NBSO traça cenário de incidentes de segurança no segundo trimestre de 2004
Arquivo - Clipping 2004
12 de julho de 2004
Veículo: Módulo Security Magazine
Autor: Luis Fernando Rocha
Atenção, profissionais de segurança! Nos últimos três meses, foi registrado um alto número de notificações sobre fraudes de internet e de comprometimento de sites através de vulnerabilidades relacionadas com PHP, exploradas por crackers em atividades relacionadas com fraudes bancárias, e um aumento considerável de envio de pop-up spam e de scans envolvendo múltiplas portas, através de worms, bots e ferramentas automatizadas.
O cenário descrito acima faz parte das estatísticas de incidentes reportados no segundo trimestre de 2004 para o NIC BR Security Office (NBSO), grupo brasileiro de resposta a incidentes de segurança, ligado ao Comitê Gestor da Internet no Brasil (CGI-Br).
A seguir, os analistas de segurança sênior do NBSO, Cristine Hoepers e Klaus Steding-Jessen, trazem - de forma exclusiva para Módulo Security Magazine - as principais conclusões obtidas neste estudo. Confira.
Vulnerabilidades relacionadas com PHP
Assim como no trimestre passado, o número de notificações sobre o comprometimento de sites através de vulnerabilidades relacionadas com PHP foi elevado. E o pior: muitos destes comprometimentos foram utilizados por invasores em atividades relacionadas com fraude bancária.
"Detalhando um pouco mais este tipo de ataque, o que tem ocorrido é a freqüência cada vez maior da realização de defacements nos quais os invasores, além de alterarem a página principal de uma instituição, colocam neste site, em uma página secundária, um clone de uma página de banco, por exemplo. Ou seja: não são as infra-estruturas dos bancos, sites de comércio eletrônico ou operadoras de cartão de crédito que são atacadas, mas sim sites aleatórios que são invadidos e onde os invasores colocam clones de páginas destas instituições ou mesmo outras páginas relacionadas com esquemas de fraudes", revelam Cristine e Klaus.
Os especialistas ressaltam ainda que os sites vítimas destes ataques normalmente não possuem um profissional de segurança e não foram desenvolvidos com o fator segurança como prioridade. "Provavelmente, estes administradores ainda não estão suficientemente conscientizados sobre as necessidades de segurança ou não tem acesso a informações atualizadas", analisam.
Notificações de fraudes em alta
Uma prática que também parece continuar em alta pela internet no país são as fraudes. Para se ter uma idéia, o número de incidentes reportados sobre este tipo de prática continuou alto neste segundo trimestre, sendo que esta categoria já atingiu um índice mais que o dobro do registrado em 2003. "Este cenário não é exclusividade do Brasil e é uma conseqüência da combinação de diversos fatores", relatam Cristine e Klaus.
Segundo os especialistas, atualmente os fraudadores aproveitam as diversas vulnerabilidades nos sistemas operacionais e nos navegadores (browsers), aliadas à falta de conhecimento técnico da grande maioria dos usuários de internet para corrigir estas vulnerabilidades, para disseminar suas ações maliciosas.
"A estes fatores somam-se a facilidade que os criminosos estão tendo para enviar spams diários, com as mais diferentes técnicas para ludibriar estes usuários, e convencê-los a clicar em um link para uma página maliciosa ou instalar um programa desconhecido. Boa parte dos esquemas que tentam enganar os usuários para que acessem sites maliciosos ou instalem trojans que capturam informações confidenciais não tem nenhuma relação com o real objetivo da fraude. Boa parte das mensagens aponta para sites com supostas fotos, jogos ou piadas, e induzem os usuários a instalar um programa que no fundo estará monitorando as atividades da máquina e enviando para terceiros informações como números de cartões, senhas ou dados pessoais das vítimas", alertam.
De forma resumida, os especialistas apontam que as vulnerabilidades e trojans facilitam a engenharia social em cima dos usuários internet. "Para se proteger, é essencial que os usuários entendam os ataques de engenharia social e mudem seu comportamento ao usar a Internet. A regra deve ser: nunca acessar um site ou instalar um programa a menos que se tenha certeza absoluta da procedência e confiabilidade. Uma boa leitura sobre o assunto é a Parte IV da Cartilha de Segurança para Internet, que aborda os temas de engenharia social e fraudes", orientam.
Scans por múltiplas portas
Como já fora previsto no trimestre anterior pelo grupo, houve um aumento dos scans por múltiplas portas realizados por worms, bots e ferramentas automatizadas, normalmente envolvendo combinações de portas TCP. Assim, para combater esse cenário, os administradores de redes devem ficar atentos para possíveis máquinas vulneráveis com acesso à internet. "Estas atividades são normalmente executadas por worms e outros ataques automatizados que se aproveitam do número crescente de máquinas vulneráveis que podem ser facilmente exploradas. Para reduzir estes ataques, é necessário que o número de máquinas vulneráveis acessíveis diretamente através da Internet seja reduzido, fato que depende da aplicação de correções e/ou utilização de filtros que bloqueiem os serviços vulneráveis", explicam Klaus e Cristine.
Além disso, eles citam que boa parte das máquinas afetadas pertence a usuários com conexão de banda larga. "Como estes usuários normalmente não possuem conhecimentos avançados, o número de máquinas vulneráveis tende a permanecer grande", alertam.
Ainda sobre os incidentes envolvendo portas, o grupo observou o aumento de atividades observadas nas portas 1026/UDP e 1027/UDP. "Essas portas estão associadas ao serviço Windows Messenger, que permite o envio de mensagens sob a forma de janelas de pop-up. Um uso legítimo pode ser feito por administradores de redes Windows que desejem enviar avisos para seus usuários da rede local", relatam.
Porém, sabendo da utilidade de tal serviço, spammers estão utilizando esse recurso para enviar conteúdo similar ao dos spams por e-mail (conhecido como pop-up spam). "Alguns spammers estão, inclusive, anunciando, via pop-up spam, produtos bloqueadores desse tipo de tráfego. Os administradores de redes podem se prevenir bloqueando esse tipo de tráfego vindo da internet para a sua rede interna. Usuários domésticos podem fazer o mesmo com o uso de firewalls pessoais", explicam.
Perspectivas para o próximo trimestre
Diante das atividades observadas pelo grupo nos últimos meses, Cristine e Klaus observam que há uma tendência do aumento de ataques automatizados e worms que tentam explorar vulnerabilidades diversas e encontrar máquinas com backdoors deixados por outros malwares.
Assim, a recomendação é que os administradores utilizem os dados estatísticos, do NBSO ou de outras fontes, para se ter idéia dos ataques mais comuns e como se definir prioridades.
"Porém, eles devem continuar investindo em políticas de segurança e de uso aceitável, que possibilitem que eles tenham um processo bem definido de instalação e atualização de sistemas, uso de firewalls e antivírus, entre outros, como descrito em nosso documento: Práticas de Segurança para Administradores de Redes Internet", apontam.
Além disso, os especialistas enfatizam a necessidade dos profissionais elegerem como prioridade a conscientização de seus usuários para a importância do cumprimento das políticas de uso aceitável, para a necessidade de softwares de proteção e, principalmente, para a necessidade de ter uma visão mais crítica sobre as mensagens recebidas e os sites acessados. "É importante que os usuários tenham orientação sobre os riscos que correm ao utilizar a internet e compreendam como se defender", finalizam.
Saiba mais:
Estatísticas do NBSO - 2º Trimestre de 2004
Cartilha de Segurança para Internet
Práticas de Segurança para Administradores de Redes Internet
Um retrato dos incidentes de segurança no primeiro trimestre de 2004
