NIC.br

Ir para o conteúdo
31 JAN 2005

EXCLUSIVO: aumento de fraudes e ataques de força bruta em 2004






Arquivo - Clipping 2005

31 de janeiro de 2005

Veículo: Módulo Security Magazine
Autor: Luis Fernando Rocha

O número de notificações envolvendo fraudes de internet apresentou um crescimento de quase seis vezes (577%) em relação ao ano de 2003 e houve um aumento considerável de varreduras (scans) pela porta 22/TCP, em casos de tentativas de login via força bruta, utilizando ataques de dicionários.

Esses foram alguns dos principais dados obtidos no levantamento anual de incidentes de segurança no Brasil, realizado pelo grupo de resposta a incidentes de segurança NIC BR Security Office (NBSO), ligado ao Comitê Gestor de Internet no Brasil (CGIBr).

Para se ter uma idéia do cenário crítico envolvendo as fraudes, o grupo revela que quase metade das notificações envolvendo esse tipo de incidente ficou concentrado no último trimestre do ano passado, sendo que o mês de dezembro registrou um número maior de fraudes do que o índice total obtido em 2003.

A indução continua sendo o principal artifício dos fraudadores para o "sucesso" de seus ataques. "A possibilidade de fraudes utilizando esquemas com menor interação por parte do usuário existe, porém o esquema mais notificado ao NBSO ainda é a disponibilização de um cavalo de tróia em um site e o subseqüente envio de um e-mail induzindo o usuário a clicar na URL do cavalo de tróia. Já o aumento, infelizmente, é reflexo do fato de os usuários ainda serem enganados por este esquema, apesar de todos os alertas a respeito", explicam Cristine Hoepers e Klaus Steding-Jessen, analistas de segurança sênior do NBSO.

Ataques DoS e scans por múltiplas portas

Apesar de não ter um índice significativo em relação ao total de incidentes reportados ao NBSO, os ataques de negação de serviço (DoS) apresentaram o dobro de incidentes em 2004, se compararmos com os números de 2003.

Somente no mês de outubro do ano passado, foram registrados 51 incidentes, sendo que esse foi o mês de maior atividade de DoS em toda história das estatísticas realizadas pelo grupo.

"Em outubro, tivemos várias redes de diversas regiões brasileiras, em sua maioria de provedores de acesso via banda larga, participando de ataques de negação de serviço contra redes do exterior. Pelas características dos ataques, é provável que estas máquinas fossem de usuários domésticos e estivessem fazendo parte de botnets", revelam Cristine e Klaus.

Outros incidentes muitos comuns em 2004 foram os scans por múltiplas portas, realizados por worms, bots e ferramentas automatizadas, normalmente envolvendo combinações de portas TCP.

Segundo o NBSO, para impedir que seus sistemas sejam alvos desses ataques, os administradores de sistemas precisam manter suas máquinas atualizadas, não apenas os servidores, mas também os desktops dos usuários de suas redes.

"Também é importante analisar o tráfego que sai de suas redes com destino a essas portas, deste modo identificando máquinas internas infectadas o mais cedo possível, o que contribui para evitar que o problema se alastre por toda a instituição", completam.

Os especialistas ressaltam ainda que outro fator importante para prevenção está no cumprimento de uma política rígida a respeito de conexões de micros de terceiros na instituição, de conexões remotas e de notebooks de funcionários na rede. "Acompanhamos diversos casos sérios em que grandes instituições, que tiveram toda a sua rede comprometida devido a um problema com a conexão inesperada na rede interna de uma máquina previamente infectada", revelam.

Scans em destaque: portas 4899/TCP e 22/TCP

Analisando as estatísticas do quarto trimestre de 2004, percebe-se um aumento de scans pela porta TCP/4899 (passou de 5% para 13%). Tal cenário estaria ligado a falhas no serviço Radmin - Remote Administrator.

"Apesar de uma falha publicada para o Radmin ser relativamente antiga (nota da redação: setembro de 2002), houve um crescimento muito grande nas varreduras por esta porta nos últimos meses de 2004, culminando no aparecimento de um worm (W32.Rahack) agora em janeiro de 2005, que explora senhas fracas no Radmin, alertam Cristine e Klaus.

Ainda em relação aos scans reportados por portas, a atividade envolvendo a porta 22/TCP foi a maior do ano (sendo a mais ativa nos dois últimos trimestres). "Atualmente, o problema do SSH tem sido a exploração de senhas fracas, por força bruta, que pelo crescimento apresentado nas varreduras, provavelmente é um método de ataque que têm obtido bastante êxito", dizem.

Incidentes relacionados com PHP

De janeiro a setembro foi constatado um alto índice de comprometimento de sites através de vulnerabilidades relacionadas com PHP, sendo que muitos estavam sendo utilizados por invasores em atividades envolvendo fraudes bancárias.

A má notícia é que esse cenário não foi alterado no último trimestre do ano. "O cenário não mudou muito, tanto que além de defacements através de problemas relacionados com PHP, tivemos também um worm (Santy) que explorou problemas com PHP", apontam.

Tendências para 2005

Diante dos dados obtidos em 2004, o NBSO aponta que é inegável a tendência de uma automatização cada vez maior dos ataques, como nos casos de worms, bots e outras ferramentas, que deixam os profissionais com um tempo cada vez menor de reação às novas ameaças.

"É cada vez mais difícil encontrar códigos maliciosos que explorem apenas uma vulnerabilidade. A tendência é que a cada nova geração apenas se adicione novas 'funcionalidades', continuando a procurar por vulnerabilidades antigas, além das novas. Com isso, também fica cada vez mais difícil para o profissional identificar o tipo de ferramenta que está sendo utilizada para atacá-lo", explicam Cristine e Klaus.

Segundo os especialistas, outra tendência interessante tem sido o crescimento nos métodos de exploração automatizada de senhas fracas, que têm tido bastante êxito nos casos de SSH e, mais recentemente, no Radmin. "Para encerrar, continua a recomendação aos profissionais que invistam em esclarecimento e educação dos seus usuários, para evitar que os desktops das instituições sejam vetores para o comprometimento de toda a rede. Além disso, o esclarecimento pode ajudar a reduzir o grande número de fraudes que temos observado nos últimos tempos", orientam.

Saiba mais:

Estatísticas de Incidentes em 2004 - NBSO

NBSO revela o cenário do terceiro trimestre: fraudes e scans pela porta 22/TCP

Parte IV da Cartilha de Segurança para Internet

Práticas de Segurança para Administradores de Redes Internet