Web-based malware: a nova arma de ataque dos cibercriminosos

{ 10/07/2009 @ 13:14 } · { Uncategorized }
{ Deixe um comentário }

Para encerrar a série de posts a respeito das novas formas de ataques dos cibercriminosos, passo a discorrer sobre os três pilares principais necessários a uma solução completa de segurança ao ambiente web:

  • Filtragem baseada em reputação
  • Filtros de predição de ameaças em tempo real
  • Filtragem baseada em conteúdo

Cibercriminosos

Filtragem baseada em reputação

Este é o primeiro componente crítico na luta contra as ameaças baseadas na web. Estes filtros previnem o acesso a sites conhecidos por hospedarem malware ou outros conteúdos indesejáveis, através da filtragem das URL’s baseado em suas reputações (”boa” ou “má”) e são uma ferramenta estabelecida e testada para proteger de maneira satisfatória contra as ameaças já conhecidas e localizadas. Ao proverem esta forma básica de proteção preventiva, eles auxiliam também na otimização da performance da rede e na produtividade de seus usuários, bloqueando o acesso a conteúdos inapropriados, ilegais ou não relacionados ao negócio da organização.

Embora estes filtros geralmente se conectem à grandes e freqüentemente atualizadas bases de dados de sites conhecidos pela hospedagem de malware ou conteúdo suspeito, eles possuem uma falha significativa: eles não oferecem proteção contra malware hospedado em sites previamente classificados como seguros, a sites que se tornaram “sequestrados” ou a recém criados websites. O tráfego destes sites não é bloqueado e o malware, seja recém desenvolvido ou não, infecta a rede da organização.

Filtros de predição de ameaças em tempo real Os filtros de predição de ameaças em tempo real atuam como uma forma de preencher as brechas de segurança deixadas pelos filtros baseados em reputação. Todo o tráfego web passa através de um scanner desenvolvido para identificar ambos malware’s conhecidos ou recém criados. O engine do malware é otimizado para um escaneamento de baixa latência e sempre que qualquer usuário acessa um website, desconsiderando-se sua reputação ou categoria, seu tráfego é escaneado utilizando-se uma combinação de tecnologias baseadas em assinaturas e análise de comportamento. Um valor agregado a este tipo de filtro é que a filtragem é realizada, por definição, bi-direcionalmente – tanto a requisição do usuário quanto a informação retornada pelo servidor web são escaneadas.  Em adição à detecção de malware’s conhecidos à medida que movem-se entre sites legítimos, esta filtragem bi-direcional pode também provê proteção contra novas ameaças independentemente de seus locais de hospedagem.

A utilização de filtros de predição de ameaças em tempo real ainda não é comum entre as soluções de segurança web no mercado hoje. A maioria delas conta somente com filtros baseados em assinatura.

Filtragem baseada em conteúdo

Esta técnica analisa todo o tráfego web na rede para determinar o verdadeiro tipo de arquivo do conteúdo originado de qualquer website e pode permitir ou bloquear este tráfego baseado em políticas corporativas. Os filtros de conteúdo escaneam o conteúdo de um arquivo em vez de simplesmente verificarem suas extensões ou o MIME-Type reportado pelo servidor web e assim podem identificar e bloquear arquivos que tentam mascarar seus conteúdos. Um arquivo pode, por exemplo, apresentar uma extensão TXT mas de fato ser um arquivo executável. Ao definir somente a execução de conteúdo relacionado ao negócio, este pilar de proteção possibilita às organizações criarem políticas a respeito de uma grande variedade de tipos de arquivos que podem ser utilizados para distribuírem malware, reduzindo os riscos de infecção.

Filtros baseados em conteúdo também ampliam a otimização da banda de rede através do bloqueio de conteúdos de tamanho elevado ou consumidores de recursos. como vídeo streaming.

