AOL2 - Ataques de software de códigos maliciosos

Prévia do material em texto

Ataques de software de códigos maliciosos AOL2
Ataques de programas maliciosos
Existem ameaças aos sistemas de informação que podem ter origem natural, como decorrentes de inundações ou terremotos, ou iniciadas por humanos, bem como por computadores programados por humanos. Um indivíduo que explora uma vulnerabilidade de um sistema de informação perpetra um ataque a ele.
Ataques também podem ser iniciados por outros sistemas, como quando computadores enviam uma quantidade enorme de mensagens para um servidor, sobrecarregando-o com mais dados do que ele pode manipular, o que tende a derrubar um ou mais serviços.
A melhor forma de minimizar os riscos à segurança da informação é cercar o ambiente, elaborando e seguindo políticas de segurança. Devemos lembrar que a obtenção de segurança absoluta é praticamente impossível, e que o investimento em segurança de informação tem um alto custo.
Programas que agem de forma maliciosa, divulgando, alterando ou destruindo informações que não lhes pertencem, são denominados malwares, também conhecidos como softwares maliciosos.
CURIOSIDADE
Malware é uma combinação das palavras em inglês malicious e software, que pode ser traduzido por “programa malicioso” ou “código malicioso”.
Um malware busca executar ações que prejudicarão as atividades de um computador, o que se dá por meio de diversas formas de ataque, como: exploração de vulnerabilidades, autoexecução de mídias ou execução de arquivos previamente infectados.
Os códigos maliciosos também compreendem vermes de computador, vírus e programas do tipo cavalo de Troia. Os objetivos desses códigos são a invasão e a coleta de informações confidenciais. Existem casos de códigos que são programados para ativarem em um momento específico, ou seja, após serem secretamente instalados, ficam “adormecidos”, com data e hora pré-determinada para agir, e são conhecidos como bombas lógicas. Outra característica dos códigos maliciosos é a capacidade de multiplicação, da mesma forma que infecções biológicas, e contaminação automática de outras máquinas na rede.
Hoje, mais do que nunca, o sistema de informação está conectado a redes: os sistemas de informação em diferentes lugares podem ser interconectados. Logo, o risco de acesso não autorizado aumenta, ocorrendo abuso e/ou fraude a qualquer ponto de acesso.
No caso de sistemas de informações, um dos maiores alvos dos criminosos digitais são os dados. Segundo os autores Kenneth e Jane Laudon no livro Sistemas de informação gerenciais, (2010, p 215),
...quando grandes quantidades de dados são armazenadas sob formato eletrônico, ficam vulneráveis a muito mais tipos de ameaças do que quando estão em formato manual. Sistemas de informação em diferentes localidades podem ser interconectados por meio de redes de telecomunicação. Logo, o potencial para acesso não autorizado, uso indevido ou fraude não fica limitado a um único lugar, mas pode ocorrer em qualquer lugar de acesso à rede.
Mesmo utilizando firewalls, criando políticas de segurança e separando as redes internas e externas, os sistemas de informação continuam sendo objetos constantes de riscos, vulnerabilidades, ameaças e ataques, que podem comprometer a segurança da informação.
O ataque é um tipo de acesso ou uso não autorizado de um equipamento ou sistema. É ocasionado após a identificação de uma vulnerabilidade por alguma ameaça, segundo afirma a autora Adriana Beal no livro Segurança da informação: princípios e melhores práticas para a proteção dos ativos de informação nas organizações, de 2008. Um computador pode ser o autor de um ataque, um agente usado para conduzi-lo ou o alvo. Da mesma forma, computador pode ser atacante e alvo de um ataque, isto é, no momento em que ele for comprometido por um ataque, poderá ser usado para atacar outros sistemas.
Há ataques que não interferem no conteúdo do recurso que foi atingido, chamado de ataque passivo, por exemplo, quando foi realizado apenas para a observação e conhecimento de informações. Contudo, quando esse ataque prejudica o conteúdo do que foi atacado e modifica, elimina ou gera informações falsas, é chamado de ataque ativo.
ATAQUES PASSIVOS
O autor William Stallings, em seu livro Criptografia e segurança de redes: princípios e práticas, de 2015, afirma que ataques passivos são difíceis de se detectar, o que se deve à ausência de alteração de dados. Isso faz com que nem emissor nem receptor de mensagens percebam que um terceiro as leu ou observou o padrão de tráfego. Ainda assim, há meios que podem impedir tal ação, como a encriptação. A ênfase do combate aos ataques passivos, logos, não estaria na detecção, mas na prevenção.
Durante um ataque passivo, são realizadas capturas de informações transmitidas pela rede. Existem duas situações em que isso ocorre. A primeira delas é chamada de vazamento de conteúdo de uma mensagem e a segunda é conhecida como análise de tráfego. Vamos conhecer e identificar em que situação cada uma delas ocorrem?
O vazamento de conteúdo de uma mensagem pode ocorrer durante a execução de algumas destas situações: utilização do correio eletrônico para envio de mensagens, realização de uma chamada telefônica, transferência de arquivos etc. Em qualquer uma delas, há informações sensíveis ou confidenciais sendo transmitidas e, por questões de segurança, desejamos impedir que sejam acessadas por um invasor, mas, infelizmente, nem sempre isso ocorre, novamente segundo William Stallings, em seu já mencionado livro de 2015.
