Relatório de Ameaças à Segurança de Sites I 2015 PARTE 1

Transcrição

1 Relatório de Ameaças à Segurança de Sites I 2015 PARTE 1

2 CONTEÚDO Introdução Resumo executivo Ameaças na Web Crimes eletrônicos e malware Recomendações e melhores práticas Sobre a Symantec I Symantec Website Security Solutions

3 INTRODUÇÃO A Symantec possui a mais abrangente fonte de dados do mundo sobre ameaças na Internet, com a Symantec Global Intelligence Network, composta por mais de 41,5 milhões de sensores de ataque e capaz de registrar milhares de eventos por segundo. Essa rede monitora a atividade de ameaças em mais de 157 países e territórios por meio de uma combinação de produtos e serviços da Symantec, como: o Symantec DeepSight Threat anagement System 157 o Symantec anaged Security Services produtos Norton o Symantec Website Security Solutions outras fontes de dados de terceiros. A Symantec também possui um dos bancos de dados de vulnerabilidades mais abrangentes do mundo, consistindo em mais de vulnerabilidades registradas por mais de fornecedores que representam mais de produtos. Dados de spam, phishing e malware são capturados por uma variedade de fontes, incluindo: o Symantec Probe Network, um sistema com mais de 5 milhões de contas falsas o Symantec.cloud produtos para malware e vulnerabilidades do Symantec Website Security Solutions várias outras tecnologias de segurança da Symantec. A Skeptic, a tecnologia heurística e patenteada do Symantec.cloud, é capaz de detectar ameaças direcionadas novas e sofisticadas antes que elas cheguem às redes dos clientes. ais de 8,4 bilhões de mensagens de são processadas todos os meses, e mais de 1,7 bilhão de solicitações da Web são filtradas todos os dias, em 14 data centers. A Symantec também coleta informações de phishing por meio de uma ampla comunidade antifraude composta por empresas, fornecedores de segurança e mais de 50 milhões de consumidores. A Symantec possui um dos bancos de dados de vulnerabilidades mais abrangentes do mundo fornecedores produtos 14 data centers 1,7 BILHÃO 8,4 BILHÕES vulnerabilidades registradas Skeptic, a tecnologia heurística e patenteada do Symantec.cloud de solicitações Web de mensagens de O Symantec Website Security Solutions fornece 100 por cento de disponibilidade e processa seis bilhões de pesquisas OCSP (Online Certificate Status Protocol) por dia, que são usadas para obter o status de revogação de certificados digitais X.509 em todo o mundo. Esses recursos oferecem aos analistas da Symantec fontes de dados sem igual, com as quais eles podem identificar, analisar e fornecer comentários embasados sobre as novas tendências de ataques, atividades de código malintencionado, phishing e spam. O resultado é o Relatório da Symantec de Ameaças à Segurança de Sites, que fornece a empresas de todos os portes, e também aos consumidores, as informações essenciais para que protejam seus sistemas com eficácia agora e no futuro. 3 I Symantec Website Security Solutions

