A segurança necessária a certos ambientes de trabalho exige que todo o conteúdo armazenado em computadores seja criptografado. As razões para isso são as mais variadas, mas o princípio disso é que o conteúdo só pode estar disponível para pessoas autorizadas. Existem muitas ferramentas para criar os volumes criptografados que armazenarão o conteúdo a ser protegido e uma delas é o Symantec Encryption Desktop.
Esse produto foi examinado por dois pesquisadores do Centro de Tecnologia da Informação Renato Archer – CTI, unidade de pesquisa do Ministério da Ciência, Tecnologia, Inovações e Comunicações, que fica em Campinas, SP. Os pesquisadores Rodrigo Ruiz e Rogério Winter descobriram uma falha já relatada à Symantec, sobre a qual escreveram um artigo, agora publicado em dois periódicos científicos da área: Cyber Security Review Magazine e Journal of Cyber Security and Mobility.
O título do artigo é “Lazarus: Data Leakage with PGP and Resurrection of the Revoked User”. Traduzindo, “Lázaro: vazamento de dados com PGP e Ressurreição de Usuário Revogado”. Para quem não é familiarizado com a Bíblia, Lázaro teria sido amigo de Jesus, e teria sido ressuscitado por ele quatro dias após morrer. O nome usado como alegoria no título reflete bem a situação encontrada pelos pesquisadores no Symantec Encryption Desktop: um usuário deletado hoje pode ser ressuscitado a qualquer momento, sem a necessidade de divindades ou milagres.
Falha recorrente
As pesquisas conduzidas por Ruiz e Winter indicaram que o mesmo tipo de falha aparece em outras aplicações do gênero, como TrueCrypt e Bitdefender. A grande falha descoberta pelos pesquisadores está no fato de que todas essas aplicações utilizam um header, que entre outras funções tem a de registrar os usuários. Dados de um header contendo, por exemplo o usuário LAZARUS, podem ser copiados para um disco de onde esse usuário foi deletado. No entanto, depois que o header houver sido copiado, LAZARUS conseguirá acesso ao disco.
A NASA, um dos clientes da Symantec utilizando esse produto, foi informada da falha em 7/3/2015. No dia 25/3/2015, a Symantec abriu um registo (SSG15-044) para investigar o assunto. No entanto, segundo Ruiz a falha permanece até hoje sem solução.
Resposta da Symantec
Eu consultei a área de relações públicas da Symantec no Brasil sobre esse assunto, encaminhando uma cópia do paper.
O executivo André Carraretto, Estrategista em Segurança Cibernética da Symantec para a América Latina, e a equipe Symantec Response analisaram o documento e informam que “não se trata de uma vulnerabilidade do produto. Em vez disso refere-se a uma situação em que as práticas recomendadas pela Symantec para operação do produto não foram seguidas completamente. Os clientes devem criptografar novamente os discos ou partições (em sistemas Windows) protegidos pelo Symantec Drive Encryption se a segurança for comprometida, por exemplo, no caso de exposição de senha ou perda do token de autenticação. A Symantec considera que criptografar (re-encrypting) novamente os discos, tanto aqueles físicos como os virtuais, é um tópico importante que abordamos na documentação do produto”.
Como a estrutura de arquivamento continua sendo a mesma e o header continua legível e regravável, a falha permanece, confirmam os pesquisadores Rodrigo Ruiz e Rogério Winter.
Paulo Brito