Ainda segundo este autor, a análise de tráfego é considerada um tipo de ataque mais leve. Em algumas situações, existe a possibilidade de mascarar a informação que está sendo transmitida na rede, assim, os invasores, mesmo que conseguissem ter acesso a este tipo de conteúdo, não conseguiriam interpretá-lo. Geralmente, são utilizadas técnicas de encriptação que, mesmo assim, permitem que sejam identificadas outras informações presentes nestas mensagens, como, por exemplo, identidade e frequência de comunicação entre os envolvidos, tamanho das mensagens, localização de envio e recebimento etc.
ATAQUES ATIVOS
William Stallings, em 2015, afirma ainda que os ataques ativos envolvem modificação ou criação de outro fluxo, que pode ser modificado ou falsificado. Dividem-se em quatro tipos: disfarce, repasse, modificação de mensagens e negação de serviço. Vejamos as definições de cada um.
O disfarce ocorre quando se tenta passar por outro usuário ou entidade. Também envolve outras formas de ataque ativo, como sequências de autenticação, em que as informações são capturadas e reproduzidas por outra entidade, para obter benefícios extras.
O repasse envolve a captura passiva de uma unidade de dados e sua subsequente retransmissão, para produzir um efeito não autorizado.
A modificação de mensagens significa que alguma parte de uma mensagem legítima é alterada, ou que as mensagens são adiadas ou reordenadas para produzir um efeito não autorizado. Por exemplo, uma mensagem significando “Permitir que Carlos Roberto leia o arquivo confidencial contas” é modificada para “Permitir que João Flávio leia o arquivo confidencial contas”.
A negação de serviço, do inglês Denial of Service – DoS, tem o objetivo de desestabilizar o sistema alvo, de forma que os recursos sejam esgotados, impedindo ou degradando a sua utilização ou o acesso a ele. É uma tentativa de sobrecarga em um servidor ou computador, para que os serviços fiquem inoperantes. De modo geral, se dá quando um host ou algum nó da rede envia um número sem descrição de requisições ao host por meio de programas maliciosos. Como resultado, o host é sobrecarregado ao máximo, e o acesso a um sistema ou a serviços é impedido por indisponibilidade. Alguns sinais podem ser identificados no Quadro 1.
AMEAÇAS DA INTERNET
A partir daqui, iremos escrever sobre alguns ataques comuns na internet ou tentativas que, em geral, causam bastante dor de cabeça para a vítima. No Quadro 2, são apresentados alguns ataques ocorridos em tarefas executadas na internet: furto de identidade, fraude de antecipação derecursos, phishing e pharming.
Talvez você já tenha visto ou ouvido falar sobre uma pessoa se passando por outra. Aí entra o furto de identidade, que se concretiza quando, de maneira ilegal, há a captura de dados e o uso de informações sob essa falsa identidade, objetivando obter vantagens indevidas. Em geral esses dados podem ser coletados a partir de sites falsos de internet, ou através de perfis falsos em redes sociais.
Em alguns casos, ocorre o envio de um e-mail solicitando algumas informações ou exigindo a mudança de senha bancária. Ressalta-se que, quando isso ocorre, as informações serão enviadas para um banco de dados, para serem utilizadas por uma rede de um cracker.
Por isso, é indicado não inserir muitas informações em redes sociais e manter suas senhas sempre atualizadas, além de não enviar mensagens com informações pessoais. Além disso, deve-se manter o antivírus ativo, para não correr o risco de um vírus infectar seu dispositivo.
Todo antivírus tem seu próprio banco de dados, onde são armazenados dados sobre as ameaças encontradas em ambientes virtuais. Construindo uma espécie de catálogo, os antivírus comparam o comportamento de novos arquivos com o conteúdo do banco de dados. A quarentena funciona como uma espécie de prisão para as ameaças encontradas, mas que ainda não foram identificadas pelo antivírus. A análise heurística consiste em monitorar atividades suspeitas e emitir alertas, caso algum programa ou arquivo malicioso tente alterar algo.
A fraude de antecipação de recursos ocorre quando o golpista solicita algum tipo de pagamento ou dados pessoais. Um bom exemplo são lojas virtuais “fantasmas”, que solicitam um depósito para liberar um tipo de compra. Isso ocorre com muita frequência e deve ser denunciado às autoridades. Uma boa maneira de identificar esse tipo de golpe é prestando atenção em alguns detalhes: quando forem oferecidos valores em dinheiro, deve-se observar se o valor é em moeda internacional; quando solicitado que o depósito seja feito sigilosamente; caso apareça no campo “título da mensagem” palavras de impacto, como “urgente”, “atraso”, entre outras.
Muitos criminosos utilizam a engenharia social para promover o phishing. Em geral, enviam mensagem eletrônica solicitando algum tipo de informação através de um órgão oficial, como bancos, órgãos públicos, entre outros. Quase em sua totalidade, essas ameaças são enviadas através de páginas falsas de internet e redes sociais e, em geral, solicitam que sejam inseridos dados para recadastramento.