4 RESUO EXECUTIVO O grande acontecimento em 2014 foi é claro o bug Heartbleed, que estremeceu as bases da segurança na Internet. Seu significado não foi comprovar a inteligência dos criminosos; na verdade, ele demonstrou a vulnerabilidade inerente aos softwares criados por seres humanos e lembrou a todos sobre a necessidade de vigilância e maior cuidado na implementação e na segurança de sites. É claro que, enquanto o Heartbleed ocupava as manchetes, os criminosos aproveitaram para criar suas próprias oportunidades de exploração, roubo e destruição. Em 2014, os criminosos se tornaram mais profissionais, sofisticados e agressivos em suas táticas, prejudicando empresas e indivíduos igualmente. As vulnerabilidades expõem todos nós O Heartbleed não foi a única vulnerabilidade explorada esse ano. As vulnerabilidades Poodle e Shellshock também permitiram que criminosos usassem sites para acessar servidores, roubar dados e instalar malware. É interessante observar que, embora três quartos dos sites verificados apresentassem vulnerabilidades (o mesmo que no ano anterior), o número de sites atacados por malware em 2014 caiu consideravelmente, chegando a um em Em parte, isso pode ter ocorrido devido ao aprimoramento da segurança dos sites, mas também é possível que os criminosos tenham optado por métodos alternativos de entrega de malware, como mídia social e malvertising (anúncios mal-intencionados). Infelizmente, de forma mais geral, muitas pessoas deixam de instalar patches para vulnerabilidades dos softwares que executam em dispositivos e servidores, o que facilita demais a exploração pelos criminosos. Com frequência, os invasores utilizam um dropper especializado, entregue talvez por meio de um ataque drive-by (por download não solicitado) ou fraude de mídia social, que verifica a gama de vulnerabilidades conhecidas e explora qualquer brecha de segurança não corrigida Os criminosos cibernéticos profissionalizam suas ações Em 2014, a sofisticação das operações criminosas aumentou, e especializações, fornecimento de serviços e flutuações de mercado agora espelham seus equivalentes no setor de tecnologia legítimo. Um toolkit de ataque drive-by, por exemplo, incluindo atualizações e suporte 24/7, pode ser alugado por um valor entre US$ 100 e US$ 700 por semana. Ataques de negação de serviço distribuídos (DDoS) podem ser encomendados por US$ 10 a US$ por dia. Além disso, quando se trata de demanda e oferta, o mercado favorece o comprador: detalhes de cartão de crédito podem ser adquiridos por algo entre US$ 0,50 e US$ 20 por cartão, e seguidores em uma rede social podem custar de US$ 2 a US$ 12. As táticas de ataque são agressivas e amorais Os criminosos nunca se importaram muito com suas vítimas, mas em 2014 suas más intenções alcançaram um novo patamar. Somente entre maio e setembro, a Symantec percebeu um aumento de 14 vezes na ocorrência de cryptoware. Esse tipo de ransomware criptografa os arquivos da vítima de fotos a faturas e contatos importantes e retém as chaves privadas necessárias para descriptografar as informações até o pagamento de um resgate. As vítimas recebem instruções para fazer o pagamento em bitcoins, usando uma página Tor anônima, o que praticamente impede que os criminosos responsáveis pela fraude sejam rastreados e presos. Fraudes de mídia social e phishing também tentaram aproveitar temores relacionados a hacking e integridade de informações a fim de enganar os usuários e fazer com que clicassem em links. O lucro dessas ações vem de programas afiliados que pagam por inscrições e cliques, além de downloads de malware que exploram a vítima ou os dados coletados quando a vítima fornece informações em um site de phishing vinculado. 2 Symantec Website Security Solutions I 4

5 5 I Symantec Website Security Solutions AEAÇAS NA WEB

6 VISÃO GERAL 1 A vulnerabilidade Heartbleed deixou cerca de meio milhão de sites confiáveis à mercê de violações de dados significativas em abril de A ameaça do Heartbleed fez com que muito mais pessoas observassem e aprimorassem os padrões na implementação de SSL e TLS. 3 Os criminosos aproveitam a tecnologia e a infraestrutura criadas por redes de anúncios legítimas para disseminar fraudes e ataques mal-intencionados. 4 Um salto para cinco por cento do total de sites infectados levou os sites de anonimato para os dez principais tipos de sites infectados em O número total de sites com malware reduziu-se praticamente à metade desde Symantec Website Security Solutions I 6

7 INTRODUÇÃO As ameaças na Web ficaram maiores e muito mais agressivas em 2014, conforme brechas em ferramentas e protocolos de criptografia comuns foram expostas e os criminosos refinaram suas armas mal-intencionadas. Em 2014, o panorama de ameaças na Web tornou-se muito mais intimidador, uma tendência que deve continuar em Vulnerabilidades e novas variações de malware enfatizam a necessidade de atenção contínua e aprofundada para a segurança dos sites. No momento em que este documento é escrito, uma nova vulnerabilidade de SSL/TLS, chamada FREAK, foi identificada por vários pesquisadores da área de segurança (2015) 4. A vulnerabilidade FREAK permite que ataques de tipo man-in-the-middle ocorram em comunicações criptografadas entre um visitante e o site, o que acaba possibilitando que invasores interceptem e descriptografem as comunicações entre clientes e servidores afetados. Depois que a criptografia é quebrada pelos invasores, eles podem roubar senhas e outras informações pessoais e, potencialmente, iniciar outros ataques contra o site afetado I Symantec Website Security Solutions

