Baixe o app para aproveitar ainda mais
Prévia do material em texto
1 SOCIEDADE EDUCACIONAL PINHALZINHO HORUS FACULDADES IGOR FELIPE SEVERO AMEAÇAS VIRTUAIS: O QUE SÃO E COMO SE PROTEGER Pinhalzinho/SC 2017 2 IGOR FELIPE SEVERO SOCIEDADE EDUCACIONAL PINHALZINHO HORUS FACULDADES AMEAÇAS VIRTUAIS: O QUE SÃO E COMO SE PROTEGER Trabalho de Conclusão de Curso a Horus Faculdades, como parte dos requisitos à Obtenção do grau de Bacharel em Sistemas de Informação. Orientador: Maciel Goettms Pinhalzinho/SC 2017 3 AMEAÇAS VIRTUAIS: O QUE SÃO E COMO SE PROTEGER Esta monografia foi julgada adequada para obtenção do título de bacharel em Sistemas de Informação e aprovada em sua forma final pelo curso de Sistemas de Informação da Horus Faculdades. ______________________ ________________________ Esp. Renata Silva Coordenadora do curso de Sistemas de Informação Apresenta a comissão encaminhadora integrada pelos seguintes professores __________________ ___________________ Esp. Maciel Goettms Orientador e membro da banca – Horus Faculdades _________________ ________________ Me. Clairton Rodrigo Heinzen Membro da banca – Horus Faculdades 4 “Dedico este trabalho ao meu pai, “In Memórian”, a minha família e principalmente a minha mãe, Rosália Matuella Severo, pois sem eles este trabalho e muitos dos meus sonhos não se realizariam.” 5 AGRADECIMENTOS Agradeço ao meu orientador Maciel Goettms, pela ajuda, pelo apoio e pela confiança. Agradeço aos meus professores, amigos, instituição Horus Faculdades e todos que ajudaram direta ou indiretamente a concluir este trabalho. 6 “Vírus de computadores são uma lenda urbana.” Peter Norton 7 SEVERO, Igor Felipe. Ameaças virtuais: o que são e como se proteger. 2017. 66 f. Trabalho de Conclusão de Curso (Bacharelado em Sistemas de Informação). Horus Faculdades, Pinhalzinho/SC, 2017. RESUMO Este projeto discorre sobre os fundamentos e as principais características das ameaças virtuais que vem mudando profundamente para pior o nosso dia-a-dia. Estas, podem causar danos profundos nos dispositivos móveis e computadores pessoais trazendo transtornos para empresas e indivíduos. Portanto, este trabalho pretende apresentar como podemos nos proteger desses crimes e ameaças. Essa pesquisa foi de modo qualitativa que teve como objetivo orientar as pessoas de como se proteger dos crimes no meio da Internet e deixá-las atentas sobre as ameaças virtuais. Palavras-chave: Ameaças; Virtuais; Proteger. 8 LISTA DE ILUSTRAÇÕES Figura 01: Infográfico das principais ameaças virtuais de 2016 .…….………………….15 Figura 02: Comportamento das ameaças virtuais .……………………………………...17 Figura 03: Tipos de vírus ou ameaças virtuais .……………………………………........27 Figura 04: Golpes mais comuns da rede de internet ........................................................53 Figura 05: Como melhorar a segurança da internet e seus problemas ..............................54 Figura 06: Máquinas vulneráveis e proteção aos dispositivos móveis .............................55 Figura 07 - Página – Ameaças Virtuais ............................................................................60 Figura 08 - Crimes virtuais mais comuns .........................................................................61 Figura 09 - Como se proteger a ataques de hackers ..........................................................62 Figura 10 - Principais números de ameaças .....................................................................63 Figura 11 - Crimes Cibernéticos e a Lei número 12.737/2012 .........................................64 9 LISTA DE ABREVIATURAS E SIGLAS DDoS Ataque de negação de serviço; DOS Disk Operating System, em português: Sistema Operacional em Disco; EXE Extensão de Arquivos; HD Disco Rígido; NTFS ADS New Technology File System, Alternate Data Streams, em português: Sistema de arquivos de nova tecnologia, Fluxos de dados alternativos; OoS Online Operating System, em português: Sistema operacional online; PC Computador pessoal; TCP/IP Transmission Control Protocol, Internet Protocol, em português: Protocolo de Controle de Transmissão, Protocolo de Internet; USB Universal Serial Bus, em português: Porta Universal; URL Uniform Resource Locator, em português: Localizador Uniforme de Recursos; 10 SUMÁRIO Sumário 1 INTRODUÇÃO .......................................................................................................... 12 1.1 DELIMITAÇÃO DO TEMA .................................................................................... 12 1.2 JUSTIFICATIVA ...................................................................................................... 13 1.3 PROBLEMA ............................................................................................................. 13 1.4 OBJETIVOS .............................................................................................................. 14 1.4.1 Objetivo geral ........................................................................................................ 14 1.4.2 Objetivos específicos ............................................................................................. 14 2 REFERENCIAL TEÓRICO ..................................................................................... 15 2.1 AS AMEAÇAS VIRTUAIS ...................................................................................... 15 2.2 COMO É O COMPORTAMENTO DAS AMEAÇAS VIRTUAIS ......................... 17 2.3 QUANTIDADE DE AMEAÇAS VIRTUAIS .......................................................... 18 2.4 FORMAS PARA CONSEGUIR DETECTAR A AMEAÇA VIRTUAL ................ 18 2.5 CLASSIFICAÇÕES DAS AMEAÇAS .................................................................... 21 2.5.1 Ameaça Zero-Day ................................................................................................. 22 2.5.2 Trabalhar fora do Firewall .................................................................................. 22 2.5.3 Atualização precária............................................................................................. 23 2.5.4 Aplicativos ............................................................................................................. 23 2.5.5 Internet .................................................................................................................. 24 2.5.6 Perdas e roubos ..................................................................................................... 25 2.5.7 E-mails e mensagens ............................................................................................. 25 2.5.8 Dispositivos USB ................................................................................................... 26 2.6 TIPOS DE AMEAÇAS VIRTUAIS .........................................................................26 2.6.1 Malware ................................................................................................................. 27 2.6.2 Worms ................................................................................................................... 28 2.6.3 Ransomware .......................................................................................................... 29 2.6.4 Spyware ................................................................................................................. 30 2.6.5 Keylogger ............................................................................................................... 31 2.6.6 Phishing ................................................................................................................. 31 2.6.7 Spam ...................................................................................................................... 32 2.6.8 Vírus de Setor de Sistema .................................................................................... 33 2.6.9 Alarme Falso (Hoax) ............................................................................................ 34 2.6.10 Cavalo de Tróia (Trojan) .................................................................................... 34 2.6.11 Variante ............................................................................................................... 35 2.6.12 Vírus de Boot ....................................................................................................... 36 2.6.13 Vírus de Macro ................................................................................................... 36 2.6.14 Vírus Mutante ..................................................................................................... 37 2.6.15 Vírus de Arquivo ................................................................................................ 37 2.6.16 Cluster Vírus ....................................................................................................... 38 2.6.17 Visual Basic Script Worms ................................................................................. 38 2.6.18 Vírus invisíveis (Stealth) .................................................................................... 39 2.6.19 Vírus de pouco disseminação (Sparse) ............................................................. 40 2.6.20 Vírus Blindados (Armored) ............................................................................... 40 2.6.21 Vírus Multiparticionados ................................................................................... 41 2.6.22 Vírus de Cavidade (Spacefiller) ........................................................................ 