À despeito de toda a tecnologia envolvida em ambos os lados desta batalha, a educação dos usuários ainda é aspecto fundamental, relegado muitas vezes pelos gestores de segurança de nossas organizações. Sem uma conscientização e treinamento constantes e maciços, sempre haverão brechas a serem exploradas. Equilibrar a proteção necessária aos recursos às necessidades e expectativas de nossos usuários sem dúvida é o maior desafio dos responsáveis pela segurança da informação nas mais diversas organizações.

Explorar erros de digitação por parte dos usuários

Ao criarem websites utilizando nomes de domínios similares àqueles utilizados por sites confiáveis (por exemplo “Goggle” em vez de “Google” ou utilizando uma extensão de domínio diferente – “.org” em vez de “.com”) os hackers podem se utilizar desses erros comum de usuários para disseminarem seus códigos maliciosos em páginas web. Por causa de suas aparências bastantes similares aos sites visitados pelos usuários, os hackers podem facilmente enganá-los e obrigá-los a baixar conteúdos aparentemente seguros.

Guiar o usuário ao malware através de ataques em “fast-flux spam”

Em vez de encaminhar seus códigos maliciosos através de arquivos anexados aos e-mails, os cibercriminosos passaram a enviar em seus spams apenas os links para páginas infectadas Atrás destes links existe um exército de computadores infectados, conhecidos como “Botnets” atuando como web hosts. O criador do malware percorre todos estes equipamentos com seu código provendo uma mudança constante da página infectada. Este processo de mudança rápida de endereço IP do computador que hospeda o código malicioso é conhecido como “fast flux – fluxo rápido” e aumenta as dificuldades de busca e bloqueio dos ataques spam associados por parte dos filtros de segurança.

Ultrapassar as defesas de segurança através de alterações rápidas

Contrastando totalmente com o método “atire e esqueça” dos vírus e worms orientados a e-mailI, as ameaças atuais da web estão constantemente sendo adaptadas e modificadas afim de ultrapassar qualquer tipo de defesa. Através do reempacotamento de ameaças diversas vezes, os cibercriminosos podem criar numerosas pequenas variações de seus códigos, muitos dos quais podem passar despercebidos pelas soluções de segurança. Este processo pode até ser automatizados permitindo aos criminosos gerar múltiplas variantes de seu malware em um único dia. Esta modificação constante de código não somente permite aos hackers comprometerem mais computadores, mas também significa que uma vez infectado, estes permanecem infectados por mais tempo do que antes. Ao alterar as características de seus códigos continuamente, os hackers podem enganar as ferramentas de detecção de malware baseadas em assinaturas (ou aquelas com capacidade de escaneamento relativamente pobre) e instalar mais códigos maliciosos como spywares ou adwares ao computador. Alternativamente, estes computadores podem ser utilizados para lançar repetidas campanhas de spams ou proferir ataques de negação de serviços (DOS – Denial-of-service).

Mai 01ISO 38500 – Um novo padrão para a Governança de TI

{ 10/07/2009 @ 12:44 } · { Uncategorized }
{ Deixe um comentário }

Alguns domínios relativos à Governança de TI já possuem padrões e/ou normas associados. Temos a ISO 20000 relativa ao Gerenciamento de Serviços de TI, a ISO 27001 sobre segurança e também a ISO 9000 relativa à qualidade de processos. Todavia, a organização internacional reconheceu a necessidade da definição de um novo padrão.

Baseado em um padrão australiano (AS8015) a ISO/IEC 38500 cobrirá os aspectos relacionados à Governança Corporativa de TI. O padrão AS8015 provê seis princípios orientadores para o estabelecimento de uma boa governança corporativa e também para o uso aceitável, eficiente e efetivo dos recursos de TI. São eles:

  • Estabelecer responsabilidades facilmente compreensíveis para a TI;
  • Planejar a TI para que ela ofereça o melhor suporte à organização;
  • Validar as aquisições de TI;
  • Garantir a melhor performance da TI sempre que necessário;
  • Garantir a conformidade da TI junto às regras formais;
  • Garantir que a utilização dos recursos de TI respeitem os fatores humanos.

