Variante do Code Red explora falta de cultura em segurança
Arquivo do Clipping 2003
17 de março de 2003
Veículo: Módulo Security Magazine
Autor: Luis Fernando Rocha
Se você atualiza constantemente seu antivírus, efetua as correções de vulnerabilidades nos aplicativos de seu sistema e segue as regras da política de segurança de sua empresa, então esta reportagem servirá apenas como mais um relato da ação de uma ameaça virtual. Agora, para aquele profissional que não segue um ou nenhum desses passos, este texto revela a importância da prevenção contra o surgimento dessas novas ameaças.
Durante toda semana, as grandes empresas do mercado de antivírus alertaram as grandes corporações para o surgimento de uma variante do Code Red II, o CodeRed.F, que possuiria as mesmas características de ataque do código original, mas com capacidade de propagação até o ano de "34.952", segundo análise dos especialistas do Laboratório da Panda Software.
As variantes anteriores do Code Red causaram imensos prejuízos no mercado. Um estudo do instituto americano de pesquisas de tecnologia da informação, Computer Economics, realizado no ano de 2002, revelou que o código original do worm Code Red causou prejuízos em torno de 1,5 bilhão de dólares somente com a limpeza de servidores infectados pela praga.
Já o Code Red II, segundo pesquisa realizada pela Arbor Networks - que monitorou por sete meses diversos sistemas de grandes empresas da web - teria infectado mais de 14 mil sistemas até dezembro de 2000 e 18 mil até o mês de abril deste 2002.
CodeRed.F no Brasil
A redação da Módulo Security Magazine procurou algumas equipes especializadas na prevenção e combate as pragas virtuais para ilustrar o real cenário no país. A maior parte dos entrevistados relatou, até o momento, a baixa incidência de infecções em sistemas corporativos.
Cristine Hoepers, analista de segurança sênior do grupo de segurança NIC BR Security Officer (NBSO), confirma que a atividade da nova variante do Code Red no país não foi intensa. "Nos últimos dias, o número de notificações por parte de pessoas que detectaram tráfego associado ao Code Red aumentou, mas não chega a ser alarmante. Boa parte dos computadores já estão com as correções necessárias para se prevenir das outras variantes do Code Red e este, provavelmente, é o motivo da propagação da atual variante estar sendo mais lenta", relata.
Segundo Marco Bicca, engenheiro de suporte a produto da Symantec do Brasil, a empresa recebeu poucas ligações sobre a atividade do worm CodeRed.F. Para o especialista, as empresas brasileiras estão seguindo os procedimentos recomendados de segurança. "Para se ter idéia, o ataque de vírus por e-mail, que trazem as ameaças anexadas nas mensagens, diminuiu consideravelmente no mercado corporativo", revela.
Já o analista de segurança Alexandre Medeiros, do Centro de Atendimento a Incidentes de Segurança (CAIS), ligado à Rede Nacional de Ensino e Pesquisa (RNP), diz que o grupo não recebeu um grande número de chamados, mas faz um alerta. "Isso não significa, necessariamente, que as redes conectadas ao backbone da RNP não estejam sendo atacadas pelo worm. Acreditamos que o fato de não termos recebido um volume grande de solicitações deve-se, possivelmente, à semelhança do atual worm com as demais variantes".
Medeiros prevê ainda um baixo número de sistemas infectados. "No caso do CodeRed.F, por se tratar de um problema relativamente antigo, acredita-se que o número de máquinas vulneráveis não seja tão alto como há 18 meses. Possivelmente, o problema ficará restrito a servidores web que ainda não corrigiram a vulnerabilidade, e sistemas de usuários domésticos que não foram devidamente atualizados e não possuem firewall", revela.
Novas variantes, antigas falhas
Cristine Hoepers, do NBSO, diz que novas variantes de pragas antigas continuam a se disseminar pela falta de atualização de sistemas. "No caso da nova variante de Code Red, quem a fez apenas reprogramou o código do Code Red II para que ele não tivesse mais uma data final para tentativas de propagação. Ou seja, enquanto existirem computadores na Internet vulneráveis ao exploit utilizado pelo Code Red, ele continuará se propagando. E este é o motivo da propagação de worms: software com vulnerabilidades e códigos maliciosos, que se aproveitam da existência de computadores sem as devidas correções, para se propagar".
Sobre a continuidade da circulação de variantes de antigas pragas virtuais, Marco Bicca relaciona o fato à falta de cultura de segurança entre muitos usuários, como não seguir a política de segurança da empresa e não atualizar os aplicativos de sistemas em rede. "No caso da nova variante do Code Red, os alvos são servidores que nunca foram atualizados", alerta.
Ele revela ainda que worms como o Klez e o Yaha, que continuam a apresentar grande atividade no Brasil, reforçam a idéia da necessidade do aumento da segurança no mercado de varejo. "Muitos casos que recebemos estão relacionados com a falta de conhecimento ou a falta de atualização do programa de antivírus. Se no mercado corporativo a proliferação de vírus por e-mail diminuiu, no mercado de varejo essa é a principal ameaça registrada pela Symantec", afirma.
Dicas de prevenção
Medeiros, especialista do CAIS/RNP, cita algumas importantes recomendações para evitar o ataque do CodeRed.F. "Assim como o CodeRed II, este worm instala um backdoor no servidor vulnerável, possibilitando que comandos arbitrários sejam executados através de uma URL especialmente construída. Assim, devem ser aplicadas as correções necessárias através do patch acumulativo, publicado pela Microsoft, em servidores Windows NT com IIS 4.0/5.0 e servidores Windows 2000. Ferramentas para remoção do worm também estão disponíveis no site da Microsoft", explica.
Já Marco Bicca diz que a combinação de sistemas de defesa (como um antivírus sempre atualizado e um firewall, por exemplo) são armas eficazes contra o aumento de pragas virtuais com ameaças combinadas. "Veja, por exemplo, o caso do Nimda, que combina três formas de ataque: e-mail, rede e servidor. Nos últimos tempos, muitas empresas têm obtido sucesso no combate aos vírus por utilizarem diversas ferramentas de prevenção", diz.
No caso dos usuários finais, devido ao aumento do uso da banda larga, Bicca cita a atualização constante do antivírus e o uso de um firewall pessoal como armas obrigatórias de defesa. No entanto, a utilização ainda baixa de firewall pessoal não estaria ligada à dificuldade no seu uso? "Em alguns casos sim, mas gradativamente essa ferramenta tem se tornado bastante amigável. Atualmente, para administrá-lo, o usuário precisa saber algumas regras básicas. Acredito que em pouco tempo seu uso estará tão difundido quanto os programas antivírus", finaliza.
O analista do CAIS, Alexandre Medeiros, fala ainda sobre a importância do uso de firewalls. "Lembrando também da importância de se ter um firewall instalado, não somente para controlar o tráfego que chega a rede, mas deve-se considerar também fortemente a criação de filtros para controlar o tráfego que sai da rede, a fim de minimizar os problemas de propagação do worm".
Fique em dia
Patches Microsoft:
Alerta Symantec
Alerta Trend Micro
Alerta F-Secure
Alerta Panda Software
Alerta Kaspersky Lab
Alerta McAfee