8 VULNERABILIDADES DE ALTA VISIBILIDADE Heartbleed O Heartbleed chegou às manchetes em abril de 2014, quando foi divulgado que uma vulnerabilidade na biblioteca do software criptográfico OpenSSL permitia que invasores acessassem os dados armazenados na memória de um servidor Web durante uma sessão criptografada. Os dados da sessão poderiam incluir detalhes de cartão de crédito, senhas ou, até mesmo, chaves privadas que desbloqueariam toda uma troca criptografada 5. Na época, estimou-se que o Heartbleed tivesse afetado 17 por cento dos servidores Web SSL, que usam certificados SSL e TSL emitidos por autoridades de certificação confiáveis 6. O impacto em indivíduos e empresas foi gigantesco. Não só uma imensa quantidade de dados confidenciais estava em risco, mas o público também precisava ser informado a respeito da vulnerabilidade para saber quando atualizar suas senhas. Primeiro, os proprietários dos sites precisaram atualizar seus servidores com a versão corrigida do OpenSSL, instalar novos certificados SSL e, finalmente, revogar os certificados antigos. Só então uma alteração de senha seria eficaz contra a ameaça, e passar essa informação ao público em geral representou um grande desafio. Felizmente, a resposta foi rápida. Em cinco dias, nenhum dos sites incluídos na lista dos principais sites (segundo o Alexa) estava vulnerável ao Heartbleed, e apenas 1,8 por cento dos principais sites continuava vulnerável 7. ShellShock e Poodle A vulnerabilidade Heartbleed não foi a única a surgir no ecossistema online em Em setembro, foi descoberta uma vulnerabilidade conhecida como Bash Bug ou ShellShock que afetava a maioria das versões do Linux e do Unix, além do ac OS X. O ShellShock é um exemplo especialmente adequado que mostra o quão rapidamente o panorama da segurança pode mudar para os proprietários de sites: um dia seus servidores estão seguros e atualizados e, no dia seguinte, isso não é mais verdade, vários dos patches iniciais estão incompletos e precisam ser corrigidos novamente. A rota de ataque mais fácil passava pelos servidores Web, já que os invasores podiam usar a interface CGI (Common Gateway Interface), o sistema amplamente usado para a geração de conteúdo Web dinâmico, a fim de adicionar um comando mal-intencionado a uma variável ambiental, que o Bash, o componente de servidor contendo a vulnerabilidade, poderia interpretar e executar 8. Inúmeras ameaças se aproveitaram do ShellShock, expondo servidores (e as redes às quais eles se conectavam) a malware que poderia infectar e espionar múltiplos dispositivos. Em outubro, as atenções se voltaram para a criptografia, quando o Google descobriu uma vulnerabilidade conhecida como Poodle. Essa vulnerabilidade poderia permitir que criminosos explorassem os servidores que ainda utilizassem um protocolo SSL mais antigo, conhecido como SSL 3.0, interferindo no processo de handshake (que verifica qual protocolo o servidor pode usar) e forçando-o a usar o SSL 3.0, mesmo se houvesse suporte a um protocolo mais recente 9. Uma exploração bem-sucedida permitiria a um invasor executar um ataque man-in-the-middle para descriptografar cookies de HTTP seguro, o que lhe permitiria roubar informações ou controlar as contas online da vítima. Felizmente, essa ameaça não foi tão grave quanto o Heartbleed. Para aproveitar a vulnerabilidade Poodle, o invasor precisaria ter acesso à rede entre o cliente e o servidor, como um hotspot Wi-Fi público Symantec Website Security Solutions I 8

