Ameaçados pela máquina de doces

Interrompendo momentaneamente colunas sobre as informações obtidas no WinHEC (retornarei semana que vem ao assunto) volto ao assunto SEGURANÇA. Este assunto sempre me fascinou. Não que eu seja um grande especialista no assunto, muito pelo contrário. Fascinam-me as artimanhas dos cyber-marginais para obter algum tipo de ganho em cima de mim, e dos grandes perigos, nem sempre conhecidos, que estão por aí. Já escrevi algumas vezes aqui sobre o tema :

– O outro lado do SPAM – Invasão, destruição e extorsão (partes 1,2,3,4 e 5) – ISS-Internet Security Systems – O homem errado – Roubado pelo DNS – Para navegar sem ser fisgado – Inconformado com os e-mails – Como anda a sua segurança ? Hackers o espreitam!

Em uma apresentação na empresa ISS – Internet Security Systems, percebi que ainda há ameaças que desconhecia e que no mínimo devem ser avaliadas e medidas defensivas devem sertomadas. As ameaças vêm as vezes de onde não esperamos! Você sabe o que é um “Embedded System”? São dispositivos dos mais variados tipos que nos cercam em nosso dia a dia. Eles têm este nome, pois são computadores especializados ou “incorporados” (embedded) em um dispositivo que muitas vezes nem se parece com computador. São baseados em vários sistemas operacionais como Windows NT, Windows 2000, Windows XP,Linux, BSD etc. Eles estão presentes em lugares anteriormente impensáveis. Lembro-me bem que os caixas eletrônicos de tempos atrás usavam Windows NT como seu sistema operacional (bem como Windows 2000). Máquinas copiadoras e multifuncionais mais complexas, máquinas de vendas de refrigerantes ou de outras mercadorias, ATMs, aparelhos médicos como sistema de diagnósticos (ultra-som ou análise de sangue), sistemas de monitoração em UTIs e sistemas de exibição em cinemas com tecnologia digital são só alguns exemplos destes tipos de dispositivos.

[singlepic id=7144 w=320 h=240 float=]

[singlepic id=7145 w=320 h=240 float=]

Na grande maioria das vezes estes dispositivos estão profundamente vulneráveis e as pessoas responsáveis nem se dão conta disso! Em um levantamento feito pela ISS foi descoberto que estes equipamentos estão muitas vezes 4 anos ou mais desatualizados em relação aos “security patches” que são distribuídos. Eles rodam processos de servidores sem serem auditados ou gerenciados explicitamente. Nunca vi alguém se preocupando em rodar o Windows Update em máquinas de ultra-som, monitores cardíacos, ATMs ou mesmo impressoras multifuncionais.

O real perigo reside no fato de que estes dispositivos estão cada dia mais integrados às redes, alguns até via rede sem fio. As ameaças, vírus, worms, etc. não são feitos visando atacar ou infectar, por exemplo, um aparelho de ultra-som ou um sistema de monitoração de uma UTI. Mas como os ataques são feitos de forma massiva, sem escolher o destino, os “embedded systems” podem acabar recebendo a visita destes indesejáveis “parasitas digitais” e comprometendo sobremaneira o funcionamento dos mesmos e causando desde prejuízos financeiro até risco de vida para as pessoas.

Isso tudo não é exagero. Há casos concretos de infecções deste tipo. Impressoras multifuncionais corporativas, por exemplo rodam processos de HTTP Server, TELNET, FTP (todos para fins de manutenção) e são muito vulneráveis . Na Inglaterra, máquinas de atendimento bancário rodando Windows 2000 foram infectadas com o vírus BLASTER e pelo Worm 0wn3d (um tipo de backdoor). Osciloscópios de um laboratório de eletrônica foram infectados pelo worm SASSER. Este worm infecta sistemas com SQL Server alterando sua senha padrão e impedindo o uso das aplicações. O referido osciloscópiousava MSDE-um runtime do SQL Server-para armazenamento de dados lidos. Há casos reportados de mau funcionamento de aparelhos médicos causados por worms que sobrecarregam as redes com milhares de pacotes TCP/IP por segundo.