Já o pharming é uma ameaça semelhante ao phishing, mas com um diferencial: o usuário é direcionado para sites falsos por meio de configuração de serviços de DNS (Domain Name System). Dessa maneira, o utilizador, ao acessar o site de interesse, de forma automática e rápida, é direcionado a um site falso.
EXPLICANDO
Acessar o site de uma faculdade, de busca ou de compras é simples; você só precisa digitar o nome desse site. Porém, as máquinas não gerenciam os nomes, afinal, elas só reconhecem números. Esses números são denominados de IP (Internet Protocol), é necessário que o DNS (Domain Name System) faça a interseção entre os nomes e os números. Um IP é único para cada máquina na internet, possuindo um formato numérico, por exemplo: 125.115.26.10. Quando você digita um endereço, como www.exemplo.edu.br, para acessar o site da sua faculdade, é responsabilidade do servidor DNS identificar o IP correspondente a esse site.
Falsos sites de comércio eletrônico são um tipo de recurso utilizado pelos crackers, em que o cliente faz a compra, efetua o pagamento, acompanha o pedido pelo próprio site, mas a entrega não ocorre conforme o combinado.
FIREWALL E CONTROLE DE ACESSO
No livro Segurança da informação: o usuário faz a diferença, de 2006, Edison Fontes afirma que “a informação possui uma forte característica: se for destruída e não houver uma cópia, nunca mais seria recuperada” (p. 44). Essa afirmação demonstra o grau de importância do princípio da integridade da informação. Tal princípio não se restringe apenas ao ambiente tecnológico, visto que as informações podem ser armazenadas tanto em meios físicos como digitais. Desta forma, independente do meio em que a informação esteja armazenada, é preciso garantir sua integridade e a certeza de recuperá-la em qualquer circunstância.
Uma das metodologias para resguardar a integridade das informações é a construção de um plano de continuidade, que deve ser definido para todas as vulnerabilidades das informações (físicas e digitais) existentes na organização. Este plano deve englobar cópias de segurança e soluções de redundância, e envolve a análise das ameaças, riscos e o nível do perigo ao qual a organização está exposta, para auxiliar no processo de tomada de decisão de investimento em segurança.
Os ataques às redes são possíveis porque existem algumas falhas nas conexões ou sistemas, isto é, a vulnerabilidade. Segundo o autor do livro Redes sem fio: instalação, configuração e segurança: fundamentos, de 2010, Alexandre Fernandes de Moraes, vulnerabilidade é uma falha de software que provoca a condição de insegurança no sistema, gerando um possível travamento de uma aplicação e ocasionando sua indisponibilidade.
De forma geral, umas das ferramentas mais eficazes para prevenir uma invasão em computadores pessoais ou redes empresariais são os firewalls. É também importante entender um dos conceitos mais relevantes quando tratamos de segurança em redes: a auditoria. A ideia fundamental da auditoria é proporcionar um método que localize os usuários não autorizados e verificar o que e quais ações não permitidas estão sendo realizadas. Os logs são essenciais para identificarmos as tentativas de burlar a política de segurança das informações.
EXPLICANDO
Um firewall é uma ferramenta que auxilia a proteção da rede de ataques e invasões. A tradução literal do termo indica uma “parede de fogo”, que objetiva separar uma rede protegida, em geral, a rede interna da externa. Assim, ele protege o limite da rede em que está instalado.
A maneira como o firewall realiza a proteção é através do controle de acesso, implementando as ACLs (Access Control Lists). ACL são tabelas que identificam da origem até o destino de cada pacote, o qual cabe controlar a permissão, monitoramento ou bloqueio da rede. De forma geral, a operação de firewall é simples e pode ser comparada ao funcionamento de um roteador, mas também complexa, como um gateway, com suas funções e filtros.
Quando um hacker inicia um ataque, ele passa a elaborar algumas fases para possibilitar o sucesso planejado, que são: reconhecimento, scanning/varredura, enumeração, exploração de uma vulnerabilidade e preservação do acesso. Vejamos as características de cada uma dessas etapas:
Reconhecimento
–
É uma técnica de localização de dados da empresa em sistemas de busca ou em qualquer banco de dados, podendo ser, por exemplo, o site do Google. Logo após essa busca por informações da empresa, terão início os métodos para o ataque. Uma das maneiras mais úteis para busca de informações é o acesso ao próprio site da empresa, pois possivelmente constará muitas informações úteis ao hacker;
Scanning/varredura
–
Logo após a coleta, já com a posse de dados importantes, dentre eles, os endereços IP, inicia-se a fase de scanning. Nesse momento aplica-se um grupo de ferramentas para buscar e identificar onde estão os servidores e sistemas de uma determinada empresa, bem como seu local de publicação, uma das principais questões para verificar se o ataque será bem-sucedido;
Enumeração
–
Seu objetivo é descobrir as versões das aplicações instaladas no sistema da vítima, bem como os sistemas operacionais. Com essa coleta de dados em seu poder, o hacker consegue alcançar as informações de forma simples e rápida;
Exploração da vulnerabilidade
–
Aqui o intuito é fazer uma exploração das vulnerabilidades do sistema e da máquina que se está invadindo, depois de ter coletado todas as informações necessárias e fazer uma avaliação da estratégia de ataque;
Preservaçãodo acesso
–
Essa etapa se realiza quando o usuário cria uma conta com privilégios de administrador, possibilitando o acesso e a exclusão dos logs do sistema, bem como tornando difícil o rastreio do hacker.