9 VULNERABILIDADES DE ALTA VISIBILIDADE Vulnerabilidades de alta visibilidade e tempo de correção Os ataques que ocorreram logo após o anúncio dessas vulnerabilidades foram bastante noticiados, embora de maneira diferente das chamativas vulnerabilidades de dia zero. O Heartbleed e o ShellShock poderiam ser vistos como uma classe diferente de vulnerabilidades, sendo usados para comprometer servidores em vez de endpoints. O principal fator dessas vulnerabilidades de alta visibilidade era a prevalência dos softwares que elas afetavam, encontrados em tantos sistemas e dispositivos. Considerando sua existência abrangente, essas vulnerabilidades imediatamente se tornaram alvos importantes para os invasores. Em poucas horas após a sua divulgação, elas já estavam sendo exploradas. Os grandes picos do gráfico mostram que, embora houvesse assinaturas da Symantec prontas para detectar e bloquear ataques quase imediatamente após a divulgação, um grande número de ataques já estava se desenrolando. Os invasores conseguiram explorar a vulnerabilidade Heartbleed em um prazo de quatro horas após a sua divulgação. Os certificados SSL e TLS ainda são essenciais para a segurança É importante observar que, embora a segurança online tenha sido estremecida em 2014, os certificados SSL e os certificados TLS, seus equivalentes mais modernos, ainda funcionam e ainda são essenciais. Na verdade, a ocorrência do Heartbleed demonstrou a rapidez com que a comunidade de segurança online foi capaz de reagir a esses tipos de ameaças. Os padrões do setor também melhoram continuamente, graças ao trabalho árduo e à vigilância de organizações como o CA Browser Forum, do qual a Symantec faz parte. Em outras palavras, a base da segurança na Internet, que protege seu site e seus visitantes, está mais forte do que nunca. ATAQUES GLOBAIS DO HEARTBLEED E DO SHELLSHOCK, ABRIL A NOVEBRO DE 2014 ilhares Ataques do Heartbleed (globais) Ataques do Shellshock (globais) A S O N Fonte: Symantec 9 I Symantec Website Security Solutions

10 VISÃO GERAL DAS VULNERABILIDADES Com pequenas flutuações de um ano a outro, a tendência no número de vulnerabilidades continua a crescer. Existem ações corretivas, soluções alternativas ou patches para a maioria das vulnerabilidades relatadas. No entanto, os criadores de malware sabem que muitas pessoas não aplicam essas atualizações, e por isso eles conseguem explorar vulnerabilidades bem documentadas. Em muitos casos, um dropper especializado procura algumas vulnerabilidades conhecidas e usa qualquer brecha de segurança não corrigida como porta dos fundos para instalar malware. Isso, é claro, enfatiza a importância crucial da aplicação de atualizações. É dessa forma que toolkits de exploração na Web, como o Sakura e o Blackhole, permitem que invasores explorem vulnerabilidades não corrigidas publicadas meses (ou até mesmo anos) antes. É possível criar várias explorações para cada vulnerabilidade, e um toolkit de ataque na Web primeiro realiza uma verificação de vulnerabilidades no navegador para identificar quaisquer plug-ins potencialmente vulneráveis e o melhor ataque que pode ser aplicado. uitos toolkits não utilizam as explorações mais recentes em vulnerabilidades novas se uma mais antiga for suficiente; explorações para vulnerabilidades de dia zero são raras, sendo muito procuradas por invasores, especialmente para uso em ataques direcionados de tipo watering hole. NOVAS VULNERABILIDADES ,6% +28% Fonte: Symantec Deepsight Symantec Website Security Solutions I 10

11 Número total de vulnerabilidades, Vulnerabilidades de navegador, Opera ozilla Firefox icrosoft Internet Explorer Google Chrome Apple Safari Fonte: Symantec I Deepsight Fonte: Symantec I Deepsight Vulnerabilidades de plug-in por mês, ava Apple Adobe ActiveX F A A S O N D F A A S O N D Fonte: Symantec I Deepsight Embora as vulnerabilidades relatadas representem um risco geral, as vulnerabilidades de dia zero são potencialmente muito mais graves. Essas são as vulnerabilidades que são descobertas apenas após serem exploradas por invasores. Consulte o capítulo sobre ataques direcionados para ver uma abordagem mais ampla sobre as vulnerabilidades de dia zero. 11 I Symantec Website Security Solutions Plug-in Vulnerabilities by onth