No link abaixo você pode encontrar mais informações a respeito do padrão AS8015.

http://www.ramin.com.au/itgovernance/as8015.html

Quebras de confidencialidade “à luz do dia”

{ 09/07/2009 @ 18:44 } · { Uncategorized }
{ Deixe um comentário }

Essa matéria mostrou algo que já não é novidade há algum tempo: a venda de CDs em São Paulo contendo dados sigilosos de milhares, senão de milhões, de pessoas físicas e jurídicas. Digo que não é novidade pois é comum recebermos mensagens de e-mail não solicitadas (spam) oferecendo esse tipo de informação por um preço módico. Segundo a reportagem estão disponíveis dados que estão em cadastros como:

  • Receita Federal;
  • Assinantes de uma companhia de telefone fixo (RS, SC, PR, RJ, MG e SP); e
  • DETRAN.
Ainda, também segundo a reportagem, o preço dos CDs fica por volta de cem reais. Além de CDs já contendo as informações prontas para uso, ainda são oferecidos “programas de hacker” para obtê-las diretamente dos computadores de terceiros. Um dos vendedores fala literalmente na reportagem: “Tem um CD de hacker, aquele que as ‘quadrilha’ usa para roubar dinheiro, para os cara descobrir senha.”

Para que as informações cheguem nas mãos dos vendedores de rua flagrados na reportagem ou daqueles que as vendem por e-mail, ocorre uma quebra de segurança, atingindo mais especificamente a confidencialidade* das informações. Uma quebra de confidencialidade significa que as informações foram acessadas por pessoa sem a devida autorização. Algumas situações que comumente levam à quebra de confidencialidade de informações são:

  • Comprometimento de senha de usuário com permissões de acesso: pessoas não autorizadas podem descobrir senhas fracas (fáceis) utilizadas por usuários do sistema que contém as informações que se deseja obter. As senhas podem ser descobertas por simples tentativa e erro ou, ainda, os atacantes podem explorar a ingenuidade de um usuário e simplesmente solicitar a senha dele por telefone. Uma vez obtida a senha basta acessar as informações;
  • Vulnerabilidade no sistema que mantém as informações: um atacante pode encontrar uma falha em um sistema e obter acesso direto às informações que deseja, sem necessariamente informar um nome de usuário e senha. Vulnerabilidades que permitem esse tipo de acesso não são incomuns, haja visto o grande número de ataques como SQL Injection que permitem acesso direto à bancos de dados através de aplicações Web; e
  • Vazamento das informações causado por pessoal interno: essa situação pode ser chamada de um ataque interno típico. O que ocorre de fato é que pessoas com a devida autorização de acesso abusam da mesma e distribuem ou mesmo vendem informações sigilosas – às quais possuem acesso – à terceiros. Um exemplo disso ocorre quando uma empresa suborna um funcionário de sua principal concorrente para obter informações estratégicas de negócio.

No caso da notícia que deu origem a este post, aparentemente o que ocorre é de fato vazamento das informações causado por pessoal interno. Um dos vendedores comenta sobre o CD do DETRAN: “Cara quente, um cara que traz isso aí do DETRAN. É cara que trabalha lá dentro.”

De qualquer modo, todas as três situações podem ser tratadas de forma adequada. O comprometimento de senhas fracas pode ser evitado – ao menos bastante dificultado – se a qualidade da senha dos usuários for monitorada (ex. impedindo o uso de palavras, forçando um tamanho mínimo, exigindo o uso de letras e números, etc.). Além disso, controles como bloqueio de contas de usuários, após um certo número de tentativas de acesso sem sucesso, também são bastante úteis pois evitam que um atacante possa realizar um grande número de tentativas de quebra de senha.

