Relatório Sobre Ameaças de Segurança na Internet Abril 2009 Dados regionais América Latina

Transcrição

1 Relatório Sobre Ameaças de Segurança na Internet Abril 2009 Dados regionais América Latina Informações importantes sobre as estatísticas As estatísticas apresentadas neste documento são baseadas em ataques realizados contra uma amostra de clientes da Symantec. As atividades de ataque são identificadas pelo Symantec Global Intelligence, que inclui os sistemas Symantec Managed Security Services e Symantec DeepSight Threat Management System. As duas soluções utilizam sistemas automatizados para mapear o endereço de IP das ameaças de forma a identificar o país de origem delas. De qualquer modo, como os criminosos digitais frequentemente utilizam sistemas comprometidos situados em qualquer lugar do mundo para lançar ameaças remotas, a localização do ataque pode ser diferente da localização física do cibercriminoso. Apresentação A Symantec criou uma das fontes de dados sobre ameaça na Internet mais abrangente do mundo por meio do Symantec Global Intelligence Network (Rede Mundial de Inteligência da Symantec). Mais de sensores em mais de 200 países monitoram atividades de ataque por meio de uma combinação de produtos e serviços da Symantec como o Symantec DeepSight Threat Management System, Symantec Managed Security Services e os produtos para consumidores da Norton, bem como fontes de dados adicionais de terceiros. A Symantec também reúne informações sobre códigos maliciosos de mais de 130 milhões de sistemas client, servidores e gateway que contam com produtos antivírus. Além disso, a rede honeypot da Symantec coleta dados de todo o mundo, identificando ameaças e ataques nunca vistos antes, fornecendo informações valiosas sobre os métodos de ataque. Dados sobre Spam são capturados por meio da Symantec Probe Network, um sistema composto por mais de 2,5 milhões de contas de usadas como iscas, a Symantec MessageLabs Intelligence e outras tecnologias da Symantec em mais de 86 países de todo o mundo. Cinco bilhões de conexões de , bem como mais de um bilhão de web requests, são scaneados por dia por 16 data centers. A Symantec também coleta informações sobre phishing por meio de uma ampla comunidade antifraude formada por empresas, fornecedores de soluções de segurança e mais de 50 milhões de consumidores. Esses recursos fornecem aos analistas da Symantec fontes de dados que são utilizadas para identificar, analisar e comentar as tendências emergentes de ataques, atividades de códigos maliciosos, phishing e spam. O resultado é o Relatório Symantec Sobre Ameaças de Segurança na Internet, que fornece as empresas e aos consumidores as informações essenciais para proteger com eficiência seus sistemas agora e no futuro. Além de coletar dados sobre ataques em toda a Internet para o Relatório Symantec Sobre Ameaças de Segurança na Internet, a Symantec também coleta e analisa dados sobre ataques que são detectados por sensores instalados em regiões específicas. Essa folha de dados regionais discutirá os aspectos notáveis das atividades maliciosas que a Symantec observou na região da América Latina (LAM, na sigla em inglês) em Destaques O Brasil foi o principal país onde foram identificadas atividades maliciosas América Latina no decorrer de 2008, contabilizando 34 por cento do total. No ranking global, o Brasil ficou em quinto lugar, somando 4 por cento do total de atividades maliciosas. Os Estados Unidos são o principal país de origem dos ataques detectados pelos sensores baseados na América Latina em 2008, contabilizando 58 por cento de todos os ataques detectados. Os Estados Unidos também manteve o primeiro lugar no ranking da origem dos ataques contra alvos mundiais em 2008, com 25 por cento.