12 SITES COPROETIDOS Considerando todos os sites que a Symantec verificou em 2014, cerca de três quartos apresentaram vulnerabilidades, um número parecido com o do ano anterior. A porcentagem dessas vulnerabilidades que foi classificada como crítica, porém, aumentou de 16 para 20 por cento. Em contraste, o número de sites em que malware realmente foi encontrado foi muito menor no ano passado, tendo sido reduzido de um em 566 para um em Isso parece ter tido um efeito secundário no número de ataques na Web bloqueados por dia, que também foi reduzido (embora apenas em 12,7 por cento), sugerindo que sites infectados foram, na média, responsáveis por mais ataques em Um motivo para isso é a maneira como alguns toolkits de ataques na Web foram desenvolvidos para serem usados na nuvem, como Software como serviço (SaaS). Por exemplo, um site comprometido pode usar uma tag HTL iframe ou avascript disfarçada para injetar código mal-intencionado do toolkit de exploração baseado em SaaS, em vez de iniciar o ataque mal-intencionado diretamente do código da exploração hospedado no próprio site comprometido. Esse crescimento no uso de toolkits de exploração baseados em SaaS também é indicado pelo declínio do número de novos domínios mal-intencionados usados para hospedar malware, que caiu 47%, de em 2013 para em Toolkits de ataques na Web executam verificações nos computadores das vítimas, buscando plug-ins vulneráveis a fim de iniciar o ataque mais eficaz. Além disso, esses toolkits de estilo SaaS normalmente estão hospedados em serviços bastante protegidos, com endereços IP que podem mudar rapidamente e nomes de domínio que podem ser gerados dinamicamente, dificultando localizar a infraestrutura SaaS mal-intencionada e desativá-la. Os invasores também podem controlar a forma como as explorações são administradas; por exemplo, habilitando ataques apenas se um cookie tiver sido definido pelo site inicial comprometido, preservando o código mal-intencionado da curiosidade de mecanismos de pesquisa e pesquisadores de segurança. Os toolkits de ataques na Web são analisados em mais detalhes posteriormente neste capítulo. Em relação ao tipo de site explorado com mais frequência, é interessante observar a inclusão dos sites de anonimato entre os 10 primeiros este ano. Talvez esse seja mais um caso de criminosos que seguem as tendências, com mais pessoas tentando despistar o rastreamento de provedores de Internet e outros interessados e aumentar a privacidade de sua navegação. DEZ PRINCIPAIS VULNERABILIDADES NÃO CORRIGIDAS ENCONTRADAS E SERVIDORES WEB VERIFICADOS Classificação Nome 1 Vulnerabilidade SSL/TLS POODLE 2 Cross Site Scripting (XSS) 3 Suporte para SSL v2 detectado 4 Conjuntos de cifras fracas de SSL suportados 5 Cadeia de certificados SSL inválidos 6 Atributo de segurança ausente em cookie de sessão criptografada (SSL) 7 Vulnerabilidade de renegociação de protocolos SSL e TLS 8 Vulnerabilidade de divulgação de informações da função PHP strrchr() 9 Ataque XXS para http TRACE 10 Vulnerabilidade não especificada de tratamento de erro OpenSSL bn_wexpend() Fonte: Symantec I Website Security Solutions Symantec Website Security Solutions I 12

13 SITES VERIFICADOS QUE APRESENTARA VULNERABILIDADES % DAS QUAIS ERA CRÍTICAS 76% % 77% % 55% % % 16% % 24% 2012 Fonte: Symantec I Website Security Solutions Fonte: Symantec I Website Security Solutions In Em 2014, 2014, percent por cento (1 (1 in em 5) 5) of de all todas vulnerabilities as vulnerabilidades discovered descobertas on legitimate em sites websites legítimos were foram considered consideradas critical, críticas, that ou could seja, allow vulnerabilidades attackers access que poderiam to sensitive permitir data, que alter os invasores the website s acessassem content, dados or confidenciais, compromise alterassem visitors computers. o conteúdo do site ou comprometessem os computadores dos visitantes. SITES QUE APRESENTARA ALWARE E Fonte: Symantec I Website Security Solutions 13 I Symantec Website Security Solutions Plug-in Vulnerabilities by onth

14 CLASSIFICAÇÃO DOS SITES EXPLORADOS CO AIS FREQUÊNCIA, Classificação As 10 categorias de sites explorados com mais frequência em 2014 Porcentagem do número total de sites infectados em principais em 2013 Porcentagem de Tecnologia 21,5% Tecnologia 9,9% 2 Hospedagem 7,3% Empresarial 6,7% 3 Blogs 7,1% Hospedagem 5,3% 4 Empresarial 6,0% Blogs 5,0% 5 Anonimato 5,0% Ilegal 3,8% 6 Entretenimento 2,6% Compras 3,3% 7 Compras 2,5% Entretenimento 2,9% 8 Ilegal 2,4% Setor automotivo 1,8% 9 Espaço reservado 2,2% Educação 1,7% 10 Comunidade virtual 1,8% Comunidade virtual 1,7% Fonte: Symantec SDAP, Safe Web, Rulespace ATAQUES NA WEB BLOQUEADOS POR ÊS, ilhares Linear (2013) Linear (2014) F A A S O N D F A A S O N D Fonte: Symantec SDAP Plug-in Vulnerabilities by onth Symantec Website Security Solutions I 14

