Um retrato dos incidentes de segurança no primeiro trimestre de 2004
Arquivo - Clipping 2004
16 de abril de 2004
Veículo: Módulo Security Magazine
Autor: Luis Fernando Rocha
Aumento do número de comprometimentos de sites através de vulnerabilidades relacionadas com a linguagem de programação PHP, crescimento significativo de incidentes reportados associados a fraudes pela internet e aumento do número absoluto de servidores comprometidos que estavam sendo utilizados por invasores em operações relacionadas com fraude bancária.
Essas são algumas das principais conclusões das estatísticas de incidentes reportados no primeiro trimestre de 2004 para o NIC BR Security Office (NBSO), grupo brasileiro de resposta a incidentes de segurança, ligado ao Comitê Gestor da Internet no Brasil (CGI-Br).
Com base nesse levantamento, o NBSO traz algumas conclusões importantes. A primeira é a constatação do aumento no número de scans pela porta 6129/TCP. Segundo os especialistas do grupo, tal prática está associada a uma vulnerabilidade no software "DameWare Mini Remote Control".
Os dados revelam também o crescimento de scans realizados por ferramentas automatizadas que testam as máquinas tanto por vulnerabilidades diversas (dameware, msrpc etc), quanto por backdoors deixados por outros malwares (como o Mydoom e o Bagle). O grupo ressalta ainda que continuaram constantes as buscas por máquinas com proxies abertos e scans pela porta 17300/TCP (através de backdoor instalado pelo vírus kuang2).
Mais fraudes reportadas
Apesar das recentes prisões de fraudadores de internet e o aumento da divulgação sobre essa prática criminosa pela imprensa especializada, as estatísticas do primeiro trimestre apontaram um aumento dos incidentes envolvendo fraudes na internet.
A explicação para esse aumento é positiva: os usuários brasileiros estão denunciando tais crimes. "Essas estatísticas são de incidentes voluntariamente reportados e o aumento das notificações de fraudes se deu, em parte, pelo fato de as reportagens e prisões estarem estimulando os usuários de internet a reportar este tipo de atividade", revela Cristine Hoepers, analista de segurança sênior do NBSO.
Porém, apesar dos dados revelarem como os usuários estão encarando a importância em se denunciar esses crimes, a especialista diz que, infelizmente, o número de fraudes cometidas via Internet não diminuirá enquanto os usuários não aumentarem a consciência sobre os perigos dos ataques de engenharia social.
"A maioria das fraudes ainda se aproveita da credulidade dos usuários nos e-mails recebidos e no fato de executarem programas mesmo sem conhecer a origem. Além disso, as técnicas de ataque estão cada vez ocultando melhor os acessos a páginas clonadas e a instalação de trojans de captura de senhas nas máquinas dos usuários", alerta.
Assim, para se proteger de tais ameaças, Cristine relata que é essencial que os usuários entendam os ataques de engenharia social e mudem seu comportamento ao usar a Internet. "Uma boa leitura sobre o assunto é a Parte IV da Cartilha de Segurança para Internet, que aborda os temas de engenharia social e fraudes", recomenda.
Exploração de vulnerabilidades relacionadas com PHP
O aumento do comprometimento de sites através de vulnerabilidades relacionadas com PHP retoma algumas questões relacionadas com a segurança no desenvolvimento de sistemas e programas. A pergunta é: tal indício poderia demonstrar a falta e a necessidade de melhor implantação de procedimentos de segurança em desenvolvimento?
Antes de responder tal pergunta, a especialista do NBSO explica que os comprometimentos reportados não foram necessariamente através de vulnerabilidades no PHP, mas relacionadas com seu uso, como por exemplo problemas de configuração ou uso de scripts PHP de terceiros sem avaliar o impacto no seu sistema.
Segundo ela, para mitigar tais ataques, é essencial que os administradores de sites, ao escolherem a utilização do PHP, tomem medidas de segurança tanto na implantação quanto na configuração do serviço.
"Além disso, ao desenvolver ou utilizar scripts de PHP é necessário que o administrador esteja consciente dos riscos envolvidos e das medidas que devem ser tomadas para evitar que atacantes explorem vulnerabilidades ou problemas de configuração e programação. Estas recomendações são válidas também para sites que utilizam tecnologias como CGI ou Java, por exemplo", completa.
Perspectivas para o próximo trimestre
Segundo Cristine, em relação às atividades que o NBSO tem observado nos últimos meses, há uma tendência do aumento de ataques automatizados e worms que tentam explorar vulnerabilidades diversas e encontrar máquinas com backdoors deixados por outros malwares. "Ou seja, a tendência é que estes malwares não mais tentarão explorar uma vulnerabilidade em especial, mas sim um conjunto de vulnerabilidades, tornando-os mais eficazes", alerta.
Além disso, ela ressalta que os administradores de sistemas devem ficar atentos com algumas das vulnerabilidades anunciadas nas últimas semanas, como a da biblioteca SSL da Microsoft e do serviço LSA (Local Security Authority) do Windows. "Elas têm um grande potencial de serem exploradas por worms ou outros ataques automatizados. Estas vulnerabilidades, juntamente com algumas outras, estão também listadas no último advisory do US-CERT (nota da redação: ver relação dos alertas no final desta reportagem)", finaliza.
Saiba mais:
Estatísticas do NBSO - 1º Trimestre de 2004
Cartilha de Segurança para Internet
Práticas de Segurança para Administradores de Redes Internet
Alerta de segurança - Windows Local Security Authority Service Remote Buffer Overflow
Alerta de segurança - Microsoft SSL Library Remote Compromise Vulnerability
