016)
Os QRcodes19 são códigos de barra em forma de matriz que podem ser
facilmente escaneados por telefones celulares equipados com câmeras. Esse código
pode transformar-se em texto, em URL, números de telefone, contato ou SMS, por
exemplo. É muito utilizado pelo comércio, principalmente para cadastro. Um ataque
comum é utilizado em redes sociais. Hackers modificam suas fotos iniciais em QRcodes
que direcionavam para páginas web maliciosas que tentam explorar vulnerabilidades do
WeKit (ferramenta de renderização de páginas web). Esse tipo de ataque não foca
apenas em sistemas operacionais Android, como também ao IOS. (Weidman, 2014)
Conclusão Parcial
A arquitetura do sistema Android mostra um conjunto de partes que trabalham
com harmonia. Com a inter-relação destas partes, é possível conquistar o objetivo de
atacar o sistema pela parte mais usável do telefone que é a troca de mensagens.
O sistema operacional tem várias vulnerabilidades, sendo que a mensagem SMS
é uma modalidade com grande capacidade de ser explorada por ser utilizada com grande
frequência.
Uma vez conquistado o objetivo do atacado receber o SMS e um código
malicioso, o sistema inteiro pode tornar-se comprometido.
16 Near Field Communication, ou comunicação de campo próximo (Weidmein)17 Em segurança da computação, payload refere-se à parte de um vírus de computador que executa umaação nociva. 18 Concurso de exploração de falhas em dispositivos móveis.19 Quick Response Code ou código de resposta rápida
35
METODOLOGIA
Esta seção tem por finalidade apresentar detalhadamente o caminho que se
pretende percorrer para:
- solucionar o problema de pesquisa, especificando os procedimentos
necessários para se chegar aos participantes da pesquisa; e
- obter as informações de interesse e analisá-las.
Foram utilizados os procedimentos metodológicos da seguinte maneira:
relacionou-se o problema em questão com as Operações de Informação e o 1º BGE. Por
meio de abordagem qualitativa e pesquisa exploratória, levantou-se dados sobre o
malware e interação com o sistema Android.. Em seguida, testou-se as maneiras de
gerar a infecção e testou-se passar pelo bloqueio do antivírus.
Para um melhor encadeamento de ideias, esta seção foi dividida nos seguintes
tópicos: Objeto Formal de Estudo, Amostra, e Delineamento de Pesquisa.
OBJETO FORMAL DE ESTUDO
O presente estudo pretende analisar a eficácia da inserção de malware em
plataformas Android para realizar busca de informações, como contatos e mensagens
SMS (objetivo geral).
Com relação às medidas de eficácia, este trabalho pretende alcançar
comparações entre aparelhos que não utilizam mecanismos de segurança e que utilizam.
Portanto, haverá dois cenários distintos: um com o uso de antivírus e outro sem a
utilização de antivírus.
A eficácia do sistema foi comprovada através de testes realizados no 1º BGE.
Para tal, foram utilizados dois smartphones distintos, emuladores e máquinas virutais.
Após a realização dos testes, foi realizada pesquisa exploratória dos aparelhos para
verificar possibilidades de maior efetividade.
Para explicar melhor o objeto formal de estudo, será utilizado o modelo geral de
estudo. Neste modelo, há designação de entradas, saídas, processo, fatores
incontroláveis e controláveis, conforme a figura a seguir (SUTÉRIO, 2009).
36
FIGURA 1: Modelo geral de estudo.Fonte: SUTÉRIO (2009, p. 4).
As entradas são caracterizadas pelo o que será inserido dentro do sistema. No
caso, deseja-se inserir um número de telefone e enviar uma mensagem contendo um link
direcionado a um phishing. Esta mensagem será enviada através de um vetor de
infecção que neste caso é uma mensagem SMS enviada de um aparelho móvel. Antes
do envio da mensagem, faz-se necessário buscar informações sobre o alvo que pode ser
realizada em mídias sociais para dar mais fidedignidade a história de cobertura
(caracterizada pela mensagem que será enviada).
Os fatores controláveis são o escopo do projeto. No caso deste teste, será
utilizado um smartphone utilizando o sistema operacional Android, podendo ou não
conter softwares antivírus.
Os fatores não controláveis são eventos que não podem ser controlados pelo
projetista. A queda de sistema da operadora ou a conexão do celular à ERB (estação
rádio-base) são alguns exemplos para este projeto.
As saídas são os resultados aos quais se almeja chegar. O objetivo deste trabalho
é a exploração do equipamento celular infectado, podendo ser baixado dados como:
agenda telefônica, chamadas telefônicas e mensagens.
Abaixo, o modelo final colocando os dados explicados acima.
37
FIGURA 1: Modelo de entradas, saídas, fatores controláveis e não controláveis, comrespectivos dadosFonte: Do autor
Da análise das variáveis envolvidas no presente estudo, “utilização de antivírus”
apresenta-se como variável independente, tendo em vista que se espera que a sua
manipulação exerça efeito significativo sobre a variável dependente o tipo de sistema
utilizado. A seguir serão apresentadas as definições conceituais e operacionais das
variáveis de estudo.
No presente estudo, infecção eficaz pode ser entendida como a infecção da
plataforma Android que dê acesso aos dados contidos no smartphone, sendo que o dono
deste aparelho não tenha muitos conhecimentos sobre segurança da informação. Os
resultados são provenientes de testes. A medição é a aquisição dos objetivos listados,
que são agenda telefônica e mensagens. A tabela 3 apresenta a definição da variável
dependente.
