Dropbox a serviço dos malwares

[POST Atualizado - 05/07/2011] 

Poucos dias depois de eu ter escrito o artigo, o serviço Dropbox enviou um e-mail para seus usuários comunicando alterações em seus “Termos de Serviço” (TOS). Quase ninguém lê isso mas alguns profissionais de segurança se atentaram para as alterações e ficaram preocupados (com toda a razão).

Joe Garcia, do Cyber Crime 101 Podcast, escreveu um artigo intitulado “Asta La Vista, Dropbox!” comentando as alterações. A conclusão que ele chegou foi bem simples:

So my recommendation is to delete you Dropbox account as soon as you are done reading this and worry about finding an alternative later. ”

Simplesmente porque no novo TOS do Dropbox está dizendo que os usuários dão direito a eles de usar, copiar, distribuir, manipular, publicar, ou fazer o que quiser com os arquivos que deixam lá e sem pagar nada por isso.

Então já não bastam as falhas comuns do serviço que deixam os arquivos dos usuários vulneráveis, agora eles oficialmente dizem que podem fazer o que quiser com eles.

Outra coisa interessante sobre o Dropbox que verifiquei essa semana foi que o link do malware foi desativado, isso não aconteceu por ter sido detectado um arquivo malicioso mas sim porque o link estava gerando muito tráfego, gerou um Erro 509Bandwidth Limit Exceeded” conforme imagem abaixo:


A partir disso imagino que os links públicos do serviço devem ter um limite bem baixo de tráfego.

[POST Original - 30/06/2011]

O Dropbox é um serviço muito prático de armazenamento de arquivos online que permite que você mantenha arquivos e pastas sincronizadas em vários computadores diferentes, estando assim sempre disponíveis onde quer que você esteja acessando a Internet.

Como tudo em tecnologia ele pode ser utilizado com boas ou más intenções. Com o crescimento e a popularização do serviço, que permite que qualquer pessoa crie uma conta e armazene até 2 GB gratuitamente, ele passou a ser utilizado largamente pelos desenvolvedores e distribuidores de malwares.

Na imagem abaixo vemos uma string que nos diz que os arquivos-fontes desse malware, no caso um Delphi Project (dpr), foi hospedado diretamente no Dropox, isso permite que o coder continue seu projeto a partir de que qualquer computador ou mesmo compartilhe com a quadrilha os amigos.


Nesse segundo exemplo vemos um e-mail phishing onde o link aponta para um arquivo Zip armazenado também no Dropbox, esse é uma outra característica do serviço, permite que criemos links públicos para que qualquer um possa fazer download do arquivo


Nos termos de uso do serviço eles deixam claro que o Dropbox não tem nenhuma obrigação de monitorar os arquivos armazenados mas também podem fazer se for necessário para cumprir os termos de uso ou atender alguma solicitação judicial:

You acknowledge that Dropbox has no obligation to monitor any user's access to or use of the Site, Content, Files and Services, but has the right to do so for the purpose of operating the Site and the Services, to ensure users' compliance with these Terms of Service, or to comply with applicable law or the order or requirement of a court, administrative agency or other governmental body.”

Da mesma forma que o serviço é utilizado para hospedar malwares pode ser que também esteja armazenando pornografia infantil ou qualquer outro tipo de conteúdo ilegal. Possivelmente na medida que seu uso for intensificando talvez implementem mecanismos de denúncia e monitoramento de conteúdo, como estamos acostumados a ver em outros serviços.

Ronaldo P. Lima

4 comentários:

  1. Prezado amigo.
    Me identificarei a partir de hoje como X-Dataman, e começei a acompanhar este site/blog desde a madrugada de ontem e confesso que me surpreendi com a qualidade dos artigos.
    Em meus 17 anos de experiência navegando pelos mares da internet, sem falsa modéstia afirmo que NUNCA encontrei dados de análise tão precisos e técnicos sobre arquivos, malwares e semelhantes.
    Realmente estou surpreso em encontrar isto aqui no Brasil.

    Então, lanço um desafio meu amigo Ronaldo P. Lima:

    Recentemente, cai em uma página de Phishing há cerca de 1 mês atrás (ingenuidade pura na época)
    Perdi 2.832,00 em compras feitas com dados do meu cartão de crédito Mastercard.

    A pergunta Trivial é:
    Como já tenho de posse os cabeçalhos dos e-mails, verifiquei que todos eles foram enviados via VPN da Anchorfree, o que torna "irrastreável" (se minha grafia estiver correta).
    Assim como todos os logs de acesso do servidor que hospedava o "falso site" também desde o primeiro acesso, o cybercriminoso muito esperto e inteligente só logava via Anchorfree com diversos ips espalhados pelos servers yankees.
    Assim, mesmo que se use ferramentas de Traceroute, o final do "carretel" sempre dá na dita cuja, tornando impossível localizar o IP do provedor REAL e assim ter acesso aos logs (via ação judicial acredito) para descobrir a máquina.
    Por gentileza, peço que responda estas informações de grande valor não só para mim, mas para ajudar outras pessoas.
    Se possível criar uma análise para nós leitores.

    1 - Existe como conseguir a lista de acesso dos servidores mundiais da Anchorfree para tentar descobrir a origem da máquina? Seria como procurar uma agulha em um gigantesco palheiro imagino.

    2 - Seria necessário ação judiciais?
    Técnicamente acredito inviável, devido ao alto custo e tempo. Como seria então?

    Gostaria muito de ver esplicações detalhadas para rastrear o IP, via VPN da Anchorfreeº.
    Pois em diversas fontes seguras, fui informado que é impossível.
    Mas nenhuma delas é detenteora de conhecimento tão aprofundado nesta matéria.

    Realmente e sem exageros, como se nós internautas tivéssemos garimpado ouro em uma mina.
    Grato e mais uma vez PARABÉNS pelo material de qualidade!

    Ass.:X-Dataman

    ResponderExcluir
  2. Também acharia muito interessante este tema da Anchorfree se fosse abordado pelo autor deste Blog.
    Parabéns pela análise.

    ResponderExcluir
  3. X-Dataman,

    Muito obrigado pelos comentários, fico feliz que esteja gostando do blog, é um incentivo para continuar escrevendo artigos interessantes.

    Quanto as questões não tenho conhecimentos avançados da Anchorfree mas vou estudar o assunto. Caso seja um anonymizer tipo o Tor digo que na prática fica quase impossível mesmo de ser rastreado e na maioria das vezes precisa sim de mandados judiciais e colaboração de vários países, o que leva anos e anos.

    Esse é um dos grades problemas dessas investigações, na maioria das vezes o sucesso na investigação se dará por uma falha, um descuido em algum momento do criminoso.

    A polícia também poderá tentar o outro lado, como faz na maioria das vezes, rastrear o dinheiro. Quem fez o saque, onde, quando, quem usou o cartão, em qual estabelecimento, dia, etc. Como dizem, o dinheiro sempre deixa rastro.

    Irei estudar o tema e assim que possível farei uma matéria a respeito.

    Obrigado, abraços!

    ResponderExcluir
  4. X-Dataman disse:
    Prezado Ronaldo Lima,

    Obrigado e ficarei no aguardo ansioso por uma matéria a respeito deste tema.
    Divulgarei com prazer seu blog para meus contatos.
    Abraços, fique com Deus e sucesso!

    Ass.:
    Ass.:X-Dataman

    ResponderExcluir

Related Posts Plugin for WordPress, Blogger...