A segunda situação, vulnerabilidades que acabam por expôr informações sigilosas, pode ser evitada com uma verificação regular das novas vulnerabilidades descobertas (diáriamente ou semanalmente) e também por um cuidadoso procedimento de aceitação de softwares aplicativos antes que os mesmos cheguem ao ambiente de produção.

A terceira é resolvida com auditoria. Não só as tentativas de acesso sem sucesso precisam ser registradas, mas também as ações de pessoal autorizado em sistemas que lidam com informações críticas. Sobre a geração de registros leia o post Precisa-se de um FDR!.

A confidencialidade das informações que são apresentadas na reportagem são protegidas por lei e cada uma das instituições que as detém é responsável por manter o sigilo das mesmas. Qual será a solução dada para as pessoas (físicas ou jurídicas) que foram e ainda serão prejudicadas das mais diversas formas pelo uso criminoso de suas informações sigilosas?

 

Sistemas de Informação

{ 09/07/2009 @ 17:48 } · { Uncategorized }
{ Deixe um comentário }

O video apresenta com detalhes a utilidade de um profissional de sistemas de informação, bem como sua importancia dentro das empresas seja ela uma grande ou pequena empresa. Fala também sobre as grandes oportunidades de empregos e bons salários para os profissionais da área, que ao contrário da maioria, tem mais oportunidades do que funcionários, tornando assim difícil para as empresas encontrar um profissional de sistemas de informação qualificado.

Segurança da informação

{ 09/07/2009 @ 17:15 } · { Uncategorized }
{ Deixe um comentário }

Um video interesante do correio sobre a segurança da informação, trata dos perigos de virus e invasores de computadores, alertando sobre os cuidados que devem ser tomados para proteger as informações, contendo dicas de segurança para os usuários.

10 FALHAS DA SEGURANÇA DA INFORMAÇÃO

{ 09/07/2009 @ 14:10 } · { Uncategorized }
{ Comments (2) }

A maioria dos problemas de segurança da informação ocorrida em organizações está relacionada a um conjunto básico de falhas na implantação e desenvolvimento do processo de segurança da informação. Destaco as seguintes falhas mais comuns e mais graves em uma organização:

1. Não existência de uma estrutura de políticas, normas e procedimentos
Os regulamentos (políticas, normas e procedimentos) existem para explicitar como a organização deseja que o recurso informação deva ser tratado. Além do mais, como não temos legislação no Brasil em certos assuntos, por exemplo monitoramento de mensagem de correio eletrônico, a organização precisa dizer aos seus usuários com será tratado esta questão.

2. A gestão do controle de acesso permite uma identificação para uso comum.
Eu ainda fico admirado, mas, ainda encontro em muitas organizações identificações que não são individuais e são utilizadas por um grupo de usuários. Não me refiro aqui às situações de exceção. São casos normais de acesso à informação. Com esse acesso comum é muito difícil identificar qual usuário fez determinado acesso.

3. Não existência de gestor da informação.
Historicamente a área de tecnologia exercia a função de gestor da informação. Mas, mesmo nos anos iniciais da tecnologia da informação a área de informática deveria ser apenas um prestador de serviço, deveria ser o custodiante da informação. É fator crítico de sucesso para o processo de segurança da informação a existência do gestor da informação que deve ser a pessoa da área de negócio ou da área administrativa que á a responsável por aquela informação. É o gestor da informação que vai autorizar (ou negar) o acesso dos demais usuários da empresa àquela informação.

4. Planos de continuidade que são apenas belos documentos.
Planos de continuidade de negócio ou planos para situações de contingência devem ser um processo vivo. Mas, muitas empresas desenvolvem seus planos e os mesmos ficam parados nas estantes. Um plano de continuidade tem que ser vivo: atualizado constantemente, testado e crescente em termos de escopo e cenário.

5. Registros de ações realizadas: não existem ou pouco tempo de guarda.
Registros para investigação (auditoria ou computação forense) precisam ter definidos sua existência e seu tempo de vida. Um registro de acesso (log) a um sistema que seja guardado apenas um dia é muito pouco caso haja uma investigação sobre uma ação indevida nesta aplicação. Também é importante a existência do registro de tentativas de acesso e erros de identificação/senha.