VariávelDependente
Dimensão Indicadores Forma de medição
Antivírus
Utilização ounão deantivírus, ouantivírusnão-pago.
Sem antivírusA infecção poderá ser levada a cabopassando pelos mecanismos de segurança doSO Android.
Antivírusgrátis
A infecção poderá ser levada a cabopassando pelos mecanismos de segurança doSO Android e do antivírus grátis.
Antivírus pagoA infecção poderá ser levada a cabopassando pelos mecanismos de segurança doSO Android e do antivírus pago.
TABELA 1: Definição operacional dos sistemas a serem utilizados.Fonte: o autor
38
Da mesma forma, as funções de pós-exploração são elementos utilizados em
variáveis independentes. Os resultados compreendem a consciência situacional, tempo
decorrido e precisão dos alvos. A tabela 4 apresenta a descrição das variáveis
independentes.
VariávelIndependente
Dimensão Indicadores Forma de medição
Pós exploração
Utilizarrecursos
Possibilidade de ligar a câmera,gravar áudio, conseguirinformações da pasta etc,conseguir a localizaçãogeográfica em SO Android semantivírus
- Acesso à pasta etc- Ligar a câmera- Gravar áudio- Ligar o GPS e obter alocalização geográfica
Possibilidade de ligar a câmera,gravar áudio, conseguirinformações da pasta etc,conseguir a localizaçãogeográfica em SO Android comuso de antivírus gratuito.
- Acesso à pasta etc- Ligar a câmera- Gravar áudio- Ligar o GPS e obter alocalização geográfica
Possibilidade de ligar a câmera,gravar áudio, conseguirinformações da pasta etc,conseguir a localizaçãogeográfica em SO Android comuso de antivírus pago.
- Acesso à pasta etc- Ligar a câmera- Gravar áudio- Ligar o GPS e obter alocalização geográfica
Backdoors
Possibilidade de abrir portas emSO Android sem uso deantivírus
- Abrir a porta 1234 em modode escuta
Possibilidade de abrir portas emSO Android com uso deantivírus gratuíto
- Abrir a porta 1234 em modode escuta
Possibilidade de abrir portas emSO Android com uso deantivírus pago.
- Abrir a porta 1234 em modode escuta
TABELA 1: Definição operacional da variável desempenho.Fonte: o autor
1. DELINEAMENTO DE PESQUISA
Foi realizada uma pesquisa aplicada de cunho quantitativo descritivo por meio
de um estudo de caso com delineamento experimental valendo-se do método indutivo
para generalizar os resultados obtidos para os integrantes da população objeto.
Procedimentos para a revisão da literatura
Para a definição de termos, redação do Referencial Teórico e estruturação de um
modelo teórico de análise que viabilizasse a solução do problema de pesquisa foi
realizada uma revisão de literatura nos seguintes moldes:
39
a. Fontes de busca
- Artigos científicos e palestras das comunidades de segurança da informação;
- Livros da Novatec;
- Apostilas disponibilizadas na internet por faculdades e empresas;
- Utilização de apontamentos DoD CCRP sobre Superioridade das Informações;
- Dicionário de termos militares do Exército Australiano, dos EUA e do
Ministério da Defesa do Brasil;
- Estratégia Nacional de Defesa;
- Documentos de padronizações ABNT; e
- Sites especializados em artigos militares.
b. Estratégia de busca para as bases de dados eletrônicas
Foram utilizados os seguintes termos descritores: "segurança da informação,
Sistema Operacional Android, comando e controle, Cyber Warfare (ou Guerra
Cibernética), Guerra Centrada em Redes, Vulnerabilidades, dispositivos móveis e
vetores de ataque", respeitando as peculiaridades de cada base de dado.
Após a pesquisa eletrônica, as referências bibliográficas dos estudos
considerados relevantes foram revisadas, no sentido de encontrar artigos não localizados
na referida pesquisa.
c. Critérios de inclusão:
- Estudos publicados em português, inglês, espanhol ou alemão (este último
traduzido utilizando-se a ferramenta GoogleTranslater).
- Estudos publicados de 2001 a 2016.
- Estudos realizados sobre enlaces de dados táticos em operações reais e em
simulações.
d. Critérios de exclusão:
- Estudos com dados anteriores a 2001.
- Estudos com desenho de pesquisa pouco definido e explicitado.
- Estudos que reutilizam dados obtidos em trabalhos anteriores.
40
Instrumentos
A fim de propiciar a mensuração da variável cumprimento da missão, a prova de
conceito foi realizada em três etapas. O capítulo 4 descreve detalhadamente como foi
cada etapa.
Resultado de infecção
O resultado da infecção foi medido pela possibilidade de entrar no sistema
operacional android, sem ser percebido pelo antivírus.
Este resultado também será medido pelo alvo atacado, por meio da correta
observância que pode ser analisada pelo próprio smartphone.
Resultado de utilização de recursos
O resultado de utilização de recursos:
- Acesso à pasta etc
- Ligar a câmera
- Gravar áudio
- Ligar o GPS e obter a localização geográfica
Resultado de manter a conexão por backdoors
O resultado é abrir a porta 1234 em modo de escuta, possibilitando novas
conexões nesta porta.