Como pudemos identificar, os malwares constituem uma variação dos vírus e se propagaram com o advento da internet, devido ao poder global de disseminação. São programas que possuem um propósito útil para o usuário, porém, contêm um programa adicional, oculto e com um propósito de invasão (roubo de senhas, disseminação de vírus, danificação de arquivos, sistemas etc.).
Vírus de computador
A propagação de vírus de computador pela rede é um incômodo nos dias de hoje, juntamente com cavalos de Troia, worms, hijackers, spywares, ransomwares e tudo aquilo que compõe o conjunto de programas maliciosos que as pessoas pensam se tratar de uma única coisa: vírus. Como visto anteriormente, o termo mais adequado para se referir genericamente a esses programas é malware.
Um vírus de computador ou de dispositivos computacionais é basicamente um programa ou um código de programação que objetiva danificar os dispositivos em que estão alojados, possibilitando a danificação de arquivos, captura de senhas, fotos e dados pessoais dos usuários. Ele pode até mesmo passar o controle do dispositivo a um cracker.
Os vírus, ao serem executados, agem como os vírus do corpo humano, replicando sua ação para atingir o máximo de equipamentos possíveis. Esta propriedade de replicação, na maioria das vezes, ocorre pela ação do usuário que, por falta de conhecimento ou descuido, executa um código malicioso e abre brechas para que ele possa se espalhar e contaminar vários dispositivos (computadores, arquivos, bancos de dados, sites etc.). Propagam-se de forma muito rápida por links, e-mails e arquivos infectados e necessitam da ação do usuário para estar em funcionamento em um computador, podendo estar relacionado a outros programas para funcionar.
Existe uma grande variedade de vírus e formas de disseminação. Veremos a seguir, no Quadro 3, alguns tipos, classificados pela forma de infecção e os tipos de arquivos que atacam.
O vírus de programa geralmente se infiltra em um programa muito utilizado para atingir o seu objetivo: disseminação. Quando estes programas são atingidos, as chances do vírus se manter e replicar são maiores, devido à ampla utilização no mercado. Desta forma, estes programas são um dos principais alvos.
O Diagrama 1 demonstra como um vírus se infiltra em um arquivo. Em geral, a infecção ocorre com a modificação do código do programa e, quando está instalado, inicia sua ação de disseminação. Existem os tipos de vírus que injetam o seu código de forma particionada, com o objetivo de burlar a sua detecção por antivírus e, quando se encontram instalados, iniciam o processo de disseminação.
Os tipos de vírus de macro atacam arquivos que possuem algum tipo de automação. No caso do editor de texto Microsoft Word, por se tratar de uma ferramenta com grande adesão no mercado, os atacantes utilizam a característica de automatização do programa (macro) para potencializar seu poder de disseminação. Desta forma, duas características são muito utilizadas para invasões: amplo uso do programa e estrutura de execução interna. A disseminação destes tipos de vírus ocorre quando os documentos são compartilhados.
O vírus de setor de carga (boot sector) é um tipo que apresenta certa dificuldade de remoção, visto que seu alvo são os programas de inicialização do computador, sendo necessário uma ação mais especializada para removê-lo. Softwares antivírus possuem mecanismos de monitoramento de arquivos de setor de carga para prevenção destes tipos de vírus.
O Quadro 4 apresenta alguns exemplos de vírus mais conhecidos e suas formas de ação.
Para se tornar ativo ao processo de infecção, o vírus de computador depende da execução do arquivo hospedeiro, ou seja, para o computador ser infectado é necessário que um software já infectado seja executado. Michael T. Goodrich e Roberto Tamassia, autores do livro Introdução à segurança de computadores, de 2013, apontam que um vírus segue um ciclo de infecção, dividido em quatro fases: dormência, propagação, ativação e ação (p. 178), organizados conforme apresentado no Diagrama 2.
Durante o ciclo de infecção de um vírus de computador, na fase de dormência, o vírus fica hospedado, aguardando um momento para execução e não ser detectado. Em seguida, na fase de propagação, contamina outros arquivos/equipamentos. A fase de ativação é o momento em que o vírus se instala e se prepara para iniciar a fase de ação, responsável por executar instruções maliciosas para as quais ele foi criado, por exemplo, eliminar arquivos essenciais do disco rígido.
Um vírus pode ficar dormente até encontrar o tipo certo de célula não infectada. Quando a encontra, ataca suas defesas e se infiltra nela. Depois, usa os processos reprodutivos da própria célula para fazer as cópias de si mesmo, que são, por fim, liberadas das células em grandes números, segundo descrevem Michael Goodrich e Roberto Tamassia em seu livro de 2010 (p. 195).