2 2 O Brasil foi o principal país que teve computadores infectados por bot na região da América Latina em 2008, com 42 por cento do total; o Brasil somou 6 por cento do total de computadores infectados por bot em todo o mundo. Em 2008, o código malicioso mais freqüentemente observado para uma possível infecção na América Latina foi o worm Gammima.AG; esse worm ficou na sétima posição dentro do ranking global em Em 2008, 29 por cento de todo o spam detectado na LAM foi originado no Brasil; na escala mundial, o Brasil contabilizou 4 por cento do spam detectado em todo o mundo. Atividades maliciosas por país Esse cálculo considera os países na América Latina onde as maiores quantidades de atividades maliciosas ocorreram ou se originaram em Para determinar isso, a Symantec analisou os dados geográficos sobre inúmeras atividades maliciosas, incluindo computadores infectados por bot, websites que hospedam phishing, relatórios sobre códigos maliciosos, spams zumbis e a origem dos ataques. O ranking é determinado pelo cálculo da média da proporção dessas atividades maliciosas que foram originadas em cada país. As atividades maliciosas normalmente afetam computadores que estão conectados à Internet de banda larga em alta velocidade porque essas conexões são alvos atraentes para os invasores. As conexões de banda larga fornecem uma maior largura de banda do que outros tipos de conexões, velocidades maiores, potencial para ter sistemas sempre conectados e são normalmente mais estáveis. A Symantec também notou que as atividades maliciosas em um determinado país aumentaram conforme o crescimento da infra-estrutura de banda larga. Uma razão particular para isso é que os novos usuários podem estar desacostumados, ou desavisados, sobre os maiores riscos de exposição a ataques maliciosos nessas conexões. Cada um dos três primeiros colocados nesse ranking possui uma infra-estrutura de rede bem desenvolvida e em crescimento: o Brasil teve um crescimento de 27 por cento em assinantes de banda larga entre 2007 e 2008, e tanto o México quanto a Argentina registraram crescimento superior a 40 por cento ao longo do mesmo período. 1 O Brasil é o país que possui mais assinantes de banda larga na América Latina, com 39 por cento do total regional, enquanto México e Argentina atualmente possuem 24 e 12 por cento, respectivamente. 2 O Brasil ficou com o primeiro lugar no quesito atividades maliciosas na região da América Latina em 2008, contabilizando 34 por cento do total regional (tabela 1). Entre os países de todo o mundo, o Brasil ficou em quinto lugar, contabilizando 4 por cento do total mundial um aumento em relação aos 3 por cento e o oitavo lugar no ranking de O Brasil ficou com o primeiro lugar em todas as atividades maliciosas observadas na região da América Latina, com exceção dos códigos maliciosos, onde ficou em segundo logo depois do México. Apesar de ser o país mais populoso da América Latina, a liderança do Brasil nesse ranking também pode ser influenciada por alguns ataques originados nesse país durante o ano de Em agosto de 2008, surgiu a acusação de que diversos ataques em um site de micro-blogging foram originados no Brasil. 3 Nesse ataque em particular, um perfil de usuário falso foi criado no site, que foi usado para hospedar um link para um vídeo. Quando seguido, o link na verdade redirecionava os usuários para o download de um código malicioso mascarado como player de vídeo. O código malicioso foi um Trojan bancário desenhado para roubar informações online de contas bancárias. Além disso, um popular site de relacionamento cuja maioria dos membros é do Brasil foi alvo de um ataque do worm Bancorkut, que faz o download de arquivos maliciosos e depois tenta roubar informações de login e endereços de das contas do usuário Ibid

3 3 Tabela 1. Atividades maliciosas por país na América Latina Corporation O México ficou em segundo lugar na América Latina em termos de atividades maliciosas em 2008, contabilizando 17 por cento do total regional, enquanto a Argentina ficou em terceiro, contabilizando 15 por cento. No ranking mundial, o México ficou em décimo sétimo lugar, com 2 por cento do total e a Argentina ficou em décimo oitavo, contabilizando 1 por cento. Uma das razões para a classificação desses países pode ser o worm Downadup, descoberto no final de Os cinco primeiros países dessa lista também estão entre os 10 países mais afetados pelo Downadup durante a sua disseminação inicial. Esses cinco países contabilizaram 27 por cento da taxa de infecção mundial do Downadup 6 em Países de origem dos ataques Essa discussão avalia os países como fontes de origem de ataques na América Latina. Um ataque é normalmente considerado assim quando qualquer atividade maliciosa realizada em uma rede for identificada por um sistema de detecção de intrusão (IDS, na sigla em inglês) ou firewall. Em 2008, os Estados Unidos foram o principal país de origem para ataques na América Latina detectados pelos sensores da Symantec instalados na região, contabilizando 58 por cento de todos os ataques detectados (tabela 2). Esse resultado provavelmente se deve ao alto nível de atividades de ataque originadas nos Estados Unidos de uma maneira geral, já que ele é também o principal país de origem de ataques contra alvos de todo o mundo, com 25 por cento do total em Tabela 2. Principais países de origem de ataques visando a América Latina. Conforme mencionado anteriormente, a atividade maliciosa está normalmente associada aos computadores que estão conectados em redes de banda larga com alta velocidade e os Estados Unidos estão em segundo lugar no ranking mundial de assinantes de serviços de banda larga em 2008, atrás apenas da China 7, que está em segundo no ranking para os países de origem de ataques na América Latina, contabilizando 8 por cento de todos os ataques em