41 2.6.23 Vírus de Tunelamento (Tunneling) ................................................................... 42 11 2.6.24 Vírus de Camuflagem (Rootkits)....................................................................... 43 2.6.25 Vírus NTFS ADS ................................................................................................ 44 2.6.26 Vírus Droppers ................................................................................................... 45 2.6.27 Vírus Time Bomb ............................................................................................... 46 2.6.28 Nome das ameaças virtuais ................................................................................ 46 2.7 TIPOS DE ATACANTES ......................................................................................... 46 2.8 HACKERS ................................................................................................................ 46 2.9 CRACKERS .............................................................................................................. 48 2.9.1 Crackers de criptografia ...................................................................................... 49 2.9.2 Crackers de softwares .......................................................................................... 50 2.9.3 Desenvolvedores .................................................................................................... 50 2.10 LAMMERS ............................................................................................................. 51 2.11 DIFERENÇA ENTRE HACKER E CRACKER .................................................... 51 2.12 COMO SE PROTEGER DE CRIMES VIRTUAIS ................................................ 53 2.13 OS CRIMES CIBERNÉTICOS E A LEI Nº 12.737/2012 ...................................... 56 3 PROCEDIMENTOS METODOLÓGICOS ............................................................ 59 4 DESENVOLVIMENTO DO PROTÓTIPO ............................................................. 59 5 CONSIDERAÇÕES FINAIS ..................................................................................... 65 6 TRABALHOS FUTUROS ......................................................................................... 66 REFERÊNCIAS ............................................................................................................ 67 12 1 INTRODUÇÃO O mundo virtual e tecnológico vive um crescimento constante nos últimos anos, seja a internet, ou os novos dispositivos, e, a cada dia se torna mais importante na rotina pessoal e profissional das pessoas, para realização de tarefas ou lazer. Mas, esse crescimento também envolve algumas ameaças, que foram batizadas de ameaças virtuais e tendem a prejudicar de alguma forma os computadores, redes, usuários, etc. Todos correm o risco de sofrer ataques, mas muitas pessoas nem sabem que já sofreram e o que é uma ameaça virtual ou um ataque virtual. Não sabem como eles agem e quais os danos que podem causar ao seu computador e aos seus dispositivos. O ataque virtual é um inimigo muito difícil de ser combatido, sua construção é bem simples, mas pode causar um caos muito grande na área de segurança da informação. São softwares que contém vários tipos ou temas, consegue infectar sistemas e se espalhar rapidamente a vários computadores, através de arquivos infectados, links e e-mails. Com o avanço da tecnologia, as informações, pesquisas, ideias aumentaram rapidamente. Essas informações são repassadas ou espalhadas instantaneamente por todo o mundo. Esse avanço é muito bem-vindo, pois hoje temos respostas rápidas e gratuitas para nosso benefício. Porém, cresceu também os ataques virtuais e ameaças dentro da segurança da informação, diante disso precisamos estudá-los, combatê-los para assim conseguir saber como agiríamos caso aconteça algum ataque com nossos dispositivos ou em nossa vida. 1.1 DELIMITAÇÃO DO TEMA Ameaça virtual, comportamento das ameaças virtuais, quantidade de ameaças, formas de detectar uma ameaça virtual, classificação das ameaças virtuais, tipos de ameaças virtuais, como é a legislação do Brasil perante as ameaças virtuais e uma fanpage como meio interativo para orientar pessoas sobre a as ameaças. 13 1.2 JUSTIFICATIVA O projeto é voltado para as ameaças virtuais que são encontradas em nosso dia-a- dia. Elas conseguem danificar rapidamente ou até instantaneamente os computadores, podendo causar sérios prejuízos aos usuários, por isso eles devem ser combatidos. No mundo todo, atualmente, podemos encontrar vários crimes virtuais e ameaças virtuais em qualquer lugar, seja em um e-mail recebido, arquivos compartilhados, sites, programas e até mesmo através do telefone que pode se tornar uma arma para algum infrator aplicar um crime. Existem inúmeras possibilidades de infectar um computador, algumas conseguem danificar seus componentes, alterando o sistema da máquina, excluindo arquivos e até mesmo desativando as proteções deixando o computador vulnerável ao ataque.Algumas ameaças não têm como objetivo danificar o computador, mas o usuário. Tem como prioridade conseguir outras informações como números de cartões de crédito, senhas, para assim repassar para outros criminosos causando prejuízos aos usuários. 1.3 PROBLEMA A grande quantidade de ameaças virtuais existentes hoje em dia, deixa muitos usuários de computadores inseguros, trazendo sempre a preocupação de qual software, qual site, ou dispositivo é seguro, como se prevenir para não ter seu computador infectado, e ainda como podemos detectar uma ameaça virtual quais são as possíveis soluções para o combate delas? 14 1.4 OBJETIVOS 1.4.1 Objetivo Geral Fazer um estudo sobre as ameaças virtuais, explicando o que são, como funcionam e como se proteger. 1.4.2 Objetivos Específicos • Estudar as principais ameaças virtuais. • Explicar como funciona cada tipo de ameaça virtual. • Analisar as principais ferramentas de proteção. • Formas de se prevenir contra essas ameaças. • Como identificar e combater uma ameaça virtual. • Elaborar um meio interativo (Fanpage Ameaças Virtuais), para orientar as pessoas sobre as ameaças virtuais. • Pesquisar como é a legislação do Brasil perante as ameaças virtuais. 15 2 REFERENCIAL TEÓRICO 2.1 AS AMEAÇAS VIRTUAIS Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. Porém, existem os que visam os dados do usuário, com a captura de informações sigilosas senhas e números de cartões de créditos entre outros, além da captura de informações de caráter íntimo (HAMMAN, 2016). O crime virtual engloba todas as atividades criminosas realizadas por meio de computadores ou da internet. Podem ser empregados diversos métodos e ferramentas, tais como phishing, vírus, spyware, ransomware e engenharia social, geralmente com o objetivo de roubar dados pessoais ou praticar fraudes (AVAST, 2016). Boletim de segurança e estatísticas, que mostra as principais ameaças virtuais do mundo no período (KARSPERSKY, 2016). Figura 1 - Infográfico das principais ameaças virtuais de 2016. Fonte: KARSPERSKY, 2016. Disponível em: https://imasters.com.br/wp- content/uploads/2016/12/infografico.jpg; Acesso em jul. 2017. https://pt.wikipedia.org/wiki/Softwares https://pt.wikipedia.org/wiki/Computador https://pt.wikipedia.org/wiki/Senha https://imasters.com.br/wp-content/uploads/2016/12/infografico.jpg https://imasters.com.br/wp-content/uploads/2016/12/infografico.jpg 16 Ao longo do ano, as maiores tendências no mundo do cibercrime foram os malwares bancários e os ataques ransomware, que sequestram os computadores das vítimas e pedem uma espécie de resgate para liberá-los (KARSPERSKY, 2016). Agora que cada vez mais pessoas estão conectadas à internet por meio de notebooks, smartphones e tablets, o crime virtual é uma ameaça ainda maior, sendo um dos esquemas mais lucrativos do mundo do crime. Existe uma grande variedade de crimes virtuais, podendo ser divididos em duas categorias: crimes isolados, como a instalação de um vírus capaz de roubar seus dados pessoais, e crimes contínuos, como bullying virtual, extorsão, distribuição de pornografia infantil e organização de ataques terroristas (AVAST, 2016). Os crimes virtuais são cometidos por meio da Internet ou em dispositivos móveis com acesso à web. Com a popularização do uso de PC, notebooks, tablets e smartphones, tem sido necessário discutir os limites entre a liberdade de informação e a criminalidade no universo virtual. É para isso que foi criada uma lei, em 2014, que determina o uso da rede no país, definindo os direitos e os deveres dos internautas e das empresas responsáveis. Ela é conhecida como Marco Civil da Internet (TECMUNDO, 2016). O crime virtual difere dos outros tipos de crimes por ser praticado por pessoas que possuem conhecimentos tecnológicos e usam a internet para alcançar seus objetivos desonestos. Os criminosos virtuais empregam suas habilidades diversificadas para acessar contas bancárias, roubar identidades, chantagear, praticar fraudes, perseguir e assediar pessoas. Também podem usar um computador comprometido como parte de uma botnet sofisticada para executar ataques de DDoS em grandes instituições (AVAST, 2016). Ao mesmo tempo em que o universo virtual permite encontrar benefícios jamais imaginados antes de sua existência, ele também possibilitou ampliar a presença de crimes que antes acabavam sendo pouco ou nada expostos. Antes da Internet, ainda, crimes como falsa identidade, calúnia, injúria, pedofilia e muitos outros também não tomavam as mesmas proporções, já que chegavam a uma parcela regionalizada da população, exceto em casos de comoção nacional (TECMUNDO, 2016). O combate ao crime virtual é tarefa da polícia, de departamentos nacionais de segurança virtual e de empresas que possuam esse objetivo. No entanto, você pode fazer a sua parte e impedir os crimes virtuais eliminando o método mais comum usado neles: o malware. O uso de um antivírus poderoso para escanear seu sistema e remover arquivos perigosos (vírus, spyware e ransomware, entre outros) não apenas garante sua segurança 17 como também impede que os criminosos virtuais ganhem dinheiro, o que geralmente é sua principal motivação (AVAST, 2016). 