CUSTOS
Gastou-se a quantia de R$ 39,90 (trinta e nove reais e noventa centavos) relativo
aos custos de aquisição do antivírus pago Karspersky.
RESULTADOS ESPERADOS
A presente seção tem por finalidade apresentar os resultados esperados dos testes
aplicados o desempenho do vírus. A sequência das ações é explicada dentro do capítulo
de teste.
Entendendo-se o sistema como um todo, verifica-se que a infecção poderá ser
utilizada para conseguir dados, sem a necessidade de ter o smartphone em mãos.
41
APRESENTAÇÃO DOS RESULTADOS
Este capítulo visa realizar os testes do comportamento entre máquina atacada e
atacante, bem documentar. A seguir serão apresentados os resultados dos testes
realizados.
2. O PRIMEIRO TESTE: INFECÇÃO
O primeiro teste foi realizado no dia 27 de junho de 2016. Neste dia, foi
utilizado um smartphone Samsung 2 Grand Duos com sistema operacional Android
versão 4.3 (Jelly Bean) com a função de ser invadido.
Um computador Samsung do tipo 600B com sistema operacional Kali Linux foi
utilizado para ser o atacante. O celular e o notebook estavam em rede interna, ligados a
um repetidor wifi da marca i-tek. Dessa forma, a rede ficou da seguinte configuração:
FIGURA 1: Modelo de entradas, saídas, fatores controláveis e não controláveis, comrespectivos dadosFonte: Do autor
Desenvolvimento e armazenamento do vírus
No teste, o vírus foi desenvolvido utilizando-se o software Msfvenom versão
4.11.5. Para a criação do payload da aplicação, foi utilizado o comando msvenom –p
andoird/meterpreter/reverse_tcp LHOST=Endereço_Ip LPORT=Porta R >
Endereço_Onde_será_Armazenado.
42
FIGURA 1: Produção do payload do vírusFonte: Do autor
Para se ter melhores condições de infeccionar o smartphone, o payload do vírus
foi armazenado na pasta /var/www/html que é a pasta que o servidor Apache220. Em
seguida, é iniciado este serviço com o comando “service apache2 start”. Dessa forma, o
atacado pode realizar o download acessando a página http://192.168.1.9. O arquivo
app_teste1.apk estará disponível nesta URL.
Voltando ao código malicioso, no site www.virustotal.net é possível obter uma
análise de quão permeável é este vírus nos distintos tipos de antivírus.
FIGURA 1: Análise do vírus no site virustotalFonte: virustotal.net
Da análise deste site é possível saber que há detecção do vírus em 20 (vinte) dos
53 (cinquenta e três) antivírus presentes. Isso equivale a uma taxa de detecção de 37%
20 Apache2 é um servidor de páginas de internet.
43
(trinta e sete por cento). Ainda, segundo o site, o Karpersky conseguiria detectar. O CM
Security não se encontra na base de dados do site.
Realizando-se técnicas de Engenharia Reversa com os softwares dex2jar e jd-
gui, foi possível remontar todo o código fonte do vírus. A figura abaixo mostra que o
vírus foi escrito na linguagem java e é composto de 6 (seis) classes: BuildConfig,
MainActivity, MainBroadcastReceiver, Payload, PayloadTrustManager e R.
FIGURA 1: Código fonte do vírusFonte: software JD-GUI
Envio do SMS
Na situação em questão, dado um número de telefone válido, é realizada uma
pesquisa sobre o dono deste smartphone e buscado suas preferências pessoais ou
profissionais. Com isso, é possível atuar com Engenharia Social para enviar uma
mensagem SMS, de forma que o atacado seja induzido a entrar em um link por
motivações próprias.
No exemplo a seguir, descobriu-se que o atacado era uma pessoa que manifestou
em um fórum que o seu telefone não tinha atualização para o sistema Android KitKat,
ou seja, ele tinha um sistema operacional anterior ao 5.0. Dessa forma, uma mensagem
SMS foi enviada para que o mesmo pudesse realizar a atualização:
44
FIGURA 1: Ataque utilizando o vetor SMS.Fonte: Do autor
Na figura anterior, existe o link direto para realizar o download do software que
contém o vírus no servidor Apache2 da máquina atacante.
O lado atacado
Após o atacado clicar para realizar o download do software, a página redireciona
para o download do arquivo malicioso. No caso de as configurações de download
estejam definidas como “Permitir a instalação de aplicativos de outras fontes além da
Play Store”, o download conseguirá ser concluído com sucesso.
Caso não esteja com esta configuração, o link direciona para a aba de
“Segurança” do smartphone para que o atacado modifique o campo de “fontes
desconhecidas”.
FIGURA 1: Aba de segurança do Sistema Operacional AndroidFonte: Android
Ao ser instalado, o software solicita permissão para que tenha acessos a
praticamente todos os recursos do telefone, conforme mostra a figura a seguir.
45
FIGURA 1: Aba de segurança do Sistema Operacional AndroidFonte: Android
O lado atacante
No lado do atacante, a máquina deve estar preparada para escutar a conexão do
smartphone atacado. Para tal, é necessário utilizar os seguintes comandos no software
msfconsole do Kali Linux:
FIGURA 1: Explorador de vulnerabilidadesFonte: Kali Linux
Na primeira tentativa, o exploit21 carregou o arquivo como um simples
meterpreter sem dar as opções personalizadas para o sistema operacional Android. Foi
necessário interromper todas as sessões com o comando (sessions –K) e executar o
exploit novamente.
