EXCLUSIVO: Fraudes e worms afetam redes brasileiras em 2003
Arquivo - Clipping 2004
09 de janeiro de 2004
Veículo: Módulo Security Magazine
Autor: Luis Fernando Rocha
Às pessoas que ainda acreditam que a preocupação com Segurança da Informação não passa de paranóia, sugerimos uma séria releitura em seus pré-conceitos. Isso porque, em 2003, as fraudes reportadas foram seis vezes maiores que em 2002, os worms foram os principais responsáveis pelos incidentes de segurança e o ano passado apresentou o dobro de incidentes reportados em relação a 2002.
Essas constatações estão presentes nas estatísticas de incidentes reportadas em 2003 para o NIC BR Security Office (NBSO), grupo de resposta a incidentes ligado ao Comitê Gestor de Internet no Brasil, e que a Módulo Security News apresenta em primeira-mão.
Segundo Cristine Hoepers, Analista de Segurança Sênior do NBSO, esta tem sido uma tendência dos últimos anos. "Os fatores responsáveis parecem continuar os mesmos: aumento da Internet; grande número de novas vulnerabilidades descobertas a cada ano; número crescente de ferramentas e ataques automatizados; maior número de usuários e administradores de redes dispostos a notificar incidentes e compartilhar informações, entre outros", relata.
Incidentes envolvendo worms
Nesta semana, o grupo divulgou os últimos resultados na área, relativos ao levantamento realizado entre outubro e dezembro de 2003. Nesse estudo, constatou-se que 72% dos incidentes de segurança mais reportados corresponderam ao ataque de worms. Esse tipo de incidente foi, pelo segundo ano consecutivo, o mais reportado ao grupo.
Porém, Cristine explica que os worms não são uma exclusividade do Brasil, mas um problema que está afetando a Internet como um todo. "Um fator que tem contribuído muito para o aumento do número de worms em atividade - e para a dificuldade na erradicação - é o aumento do número de usuários conectados através de banda larga", alerta.
Segundo a especialista, normalmente os usuários de banda larga não são administradores de redes e não possuem todos os conhecimentos necessários para acompanhar as vulnerabilidades e corrigir os sistemas adequadamente. "Com isto, tem-se hoje em dia um número muito grande de máquinas vulneráveis, conectadas por períodos longos à internet", diz.
Ainda na análise sobre as estatísticas do último trimestre de 2003, o levantamento do NBSO revela que aumentou consideravelmente o número de incidentes envolvendo worms, mas em contrapartida constata-se uma diminuição de incidentes por scan. Quais motivos explicariam esse cenário?
"Como as estatísticas são feitas com base em notificações voluntárias por parte de usuários e administradores de redes, é difícil dizer com certeza o porque desta mudança. Não necessariamente isso significa que os scans estejam recuando, pode ser, por exemplo, um reflexo do aumento da atenção de todos sobre os worms", diz Cristine.
A especialista cita outro fator que contribuiu para o aumento dos incidentes com worms no quarto trimestre. "O NBSO tem centralizado notificações automáticas de ataques de worms feitos a diversas máquinas distribuídas pelo espaço Internet brasileiro, coletando informações sobre ataques", explica.
Aumento de fraudes
Acompanhando a tendência de crescimento observada no terceiro trimestre, o número de incidentes reportados envolvendo fraudes praticamente triplicou no último trimestre do ano (de 131 para 320).
Segundo o grupo, esse crescimento é explicado, "em parte, pela maior exposição do problema na mídia e pelos diversos casos de sucesso envolvendo a atuação das polícias, que estimularam a notificação de tais tipos de incidentes".
Para Cristine Hoepers, o que acontece é que mesmo utilizando apenas ferramentas e técnicas amplamente conhecidas, os fraudadores estão explorando a falta de conhecimentos aprofundados da maior parte dos usuários e a tendência deles de acreditar nas mensagens que são enviadas pela web.
"Esta combinação faz com que aqueles que não dominam os aspectos técnicos em geral sejam ludibriados pelos e-mails falsos, sites clonados e outros subterfúgios utilizados", alerta.