2.2 COMO É O COMPORTAMENTO DAS AMEAÇAS VIRTUAIS As ameaças virtuais, podem ter vários comportamentos, mas o mais conhecido deles é dividido em quatro fases: • Fase Dormente: Durante esta fase, a ameaça apenas existe, ela está parada e evitando a sua detecção. • Fase de Propagação: Durante esta fase, a ameaça está se replicando, infectando novos arquivos em novos sistemas. • Fase de Ativação: Nesta fase, alguma condição logica faz a ameaça passar do estado dormente ou da fase de propagação para realizar a ação pretendida. • Fase de ação: Nesta fase, a ameaça realiza a ação maliciosa para qual ele foi concebido, chamada de carga. Essa ação pode incluir algo aparentemente inocente, como exibir uma figura boba na tela do computador, ou algo bem malicioso, como eliminar arquivos essenciais do disco rígido. Figura 2 - Comportamento das ameaças virtuais. Fonte: GOODRICH; TAMASSIA, 2013, p.178. 18 Essas fases caracterizam muitos tipos de ameaças virtuais. Uma maneira de classificar as diversas variedades de ameaças virtuais, é de acordo com a maneira como se disseminam ou pelos tipos de ameaças virtuais que essas fases infectam (GOODRICH; TAMASSIA, 2013). 2.3 QUANTIDADE DE AMEAÇAS Um número maior que 60 mil vírus de computador já foi identificado e 400 novos vírus são criados todos os meses. Esses dados são preocupantes e trazem uma certa insegurança, pois hoje realizamos diversas operações com os computadores, como transações bancárias, contratos, e-mails, etc. E diante desse cenário fica muito difícil se sentir totalmente seguro (ICSA, 2012). Em 2014, cibercriminosos criaram 143 000 000 de vírus, códigos maliciosos e ameaças virtuais, isso é mais do que 4 ameaças por segundo (NOLICORP, 2014). Neste momento, 400 milhões de computadores no mundo todo estão infectados por vírus e o Brasil é o sexto país mais afetado. Uma das principais armas no combate aos crimes virtuais é uma rede com computadores espalhados pelo mundo inteiro e que servem como iscas para os criminosos. Esses computadores atraem os vírus como se fossem computadores de pessoas comuns, mas, na verdade, eles estãoconectados e sendo investigados por especialistas (GLOBO, 2014). 2.4 FORMAS DE DETECTAR UMA AMEAÇA VIRTUAL Diante de tantas ameaças existentes no mundo virtual, surge a preocupação de como detectá-las e se proteger. A principal ferramenta para isso são os antivírus, que são programas desenvolvidos por empresas de segurança, com o objetivo de detectar e eliminar vírus e outras ameaças encontradas no computador. Os antivírus possuem uma base de dados contendo as assinaturas dos vírus que podem eliminar. Desta forma, somente após a atualização de seu banco de dados, os vírus recém-descobertos podem ser detectados (REISSWITZ, 2012). Alguns antivírus dispõem da tecnologia heurística, que é uma forma de detectar a ação de um vírus ainda desconhecido através de sua ação no sistema do usuário. A Panda Software criou um serviço de heurística que foi muito popular, porque detectou 98.92% dos vírus desconhecidos em um teste. Agora, https://pt.wikipedia.org/wiki/Heur%C3%ADstica 19 as pessoas com esta heurística podem ficar 98.92% mais descansadas. REISSWITZ (2012, p-24). Alguns antivírus podem ter “Proteção em Tempo Real”, que detecta os códigos maliciosos desde que o computador é iniciado, até que seja desligado. Esta tecnologia garante mais proteção ao usuário. Nenhum antivírus pode garantir a total segurança de um computador, pois existem novas ameaças surgindo a cada minuto. Por este motivo instalar um bom antivírus não é o bastante, para proteger computadores e dispositivos de códigos ou vírus, a ferramenta de antivírus tem que estar sempre com suas definições atualizadas a fim de aumentar a segurança (LOPES, 2016). Uma ação importante na proteção de um computador, é instalar software de segurança confiável, que pode fazer a varredura ativamente no sistema e fornecer proteção contra as mais variadas ameaças existentes. Deve-se analisar que nem todas as soluções de segurança são as mesmas, e existem vários softwares antivírus gratuitos, mas muitos não são robustos o suficiente para oferecer proteção completa ou atualizada com frequência (KARSPERSKY, 2000). Os anti-spywares costumam vigiar certas entradas no registro do Windows para detectar tentativas de infecção, mas eventualmente não conseguem identificar o que está tentando alterar o registro, podendo ser mesmo um spyware ou de fato um vírus. (REISSWITZ,2012). A questão mais difícil de tudo isso é que, enquanto muitas ameaças são neutralizadas, outras são criados a cada dia em seu lugar. Portanto, ignorar a questão ou pensar que não irá afetá-lo é um risco de ter o computador e suas as informações comprometidas (KARSPERSKY, 2000). Ainda sobre ferramentas de proteção, temos o anti-spyware, um software indicado para eliminar os programas espiões, ou ao menos detectá-los, e se possível inativá-los, enviando-os a quarentena. Assim como os antivírus, essa ferramenta também necessita ter sua base de dados atualizada constantemente (REISSWITZ,2012). Um programa de antivírus é um software que protege seu computador (ou sua rede inteira) da ameaça infinita de vírus que constantemente o bombardeiam seus sistemas. O programa Antivírus é projetado para procurar e categorizar potenciais ameaças virtuais, à medida que tentam entender as causas do sistema (SYNGRESS, 2003). Um antivírus é um software capaz de detectar a presença de vírus em seu computador e, na medida do possível, de desinfetá-lo. Fala-se de erradicação de vírus para designar o processo de limpeza do computador. Para se proteger, cada computador 20 deve dispor de um antivírus e de um firewall, vários antivírus ou firewalls podem criar conflitos (CCM, 2013). Falando da sua função relacionada com os vírus, este programa vigia as portas TCP/IP (são meios de comunicação, associado a um determinado aplicativo, que deixam trafegar a informação do computador para a rede), de maneira a impedir que os vírus ataquem num determinado protocolo. Assim, se instalar um firewall pessoal em seu computador, o usuário está protegido contra-ataques de muitos vírus, evitando que eles tenham acesso ao seu computador e a seus arquivos. (REISSWITZ,2012). Antivírus é um software que detecta, impede a execução e remove softwares maliciosos, como vírus e worms (LOPES, 2016). Um firewall (também chamado de corta-fogo) é um sistema de proteção de um computador ou de uma rede de computadores contra as intrusões provenientes de outras redes (principalmente da internet). O firewall é um sistema de filtragem de pacotes de dados trocados na rede (CCM, 2013). Na vida real, o firewall é uma coleção de regras que são aplicadas ao tráfego de rede. Baseado nelas, o firewall decide o que deve ou não passar. É justamente por isso que nenhum firewall é 100% seguro, já que ele precisa fazer seu trabalho sem prejudicar o uso normal da rede (MORIMOTO, 2007). Outra importante ferramenta são os firewall's, que são programas desenvolvidos com o objetivo de criar políticas de segurança no acesso à rede de computadores, e, assim evitar que o computador seja vítima de ataques maliciosos, ataques de programas espiões, entre outros (REISSWITZ, 2012). A ilustração mais usada para descrever um firewall é a de um muro, que isola a rede local da Internet. Mas, na prática, a operação do firewall lembra muito mais a de um escritório de alfândega, que tem a função de fiscalizar o que entra e o que sai, bloqueando itens ilegais e permitindo a passagem de itens autorizados. Uma outra analogia poderia ser feita com relação aos seguranças de uma loja, que precisam impedir a ação de assaltantes, sem com isso impedir a entrada de clientes. Um firewall que simplesmente bloqueasse a passagem de todos os pacotes (como um muro) seria inútil, pois simplesmente desconectaria o PC da rede (MORIMOTO, 2007). Firewall ou barreira de fogo é um artifício largamente usado em redes. A sua função é proteger o sistema de tentativas indevidas de acesso, principalmente vindas da Internet. Ele controla o tráfego, permitindo ou negando acesso a certas portas de serviços. Geralmente se deixa apenas a porta 80 (www), ativa para que as pessoas consigam acessar 21 o website da empresa. Resumidamente o firewall é o seguinte: um HD que possui duas placas de rede, sendo uma ligada à rede corporativa e a outra ligada à Internet. A partir disto pode-se implementar uma tentativa de segurança, que consiste em um pacote que determina o que é ou não permitido passar de uma rede a outra. Podem ser feitos de software ou hardware (ASSUNÇÃO, 2002). Quando um vírus ou uma ameaça é detectada é chamada de escaneamento de vírus, quebra seu código e os separam em grupo de caracteres denominados string que não são encontrados em outros programas do computador, no momento que é detectado o usuário é notificado, o arquivo é deletado e enviado para quarentena. Sensoriamento heurístico é quando o usuário solicita o escaneamento da máquina esse é o segundo passo executado, realiza uma varredura de todo o Sistema em busca de instruções que não são executados nos programas usuais. Busca algorítmica é quando utiliza algoritmos para encontrar as ameaças. Checagem de integridade quando à uma verificação, que faz comparações com as informações registradas em um banco de dados com as informações atuais do Sistema identificando as possíveis ameaças. Um vírus pode causar vários transtornos como roubo de informações, sequestro de dados, corromper o sistema operacional e transferir informações para outras máquinas. Um pendrive infectado, sites de conteúdo erótico ou duvidoso, download de arquivos, programas infectados e e-mails são algumas das formas que seu computador pode ser infectado por vírus. LOPES (2016, p-88). O firewall também protege de ataques de cracker's, porque ao vigiar o tráfego das portas TCP/IP, conseguem detectar tentativas de intrusões no seu sistema por umcomputador remoto. (REISSWITZ,2012). 