15 NOVOS DOÍNIOS WEB AL-INTENCIONADOS ÚNICOS % -24% +34% Fonte: Symantec.cloud Em 2014, uma queda de 47 por cento nos domínios Web mal-intencionados únicos indica um aumento no uso de toolkits do tipo SaaS (Software como serviço). ATAQUES NA WEB BLOQUEADOS POR DIA ,7% +23% +144% Fonte: Symantec SDAP A maior parte da queda de -12,7% no número médio de ataques diários bloqueados ocorreu no segundo semestre de 2013, uma vez que o declínio em 2014 foi bem menos acentuado. Com a maioria dos sites ainda apresentando vulnerabilidades, está claro que muitos proprietários de sites não realizam verificações de vulnerabilidade. Apesar disso, é possível que eles estejam prestando mais atenção a verificações de malware que possam descobrir software mal-intencionado. No entanto, o malware normalmente é instalado após a exploração das vulnerabilidades, e a prevenção é sempre o melhor remédio. Com tantos sites potencialmente vulneráveis, os criminosos já estavam conquistando razoável sucesso em sua exploração, e muitos também foram rápidos em aproveitar algumas das vulnerabilidades de SSL e TLS expostas em Além disso, a prevalência de fraudes de mídia social e malvertising em 2014 sugere que os criminosos já veem essas opções como métodos alternativos de distribuição de malware. 15 I Symantec Website Security Solutions

16 CINCO PRINCIPAIS TOOLKITS DE ATAQUE NA WEB, 2012 CINCO PRINCIPAIS TOOLKITS DE ATAQUE NA WEB, % 7% 10% 17% 5 22% 41% 10% 14% 19% 8% 26% 5 23% Blackhole Sakura Phoenix Redkit Nuclear Outros Outros G01 Pack Blackhole Sakura Styx Coolkit Fonte: Symantec I SDAP, Wiki Fonte: Symantec I SDAP, Wiki CINCO PRINCIPAIS TOOLKITS DE ATAQUE NA WEB, 2014 Cronologia do uso de toolkits de ataque na Web, cinco principais, % 50% 5 23% 10% 7% 5% 5% 0% F A A S O N D Sakura Nuclear Styx Orange Kit Blackhole Outros Outros Blackhole Orange Kit Styx Nuclear Sakura Fonte: Symantec I SDAP, Wiki Fonte: Symantec I SDAP, Wiki Plug-in Vulnerabilities by onth Symantec Website Security Solutions I 16

17 ALVERTISING A partir de 2014, percebemos uma convergência entre ransomware e malvertising, com aumento significativo do número de vítimas redirecionadas ao site Browlock. O Browlock, por si só, é uma das variantes menos agressivas de ransomware. Ao contrário do código mal-intencionado que é executado no computador da vítima, ele é apenas uma página da Web que usa truques de avascript para impedir que a vítima feche a guia do navegador. O site determina onde a vítima está e apresenta uma página da Web específica do local, alegando que a vítima violou a lei ao acessar sites de pornografia e exigindo o pagamento de multa para a polícia local. Aparentemente, os invasores do Browlock compram anúncios de redes legítimas para criar tráfego para seus próprios sites. O anúncio é direcionado para uma página de conteúdo adulto, que em seguida é redirecionada para o site do Browlock. O tráfego adquirido pelos invasores do Browlock é proveniente de várias fontes, mas principalmente de redes de anúncios adultos 10. Tudo o que as vítimas precisam fazer para escapar é fechar o navegador, mas o investimento feito pelos criminosos para obter tráfego sugere que as pessoas pagam. Talvez isso ocorra porque a vítima clicou em um anúncio de site de pornografia antes de chegar à página do Browlock: a culpa pode ser um motivador poderoso. alvertising à solta Não é só o ransomware que o malvertising ajuda a disseminar: anúncios mal-intencionados também levam a sites que instalam Cavalos de Troia. Alguns anúncios mal-intencionados também podem infectar o dispositivo da vítima sem que o usuário clique neles, por meio de um ataque drive-by. O que atrai os criminosos é que o malvertising pode atingir grandes sites legítimos, estimulando altos volumes de tráfego. Redes de anúncios também costumam ter alvos bastante específicos, o que significa que os criminosos podem ajustar as fraudes a vítimas específicas, como pessoas que buscam serviços financeiros. Às vezes, redes de anúncios legítimas fazem inadvertidamente todo o trabalho pelos criminosos. Os criminosos também mudam de tática para evitar a detecção. Por exemplo, eles podem divulgar um anúncio legítimo durante algumas semanas para lhe dar credibilidade e, depois, convertê-lo em anúncio mal-intencionado. Como resposta, as redes de anúncios precisam realizar verificações regulares, em vez de apenas quando um novo anúncio é carregado. Para os proprietários de sites, é difícil impedir o malvertising, já que eles não têm controle direto sobre as redes de anúncios e seus clientes. No entanto, os administradores dos sites podem reduzir os riscos escolhendo redes que restrinjam a funcionalidade dos anúncios, de forma que os anunciantes não possam incorporar código mal-intencionado em suas promoções. E, é claro, exercer o devido cuidado ao escolher uma rede de anúncios é fundamental. Exemplo de página do Browlock, exigindo o pagamento de multa por navegação ilegal em pornografia Ibid 17 I Symantec Website Security Solutions