Após realizada a infecção, foram disponibilizados as seguintes capacidades:
- Executar comandos (execute);
- Buscar os usuários que estão sendo executados (getuid);
- Listar os processos que estão sendo executados (ps);
21 Comando para realizar a escuta
46
- Executar comando shell (shell);
- Informações sobre o sistema (sysinfo);
- Gravar áudio (record_mic);
- Iniciar conversação através da webcam (webcam_chat);
- Tirar uma fotografia com a webcam frontal (webcam_snap);
- Gravar vídeo com uma das webcam (webcam_stream);
- Gravar o log de ligações (dump_calllog);
- Gravar a lista de contatos (dump_contacts);
- Gravar as mensagens SMS (dump_sms);
- Gravar a localização (geolocate); e
- Acesso aos dados do telefone (comandos shell).
Todos estes comandos foram testados nos aparelhos que obtiveram sucesso na
sua instalação do vírus. Todos os comandos funcionaram com eficácia, sendo que o de
geolocalização apresentou retardo de até 02 (dois) minutos para enviar a resposta.
FIGURA 1: Capacidades de exploração do meterpreter no AndroidFonte: Kali Linux
Com os comandos do shell foram possíveis realizar ações de acesso à pasta,
modificação do DNS, acesso a agenda telefônica e inserir e remover um arquivo dentro
da pasta.
47
3. O SEGUNDO TESTE: VERSÕES COMPATÍVEIS
No dia 2 de julho de 2016, foi realizado outro teste com o objetivo de verificar a
compatibilidade do vírus com as outras versões do Android. Este teste transcorreu por
meio da ferramenta Android SDK Tools que é um emulador deste sistema operacional.
O diferencial desta plataforma em relação às máquinas virtuais é que, o Android
SDK Tools consegue emular as particularidades de um hardware específico, como um
smartphone da Samsung, uma central multimídia para automóveis ou até televisões.
Além disso, houve muita dificuldade em termos de configuração de rede das versões de
Android nas plataformas VirutalBox e VmWarePlayer.
Chegou-se ao resultado que o vírus é compatível com todas as versões do
sistema operacional Android a partir da versão 3.0, conforme mostra a figura a seguir.
FIGURA 1: Resultado da análise de versionamentoFonte: Android SDK Tools
4. RESULTADOS 1
Os resultados alcançados são mostrados na tabela a seguir:
Sistema OperacionalAndroid sem antivírus
S. O. Android comantivírus gratuito (CMSecurity)
S. O. Android comantivírus pago(Karspersky)
Permitiu acesso aosite?
Sim Sim Sim
Permitiu acesso aodownload?
Sim Sim Não
Permitiu a instalaçãosem modificar asconfigurações desegurança?
Não Não Não
Permitiu a instalaçãodo software commodificação dasconfigurações desegurança?
Sim Sim Não
Permitiu escalarprivilégios?
Sim Não Não
48
Permitiu utilização dasferramentas do vírus?
Sim Não Não
Permitiu instalarbackdoor na porta 1234
Sim Não Não
TABELA 1: Tabela de resultados infecção x antivírusFonte: o autor
Ressaltam-se dois pontos nessa tabela. O primeiro é que o site virustotal
continha os dados corretos sobre o confronto entre o antivírus Karspersky e o vírus
produzido. O segundo ponto é que, no CM Security, o vírus pode ser instalado,
entretanto não conseguiu ser executado.
5. O TERCEIRO TESTE
O terceiro teste foi realizado no dia 14 de julho com a intenção de tentar passar
pelo bloqueio dos antivírus. O objetivo foi produzir assinaturas das quais os antivírus
não fossem capazes de identificar os vírus.
A metodologia adotada foi testar o próprio software msfvenom e modificações
no código fonte.
Msfvenom -e
O próprio software msfvenom é capaz de embutir um payload capaz de enganar
alguns antivírus, por meio de codificadores ou encoders.
Os codificadores são ferramentas que permitem evitar caracteres em um exploit
que iriam denunciá-lo Têm a missão de desfigurar o payload e adcionam instruções para
decodificação do software antes de ele ser executado. (Weidmein, 2014)
Um dos encoders mais aceitos é o Shikata Ga Nai22. Este codificador recebe a
classificação excelente, podendo ser visto através do comando “msfvenom –l encoders”.
Para sua utilização, é usada a flag –e. Esta ação pode ser complementada com a flag –i
que irá especificar a quantidade de codificações a serem realizadas. Dessa forma, o
comando fica da seguinte forma:
FIGURA 1: Comando para gerar vírus com codificadorFonte: Kali Linux
22 A tradução de Shikata Ga Nai, em japonês, é “não tem jeito”
49
A saída deste comando foi um payload com mais de 15 kilobytes de tamanho.
Verificou-se que isso ocorreu devido as várias utilizações da flag –i (duzentas vezes,
neste exemplo). Caso fosse utilizado 2 (dois) na flag –i, o software resultante seria de
9368 bytes.
FIGURA 1: Resultado do comando contido na figura 24Fonte: Kali Linux
No site virustotal, verificou-se que o software gerado não foi visto por nenhum
antivírus.
FIGURA 1: Resultado da verificação do arquivo gerado no site virustotalFonte: virustotal.net
Utilizando-se esta mesma metodologia, foram realizados testes para cada um dos
codificadores existentes. Os resultados são mostrados na sessão resultados 2.