2.5 CLASSIFICAÇÃO DAS AMEAÇAS VIRTUAIS Em tempos de ataques virtuais cada vez mais sofisticados e frequentes, todos precisam aprender a se proteger. Conhecer as ameaças mais comuns é o primeiro passo para reforçar a segurança contra invasores e criminosos cibernéticos. Uma infraestrutura de segurança deve estar preparada para abranger as tecnologias, os processos e os usuários envolvidos, além de oferecer proteção de rede, controle de aplicativo e gerenciamento de endpoint. Tudo isso sem comprometer o desempenho do sistema ou a produtividade dos usuários (COMSTOR, 2005). Os ataques a computadores são ações praticadas por softwares projetados com intenções danosas. As consequências são bastante variadas, algumas têm como instrução infectar ou invadir computadores alheios para, em seguida, danificar seus componentes de hardware ou software, através da exclusão de arquivos, alterando o funcionamento da máquina ou até mesmo deixando o computador vulnerável a outros tipos de ataques. 22 Porém existem os que visam os dados do usuário, com a captura de informações sigilosas (senhas e números de cartões de créditos entre outros), além da captura de informações de caráter íntimo (TRISTÃO, 2006). Se os crimes digitais estão evoluindo, os sistemas de proteção também precisam de reforço. Aplicativos infectados são uma das principais ameaças. Uma política de segurança ultrapassada pode expor dados confidenciais da empresa pelos smartphones. Os dispositivos móveis devem sempre ter senhas de acesso para minimizar riscos em caso de perda ou roubo (COMSTOR, 2005). 2.5.1 Ameaça Zero-Day Zero-Day é somente uma falha de segurança não explorada e não documentada, ou seja, um vetor de ataque (ferramenta e/ou método de exploração) contra a qual não existe correção conhecida (patches, service packs, hotfixies, recomendações técnicas) uma vez que o próprio desenvolvedor da solução ou quaisquer soluções de detecção e/ou correção de vulnerabilidades a prioridade não conhecem, ainda, a falha (KLÉBER, 2017). A vulnerabilidade zero-day é uma ameaça até então desconhecida, que ainda não tem um patch ou atualização disponível do fornecedor, o melhor jeito de se proteger são adicionando novas defesas baseadas em assinatura (COMSTOR, 2005). É algo como um vírus para o qual nenhuma empresa de antivírus tem vacina, ou uma falha explorável em um serviço de acesso remoto que, caso explorada, não vai ser reportada por nenhum sistema de detecção de intrusões, uma vez que sua “assinatura” (identificação da vulnerabilidade) ainda não é conhecida (KLÉBER, 2017). 2.5.2 Trabalhar fora do firewall Instalar um firewall entre seus segmentos de rede poderia auxiliar na segurança da propriedade intelectual da empresa contra os demais usuários. Mas, só pelo fato de estar instalado, o firewall não se torna eficiente. Suas regras devem estar muito bem definidas para que não haja acesso desautorizado (BRANQUINHO; SEIDL; MORAES, 2014). 23 Muitos colaboradores hoje trabalham fora do perímetro da rede da empresa e a qualquer momento podem se conectar à Internet de aeroportos, hotéis, de casa ou qualquer outro lugar, para se proteger deve-se adicionar um software firewall em seus dispositivos (COMSTOR, 2005). 2.5.3 Atualização precária Trata-se de uma porta oculta, dissimulada em um software que dá um acesso posterior ao seu desenvolvedor. É por isso que os erros de programação contidos nos programas são corrigidos rapidamente pelo seu desenvolvedor, imediatamente a partir do momento que a vulnerabilidade foi publicada. Cabe aos administradores (ou usuários que têm conhecimentos no assunto) manterem-se informados sobre as atualizações dos programas utilizados para limitar os riscos de ataques. Por outro lado, existem diversos dispositivos (firewalls, sistemas de detecção de intrusões e antivírus) que permitem adicionar um nível de segurança adicional (CCM, 2017). Uma pequena vulnerabilidade não corrigida em um aplicativo, navegador ou sistema operacional pode significar sérios problemas, usando sempre um controle de acesso à rede, deve ser utilizado para certificar qualquer ponto de acesso permitido da sua rede, tem todos os patches atuais e atualizações de antivírus em dia (COMSTOR, 2005). 2.5.4 Aplicativos O acesso não gerenciado de aplicativos para a Internet além de trazer riscos, gera problemas de desempenho, controle todos os aplicativos que não sejam essências para reduzir o trabalho de gerenciamento deles e reforçar a proteção de seus aplicativos (COMSTOR, 2005). O gerenciamento de aplicativos requer o gerenciamento dos dispositivos nos quais eles são executados e, na maioria dos aplicativos de sinalização digital, também inclui o gerenciamento do conteúdo exibido pelos aplicativos por meio do uso de ferramentas do fornecedor (GOOGLE, 2017). 24 2.5.5 Internet A rede mundial costuma ser um ponto de distribuição de malware, para se proteger, use uma combinação de URL de filtragem e digitalização de páginas web para malware (COMSTOR, 2005). Dois em cada três internautas já foram vítimas de crimes virtuais no mundo. O dado é do relatório de cibercrime de 2012 da Norton, linha de antivírus da empresa de soluções de segurança virtual Symantec. De acordo com o levantamento, o custo do cibercrime é estimado em R$ 220 bilhões e atinge cerca de 556 milhões de pessoas todos os anos. E o Brasil está no topo dessa lista, com um prejuízo anual estimado em R$ 16 bilhões. Desde seu surgimento, os vírus de computador evoluíram. Com a popularização dos smartphones e do comércio eletrônico, novas ameaças ganharam espaço entre os internautas (ROLIM, 2012). A filtragem de URL é habilitada através de buscas locais, assim como de consultas ao banco de dados em nuvem. As buscas locais asseguram o máximo desempenho em linha e uma latência mínima para as URLs de acesso mais frequente, enquanto que as buscas na nuvem oferecem cobertura para os sites mais recentes. Nossa combinação de controle de aplicativos e filtragem de URL permite que você implemente práticas flexíveis para monitorar as atividades de funcionários e da rede (PALO ALTO, 2007). Controle a navegação na web com base em categorias e através de listas negras e brancas personalizadas. Especifique as suas políticas de navegação baseadas em grupo com a integração de locais de armazenamento (de usuários) proporcionada pelo User-ID. Habilite políticas de descriptografia SSL permitindo o acesso criptografado a sites específicos sobre assuntos de interesse de seus funcionários - como saúde, finanças e compras - ao mesmo tempo em que descriptografa o tráfego a todos os outros sites, tais como blogs, fóruns e sites de entretenimento. Habilite o controle de largura de banda para categorias designadas, criando políticas de QoS para categorias de URL especificadas (PALO ALTO, 2007). Digitalização de páginas web para malware é um antivírus que trabalha dentro do seu navegador de internet que espera até conseguir achar um malware em páginas web e conseguir avisar os usuários que estão entrando em uma página com um malware (PALO ALTO, 2007). 25 2.5.6 Perdas e roubos Todos nós estamos sujeitos a perdas e roubos de dispositivos cheios de dados e informações que não podem ser violadas, desenvolva e implemente uma política de segurança e de criptografia de dados (COMSTOR, 2005). Normalmente, não é uma tarefa simples atacar e fraudar dados em um servidor de uma instituição bancária ou comercial e, por este motivo, golpistas vêm concentrando esforços na exploração de fragilidades dos usuários. Utilizando técnicas de engenharia social e por diferentes meios e discursos, os golpistas procuram enganar e persuadir os potenciais vítimas a fornecerem informações sensíveis ou a realizarem ações,como executar códigos maliciosos e acessar páginas falsas (CERT, 2017). De posse dos dados das vítimas, os golpistas costumam efetuar transações financeiras, acessar sites, enviar mensagens eletrônicas, abrir empresas fantasmas e criar contas bancárias ilegítimas, entre outras atividades maliciosas. Muitos dos golpes aplicados na Internet podem ser considerados crimes contra o patrimônio, tipificados como estelionato. Dessa forma, o golpista pode ser considerado um estelionatário (CERT, 2017). 