18 NEGAÇÃO DE SERVIÇO (DDOS) Ataques de negação de serviço oferecem aos invasores outra forma de atingir organizações individuais. Os ataques de negação de serviço bloqueiam o acesso a sistemas críticos, como sites ou , sobrecarregando-os com tráfego de Internet, e podem causar destruição financeira e interromper as operações normais. Os ataques de negação de serviço distribuídos (DDoS) não são novos, mas sua intensidade e frequência têm aumentado. Por exemplo, a Symantec viu um aumento de 183 por cento em ataques de amplificação de DNS entre janeiro e agosto de De acordo com uma pesquisa da Neustar, 60 por cento das empresas foram afetadas por um ataque de DDoS em 2013, e 87 por cento foram atingidas mais de uma vez. Os motivos incluem extorsão financeira, desvio da atenção de outras formas de ataque, hacktivismo e vingança. Cada vez mais, os invasores que desejam utilizar a negação de serviço podem alugar ataques de duração e intensidade específicas por apenas US$ no mercado negro online. TRÁFEGO DE ATAQUES DDOS VISTO PELA SYANTEC GLOBAL INTELLIGENCE NETWORK ILHÕES Total de DDoS Ataque de amplificação de DNS Ataque genérico de inundação de ICP Ataque genérico de negação de serviço por inundação de TCP SYN F A A S O N D Fonte: Symantec I DeepSight Symantec Global Intelligence Network Symantec Website Security Solutions I 18

19 A VULNERABILIDADE AUENTA Por Tim Gallo Nos últimos anos, o gerenciamento de vulnerabilidades tornou-se um assunto recorrente, mas ele é visto mais como uma inconveniência ou um processo que, embora interessante, não é tão importante quanto a resposta a violações ou o rastreamento de adversários. No entanto, 2014 apresentou exemplos vívidos da importância das vulnerabilidades. Três grandes vulnerabilidades se tornaram notícia, e não só no noticiário do setor de segurança, recebendo ampla cobertura em outros canais de mídia também. Essas foram as vulnerabilidades conhecidas como Poodle, ShellShock e Heartbleed. Todas essas vulnerabilidades foram descobertas em áreas tradicionalmente não atendidas pela maioria dos processos de gerenciamento de vulnerabilidades na época. Ultimamente, esses processos têm se concentrado em laptops e servidores, graças à regularidade das vulnerabilidades divulgadas pela Adobe e pela icrosoft e a agilidade dessas empresas no lançamento de patches. Embora tenhamos visto novas vulnerabilidades nesses aplicativos, o que continuará a ocorrer, foram estabelecidos processos sólidos na implantação de patches e na divulgação de vulnerabilidades e em processos gerais de gerenciamento de patches. Foi a automação da implantação de patches por fornecedores de sistemas operacionais e aplicativos que forçou os invasores a mudarem as suas táticas. Os invasores adotaram novos métodos de exploração ou, o que talvez seja mais preciso, voltaram às atividades de pesquisa de vulnerabilidades. Com a maior atenção dada pelos invasores aos aplicativos, foram descobertas vulnerabilidades em áreas que anteriormente eram consideradas seguras. Vamos considerar uma dessas vulnerabilidades, o ShellShock, como um exemplo do que provavelmente veremos nos próximos anos. Na melhor das hipóteses, o Shellshock era um recurso defeituoso e, no pior caso, uma falha de design do Bourne Again Shell (BASH) 15, algo ignorado por mais de 25 anos antes de ser descoberto e depois divulgado publicamente. O A vulnerabilidade Heartbleed tem até mesmo o seu próprio logotipo. Shellshock faz parte da malha da Internet praticamente desde que ela surgiu. Na verdade, os alvos do Shellshock não eram apenas servidores Linux ou roteadores, mas também servidores de e até mesmo bots DDoS 15 Para aqueles não familiarizados com a terminologia UNIX, um shell é uma interface de usuário com linha de comando para interação com o sistema operacional. Neste caso, o BASH é um dos shells mais amplamente usados em todos os universos UNIX e LINUX. 19 I Symantec Website Security Solutions