Assim como as formas de atuação dos vírus são semelhantes às dos biológicos, as medidas de prevenção e remoção também são similares, visto que, quando o computador está infectado, apresenta mudanças em seu funcionamento, permitindo aplicar medidas de detecção e remoção por meio de programas antivírus (vacinas).
As empresas de programas antivírus atuam como laboratórios, e trabalham analisando códigos suspeitos e suas ações para, em seguida, produzirem vacinas para combater e prevenir outras infecções.
As chamadas assinaturas de vírus são definidas no já referido livro de Goodrich e Tamassia (p. 198) como uma string de caracteres que identifica um vírus, sendo um equivalente a uma “impressão digital”. Os programas de detecção de vírus trabalham com uma lista com todas as assinaturas de todos os vírus conhecidos.
Um vírus se replica e se executa, geralmente causando danos ao computador. Um meio de multiplicação de vírus, por exemplo, é o envio de e-mails e as mídias removíveis. Deve-se avaliar cuidadosamente downloads de sites de compartilhamento de arquivos peer-to-peer ou ponto-a-ponto, bem como e-mails de remetentes desconhecidos. Atualmente, a maioria dos navegadores tem configurações de segurança que podem ser ativadas para uma ótima defesa contra ameaças on-line, mas só isso não é o suficiente. Hoje, os ataques a sistemas operacionais são cada vez mais frequentes, e o número de códigos maliciosos cresce diariamente.
Vermes de computador (worms)
Um worm ou verme de computador é um software que se propaga automaticamente nas redes de computadores, enviando cópias de si mesmo de um computador para outro e afetando diretamente a rede e a utilização dos computadores. A seguir, segundo consta na Cartilha de segurança para internet, de 2012, elaborada pelo CERT.br (Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil), observe como pode acontecer uma infecção dos worms:
Clique nas abas para saber mais
IDENTIFICAÇÃO DE COMPUTADORESENVIO DE CÓPIAS DE WORMSATIVAÇÃO DAS CÓPIAS DE WORMSREINÍCIO DO PROCESSO
Nesta etapa, para que um worm realize a propagação da infecção pela rede, é necessário que os computadores vulneráveis sejam identificados, assim, estarão aptos a receber cópias da ameaça;
Clique nas abas para saber mais
IDENTIFICAÇÃO DE COMPUTADORESENVIO DE CÓPIAS DE WORMSATIVAÇÃO DAS CÓPIAS DE WORMSREINÍCIO DO PROCESSO
Nesta etapa, após a identificação dos computadores vulneráveis ao ataque, serão enviadas cópias do worm, utilizando brechas em programas instalados ou pastas compartilhadas em rede, conectadas aos computadores alvos do ataque etc.;
Clique nas abas para saber mais
IDENTIFICAÇÃO DE COMPUTADORESENVIO DE CÓPIAS DE WORMSATIVAÇÃO DAS CÓPIAS DE WORMSREINÍCIO DO PROCESSO
Nesta etapa, as cópias são executadas, para que o processo de infecção inicie, o que pode ser imediatamente após o recebimento da ameaça, ao longo da execução de outros programas que contenhamvulnerabilidades ou pelo usuário, de forma acidental, em mensagens recebidas, etc.;
IDENTIFICAÇÃO DE COMPUTADORESENVIO DE CÓPIAS DE WORMSATIVAÇÃO DAS CÓPIAS DE WORMSREINÍCIO DO PROCESSO
Após a infecção, o processo é reiniciado, sendo que o computador-alvo agora passa a ser o emissor de pragas para outros computadores que contenham alguma vulnerabilidade.
Em 2010, o worm de computador Stuxnet se infiltrou na rede de controle do sistema nuclear iraniano e o desativou parcialmente. Esse vírus continha um trecho de código malicioso, inédito, executado com maestria, que atacou em três etapas. Inicialmente, dirigiu-se para computadores e redes Microsoft Windows, repetidamente, executando sua autorreplicação. Logo após, pesquisou o software Siemens Step7, que também roda em uma plataforma Windows e é usado para controlar sistemas de controle industrial, como centrífugas. Finalmente, os controladores lógicos programáveis foram comprometidos pelo vírus. Depois de um ataque bem-sucedido, houve sugestões de que o vírus foi desenvolvido em conjunto pelas agências de inteligência israelenses e dos Estados Unidos, para combater o programa nuclear iraniano.
Podemos perceber que os worms são vírus dotados de maior capacidade de propagação, pois podem se espalhar de forma automática e rápida para outros computadores, pela internet ou por meio de uma rede local, ao contrário do vírus, que necessita que alguém copie o arquivo infectado. Uma vez instalado, um worm pode deletar ou alterar o conteúdo de arquivos ou enviar documentos por e-mail.
A Figura 1 apresenta um cenário em que há um processo de infecção de worms. Podemos observar que a propagação se inicia de um computador específico e que, posteriormente, ocorrem tentativas sequenciais de proliferação do código malicioso nos demais computadores conectados. Se uma máquina estiver vulnerável, certamente será infectada e, consequentemente, irá tentar infectar as demais.