2.5.7 E-mails e mensagens No dia a dia de trabalho não é difícil nos distrairmos e acabarmos enviando um e- mail para um endereço errado, o que poderia expor informações para estranhos mal- intencionados e causar prejuízo, para se prevenir sempre use um software de prevenção de perda de dados para verificar se há um conteúdo malicioso (COMSTOR, 2005). Mantenha-se informado: novas formas de golpes podem surgir, portanto é muito importante que você se mantenha informado. Algumas fontes de informação que você pode consultar são: Seções de informática de jornais de grande circulação e de sites de notícias que, normalmente, trazem matérias ou avisos sobre os golpes mais recentes; Sites de empresas mencionadas nas mensagens algumas empresas colocam avisos em suas páginas quando percebem que o nome da instituição está sendo indevidamente usado, sites especializados que divulgam listas contendo os golpes que estão sendo aplicados e seus respectivos conteúdos (CERT, 2017). 26 2.5.8 Dispositivos USB Os dispositivos USB, são os mais frequentemente infectados por vírus. Isso acontece porque os usuários costumam plugar o stick em diversos computadores, muitas vezes públicos. Assim, deixando o dispositivo mais vulnerável (FREIRE, 2016). Quando os usuários conectam um dispositivo USB em um computador da empresa, eles ignoram outras camadas de defesa, como a proteção de firewall gateway. Isso transforma dispositivos com portas USB em um meio de fácil ataque, sempre use um controle de dispositivo para especificar quais usuários tem permissão para fazer uso dos dispositivos USB (COMSTOR, 2005). 2.6 TIPOS DE AMEAÇAS VIRTUAIS Os tipos de ameaças virtuais, infectam os programas pela modificação do arquivo que contém seu código objeto. Depois de ocorrer a infecção, a ameaça certamente será executada cada vez que o programa infectado executar. Se o programa infectado é executado frequentemente, como um programa comum do sistema operacional ou um jogo popular, então é mais provável que a ameaça possa se manter e se replicar. Portanto, os programas mais comuns e mais populares são os alvos naturais (GOODRICH; TAMASSIA, 2013). 27 Figura 3 – Tipos de vírus ou ameaças virtuais. Fonte: GOODRICH; TAMASSIA, 2013, p.179. Como uma ameaça se injeta em um arquivo: (a). Uma injeção simples no início do programa. (b). Uma injeção mais complexa que particiona o código da ameaça em dois e as injeta em pontos diferentes do programa. Instruções de desvio são usadas para iniciar a execução do código e depois passar o controle para o código original do programa. 2.6.1 Malware Malwares geralmente acessam o seu aparelho através da Internet e e-mail, embora possam fazer isso através de sites invadidos, demonstrações de jogos, arquivos de música, barras de ferramentas, softwares, assinaturas gratuitas ou qualquer item baixado na Internet para um aparelho que não esteja protegido com software anti- malware (AVAST, 2012). O Malware vem da frase "software malicioso". O termo é funcional e está cobrindo todo tipo de software agressivo, como Cavalos de Tróia e Worms. A definição de Malwares pode variar, basicamente descreve qualquer software ou código 28 especificamente projetado para danificar ou interromper um sistema (SYNGRESS, 2003). Malware é considerado um tipo de software irritante ou maligno que pretende acessar secretamente um dispositivo sem o conhecimento do usuário. Os tipos de malware incluem spyware, adware, phishing, vírus, Cavalos de Tróia, worms, rootkits, ramsomware e sequestradores de navegador (AVAST, 2012). Malware é qualquer tipo de software indesejado, instalado sem o seu devido consentimento. Vírus, worms e cavalos de Tróia são exemplos de software mal- intencionado que com frequência são agrupados e chamados, coletivamente, de malware (MICROSOFT, 2012). Um computador lento é geralmente um sinal de que ele pode ter sido infectado por malware, assim como pop-ups, spam e panes frequentes. Você pode usar um escaneador de malware (incluso em todas as ferramentas de remoção de malware) para verificar se seu aparelho está infectado (AVAST, 2012). Malware é um termo genérico que inclui spyware e algumas formas de spam, e em alguns contextos também inclui malware tradicional, como vírus, cavalos de Tróia e worms (GREGORY; SIMON, 2005). 2.6.2 Worms São programas parecidos com vírus, mas que na verdade são capazes de se propagarem automaticamente através de redes, enviando cópias de si mesmo de computador para computador (observe que os worms apenas se copiam, não infectam outros arquivos, eles mesmos são os arquivos). Diferentemente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar. Worms são notadamente responsáveis por consumir muitos recursos. Degradam sensivelmente o desempenho de redes e podem lotar o disco rígido de computadores, devido à grande quantidade de cópias de si mesmo que costumam propagar. Além disso, podem gerar grandes transtornos para aqueles que estão recebendo tais cópias (TEUTÔNIO, 2012). Um worm é um programa cuja principal função é replicar seu código. Dependendo de como o worm foi escrito, ele executará essa replicação do computador para 29 computador ou mesmo usando algum tipo de mecanismo de transporte, como a memória cache (SYNGRESS, 2003). Robert Morris Jr ficou famoso por ter criado o primeiro worm da história. Seu vírus especial conseguia atacar de rede em rede, causando danos enormes. E a diferença do vírus para o worm é essa: o worm é transmitido automaticamente pela rede, seja por e-mail, por FTP ou até por TCP/IP puro. Causa danos como o vírus, mas sua proporção é maior. Alguns exemplos são o Melissa (worm de macro) e o I Love You (worm vbscript) que são enviados por e-mail. Os antivírus mais novos também costumam pegar os worms, mas infelizmente como não são programas compilados (executáveis), são fáceis de serem alterados para enganar o software (ASSUNÇÃO, 2002). Worms são programas que se auto replicam e se espalham pelas redes de computadores. Algumas maneiras comuns de se transmitir worms incluí anexos, compartilhamento de arquivos e links a sites maliciosos. Devido ao fato de que worms geralmente consomem muita memória do sistema ou banda larga, os servidores, redes e computadores geralmente passam a não responder mais (AVAST, 2012). 2.6.3 Ransomware É um termo abrangente usado para descrever uma classe de malwares que serve para extorquir digitalmente as vítimas, fazendo-as pagar um preço especifico (LISKA; GALLO, 2017). São softwares maliciosos que, ao infectarem um computador, criptografam todo ou parte do conteúdo do disco rígido. Os responsáveis pelo software exigem da vítima um pagamento pelo “resgate” dos dados (TEUTÔNIO, 2012). Quase todo ransomware procura determinados arquivos no disco rígido da vítima e então os criptografa. Em geral, estes incluem arquivos como documentos Microsoft Office, PDFS, imagens, vídeos, música e arquivos de texto; cada ransomware opta por criptografar um conjunto um pouco diferente de arquivos, alguns ramsomwares também procuram driver compartilhados e prosseguem criptografando os mesmos tipos de arquivos nesses drives (LISKA; GALLO, 2017).Ransomware (também conhecido como rogueware ou scareware) restrita o acesso ao sistema do seu computador e pede que um resgate seja pago para que a restrição seja removida, é criado por scammers que conhecem muito bem a área de computação. 30 Ele pode entrar em seu PC através de um anexo de e-mail ou através do seu navegador se você tiver visitado um site que está infectado com este tipo de malware. Ele pode ainda acessar seu PC através da sua rede de internet, é obvio quando o seu dispositivo é infectado por um ransomware, pois provavelmente você não será capaz de acessar seu computador (AVAST, 2012). Um ramsomware geralmente não criptografa tudo que está no disco rígido, porque caso contrário, o computador pararia de funcionar e o grupo de hacker não receberia o seu dinheiro (LISKA; GALLO, 2017). 2.8.4 Spyware O spyware envolveu ter uma variedade de significados. Os especialistas, geralmente concordam que chegar a um consenso da indústria do spyware, em uma definição tem sido difícil por causa da complexidade técnica e da natureza dinâmica do software (COMMISSION, 2005). Trata-se de um programa espião (spy em inglês = espião). É um programa que tem por finalidade monitorar as atividades de um sistema e enviar as informações coletadas para terceiros (TEUTÔNIO, 2012). Spyware é um tipo de malware que é difícil de se detectar. Ele coleta informações sobre seus hábitos online, histórico de navegação ou informações pessoais (como números de cartão de crédito) e geralmente usa a internet para passar estas informações a terceiros sem você saber. Spyware vem geralmente acoplado a um outro software ou a downloads em sites de compartilhamento de arquivos (ex.: sites onde você baixa música ou filmes de graça), ou instalado quando você abre um e-mail em anexo. Por causa da natureza secreta do spyware, a maioria das pessoas nem sabe quando tem um spyware no computador (AVAST, 2012). É um termo inclusivo que também incluem adware e scumware. Em todos os casos entrega informações sobre você que você não autorizou (GREGORY; SIMON, 2005). 