Apple, Google, Microsoft, Samsung e outras empresas responderam rapidamente ao vazamento de documentos da CIA com uma descrição detalhada das ferramentas de hackers e dezenas de vulnerabilidades de 0 dias em programas e dispositivos populares.

Um dos primeiros a relatar ontem à noite foram os desenvolvedores do editor de texto Notepad ++, que a CIA explorou através de falsificações de DLLs . Este editor suporta realce de sintaxe para diferentes linguagens de programação, e até alguns desenvolvedores o usam.

Os documentos do Vault 7 mencionaram a falsificação de DLLs no Notepad ++. Mais precisamente, um dos desenvolvedores ou testadores da exploração reclama de um pequeno problema com o trabalho da exploração concluída. Conforme mencionado nesta nota , o Notepad ++ baixa o Scintilla - o "componente de edição de código" (um projeto separado) da biblioteca dinâmica SciLexer.dll, adjacente ao arquivo executável. Somente uma função é exportada dessa biblioteca chamada Scintilla_DirectFunction .

O especialista cita o código de código aberto do Notepad ++ para determinar o protótipo da função exportada:

 sptr_t __stdcall Scintilla_DirectFunction(ScintillaWin * sci, UINT iMessage, uptr_t wParam, sptr_t lParam) 

O programador ou testador admite que não consegue acessar essa função de nenhuma maneira, embora tenha instalado plugins adicionais que deveriam estar em contato direto com o Scintilla. Ao mesmo tempo, ele deixa claro que o protótipo atual [com a substituição da biblioteca SciLexer.dll] funciona bem - e expressa a esperança de que seus colegas também resolvam esse problema.

Os desenvolvedores do Notepad ++ literalmente no dia seguinte ao vazamento de documentos lançaram uma nova versão do Notepad ++ 7.3.3 , onde resolveram o problema de substituir a DLL original pela biblioteca da CIA SciLexer.dll, que realiza a coleta de dados em segundo plano.

O problema foi resolvido radicalmente. Agora, a partir da versão 7.3.3, o editor verificará o certificado da biblioteca SciLexer.dll antes de fazer o download. Se o certificado estiver ausente ou inválido, a biblioteca não será carregada - e o próprio editor do Notepad ++ não funcionará.

A verificação de certificado não é proteção absoluta. Os desenvolvedores do programa percebem corretamente que, se um invasor obtém acesso a um computador, ele pode formalmente fazer qualquer coisa com os componentes do sistema. Essa proteção simplesmente impede que o editor de texto carregue a biblioteca maliciosa. Mas ninguém incomoda a CIA substituir, por exemplo, não uma biblioteca, mas imediatamente todo o notepad++.exe arquivo executável notepad++.exe , se a CIA controla o computador.

Os desenvolvedores comparam essa medida de proteção com a instalação de uma fechadura na porta da frente. É claro que a fechadura da porta não protege contra pessoas que realmente precisam entrar, mas ainda é costume trancar a porta toda vez que você sai de casa.

Outros programas populares

O hack para o Notepad ++ fazia parte da operação Fine Dining, na qual a CIA lançou explorações para vários programas populares. No total, a lista de restaurantes finos lista os módulos para 24 aplicativos . Para a maioria deles, a falsificação de DLL foi realizada.

• VLC Player Portable
• Vista Irfan
• Chrome portátil
• Opera portable
• Firefox portátil
• Clamwin portable
• Kaspersky TDSS Killer Portable
• McAfee Stinger Portable
• Remoção de vírus Sophos
• Thunderbird portátil
• Opera Mail
• Leitor Foxit
• Escritório portátil
• Prezi
• Babel pad
• Notepad ++
• Skype
• Backup do Iperius
• Acesso seguro à Sandisk
• Software U3
• 2048
• Lbreakout2
• Portátil com 7 zip
• Prompt de CMD portátil do Linux

Obviamente, a CIA tem explorações muito mais avançadas. Por exemplo, com a introdução de um rootkit no kernel do sistema operacional, infecção pelo BIOS etc. Mas este exemplo mostra que os olheiros não abandonaram métodos mais simples e tecnologicamente avançados, como falsificar DLLs. Talvez essas explorações simples tenham sido desenvolvidas por estagiários novatos ou contratados por terceiros.

É claro que é impossível se proteger completamente da vigilância do governo - eles têm muitos recursos. Mas se estiver ao nosso alcance fechar algum tipo de vulnerabilidade, você precisará fazer isso, apesar da futilidade geral do processo.

De uma maneira ou de outra, mas outros fornecedores de software também informaram sobre as medidas tomadas.

A Apple disse que muitas das vulnerabilidades em seus dispositivos e softwares mencionadas nos documentos não são mais relevantes, ou seja, estão ausentes na versão mais recente do iOS. Obviamente, os "buracos" restantes serão corrigidos nos próximos lançamentos.

A Microsoft comentou : "Estamos cientes dos documentos e os estudamos".

A Samsung , cuja CIA invadiu as TVs da série F8000, disse : "Estamos cientes do relatório e estamos estudando urgentemente esse problema".

O diretor de segurança e privacidade das informações do Google expressou confiança de que as atualizações de segurança mais recentes do Chrome e Android devem proteger os usuários da maioria das vulnerabilidades mencionadas nos documentos: "Nossa análise está em andamento e implementaremos as medidas de segurança necessárias".

UPD: Julian Assange disse hoje que as empresas de tecnologia terão acesso exclusivo às explorações da CIA antes que elas estejam disponíveis ao público.