Caso a máquina esteja devidamente protegida, sofrerá outros inúmeros ataques, até que haja algum descuido por parte do usuário ou do sistema de proteção. Pode acontecer também um processo de reinfecção, em que máquinas que já foram infectadas se infectem novamente com o worm inicial. Por isso, podemos ver na Figura 1, conforme representado por Michael Goodrich e Roberto Tamassia em 2013, linhas sólidas, que indicam tentativas bem sucedidas de infecção; linhas tracejadas, ilustrando tentativas de reinfecção; e, por fim, linhas acinzentadas, representando ataques sem sucesso.
Um verme de computador difere de um vírus devido a sua atuação. Essa modalidade de ataque não infecta outros programas, mas age por meio de autorreplicação para eliminar arquivos ou abrir acesso ao computador infectado, para coleta e disseminação de informações.
Este tipo de programa explora vulnerabilidades de programas (sistemas desatualizados e/ou com brechas de segurança), para se espalharem rapidamente por meio da internet. Vejamos na Quadro 5 os tipos de vermes e sua forma de atuação.
A detecção de vermes pode ser realizada com técnicas de varredura de arquivos baseadas em assinaturas, similares às descritas para vírus. Além disso, a varredura e a filtragem, a nível de rede, consistem em analisar o conteúdo de pacotes de rede antes de serem enviados para uma máquina, permitindo detectar e bloquear vermes em tempo real.
Cavalo de Troia (trojan horse)
O trojan horse (cavalo de Troia) é um programa ou fragmento de programa geralmente disfarçado de outros programas ou arquivos. Tem o intuito de permitir a um cracker invadir o computador, capturar e divulgar senhas ou informações, destruir arquivos etc. Ele é responsável por executar as funções para as quais foi desenvolvido e executa outras, geralmente maliciosas, sem o consentimento do usuário.
Este tipo de malware buscou inspiração na narrativa do cavalo de Troia que, ao ser dado como presente à cidade de Troia, estava “recheado” de guerreiros gregos, que aproveitaram esta oportunidade para entrar na cidade e atacar seus adversários em um momento oportuno de distração. Tal história inspirou atacantes virtuais na construção de programas que, aparentemente, têm utilidade para os usuários, mas possuem, em seu interior, ações de invasão ou destruição, conforme ilustrado na Figura 2.
Esse tipo de malware abre caminho para outros programas maliciosos após a infecção, os quais também são usados para capturar dados do usuário, como senhas, e transmiti-los para uma máquina remota. Normalmente, os trojans não se replicam. Eles infectam o hospedeiro através do download de um programa ou arquivo. A seguir, no Quadro 6, observaremos alguns casos reais de cavalos de Troia e sua ação:
Bombas lógicas
A bomba lógica é um tipo de cavalo de Troia executado em condições específicas. Os disparadores para essa bomba podem ser, por exemplo, uma mudança em um arquivo por uma sequência de batidas no teclado em um momento ou data específicos. Observe que, para que um software seja classificado como uma bomba lógica, é necessário que haja uma intenção maliciosa por um ou mais programadores durante o desenvolvimento deste software, segundo consta na obra de 2013 de Goodrich e Tamassia.
Este tipo de código malicioso ficará inativo até que uma parte específica da lógica do programa ou evento específico o ative. Existem alguns ativadores comuns como, por exemplo, a chegada de uma data ou hora específicas, certas mensagens enviadas pelo programador, criação ou exclusão de algumas informações específicas, etc.
De modo geral, a bomba lógica não pode se replicar. Esta é uma característica que faz com que uma bomba lógica apenas infecte as vítimas pretendidas. Ela pode ser usada em muitas áreas, mas seu uso clássico está relacionado ao pagamento de softwares ou à permissão para avaliação de determinado software livre por um determinado período. Isso significa que, se o pagamento não for efetuado em uma data específica, ou caso o período determinado extrapole, a bomba lógica poderá ser ativada e executar os procedimentos pré-programados.
Em alguns casos, o software testado é automaticamente apagado ou a bomba lógica apaga determinadas informações no sistema do usuário. Vírus, worms e até cavalos de Troia podem conter bombas lógicas, que executam comandos específicos quando alguma condição é atendida.
CURIOSIDADE
Goodrich e Tamassia, em 2013, chamam atenção para um caso interessante, conhecido por nós como Bug Y2K, que não é considerado uma bomba lógica. As datas, no século XIX, eram codificadas pelos programadores com dois dígitos (xy), como 19xy. Com a chegada do ano 2000, apareceram diversos problemas nos sistemas, especificamente naqueles que envolviam cálculos com datas. Nesta situação, não havia malícia por parte dos desenvolvedores, uma vez que, devido às limitações de memória dos computadores da época, eles codificavam desta forma para economizar bits de armazenamento.
Vejamos alguns exemplos clássicos de bomba lógica apresentados no livro de 2013 de Goodrich e Tamassia. Durante a programação de um sistema de folha de pagamento, o desenvolvedor pode inserir, propositalmente, trechos de códigos, o que faz com que o sistema desenvolvido falhe, caso seja realizado o processamento de várias folhas de pagamento consecutivas e a contratante ainda não tenha realizado o pagamento do serviço ao desenvolvedor.