A especialista relata ainda que os fraudadores utilizaram diversas técnicas para perpetrar suas atividades ilícitas. "Cabe destacar: envio de spams, utilização de proxies abertos para envio destes spams, invasão de servidores de DNS vulneráveis etc", diz.
Scans por portas
No levantamento específico sobre scans por portas, o NBSO relata que "mantiveram-se constantes as buscas por máquinas com proxies abertos, em particular pelas portas 1080/TCP, 3128/TCP, 6588/TCP e 8080/TCP. Além disso, foram constantes os scans pela porta 17300/TCP, que é utilizada pelo backdoor instalado pelo vírus kuang2".
No quarto trimestre de 2003, as estatísticas revelam que houve um aumento considerável de scans pelas portas 554/TCP e 901/TCP. "A porta 554/TCP é utilizada por servidores que fazem transmissão de áudio/vídeo (em agosto houve o anúncio de uma vulnerabilidade no RealNetworks streaming media server). Já a porta 901/TCP é utilizada pelo SWAT (Samba Web Administration Tool) e pelo RealSecure sensor", explica o anúncio oficial do grupo.
Como combater os incidentes
Uma das principais características desse tipo de levantamento é ajudar os profissionais da área de segurança da informação a nortear a implantação de medidas para prevenir e combater os incidentes no futuro e corrigir possíveis erros cometidos no passado.
Sobre as fraudes, Cristine Hoepers explica que é necessário atuar em duas frentes: punir os fraudadores e educar os usuários. "A punição necessita ser feita pela justiça, envolve denúncia à polícia, investigação dos fatos e é lenta, mas como temos visto tem tido frutos em diversos casos. Resumindo, os usuários vítimas de fraudes ou de tentativas de fraudes, devem notificar estas atividades de modo a auxiliar o acompanhamento dos casos", diz.
Para ela, a educação dos usuários deve ser contínua e é necessário que as instituições que estão tendo seus nomes utilizados nestas fraudes (como os bancos e operadoras de cartão de crédito) façam campanhas mais amplas junto aos seus clientes. "O NBSO já esteve em reunião com algumas instituições e já se ofereceu para auxiliá-las. Temos esperança que em 2004 exista um investimento maior em educação dos clientes por parte das próprias instituições que têm sido lesadas", relata.
Já na prevenção e combate aos incidentes com worms, a especialista diz que, tanto para os administradores de redes quanto para os usuários, o que existem são medidas preventivas, que envolvem possuir diversas camadas de segurança: aplicar todas as correções de segurança, possuir firewalls pessoais, utilizar antivírus e atualizá-los e observar todas as boas práticas para a utilização da Internet, por exemplo.
Porém, ela alerta que estas medidas podem parecer fáceis de serem adotadas, mas envolvem uma série de cuidados. "Como exigem cuidado diário com o computador, manutenção de listas de correções aplicadas e manutenção de filtros no firewall, acabam sendo muito complexas para os usuários, que muitas vezes tomam as medidas assim que uma vulnerabilidade é anunciada, mas não tomam o cuidado de repeti-las em casos de mudança ou reinstalação do sistema operacional e atualização das máquinas, por exemplo", diz.
Assim, Cristine traz duas recomendações. "A prevenção para os usuários é estar sempre atento às recomendações da Cartilha de Segurança para Internet e manter-se atualizado através de sites e publicações especializadas no assunto. Para os administradores de redes, o cuidado e disciplina deve ser ainda maior, como descrevemos em nosso documento de Prática de Segurança para Administradores de Redes", orienta.
Perspectivas para 2004
Sobre as tendências envolvendo incidentes em 2004, a especialista diz que, infelizmente, não são muito positivas. "Os worms parecem ter vindo para ficar e as fraudes não devem recuar tão cedo. Além disso, o spam também contribuirá para um ano conturbado", revela.
Para ela, uma mudança neste cenário só será possível se houve maior investimento em segurança (e em tratamento de incidentes) e em educação - tanto dos administradores de redes e profissionais de segurança, quanto dos usuários.
Saiba mais:
Estatísticas dos Incidentes Reportados ao NBSO