Alteração do código-fonte
A modificação do código fonte ajuda a alterar o hash23 do arquivo e tornar o
vírus mais convincente ao atacado. Sabe-se que o código já foi apresentado em sessão
anterior. Entretanto, nesta parte, os softwares utilizados geraram apenas o código sem as
suas dependências.
23 Hash é uma garantia de integridade de dados, passados de forma alfanumérica, como se fosse umaautenticação (Tecmundo)
50
O apktool é um software que gera as dependências do pacote “.apk”, trazendo
também outros elementos, como figuras e arquivos xml (responsáveis por configurar as
possibilidades de acesso).
Os passos a seguir estão contidos em tutorial de BART, 2015. Para realizar a
descompactação, foi realizado o download do software apktool no site
https://ibotpeaches.github.io/Apktool e extraiu-se o conteúdo para a pasta “C:” de uma
máquina virtual com o sistema operacional Windows (no caso do teste, Windows 7).
Após, abriu-se um prompt de comando com o comando da figura __ para extrair os
arquivos do arquivo “android.apk”.
FIGURA 1: Resultado da descompactação do arquivo apkFonte: Software apktool
Com intuito de alterar o hash, entrou-se no arquivo \res\AndroidManifest.xml.
Retirou-se as linhas “<uses-permission
android:name=”android.permission.CALL_PHONE”/>” e “<uses-permission
android:name=”android.permission.SEND_SMS”/>”, pois para o teste não seria
necessário fazer ligações e enviar mensagens. Foi adicionado a linha “<uses-permission
android:name=”android.permission.WRITE_EXTERNAL_STORAGE”/>” com o
intuito de obter acesso ao conteúdo do Banco de dados interno. Foi modificada a linha
“<application android: label=”@string/app_name” android:icon=”@drawable/icon”>”,
com o intuito de trocar a imagem por outra.
51
FIGURA 1: Modificação do arquivo AndroidManifest.xmlFonte: BART, 2015
No arquivo \res\values\strings.xml, deve-se trocar o nome do arquivo original
(“MainActivity”) por algum que esteja relacionado com o contexto da invasão. Neste
caso, optou-se por “UploadYourAndroid”.
FIGURA 1: Modificação do arquivo strings.xmlFonte: Do autor
Criou-se 3 (três) pastas com os nomes contidos na figura a seguir. Estas pastas
irão armazenar a mesma figura (da preferência do atacante) de extensão “.png”,
tamanhos diferenciados e nomeado de “icon.png”.
FIGURA 1: Modificação do arquivo strings.xmlFonte: Do autor
52
A pasta drawable-ldpi-v4 deve conter a figura com dimensões de 72 x 72 px24. A
pasta drawable-mdpi-v4 deve conter com 48 x 48 px e a pasta drawable-ldpi-v4 com 36
x 36 px. Foi utilizado o site resize.net para ajustar as figuras aos requisitos.
FIGURA 1: Inserção da figuraFonte: Do autor
Após o pacote montado, foi dado o comando: “java –jar apktool.jar.jar b -s
android”. O novo arquivo android.apk está na pasta \dist\.
FIGURA 1: Compactação do novo arquivo maliciosoFonte: Do autor
Para verificar a efetividade do vírus em um primeiro momento, foi utilizado o
site virustotal. O resultado foi que o site não identificou o arquivo como malicioso.
FIGURA 1: Análise do site virustotalFonte: virustotal
6. RESULTADOS 2
Em relação aos codificadores, primeiramente tentou-se a instalação do vírus
codificado. Após, tentou-se a instalação adicionando-se a flag “-i 100” que corresponde
codificar o arquivo 100 (cem) vezes. Depois, verificou-se a efetividade do vírus no site
virustotal. Em seguida, testou-se a instalação no smartphone contendo o antivírus CM
Security e, por fim, com o antivírus Karspersky. A tabela abaixo mostra os resultados
alcançados de cada codificador:
24 Pixels é uma unidade de tamanho de figuras.
53
Encoder InstalounoAndroid?
Instalou coma flag –i 100?
Passou pelositevírustotal?
Passou peloantivírusCMSecurity?
Passou peloantivírusKarpersky
cmd/echo Sim Sim Sim Sim Obs1cmd/generic_sh Sim Sim Sim Sim Obs1cmd/ifs Sim Sim Sim Sim Obs1cmd/perl Sim Sim Sim Sim Obs1cmd/powershell_base64
Sim Sim Sim Sim Obs1
cmd/print_php_mq Sim Sim Sim Sim Obs1generic/eicar Não Não Não Não Nãogeneric/none Sim Sim Sim Sim Obs1mipsbe/byte_xori Não Não Não Não Nãomipsbe/longxor Não Não Não Não Nãomipsle/byte_xori Não Não Não Não Nãomipsle/longxor Não Não Não Não Nãophp/base64 Não Não Não Não Nãoppc/longxor Não Não Não Não Nãoppc/longxor_tag Não Não Não Não Nãosparc/longxor_tag Não Não Não Não Nãox64/xor Não Não Não Não Nãox86/add_sub Não Não Não Não Nãox86/alpha_mixed Não Não Não Não Nãox86/alpha_upper Não Não Não Não Nãox86/avoid_underscore_tolower
Não Não Não Não Não
x86/avoid_utf8_tolower
Não Não Não Não Não
x86/bloxor Não Não Não Não Nãox86/bmp_polyglot Não Não Não Não Nãox86/call4_dword_xor Não Não Não Não Nãox86/context_cpuid Não Não Não Não Nãox86/context_stat Não Não Não Não Nãox86/context_time Não Não Não Não Nãox86/countdown Não Não Não Não Nãox86/fnstenv_mov Não Não Não Não Nãox86/jmp_call_additive Não Não Não Não Nãox86/nonalpha Não Não Não Não Nãox86/nonupper Não Não Não Não Nãox86/opt_sub Não Não Não Não Nãox86/shikata_ga_nai Não Não Não Não Nãox86/single_static_bit Não Não Não Não Nãox86/unicode_mixed Não Não Não Não Nãox86/unicode_upper Não Não Não Não Não
TABELA 1: Tabela de resultados codificadores x mecanismos de defesaFonte: Do autor
Em relação ao antivírus Karspersky, a observação 1 (Obs1) significa que o vírus
foi instalado, entretanto o antivírus bloqueou a sua ação de forma dinâmica.