Em alguns casos, podem acontecer situações em que há tentativa de extorsão, combinando uma bomba lógica com uma entrada clandestina (backdoor). Em um determinado sistema, por exemplo, o desenvolvedor pode inserir um trecho de código que fará com que o sistema falhe em uma data específica. Neste caso, a bomba lógica será desativada pelo programador por meio de uma entrada clandestina. Entretanto, ele somente fará a desativação caso receba algum pagamento.
Outros tipos de programas maliciosos
Na sequência, iremos conhecer outros tipos de códigos maliciosos, desenvolvidos com o intuito de executar danos ao computador como, por exemplo, backdoors, botnets, rootkits e spywares.
Esses códigos também podeminfectar seu computador e rede por meio de vulnerabilidades de:
· programas instalados;
· execução de mídias (CD e DVD) ou pen drives;
· de acessos a páginas web;
· execução de arquivos previamente infectados obtidos por mensagens de e-mail etc.
entre outros.
ENTRADAS CLANDESTINAS (BACKDOORS)
O backdoor, também conhecido como entrada clandestina, é um código malicioso que tem a capacidade de realizar acessos remotos aos sistemas ou equipamentos infectados a partir de falhas existentes em programas instalados. Geralmente, a utilização de um backdoor permite que o mecanismo de segurança do sistema seja ignorado, logo, esta ameaça se torna indetectável durante o acesso ao computador ou aos dados.
Os backdoors podem ser entendidos como um conjunto de códigos maliciosos ou programas que têm a finalidade de se aproveitar de falhas no sistema computacional. Um dos objetivos é deixar acessos disponíveis para futuras invasões a uma rede de computadores e, assim, subtrair informações importantes e confidencias de uma empresa, organização, órgão governamental, etc.
Fazendo uma analogia com esse cenário de segurança nas redes, podemos pensar em desbravar uma localidade que foi vítima de uma guerra, e nela ainda se encontram centenas de minas terrestres, prontas para serem detonadas ao menor toque. A missão é descobrir onde elas estão, de forma muito cuidadosa, explorando passo a passo para desarmá-las e não ferir nenhum civil.
Estas entradas clandestinas são implantadas propositalmente por desenvolvedores de softwares. Em alguns casos, há também a alteração de privilégios de segurança, possibilitando, assim, acessos alternativos e secretos ao sistema-alvo do ataque.
As ameaças de backdoor aumentam quando sistemas operacionais multiusuário e rede são usados por muitas organizações. Em um sistema de autenticação, um backdoor usado para acesso ao sistema pode estar na forma de um nome de usuário e senha codificados.
Um administrador de rede pode intencionalmente criar ou instalar um programa backdoor para solução de problemas ou outro uso oficial. Os crackers usam backdoors para instalar arquivos ou programas de software malicioso, modificar código ou detectar arquivos e obter acesso ao sistema ou dados. Até os backdoors instalados pelos administradores de rede apresentam riscos à segurança, pois fornecem um mecanismo pelo qual o sistema pode ser explorado se descoberto.
Como vimos, o backdoor é uma forma não documentada de ganhar acesso a um sistema, criada no sistema por quem o projetou. Pode ser também um programa alterado ou incluído no sistema, para permitir acesso privilegiado a alguém.
BOTNETS
São softwares que contam com mecanismos de comunicação distribuída com o invasor, que permitem que ele seja controlado remotamente. Propaga-se automaticamente, descobrindo vulnerabilidades existentes em software de computadores.
A troca de informação entre o invasor e o computador infectado ocorre por diversos meios de comunicação, por exemplo, servidores web e redes do tipo peer-to-peer (P2P). As instruções para que ações maliciosas possam ser executadas como, por exemplo, aquelas responsáveis por realizar ataques, captura de dados ou envio de spam, são enviadas durante a comunicação entre os envolvidos. Segundo a já mencionada cartilha do CERT.br, (2012, p. 26).
...um computador infectado por um bot costuma ser chamado de zumbi (zombie computer), pois pode ser controlado remotamente, sem o conhecimento do seu dono. Também pode ser chamado de spam zombie quando o bot instalado o transforma em um servidor de e-mails e o utiliza para o envio de spam.
De modo geral, um bot trata-se de um software que controla o dispositivo invadido de forma remota, além de propagar as infecções em busca de pontos vulneráveis na rede ou no computador. Já uma botnet, formada pela junção das palavras em inglês robot (robô) e network (rede), é uma rede de agentes de software que executam atividade autônoma, formada por milhares de computadores. Segundo a cartilha do CERT.br , em 2012, quanto mais zumbis participarem da botnet mais potente ela será.
Um dos mais notórios ataques recentes foi o Mirai, uma botnet que se infiltrou no provedor de domínio Dyn e derrubou muitos sites por um longo período, em um dos maiores ataques distribuídos de negação de serviço (DoS) já vistos. Os hackers obtiveram acesso à rede explorando dispositivos mal protegidos. Tais ataques podem ocorrer quando o hacker encontra alguma vulnerabilidade nos dispositivos que estão conectados. A partir do momento em que ele invade o dispositivo, começa a manipular os dados até inutilizá-los. Por isso, ressalta-se a importância de atualização dos dispositivos pelos fabricantes, para impedir tais vulnerabilidades.