6. Cópias de segurança: definição da informática.
As cópias de segurança devem existir por razões de recuperação do ambiente de tecnologia, requisitos legais, aspectos históricos e exigências de auditoria. Apenas o primeiro caso é de responsabilidade da área de tecnologia. Requisitos legais e necessidade de guarda por questões históricas devem ser definidos pela área de negócio. Exigências de auditoria devem ser definidas pelas auditorias internas ou externas.

7. Não existência de um gestor do processo de segurança.
A segurança da informação é uma responsabilidade de todos. Porém, um profissional deve ser responsável pela existência do processo de segurança da informação. Empresas de médio e grande porte podem ter um funcionário dedicado a esta função,evidentemente desde que ele tenha os pré requisitos para a mesma.

8. Não existência de uma gestão de risco.
Quando não existe uma gestão de risco, as análises de risco e de ameaças são feitas aleatoriamente e normalmente apenas quando se tem um risco eminente. Toda organização deve ter uma gestão de risco contínua.

9. Não alinhamento da segurança com o negócio.
A segurança deve considerar as prioridades do negócio da organização. Mas lembro que as áreas de negócio e a direção da organização devem considerar a participação da segurança da informação em definições estratégicas. Evidentemente não falo aqui de situações de extremo segredo, como por exemplo, a junção de duas instituições financeiras.

10. Usuário: pouco treinamento e conscientização.
A pessoa humana é o fator determinante para o sucesso ou fracasso do processo de segurança da informação em uma organização. Cada usuário precisa ser treinado e conscientizado. Precisa saber suas responsabilidades, o que pode e o que não pode fazer.

Garanta que a sua organização não falha nestes dez itens citados. Se você conseguir isto com certeza sua organização terá um excelente nível de proteção da informação.

Fonte: Blog do Edison Fontes

COREIA DO SUL SOFRE NOVOS CIBERATAQUES

{ 09/07/2009 @ 13:57 } · { Uncategorized }
{ Deixe um comentário }

Segundo a BBC, no dia 09/07/2009 uma terceira onda de ataques ciberneticos na coreia do sul, estaria paralisando vários sites no país, incluindo o de um banco sul-coreano, o de uma agência de inteligências do país, o site de um grande jornal, entre outros. Suspeita-se de que esses ataques, estejam partindo da Coreia do norte.

Os Estados Unidos, afirmam também terem sido atacados no começo da semana, e um dos sites infectados, seria o da casa branca. Porém segundo a BBC, esses ataques afetam apenas os sites públicos, não acarretando para isso maiores danos de segurança. Apesar das suspeitas e especulações, não há nada que prove ainda, que a Coreia do norte está envolvida nesses ataques. O presidente sul coreano, informou que o país irá contar com uma força militar especializada em crimes cibernéticos, e está investigando possíveis suspeitos cibernéticos.

Fonte: http://tecnologia.terra.com.br/interna/0,,OI3865428-EI4805,00.html

MISTERIOSO VÍRUS ATACA REDE DO FBI

{ 08/07/2009 @ 14:35 } · { Uncategorized }
{ Deixe um comentário }

Um misterioso vírus invadiu recentemente os computadores do governo americano, obrigando dessa maneira o FBI a desligar parte de suas redes como medida de precaução. O U.S. Marshals, serviço de segurança dos Estados Unidos, revelou que se desconectou da rede de departamentos de segurança do país, para se proteger do ataque, enquanto o FBI apenas comunicou que estava passando por alguns problemas semelhantes, mas que estava trabalhando apra resolve-lo.

“Também estamos analisando a instabilidade que afeta diversas agências do governo”, disse o porta-voz do FBI, Mike Kortan.

Credic afirma que nenhum dado relevante doi acessado, e informa que o vírus era de um tipo e origem desconhecidos.