A figura a seguir prova que o CMSecurity foi permissivo em relação ao vírus
que se chamava “MainActivity”.
54
FIGURA 1: Análise do site virustotalFonte: virustotal
Em relação ao software apktool, os parâmetros resultantes, mostram que os
valores de nome do arquivo e figura, conseguiram ser selecionados corretamente.
Entretanto a instalação não conseguiu ser concluída.
FIGURA 1: Análise do site virustotalFonte: virustotal
55
DISCUSSÃO DOS RESULTADOS
Na presente seção serão discutidos os pontos chaves da infecção do sistema
operacional Android.
O primeiro ponto a ser discutido é sobre o nível de experiência do atacado. Nota-
se que o mesmo tem que dar liberdade para que o código malicioso entre em ação por
meio da aba de segurança. Dessa forma, se o atacado tiver algum nível de preocupação
com a segurança do seu smartphone é provável que o mesmo não dê o acesso que o
código necessita.
Outra possibilidade de melhoria seria a utilização de falsificação do site. Isso
pode levar a maior credibilidade do ataque. Para tanto, seria conveniente também
realizar ataques de DNS Spoofing. Este ataque faz com que, diante de uma requisição
de um usuário, a resolução do nome para o IP seja entregue de a página com a
falsificação, ao invés da página correta.
Outro ponto constante no primeiro teste é sobre a garantia de anonimato. No
teste em questão, o endereço de url25 para o download do código malicioso foi enviado
por um telefone com número conhecido. Há várias formas de realizar o anonimato neste
caso. Um exemplo é utilizar sites que enviam “torpedos” de forma gratuita. A outra
possibilidade é clonar um número de telefone que possua alguma relação com o
atacado. Há várias técnicas e equipamentos que são capazes de realizar este
procedimento. Como não é um dos objetivos deste trabalho, estará constando na parte
de trabalhos futuros no capítulo da conclusão.
Sobre a segurança do sistema Android com uso de softwares antivírus, foram
utilizados aqueles que obtiveram os melhores resultados, segundo sites que são
especialistas em avaliação de segurança. Não houve tempo para verificação de todos os
tipos de antivírus do mercado, tanto na modalidade paga como gratuita. Os resultados
descritos podem ser diferentes dependendo de qual o antivírus que o atacado esteja
utilizando.
25 Uniform Resource Locator, ou, Localizador padrão de recursos. É apenas um endereço de recursosdisponível em determinada rede.
56
O sistema operacional Android sem proteções adicionais pode ser um grande
problema para um usuário que não tem noções de segurança da informação. Ele se
mostrou permissivo com as configurações de segurança errôneas.
Além desta vulnerabilidade, o Android já foi alvo de outros exploits de invasões
como é o caso da vulnerabilidade stagefright que incuba o vírus em mensagens SMS e
MMS.
O antivírus gratuito CM Security deixou o usuário realizar o download e instalar
o código malicioso. No terceiro teste, o antivírus passou despercebido, fazendo com que
os dados pudessem ser tranquilamente adquiridos por um atacante.
O antivírus Karspersky bloqueou a maioria das ações do código malicioso,
mostrando-se como uma das melhores opções para segurança de sistemas operacionais
Android. Mesmo na situação do terceiro teste, ele conseguiu bloquear de forma
dinâmica.
Em relação ao software Apktool, seria de grande valia conseguir compilar o
vírus, pois o vírus produzido pelo software msfvenom poderia ser customizado às
necessidades de certa operação. Um fato é que o software Apktool está compilando de
forma errônea. Pode-se verificar tal situação da seguinte forma: gerou-se o vírus,
buscou-se o hash do vírus original, foi decompilado no software Apktool e depois
compilado novamente sem nenhuma alteração. Os hashs foram diferentes. Isso significa
que o software está compilando de forma incorreta.
Dessa forma, o resultado principal diz que o sistema operacional Android não
possui alto nível de proteção, sem a utilização de recursos de segurança adicionais,
principalmente para usuários leigos.
57
CONCLUSÃO
O principal propósito desta pesquisa foi concluir sobre a permeabilidade do vírus
produzido na ferramenta msfvenom para sistemas operacionais Android e confrontando
este com os antivírus que estão à disposição no mercado.
Diretamente, este estudo tinha a finalidade de produzir resultados par infecção
de sistemas Android. Indiretamente, este estudo poderá ser levado a cabo em operações
militares para conseguir dados de pessoas que estejam sendo investigadas.