ROOTKIT
É um software que permite o acesso em um computador e, ao mesmo tempo, esconde sua presença ao se integrar ao sistema operacional, para que o disco rígido não consiga fazer sua leitura. Segundo a cartilha do CERT.br, de 2012, eles eram usados para manter acesso privilegiado em outros computadores, sem precisar recorrer aos métodos utilizados para efetuar a invasão propriamente dita.
O rootkit é um dos tipos de malwares mais perigosos, pois pode ser usado para perpetrar diversas maldades, como capturar dados do usuário. O grande problema está na sua capacidade de dificultar a sua detecção pelos softwares antivírus ou outros programas de segurança, pois eles conseguem se “esconder”. Além disso, estes programas são de difícil remoção. Os rootkits ignoram facilmente a proteção padrão do computador. É necessário usar programas especiais, voltados especificamente para encontrar rootkits, com vários métodos de análise. Alguns antivírus contêm módulos adicionais para remoção dessas ameaças.
Na maioria das vezes, os rootkits são usados para capturar o computador do usuário. Esse malware não apenas se esconde dos antivírus, mas também oculta outros softwares mal-intencionados. Em algumas situações, um rootkit possui uma função backdoor, que permite que um criminoso se conecte remotamente a ele.
SPYWARE
Outro software malicioso é o spyware (espião), um programa semelhante ao vírus, criado para realizar um monitoramento das atividades de um sistema e enviar as informações adquiridas para terceiros.
Os spywares são baixados pelo navegador de internet e, normalmente, são utilizados para roubo de informações pessoais. Esta ameaça possui duas formas de utilização, a legítima e a maliciosa. Ambas se diferem em relação ao processo de instalação, às diversas ações realizadas para coleta de informações, aos tipos de informações que são monitoradas, e ao objetivo de utilização do que foi coletado.
A forma legítima acontece quando este sistema é utilizado por alguém que autorizou sua instalação para verificar como o computador está sendo utilizado. Neste caso, esta análise busca identificar se o equipamento está sendo utilizado de forma inadequada ou sem autorização. Já a forma maliciosa ocorre quando diversas ações são executadas com o objetivo de violar a segurança e a privacidade do usuário.
Conforme a cartilha do CERT.br, em 2012, alguns tipos de spywares são:
Clique nos botões para saber mais
Adware
–
Instala vários pequenos programas de propagandas (anúncios) no navegador de internet. Também pode instalar ícones indesejados na área de trabalho do computador;
Keylogger
–
Captura e armazena teclas digitadas pelo usuário. Geralmente, sua ativação é realizada por uma ação prévia do usuário durante o acesso a sites de comércio eletrônico ou sites bancários que possuem Internet Banking;
Screenlogger
–
Captura e armazena a posição do cursor e da tela apresentada no monitor do computador. Seu funcionamento é muito parecido ao do keylogger. Também é utilizado com o objetivo de capturar informações digitadas, utilizando teclados virtuais em sites bancários ou Internet Banking.
Em determinadas situações, os spywares permitem que ocorram o monitoramento e a captura de informações relacionadas à navegação do usuário ou até mesmo durante o preenchimento de formulários.
SINTETIZANDONesta unidade, identificamos que os ataques possuem duas modalidades: passivo e ativo. É notório que os ataques passivos possuem recursos que dificultam sua identificação, mas existem meios que podem ser aplicados para impedir sua execução. Verificamos também que o ideal é que os ataques do tipo ativo sejam rastreados e identificados, contribuindo, assim, com sua prevenção.
Além disso, vimos que, por mais que utilizemos as ferramentas de segurança em sistema de informação, as ameaças estão em constante inovação, tornando esse sistema vulnerável. Sendo assim, compreendemos como ocorrem os ataques maliciosos, bem como seus tipos, sua finalidade e suas categorias. Como complemento, apresentamos o funcionamento básico de alguns softwares maliciosos.
Abordamos o vírus de computador, isto é, um software malicioso que se multiplica, ampliando cópias de si e se tornando parte de outros softwares e arquivos. É responsável por infectar o seu hospedeiro e tende a se multiplicar ou a destruir o hospedeiro.
Foi possível verificar que vermes infestam a rede e acabam sobrecarregando recursos, liberando acessos e realizando ações remotas sem que o usuário desconfie. Os worms são tipicamente programas independentes, programados para se autorreplicarem nos sistemas infectados e procurar outros nas redes que estejam acessíveis. O worm cria cópias de si próprio e infecta outros computadores através da internet, redes locais, trocas de e-mails, de arquivos, etc.
O Cavalo de Troia, por sua vez, é um programa que enfraquece as defesas do hospedeiro e se passa por outro programa inofensivo ou gera informações falsas. Pode-se instalar como um serviço do sistema operacional ou um certificado, por exemplo.
Exploramos o funcionamento das bombas lógicas, um programa ou seção de um programa projetado com objetivo malicioso, sendo ativado por alguma condição lógica.
Finalizamos comentando sobre spywares, softwares espiões que passam informações do computador infectado; e keyloggers, responsáveis por capturar e enviar ao atacante informações que são digitadas pelo alvo. Os alvos principais são as senhas.