Além das redes externas, a maioria das agências de segurança dos EUA possui uma rede interna protegida para evitar espionagem.

Fonte: http://www.brazilianpress.com/20090527/usa/noticia05.htm

PESSOAS SÃO O PONTO FRACO DA SEGURANÇA DE COMPUTADORES

{ 08/07/2009 @ 11:59 } · { Uncategorized }
{ Deixe um comentário }

Especialistas dizem que o grande problema de segurança de computadores, não são os hardwares ou softwares, mas sim as pessoas que estão na frente do computador.  A segurança “é mais um problema humano do que técnico”, resumiu Dan Kaminisky, da Dox Para Research. Gerentes de redes presentes na conferência realizada, informaram que grande parte das pessoas, guardam suas senhas em gavetas, monitor, agenda. Um dos salões da conferência, estava com sua parede coberta por senhas e nomes, obtidos através de computadores pela internet.

Os usuários que se dizem hackers e na verdade são crackers, utilizam seus conhecimentos para a destruir ao invés de beneficiar. Eles enviam mensagens eletrônicas e desenham sites para enganar as pessoas conseguindo dessa forma obter suas informações pessoais. Os hackers levam as pessoas a baixar códigos ocultos que lhes permitem tomar o controle dos computadores infectados, acrescentaram as fontes. Uma vez dentro dos computadores, os criminosos podem vasculhar a máquina por alguma informação pessoal valiosa, atacar outras máquinas ou até mesmo usar o disco rígido de uma pessoa acima de qualquer suspeita para armazenar informação ilegal.

Um caso típico é quando algum famoso morre recentemente, ou mesmo sem morrer. Começam a rodar na internet, links dizendo constar fotos do acidente de fulano, quando na verdade, ao clicar alí, você está permitiando que essa pessoa que o enviou, invada seu computador e obtenha suas informações pessoais.

 

Fonte: http://tecnologia.terra.com.br/interna/0,,OI1090811-EI4805,00.html

A IMPORTÂNCIA DA SEGURANÇA DA INFORMAÇÃO

{ 08/07/2009 @ 10:28 } · { Uncategorized }
{ Comments (2) }

Em uma organização, tudo está ligado à informação, ela é extremamente importante dentro de uma empresa, dessa forma sua seguridade é de suma importância. Porém, a maioria das empresas, não veêm essa necessidade de se ter uma TI, pois os resultados dela, não são muito visíveis como um setor que atinge sua meta antes do tempo, possuindo resultados mais visíveis e concretosque. A segurança da informação funciona a longo prazo, fazendo uma harmonização de seus processos, tarefas, buscando dessa forma amenizar os erros e não repassar informações desnecessárias ou sem importância. Uma grande empresa, com filiais, que possui seus sistema de informações integrado, contendo todas as informações de todas as filiais, precisa ter um sistema integrado e automatizado de backup periódico, firewall, sistemas de segurança física, lógica e pessoal, pois do contrário, se ela perder todo seu banco de dados, provavelmente quebrará, perdendo juntamente todos os dados dos clientes.

A segurança dos sistemas de informação (SI) engloba um número elevado de disciplinas. Entre estas disciplinas encontram-se as seguintes:

* Segurança de redes;
* Segurança física;
* Segurança de computadores;
* Segurança do pessoal;
* Segurança aplicacional;
* Criptografia;
* Gestão de projectos;
* Formação;
* Conformidade.

Na entrada à empresa, de casa funcionário novo, a empresa deve apresentar a política de informações da empresa, deixando-os a par das medidas para a guarda e proteção de todo o sistema da empresa.

Aconteceu uma perda de dados, um desastre? A empresa deve definir, o que é importante, “essas informações são confidenciais”, qual o grau de risco, como proceder no caso de tentativa de invasão ou de invasão, tudo isso deve estar citado na política de riscos e desastres.

Fonte:  Livro “Segurança da Informação de Sistemas”.

« Older entries