20 que utilizam o shell tudo o que seja baseado em Unix e que utilize o BASH. Nos próximos anos, provavelmente continuaremos a ver vulnerabilidades como essas, por alguns motivos. Para começar, agora está claro que os invasores não continuarão a reutilizar os mesmos métodos e explorações já conhecidos. Em vez disso, eles investirão na pesquisa de novas vulnerabilidades em infraestruturas mais antigas, usadas com frequência, que fornecem uma área de ataque ampla. Essas três vulnerabilidades de alta visibilidade também foram interessantes não só porque expuseram falhas em importantes componentes da infraestrutura da Internet mas também porque revelaram um dos segredos mais escondidos do desenvolvimento de aplicativos: a reutilização de código. Na reutilização de código, o desenvolvedor copia seções do código de aplicativos existentes para uso no desenvolvimento de novos aplicativos. Essa prática, tão antiga quanto a própria existência de código, pode levar à existência de vulnerabilidades em sistemas que nem estejam relacionados. Avaliando a situação que levou à descoberta do Heartbleed, os usos legítimos da biblioteca OpenSSL eram um exemplo perfeito da reutilização de código. Esse código já era considerado confiável há muito tempo e normalmente nem era testado, por ser considerado um problema resolvido. No entanto, foram descobertas novas vulnerabilidades na biblioteca, e desenvolvedores em todo o mundo precisaram se esforçar para determinar se suas implementações de reutilização de código estavam vulneráveis. Além disso, percebemos um aumento em programas de recompensa por descoberta de bugs, e os governos deixaram de ameaçar os pesquisadores de vulnerabilidades com prisão, como em anos passados 16. Portanto, o incentivo à pesquisa de vulnerabilidades aumentou, e as repercussões da divulgação irresponsável (ou até mesmo o comportamento abertamente mercenário) deixaram de ser temidas pelos pesquisadores. No entanto, espera-se que no futuro correções e melhores práticas de segurança se tornem dominantes. O profissional de TI médio só precisa de algumas semanas de noites de trabalho para decidir que planejar o futuro é muito mais vantajoso. A aplicação mais adequada de configurações, políticas e patches em infraestruturas inteiras ajudará. A migração da infraestrutura para a nuvem também ajuda o profissional de TI sobrecarregado a gerenciar esses problemas. Conforme examinamos o ciclo de segurança de detecção e correção, o retorno das vulnerabilidades é um ponto essencial para compreendermos o panorama de ameaças. Para sermos profissionais de segurança mais eficazes, precisamos pensar também em como protegemos e reagimos, além de como informamos e avaliamos. Isso significa que precisamos nos tornar melhores planejadores e testadores, buscar informações que nos ajudem a saber mais e conhecer o nosso ambiente bem o suficiente para entender se essas informações são úteis. Precisamos entender melhor que a malha da Internet provavelmente ainda está cheia de furos, e que é nossa responsabilidade manter a vigilância e nos prepararmos para lidar com novas vulnerabilidades conforme elas forem divulgadas, de maneira programada e orientada por processos. Deixar de fazer isso prejudicará o nosso futuro Symantec Website Security Solutions I 20