31 2.6.5 Keylogger Keylog se refere a usar um software que grava tudo que você clica em seu teclado. O programa então envia o arquivo de log para um servidor específico, onde bandidos podem ler qualquer informação que você tenha adicionado, incluindo senhas, números de cartão de crédito, mensagens instantâneas, e-mails, endereço de e-mail e URLs de sites (AVAST, 2012). Um tipo de malware que é capaz de capturar e armazenar as teclas digitadas pelo usuário no teclado de um computador. Dentre as informações capturadas podem estar o texto de um e-mail, dados digitados na declaração de Imposto de Renda e outras informações sensíveis, como senhas bancárias e números de cartões de crédito (TEUTÔNIO, 2012). Keyloggers são um tipo de software de monitoramento de atividade que é instalado em seu computador sem seu conhecimento (AVAST, 2012). 2.6.6 Phishing É basicamente um golpe on-line de falsificação, e seus criadores não passam de falsários e ladrões de identidade especializados em tecnologia. Eles usam spams, websites maliciosos, mensagens instantâneas e de e-mail para fazer com que as pessoas revelem informações sigilosas, como números de contas bancárias e de cartões de crédito (SYMANTEC, 2010). Os criadores do phishing fazem-se passar por empresas legítimas e usam o e-mail para solicitar informações pessoais e direcionar os destinatários a fornecê-las em websites maliciosos, eles tendem a usar linguagem emocional, como táticas de intimidação ou solicitações urgentes, para induzir o destinatário a fornecer tais informações, os sites de phishing podem ter a mesma aparência dos sites legítimos, pois costumam usar imagens com direitos autorais desses sites legítimos, as solicitações por informações confidenciais através de e-mail ou de mensagens instantâneas não são normalmente legítimas, em geral, as mensagens fraudulentas não são personalizadas e podem ter propriedades semelhantes, como detalhes no cabeçalho e no rodapé (SYMANTEC, 2010). Mensagens de Phishing parecem ser enviados por organizações legítimas como PayPal, UPS, uma agência do governo ou seu banco; entretanto, elas são em fato falsas 32 mensagens. Os e-mails pedem de forma educada por atualizações, validação ou confirmação de informações da sua conta, sempre dizendo que houve algum problema. Você é então redirecionado a um site falso e enganado a apresentar informações sobre a sua conta, que podem resultar em roubos de identidade (AVAST, 2012). É o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usuário, pela utilização combinada de meios técnicos e engenharia social. O phishing ocorre por meio do envio de mensagens eletrônicas que: • Tentam se passar pela comunicação oficial de uma instituição conhecida, como um banco, uma empresa ou um site popular; • Procuram atrair a atenção do usuário, seja por curiosidade, por caridade ou pela possibilidade de obter alguma vantagem financeira; • Informam que a não execução dos procedimentos descritos pode acarretar sérias consequências, como a inscrição em serviços de proteção de crédito e o cancelamento de um cadastro, de uma conta bancária ou de um cartão de crédito; • Tentam induzir o usuário a fornecer dados pessoais e financeiros, por meio do acesso a páginas falsas, que tentam se passar pela página oficial da instituição; da instalação de códigos maliciosos, projetados para coletar informações sensíveis; e do preenchimento de formulários contidos na mensagem ou em páginas Web (CERT, 2017). É uma maneira desonesta que cybercriminosos usam para enganar você a revelar informações pessoais, como senhas ou cartão de crédito, CPF e número de contas bancárias. Eles fazem isso enviando e-mails falsos ou direcionando você a websites falsos (AVAST, 2012). 2.6.7 Spam É uma mensagem não solicitada que promove um serviço ou produto. Criadores de spam tradicionalmente buscam atingir contas de e-mails, mas hoje em dia spams podem ser encontrados em blogs, mensagens instantâneas, sites de mídia social como Facebook e telefones celulares. Seu dispositivo recebe com frequência mensagens de 33 spam não solicitadas, geralmente em quantidades muito grandes. Os criadores de spam se disfarçam como comerciantes, amigos ou membros da família (AVAST, 2012). O Spam geralmente se refere a um e-mail comercial indesejável que normalmente é enviado em massa para milhares ou mesmo milhões de pessoas. Existem algumas áreas cinzentas que esperamos não destruir: algumas pessoas podem abrir o e-mail produzido por vírus de mala direta ou cavalos de Tróia como spam. Da mesma forma, algumas pessoas podem incluir e-mails de uma empresa com quem eles fizeram negócios como spam. Além disso, se você se inscrever em alguma lista de e-mail e, em algum momento no futuro, você não mais girá-lo, isso pode ser spam (GREGORY; SIMON, 2005). 2.6.8 Vírus de Setor de Sistema Os vírus do setor de inicialização são vírus que infectam o setor de inicialização de um disco rígido ou de um disquete. O que é um setor de inicialização? Quando um computador é iniciado, uma das primeiras coisas que ele precisa fazer é examinar uma parte especial do seu disco rígido para ler informações ou códigos sobre como inicializar. Isto é o setor de inicialização. Quando a máquina é iniciada e lê este código especial, ela também "carrega" parte deste código na memória (SYMANTEC, 2000). Um dos primeiros tipos de vírus conhecido, o vírus de boot infecta a parte de inicialização do sistema operacional. Assim, ele é ativado quando o disco rígido é ligado e o Sistema Operacional é carregado (DIOLINUX, 2005). Quando o vírus é carregado na memória, sempre que você tenta acessar um disquete na sua unidade de disquete,este vírus residente na memória verifica se o código está no disquete. Se estiver, nada acontece. Mas se o disquete ainda não estiver infectado, o vírus grava uma cópia dele mesmo nos setores de inicialização do disquete. Se alguém deixar este disquete na unidade de disquete na próxima vez em que o computador for inicializado, o vírus será carregado na memória e recomeçará o processo (SYMANTEC, 2000). https://pt.wikipedia.org/wiki/Boot https://pt.wikipedia.org/wiki/Sistema_operacional https://pt.wikipedia.org/wiki/Disco_r%C3%ADgido 34 2.6.9 Alarme Falso (Hoax) É a mensagem cujo conteúdo é "alarmante". A definição mais real sobre hoax é que é um vírus social, que utiliza a boa-fé das pessoas para se reproduzir, sendo esse o seu único objetivo. Dá- se o nome de hoax à essas histórias falsas, mentirosas recebidas por e-mail e se o destinatário não fizer o que foi solicitado, em geral é ameaçado: o seu computador será destruído, contaminado, formatado (UFPA, 2007). Esses são vírus, que na verdade, não causam danos reais ao seu computador, são e-mails que chegam prometendo algo, para incentivar o envio a outras pessoas, ou somente para gerar medo, causando apenas perda de tempo e tráfego de rede (SYMANTEC, 2000). Geralmente os hoaxes tentam explorar o lado emocional das pessoas e seu conteúdo é apelativo. Por exemplo: é comum as mensagens mostrarem fotos de adultos ou crianças acidentadas ou sofrendo de doenças graves (UFPA, 2007). Os Hoax Vírus (ou como demonstra a tradução desse nome: Vírus Boato) não são vírus na verdade, nem cavalos de Tróia, nem nada - apenas o mais puro boato. A intenção é clara. Transmitir e causar pânico entre as pessoas novatas, ou que não conhecem detalhes verídicos dos métodos de funcionamento e ataque dos verdadeiros vírus de computador. Em paralelo, por incentivarem os recipientes dos e-mails à retransmitirem os e-mails falsos para todos os amigos e conhecidos, causar um grande tráfego, e consequente congestionamento, na rede mundial (SUPERDICASVIRUS, 2003). Em geral, as mensagens pedem ao internauta para encaminhar o e-mail ao maior número de pessoas possível, pois uma suposta empresa contará as mensagens enviadas e doará um valor em dinheiro correspondente ao número de pessoas que as leram ou será mais fácil achar/identificar alguém (UFPA, 2007). 2.6.10 Cavalo de Tróia (Trojan) Os cavalos de Tróia são impostores, arquivos que afirmam ser desejáveis, mas, na verdade, são mal-intencionados. Uma distinção muito importante dos verdadeiros vírus é que eles não se reproduzem, como os vírus. Eles não são exatamente vírus, mas são frequentemente chamados de vírus (SYMANTEC, 2000). 35 É um programa aparentemente inofensivo que entra em seu computador na forma de cartão virtual, álbum de fotos, protetor de tela, jogo etc. Quando executado (com a sua autorização!), parece lhe divertir, mas, por trás abre portas de comunicação do seu computador para que ele possa ser invadido. Por definição, o cavalo de Tróia distingue- se de um vírus ou de um worm por não infectar outros arquivos, nem propagar cópias de si mesmo automaticamente. Os trojans atuais são divididos em duas partes, que são: o servidor e o cliente. Normalmente, o servidor encontra-se oculto em algum outro arquivo e, no momento em que o arquivo é executado, o servidor se instala e se oculta no computador da vítima (TEUTÔNIO, 2012). Os cavalos de Tróia são melhor descritos pela antiga analogia de "um lobo em roupas de ovelha". Quando introduzido em seu sistema, a forma do cavalo de Tróia parece ser um arquivo de conteúdo desejável ou mesmo útil. Uma vez que usados, o dano pode ser de natureza fantástica, o cavalo de Tróia exclui, destrói ou às vezes até "rouba" seus dados (SYNGRESS, 2003). É extremamente improvável que os sites públicos e de boa reputação contenham arquivos de cavalo de Tróia. No entanto, os anexos de e-mail não solicitados ou arquivos para download certamente podem ser cavalos de Tróia. Muitos vírus de macro do Word também são considerados cavalos de Tróia (SYMANTEC, 2000). Um Trojan Horse (cavalo de Tróia) é um tipo de vírus que pretende ser útil ou divertido enquanto na verdade causa problemas e rouba dados, Trojans são geralmente espalhados através de um anexo de e-mail infectado ou um download que esconde games gratuitos, aplicativos, filmes ou cartões de visita. (AVAST, 2012). 