O perigo aumentou, pois os criadores dos vírus e worms têm mudado um pouco a forma de operação. Eles procuram concentrar seus ataques em um curto período de tempo, pois sabem que os softwares antivírus logo receberão as vacinas. Assim se valem de SPAMs em altíssima escala e “bots” (máquinas infestadas com outros worms que agem ao comando do malfeitor para infectar outras máquinas com um novo vírus). Este tipo de ataque dura geralmente poucas horas e cessa rapidamente visando somente colher os “benefícios” dessa empreitada.

[singlepic id=7148 w=320 h=240 float=]

Com o intuito de lograrem maior êxito em seus ataques, os hackers se utilizam da técnica de “Variantes Seriais”. Em um curto espaço de tempo criam diversas variações de um vírus ou worm original com o intuito de prolongar a janela de possibilidade de infecção pois assim “driblam” os softwares de segurança baseados em vacinas ou assinaturas (a grande maioria dos programas utilizados). Um exemplo claro disso aconteceu no ano passado como vírus BAGLE que em muito pouco tempo teve muitas dezenas de variações (Bagle.A, Bagle.B…, Bagle.AA, Bagle.AB… etc.)

[singlepic id=7149 w=320 h=240 float=]

O fato concreto é que há ameaças de toda parte. Comigo mesmo as vezes acontece de entrar em algum site e o antivírus bloquear algum arquivo do “Temporay Internet Files” pois o mesmo é um vírus ou worm. Se a simples ação de entrar em um site é perigosa, quão cuidadosos temos que ser. Há alguns meses com a ajuda de meu velho amigo André Gurgel, escrevemos à quatro mãos uma coluna que fala sobre isso-[url=]Para navegar sem ser fisgado[/url]-na qual usamos a abordagem de utilizar uma máquina virtual para navegação na Internet.

Segundo a ISS o tipo de defesa que está se tornando mais necessária por ser mais eficaz, é a defesa COMPORTAMENTAL e não aquelas baseadas em ASSINATURAS (habitualmente chamadas de vacinas). Como os hackers estão concentrando seus ataques em breves períodos de tempo, o mecanismo de vacinas não é eficaz. A análise do comportamento da máquina e do sistema operacional ou do tráfego da rede, com o devido isolamento da máquina infectada e do processo virulento, parece ser o meio mais eficiente de limitar a propagação destas pragas virtuais.

Outra “surpresa” foi ter conhecimento do “ataque aos sites de busca”, como o conhecido GOOGLE. Hackers criam domínios com nomes muito parecidos com o de sites conhecidos. Em seguida utilizam-se de expedientes para enganar os processos de classificação das páginas. Assim conseguem que um site impróprio apareça na entre os resultados da busca na frente que o site verdadeiro. Se o usuário não estiver muuuuuuuito atento entra no site falso e “entrega de bandeja” seu dados para o marginal. Veja o exemplo abaixo que aconteceu com o CITIBANK (já não está mais assim)!

[singlepic id=7150 w=320 h=240 float=]

Confesso a todos vocês que fiquei muito preocupado após esta conversa com a ISS. As possibilidades de encontrar um worm, vírus, malware, spyware etc. é tão grande que vale aquela máxima que diz : “computador seguro é aquele que está desligado e trancado dentro de um cofre”!!! Ou alternativamente com um grande conjunto de ferramentas para defesa, firewall e muita informação por parte dos usuários! A ISS tem em seu portfólio vários produtos muito interessantes como o PROVENTIA – mais detalhes no site da ISS O importante é ter o conhecimento das ameaças e estar protegido, seja como for!!

[singlepic id=7146 w=320 h=240 float=]

[singlepic id=7147 w=320 h=240 float=]