Com base nos resultados do capítulo quatro, verificou-se que há possibilidade de
conseguir dados de smartphones, sem a necessidade de tê-los fisicamente.
Portanto, chega-se à conclusão que os resultados confirmam a hipótese H1 que
diz: “É possível a extração de dados, como agenda e mensagens, em aparelhos Android
de versão 3.0 por meio de malware desenvolvido pela ferramenta msfvenom”, com a
ressalva de qual antivírus está sendo utilizado pelo usuário.
O objetivo de analisar a invasão de aparelhos Android de versão 3.0 por meio de
malware desenvolvido pela ferramenta msfvenom, foi alcançado. Percebe-se tal fato
pelos resultados atingidos e pela comparação pelas ferramentas de proteção existentes.
A metodologia de trabalho conseguiu alcançar os seus objetivos propostos,
porém como o curso possui tempo restrito, não houve tempo suficiente para continuar a
pesquisa em assuntos de, por exemplo, como configurar automaticamente a aba de
segurança do sistema operacional Android.
A bibliografia selecionada correspondeu às expectativas, principalmente em
relação aos resultados obtidos e suas razões. Entretanto, foi enfático a falta de uma
doutrina que venha a nortear as ações de Guerra Cibernética da Companhia de
Cibernética do 1º BGE.
Abordando sobre a penetração do código malicioso, conclui-se que o nível de
conhecimento do usuário e os recursos de segurança do sistema operacional Android
são enfáticos para conseguir realizar a infecção.
Como sugestões de trabalhos futuros, verifica-se:
- Desenvolver um sistema capaz de não ser observado pelos principais antivírus,
tendo os resultados do software Apktool como ponto de partida;
58
- Desenvolver sistema que já configure a aba de segurança do sistema
operacional Android;
- Clonar número de telefones celulares de modo a garantir o anonimato do
atacante; e
- Como introduzir o vírus de forma automática, utilizando plataformas como o
pineapple26.
26 Pineapple é uma plataforma que possui, dentre outras capacidades, a possibilidade de ser uma rede wififalsa que está sendo solicitada por algum usuário.
59
BIBLIOGRAFIA
ALBERTS, D. A.; GARSTKA, J. J.; STEIN, F. P. Net Centric Warfare:Developing and Leveraging Information Superiority. 6a ed. Washington:DoD CCRP 2005.
ALBERTS, D. A.; HAYES, R. E. Power to the Edge: Command and Controlin the Information Age. 3a ed. Washington: DoD CCRP 2005.
ALBERTS, D. A.; HAYES, R. E. Understanding Command and Control.Washington: DoD CCRP 2006.
ALECRIM, Emerson. O que é NFC (Near Field Communication)? Disponívelem: http://www.infowester.com/nfc.php. Acessado em 25 de junho de 2016.
ALMEIDA Sílvia e JUSTINO David. Globalização: sociedade em rede.http://sociologia.davidjustino.com/wp-content/uploads/2012/05/MG_UL9_15_05_2012.pdf. Acessado em 27 de abrilde 2016.
AV-TEST.ORG. The best antivirus software for Android. Disponível em:https://www.av-test.org/en/antivirus/mobile-devices/android/. Acessado em 02de julho de 2016.
BARROS, Alex et al. Android S. O. 18 de fevereiro de 2015. Disponível em:http://pt.slideshare.net/lucasddsilva/sistema-operacional-android. Acessado em25 de junho de 2016.
BART. Make your malicious android app be more convincing. Disponívelem: http://null-byte.wonderhowto.com/how-to/make-your-malicious-android-app-be-more-convincing-0163730/. Acessado em 16 de julho de 2016.
BONATO, Vanderlei. Conceito básico sobre computadores. Disponível em:http://wiki.icmc.usp.br/images/b/be/Aula1_-_Conceitos_B%C3%A1sicos_2011101.pdf. Acessado em 05 de junho de 2016.
BRASIL EXÉRCITO BRASILEIRO. EB20-MC-10.213: Operações deInformação. 1ª edição, 2014.
BRASIL Ministério da Defesa. MD31-M-07: Doutrina Militar de DefesaCibernética, 2014.
BRASIL, Ministério da defesa. Estratégia Nacional de Defesa. 2ª ed. Brasília:2012. Disponível em:http://www.defesa.gov.br/projetosweb/estrategia/arquivos/estrategia_defesa_na
60
cional_portugues.pdf. Acesso em 27 de abril de 2016.
BRASIL Ministério da Defesa. MD31-P-02: Política Cibernética de Defesa. 1ªedição, 2012.
CAMARA BRASIL-ISRAEL DE COMÉRCIO E INDÚSTRIA. Porque Israel élíder mundial na proteção da Internet? Disponível em:http://www.cambici.org.br/por-que-israel-e-lider-mundial-na-protecao-da-internet/. Acessado em 06 de julho de 2016.
CCOMGEX. 1º Batalhão de Guerra Eletrônica. Disponível em:http://www.ccomgex.eb.mil.br/index.php/organograma-1-bge. Acessado em 05de junho de 2016.
COMSCORE. ComScore Reports February 2016 U.S. SmartphoneSubscriber Market Share. 6 de abril de 2016. Disponível em:https://www.comscore.com/por/Insights/Rankings/comScore-Reports-February-2016-US-Smartphone-Subscriber-Market-Share. Acessado em 25 de junho de2016.