2.6.11 Variante É um vírus ou um verme baseado em um vírus ou worm anterior com uma ou mais pequenas mudanças. Um vírus ou verme que ganha notoriedade pode eventualmente ter centenas de variantes. Vírus extremamente simples, como Viena, podem ser usados como modelo para um código mais complexo e, portanto, têm muitas variantes. Script worms e macro vírus como Laroux, Melissa, Triplicate e Spyki, muitas vezes têm muitas variantes porque seu código viaja com eles. (LOMAS, 2016). Uma Variante é um vírus ou um verme baseado em um vírus ou verme anterior com uma ou mais pequenas mudanças. Um vírus ou verme que ganha notoriedade pode 36 eventualmente ter centenas de variantes. Vírus extremamente simples, como Viena, podem ser usados como modelo para um código mais complexo e, portanto, têm muitas variantes. Os worms de script e os vírus de macro, como Laroux, Melissa, Triplicate e Spyki, muitas vezes têm muitas variantes porque seu código viaja com eles. Outros vermes extremamente simples e prolíficos, como Slammer e Witty pode ter poucas ou nenhuma variável porque causam muita perturbação para ser lucrativo e / ou usá-las para enviar uma mensagem política, assegurando que a mensagem seja afugentada pela destruição do vírus / vírus (LUDWIG, 2006). 2.6.12 Vírus de Boot Um dos primeiros tipos de vírus conhecido, foi o vírus de boot que infecta a parte de inicialização do sistema operacional. Assim, o vírus é ativado quando o disco rígido é ligado e o sistema operacional é carregado (REISSWITZ, 2012). Infectam o setor de boot de um disco rígido ou disquete, o registro de inicialização em disquetes e discos rígidos. Os vírus de boot são copiados para esta parte do disco e são ativados quando o usuário tenta iniciar o sistema operacional a partir do disco infectado (OLIVEIRA, 2009). 2.6.13 Vírus de Macro Os vírus de macro, vinculam seus macros a modelos de documentos gabaritos e a outros arquivos de modo que, quando um aplicativo carrega o arquivo e executa as instruções nele contidas, as primeiras instruções executadas são as do vírus (REISSWITZ, 2012). Vírus de macro são parecidos com outros vírus em vários aspectos: são códigos escritos para que, sob certas condições este código se reproduz, fazendo uma cópia dele mesmo. Como outros vírus, eles podem ser escritos para causar danos, apresentar uma mensagem ou fazer qualquer coisa que um programa possa fazer. (REISSWITZ, 2012, p-23). 37 Infectam os arquivos dos programas Microsoft Office. Esses vírus são normalmente criados com a linguagem de programação VBA (Visual Basic para Aplicações) e afetam apenas os programas que usam essa linguagem (OLIVEIRA, 2009). O vírus de macro infecta os arquivos do Microsoft Office como o (.doc, word, .xls, excel, .ppt, power point, .mdb, acess). O VBA (Visual Basic for Applications) introduziu, contudo, um outro mecanismo para o código macro, que podem responder aos eventos da aplicação e do documento original, como o fechamento ou salvamento de um arquivo original ou encerrar a aplicação (SECURITYFOCUS, 2003). Alguns dos vírus mais recentes no mundo do computador são vírus de macro. Os vírus de macros são extremamente comuns e eliminá-los de redes tem sido conhecido por custar às empresas uma grande quantidade de transações administrativas. Quando a Microsoft introduziu o Visual Basic em sua versão do Office 97, o hacker de baixo nível foi fornecido com uma ferramenta,permitido para a criação de código malicioso que é simples para escrever e fácil de disparar (SYNGRESS, 2003). 2.6.14 Vírus Mutante É um tipo de vírus programado para se modificar a cada contaminação, para dificultar a detecção pelos programas antivírus. Muda de aparência a cada vez que se autorreplica, já que sua assinatura muda, muitas vezes aleatoriamente. Esse comportamento, na maioria das vezes, permite escapar de técnicas comuns de detecção por assinaturas. Os sistemas antivírus confiam em suas técnicas de heurística para identificar as pragas virtuais (BBC, 2015). 2.6.15 Vírus de Arquivo Esse tipo de vírus agrega-se a arquivos executáveis normalmente extensão COM e EXE, embora possam também infectar arquivos que sejam requisitados para a execução de algum programa, como os arquivos de extensão SYS, DLL, PRG, OVL, BIN, DRV (OOCITIES, 2017). Arquivo de extensão SCR, que é a extensão dos protetores de tela, também podem ser infectados, pois estes arquivos são, na verdade, executáveis comuns, salvos com outra 38 extensão. Isto é feito para que o Windows possa reconhecer automaticamente esse tipo de arquivo. Neste tipo de vírus, programas limpos normalmente se infectam quando são executados com o vírus na memória em um computador corrompido (OOCITIES, 2017). 2.6.16 Cluster Vírus Um vírus de cluster é um tipo de vírus que liga sua própria execução a execução de vários programas de software. Esses vírus geralmente funcionam alterando as entradas de diretório ou registro, de modo que quando alguém inicia um programa, o vírus também começará (TECNOPEDIA, 2017). Os especialistas chamam esse tipo de vírus de um vírus de cluster em parte porque ele pode carregar vários ponteiros de diretório que fazem com que todos os programas de um disco estejam infectados com o vírus, quando de fato, existe apenas uma cópia do vírus. (TECNOPEDIA,2017). Um tipo de vírus de computador que se associa à execução de programas, modificando as entradas da tabela de diretório para garantir que o próprio vírus começará quando qualquer programa no sistema do computador for iniciado. Se estiver infectado com um vírus de cluster, ele aparecerá como se todos os programas no sistema de computador estejam infectados; no entanto, um vírus de cluster está apenas em um lugar no sistema (WEBOPEDIA, 2016). 2.6.17 Visual Basic Script Worms A linguagem Microsoft VBScript (VBS) pode ser facilmente utilizada para desenvolver worms que enviam a si mesmos e possivelmente arquivos do seu computador para outros através da Internet. Basicamente, VBS é uma poderosa linguagem de arquivos em lote, utilizando-se de componentes tais como Microsoft Activex. (SECOND PART TO HELL, 2003). É uma ferramenta para você que pode interessar em Script Virus Programming, é tão útil que pode ajudar você a criar seus próprios scripts, como conversor, compilador, droppers de arquivo, funções e muitas outras ferramentas de script (HEAVEN, 2009). 39 2.6.18 Vírus invisíveis (Stealth) Um vírus stealth é um malware complexo que se esconde depois de infectar um computador. Uma vez escondido, ele copia as informações de dados não infectados para si mesmo e retransmite-as para o software antivírus durante uma verificação. Isso faz com que seja um vírus difícil de ser detectado e excluído (KARSPERSKY, 1999). Mais uma variação sobre o mesmo tema, desta vez, os vírus que trazem a característica de Stealth tem a capacidade de, entre outras coisas, temporariamente se auto remover da memória, para escapar da ação dos programas antivírus (KOWALSCK, 2005). Os vírus do tipo Stealth, na verdade, são espécies que se enquadram em um dos tipos acima descritos sendo estes adjetivos utilizados para descrever capacidades adicionadas aos mesmos, para que sejam os mais discretos possíveis, impedindo tanto quanto possível a sua detecção pelos programas antivírus (KOWALSCK, 2005). Um vírus stealth pode infectar um sistema de computadores de diversas maneiras: por exemplo, quando um usuário faz download de um anexo de e- mail malicioso; instala malware disfarçado de programa de sites; ou usa software não verificado infectado com malware. Semelhante a outros vírus, ele pode assumir diversas tarefas do sistema e pode afetar o desempenho do computador. Ao realizar tais tarefas, os programas antivírus detectam o malware, mas o vírus stealth foi criado para permanecer oculto ativamente de programas antivírus. Ele consegue fazer isso saindo temporariamente do arquivo infectado e copiando-se para outra unidade e substituindo-se por um arquivo limpo. O vírus stealth também pode evitar a detecção escondendo o tamanho do arquivo que infectou. (KARSPERSKY, 1999). Você pode detectar o vírus iniciando o sistema através de uma inicialização a partir do disco para evitar os sistemas sobre os quais o vírus possui controle e, em seguida, iniciar uma verificação antivírus. No entanto, mesmo se for detectado aqui, existe a possibilidade de que o vírus tenha se copiado em outro arquivo no sistema, portanto, continua sendo um vírus difícil de erradicar totalmente. Em geral, a melhor contramedida é utilizar um bom software antivírus criado para detectar os vírus e suas contrapartes ocultas. (KARSPERSKY,1999). São vírus de autoproteção, eles são capazes de fazer uma cópia de si mesmos para um outro local do HD após o antivírus o detectar, ou seja, sempre que um antivírus detectar este vírus ele procura um espaço onde o antivírus já passou e em seguida faz uma cópia de si mesmo para o HD (KOWALSCK, 2005). 40 2.6.19 Vírus de pouco disseminação (Sparse) Para se espalhar amplamente, um vírus deve tentar evitar a detecção. Para minimizar a probabilidade de ser descoberto, um vírus pode usar qualquer número de técnicas diferentes. Pode, por exemplo, infectar apenas a cada 20 vezes que um arquivo seja executado (TECNOPEDIA, 2017). Ele pode apenas infectar arquivos cujos comprimentos estão dentro de intervalos definidos de forma restrita ou cujos nomes começam com letras em um certo intervalo do alfabeto. Existem muitas outras possibilidades. Um vírus que usa tais técnicas é chamado de Sparse. (COMPUTER KNOWLEDGE,2013). 2.6.20 Vírus Blindados (Armored) Um vírus blindado é um vírus informático que contém uma variedade de mecanismos especificamente codificados para tornar sua detecção e descriptografia muito difícil (TECNOPEDIA, 2017). Um vírus blindado é codificado para se tornar difícil para os pesquisadores de antivírus o desamanharem e entenderem. Ele também pode ser compacto, para evitar detecção e desinfecção. Além disso os disseminadores de vírus e outros arquivos cheios que fazem parte de uma infestação de vírus normalmente são escondidos por meio de atributos de arquivo ou nomes de arquivos que não podem ser vistos (SILBERSCHATZ, 2008). Um desses métodos envolve enganar o software antivírus para acreditar que o vírus está em algum lugar além da sua localização real, o que dificulta a detecção e remoção. Outro tipo de armadura é implementado pela adição de código complicado e confuso, que não tem outra finalidade além de mascarar o vírus e evitar que pesquisadores de vírus criem uma contramedida efetiva (TECNOPEDIA, 2017). Um tipo de vírus que foi projetado para frustrar as tentativas dos analistas de examinar seu código usando vários métodos para dificultar o rastreamento, a desmontagem e a engenharia reversa. Um vírus blindado também pode se proteger de programas antivírus, tornando mais difícil rastrear. Para fazer isso, o vírus blindado tenta enganar o programa antivírus para acreditar que sua localização está em outro lugar que não seja onde realmente está no sistema (WEBOPEDIA, 2014). 41 Os vírus blindados são muito complexos e envolvem código significativo, o que aumenta sua armadura. Embora bastanteeficaz, o flip-side é que toda a armadura cria um vírus muito grande que pode ser detectado com mais facilidade antes de ter uma chance de infectar qualquer coisa. (TECNOPEDIA, 2017). Armored é uma classe que se sobrepõe a outras classes de vírus; talvez várias vezes. Basicamente, um vírus blindado usa "truques" especiais projetados para destruir pesquisadores antivírus. Qualquer pesquisador antivírus que deseje descobrir como funciona um vírus deve seguir os códigos de instrução no vírus. Ao usar uma variedade de métodos, os gravadores de vírus podem tornar essa tarefa de desmontagem um pouco mais difícil. Isso geralmente torna o vírus maior também (COMPUTER KNOWLEDGE, 2013). Os pesquisadores antivírus descobrem como funciona um vírus examinando e seguindo o código do vírus. Um vírus blindado torna isso difícil, dificultando a desmontagem do vírus. Isso dá ao vírus mais tempo para propagar-se antes que os pesquisadores possam criar uma contramedida (TECNOPEDIA, 2017). 2.6.21 Vírus Multiparticionados Esses vírus usam as técnicas dos vírus de inicialização e dos infestadores de arquivos. O Norton 360 Online faz a verificação em busca desses vírus e os elimina (NORTON SECURITY, 2016). Um vírus desse tipo é capaz de infectar várias partes de um sistema, incluindo setores de boot, memória e arquivos. Isso dificulta sua detecção e contenção (SILBERSCHATZ, 2008). 2.6.22 Vírus de Cavidade (Spacefiller) Muitos vírus tomam a saída fácil ao infectar arquivos. Eles simplesmente se juntam ao final do arquivo e, em seguida, alteram o início do programa para que primeiro aponte para o vírus e, em seguida, para o código do programa atual. Muitos vírus que fazem isso também implementam algumas técnicas de sigilo para que você não veja o aumento no comprimento do arquivo quando o vírus estiver ativo na memória. (COMPUTER KNOWLEDGE, 2013). 42 Alternativamente referido como um vírus de cavidade , um vírus de recuperação espacial é um tipo de vírus de computador raro que tenta instalar-se em um arquivo preenchendo as seções vazias de um arquivo. Ao usar apenas seções vazias de um arquivo, o vírus pode infectar um arquivo sem o tamanho da troca de arquivos, tornando mais difícil a detecção (COMPUTERHOPE, 2017). Um vírus de espaço (cavidade), por outro lado, tenta ser inteligente. Alguns arquivos de programas, por uma variedade de razões, têm espaço vazio dentro deles. Este espaço vazio pode ser usado para hospedar o código do vírus. Um vírus Spacefiller tenta instalar-se neste espaço vazio sem danificar o próprio programa. Uma vantagem disso é que o vírus então não aumenta o comprimento do programa e pode evitar a necessidade de algumas técnicas de sigilo. O vírus Lehigh foi um exemplo inicial de um vírus de relançamento espacial. (COMPUTER KNOWLEDGE, 2013). Esta categoria é para vírus que infectam arquivos colocando-se em partes vazias do arquivo (VIRUSWIKIA, 2016). 2.6.23 Vírus de Tunelamento (Tunneling) As informações transmitidas através da Internet ou entre dois dispositivos digitais realizam essa transmissão utilizando protocolos. Esses protocolos dividem a mensagem em partes diferentes (normalmente 2): 1 contendo os dados reais transmitidos e 1 contendo informações a respeito das regras da transmissão. Para que uma conexão seja estabelecida, os dois lados precisam entender e usar o mesmo protocolo de comunicação. O protocolo de tunelamento é aquele que inclui em seu datagram outro pacote de dados completo, que usa um protocolo de comunicação diferente. Ele essencialmente cria um túnel entre dois pontos em uma rede que pode transmitir com segurança qualquer tipo de dado entre eles (KARSPERSKY, 2017). Alguns vírus tentam criar um túnel sob a monitoração dos programas antivírus com o objetivo de contornar a monitoração de suas funções e métodos de ataque. Um método de detecção é um programa de interceptação o qual fica em segundo plano (background) procurando por ações específicas que possam significar a presença de um vírus. Para fazer isso ele deve interceptar as interrupções e monitorar o que está acontecendo. Um vírus de tunelamento tenta interceptar a interrupção com o objetivo de ir direto para os gerenciadores de interrupção do DOS (Disk Operating System) e da BIOS 43 (Basic Input Output System). O vírus então se instala, incluindo o programa de interceptação. Alguns programas de antivírus também utilizam técnicas de tunelamento para contornar qualquer vírus que tentem ficar ativos na memória quando eles são carregados (SILBERSCHATZ, 2008). Normalmente, esses tipos de protocolos são usados para enviar dados da rede privada através de uma rede pública, usualmente ao criar uma rede privada virtual (VPN), mas também podem ser usados para aumentar a segurança dos dados não criptografados quando são enviados através de uma rede pública. Existem vários protocolos de tunelamento populares, como Secure Socket (SSH), tunelamento ponto a ponto (PPTP) e IPsec, sendo que cada um é personalizado para uma finalidade diferente de tunelamento específico (KARSPERSKY, 2017). Esse vírus tenta evitar a detecção por um analisador de antivírus, instando-se na cadeia do tratador de interrupção. Vírus semelhantes se instalam nos drivers de dispositivos (SILBERSCHATZ, 2008). 2.6.24 Vírus de Camuflagem (Rootkits) É um tipo de software, muitas vezes malicioso, projetado para esconder a existência de certos processos ou programas de métodos normais de detecção e permitir contínuo acesso privilegiado a um computador (SYMANTEC, 2015). Um invasor pode utilizar mecanismos para esconder e assegurar a sua presença no computador comprometido. O conjunto de programas que fornece estes mecanismos é conhecido como rootkit. É muito importante ficar claro que o nome rootkit não indica que as ferramentas que o compõem são usadas para obter acesso privilegiado (root ou Administrator) em um computador, mas sim para mantê-lo (TEUTÔNIO, 2012). Quando algum sistema operacional efetua um pedido de leitura de um arquivo, o rootkit intercepta os dados que são requisitados e faz uma filtragem dessa informação, deixando o sistema ler apenas arquivos não infectados. Desta forma, o antivírus ou qualquer outra ferramenta ficam impossibilitados de encontrar o arquivo malicioso (SYMANTEC, 2015). https://pt.wikipedia.org/wiki/Malware https://pt.wikipedia.org/wiki/Acesso_privilegiado https://pt.wikipedia.org/wiki/Sistema_operacional 44 2.6.25 Vírus NTFS ADS O NT File System (NTFS) contém dentro dele um sistema chamado Streaming de Dados Alternativos (ADS). Este subsistema permite que dados adicionais sejam vinculados a um arquivo. Os dados adicionais, no entanto, nem sempre são evidentes para o usuário. O Windows Explorer e comando direção não mostram o ADS; outras ferramentas de arquivo (por exemplo, COPY e MOVE) reconhecerão e processarão o arquivo ADS anexado (COMPUTER KNOWLEDGE, 2013), O Alternate Data Stream ou simplesmente ADS é um recurso do sistema de arquivos NTFS. E uma maneira de armazenar um fluxo de dados em um arquivo. Esse recurso foi criado para manter a compatibilidade com os sistemas de arquivos Macintosh Hierarchical File System (DONDA, 2011). O NT File System permite que fluxos de dados alternativos existam anexados a arquivos, mas invisíveis para alguns utilitários de manipulação de arquivos. Um vírus pode explorar esse sistema. (COMPUTER KNOWLEDGE, 2013). Este arquivo será criado, mas será completamente invisível para qualquer comando de diretório ou o Windows Explorer. Um arquivo de fluxo alternativo pode ser executável e executado de várias maneiras. Para os nossos propósitos aqui, os arquivos podem ser explorados por vírus que entram nos arquivos salvos como parte do fluxo normal. Em uma dessas explorações, o vírus (Streams) cria uma cópia de si como
Compartilhar