COSTA, Milena. Android. Publicado em 27 de outubro de 2011. Disponívelem: http://pt.slideshare.net/mhyllenacosta/android-9914409 . Acessado em 25de junho de 2016.
DIAS, Ana Dolores Lima. Android. Palmas, TO: 06 de setembro de 2011.Disponível em: http://pt.slideshare.net/AnaDoloresLimaDias/android-9149956.Acessado em 25 de junho de 2016.
DIAS, J. C. M. Network Centric Warfarefare. In: SILVA, W. G. Laboratório deSimulação de NCW Network Centric Warfare. São José dos CamposInstituto Tecnológico da Aeronáutica: 2009. Disponível em:http://161.24.2.250/sige_old/IXSIGE/Artigos/CC_09.pdf. Acesso em 6 de julhode 2012.
FONTENELE, Marcelo Paiva. Proposta de taxonomia da Guerra daInformação e das Operações de informação. Revista do CIGE de 2010.
G1, 2016. Apple x FBI: disputa é a mais fácil, diz diretor da polícia federaldos EUA. Disponível em: g1.globo.comtecnologia/noticia/2016/02/apple-x-fbi-disputa-e-mais-dificil-diz-diretor-da-policia-federal-dos-eua.html. Acessado em27 de abril de 2016.
GUIMARÃES, CC FN. Network Centric Warfare: Uma revolução no campo deBatalha. In: SILVA, W. G. Laboratório de Simulação de NCW NetworkCentric Warfare. São José dos Campos Instituto Tecnológico da Aeronáutica:2009. Disponível em: http://161.24.2.250/sige_old/IXSIGE/Artigos/CC_09.pdf.Acesso em 6 de julho de 2012.
KATZMAN, J. Special Report: The USA’s transformation communications 2 defevereiro de 2006. Disponível em:
61
http://www.windsofchange.net/archives/special_report_the_usas_transformational_communications_satellite_system_tsat-print.html Acesso em 29 de julho de2012.
KLEINA, Nilton. Lollipop passa Kitkat e agora é o Android mais usado nomundo. Disponível em: http://www.tecmundo.com.br/android/102010-lollipop-passa-kitkat-android-usado-mundo.htm. Acessado em 25 de junho de 2016.
LECHETA, Ricardo R. Google Android: Aprenda a criar aplicações paradispositivos móveis com o Android SDK. 5ª ed, 2013. Novatec: São Paulo.
LEMOS, André; JOSGRILBERG, Fabio (orgs.). Comunicação e Mobilidade.Salvador, EDUFBA, 2009.
MINISTÉRIO DA DEFESA. MD35-G-01: Glossário das Forças Armadas. 4ª ed,2007. Disponível em:http://www.defesa.gov.br/arquivos/File/legislacao/emcfa/publicacoes/md35_g_01_glossario_fa_4aed2007.pdf. Acessado em 05 de maio de 2016.
OLHARDIGITAL. Testamos e escolhemos o melhor antivírus para protegero seu Android. 28 de maio de 2016. Disponível em:http://olhardigital.uol.com.br/fique_seguro/video/testamos-e-escolhemos-o-melhor-antivirus-para-proteger-o-seu-android/58758. Acessado em 28 de junhode 2016.
SILVA, W. G. Laboratório de Simulação de NCW Network Centric WarfareSão José dos Campos Instituto Tecnológico da Aeronáutica: 2009. Disponívelem: http://161.24.2.250/sige_old/IXSIGE/Artigos/CC_09.pdf. Acesso em 6 dejulho de 2012
SIMS, Gary. How secure is Android? 30 de maio de 2012. Disponível em:http://www.androidauthority.com/secure-android-90523/. Acessado em 28 dejunho de 2016.
STONE, Steve. https://www.mitre.org/sites/default/files/publications/pr-15-2128-data-to-decisions-cyberspace-operations.pdf. Acessado em 27 de abril de2016.
SUTERIO, R. Projeto e Análise de Experimentos. São José dos Campos:ITA, Março de 2009. Palestra ministrada aos alunos do curso de mestrado de2009.
SYMANTEC. Glossário de segurança. Disponível em:https://www.symantec.com/pt/br/theme.jsp?themeid=glossario-de-seguranca.Acessado em 25 de junho de 2016.
TUDOCELULAR. Atenção! O código do Stagefright que permite invadircelulares Android agora é público. Disponível em:http://www.tudocelular.com/android/noticias/n60681/android-stagefright-codigo.html. Acessado em 25 de junho de 2016.
62
UOL. O que é Android Auto, o sistema operacional da Google feitoespecialmente para automóveis. Disponível em:http://adrenaline.uol.com.br/2015/10/15/37946/o-que--android-auto-o-sistema-operacional-da-google-feito-especialmente-para-autom-veis. Acessado em 25de junho de 2016.
VANNI, Renata Maria Porto. Dispositivos móveis: Uma visão geral sobre ahistória e tecnologia para dispositivos móveis. Disponível em:http://pt.slideshare.net/MauricCarvalho/dispositivos-mveis-15375049. Acessadoem 25 de junho de 2016.
WEIDMAN. Teste de invasão: Uma introdução prática ao hacking. 2ª ed.Novatec, 2014.
WILSON, C. Networking Warfare: Background and Oversight Issues forCongresss. In:.