4 4 Dos 10 principais países de origem de ataques contra a América Latina, apenas quatro estão localizados na própria região. Desses, Chile, Argentina e Brasil estão em terceiro, quarto e quinto, respectivamente, com 3 por cento do total cada, enquanto a Colômbia está em décimo, com 1 por cento. Os percentuais regionais para Chile e Argentina foram maiores do que os percentuais mundiais, indicando que esses países podem estar visando a região da América Latina especificamente. A Symantec notou que os ataques muitas vezes visam a própria região onde foram originados devido à proximidade, idioma ou interesses sociais e culturais similares. 8 Computadores infectados pelo bot por país Bots são programas instalados silenciosamente na máquina do usuário para permitir que o invasor controle remotamente o sistema invadido por meio de um canal de comunicação qualquer, como IRC (Internet Relay Chat), P2P (peer-to-peer) ou http. Esses canais permitem que o invasor remoto controle um grande número de computadores por meio de um único canal em uma botnet, que pode ser usada para lançar ataques coordenados. Reconhecendo a contínua ameaça das botnets, a Symantec rastreia a distribuição de computadores infectados pelo bot tanto a nível regional, quanto mundial. Para as regiões, a Symantec acompanha quais países de uma região abrigam o maior percentual de computadores infectados pelo bot. Um alto percentual de máquinas infectadas pode significar um maior potencial para ataques relacionados ao bot, além de indicar o nível de atualizações e conscientização da região. Em 2008,a América Latina contabilizou 13 por cento do total de computadores infectados pelo bot em todo o mundo. Na região, o Brasil teve o maior percentual de computadores infectados pelo bot, com 42 por cento do total (tabela 3). Em todo o mundo, o Brasil somou 6 por cento do total. A Argentina ficou em segundo em 2008 para os computadores infectados pelo bot na LAM, com 17 por cento do total e o Peru foi o terceiro, com 10 por cento. A classificação desses países no topo do ranking provavelmente se deve aos seus altos números de assinantes de conexões de banda larga na região 9, os dados da Symantec demonstram que o percentual mundial de spam originado na LAM dobrou em 2008, passando de 2 para 4 por cento. Os computadores infectados pelo bot normalmente também são associados ao spam, já que eles podem ser programados para enviar automaticamente uma grande quantidade de s. A razão para o aumento do percentual nesses países pode estar relacionada a eventos envolvendo o fechamento da ISP baseada nos EUA que era acusada de hospedar servidores de controle e comando e inúmeras das principais botnets. 10 Após o fechamento da ISP no final de 2008, inúmeras botnets ficaram inoperáveis e o nível mundial de spam diminuiu radicalmente. Apesar do nível mundial de spam ter retornado ao patamar anterior até o final do ano, a queda na geração de spam em todos os outros locais pode explicar o aumento do percentual na América Latina. Tabela 3. Computadores infectados pelo bot por país da América Latina. 8 p

5 5 Para reduzir os ataques relacionados aos bots, os usuários devem utilizar estratégias de defesa, incluindo a instalação de software antivírus e de um firewall pessoal. 11 Os usuários devem atualizar seus programas antivírus regularmente e assegurar que todos os computadores desktop, notebooks e servidores estejam atualizados com todas as atualizações de segurança necessárias disponibilizadas pelo fornecedor de seus sistemas operacionais. A Symantec aconselha que os usuários nunca visualizem, abram ou executem qualquer arquivo anexado a um a menos que o anexo seja esperado e venha de uma fonte conhecida e confiável e que seu propósito seja conhecido. Principais códigos maliciosos O código malicioso mais comum para possíveis infecções na América Latina em 2008 foi o worm Gammima.AG (tabela 4). 12 Esse worm ficou em sétimo no ranking mundial. O Gammima.AG se propaga ao copiar a si mesmo em dispositivos de mídia removíveis, como dispositivos USB e tocadores de áudio portáteis. O worm Gammima.AG também rouba informações sobre contas em sites populares para jogos online, e é um dos três mais maliciosos a fazê-lo na América Latina. Tabela 4. Principais códigos maliciosos na LAM O segundo código malicioso no ranking de potenciais infecções na LAM em 2008 foi o worm SillyFDC. 13 Como o Gammima.AG, o SillyFDC se propaga ao copiar a si mesmo para dispositivos de armazenamento de mídia removíveis inseridos no computador infectado. Uma vez que o worm é instalado em um computador ele também tenta baixar e instalar outras ameaças no computador. O terceiro código malicioso mais freqüentemente observado responsável por possíveis infecções na América Latina durante esse período foi o worm Rontokbro 14. Esse worm ficou em primeiro lugar na América Latina durante 2007 e também ficou entre os 10 principais códigos maliciosos em todo o mundo tanto em 2007, quanto em O Rontokbro é um warming para o envio de s em massa, que reúne endereços de e- mail de alguns arquivos nos computadores infectados e depois envia cópias de si mesmo como um arquivo anexo para esses endereços. O worm também pode ser instruído a lançar ataques denial-of-service (DoS) contra websites, o que pode afetar negativamente o desempenho da rede no computador infectado. A Symantec recomenda que algumas práticas de segurança sempre sejam seguidas para proteção contra a infecção por códigos maliciosos. Os administradores devem manter os níveis de atualizações elevados, especialmente em computadores que utilizam serviços e aplicativos públicos (como servidores http, FTP e 11 Defesa em profundidade enfatiza o uso de multiplos sistemas de defesa de forma simultânea e complementar para proteção contra falhas em um único ponto em qualquer tecnologia específica ou metodologia de proteção

6 6 DNS) e que são acessados por meio de um firewall ou posicionado em uma DMZ. 15 Os servidores de devem ser configurados para permitir apenas tipos de arquivos anexos que são necessários na empresa e bloquear os s que pareçam vir de dentro da empresa, mas que na verdade tenham se originado em fontes externas. Além disso, a Symantec recomenda filtragem do tráfego de entrada e saída seja feita em dispositivos no perímetro para prevenir atividades indesejadas. Para a proteção contra códigos maliciosos que se instalam por meio de um navegador web, outras medidas devem ser tomadas. O uso de tecnologias para a prevenção de intrusão no sistema (IPS, na sigla em inglês) pode prevenir a exploração de vulnerabilidades no navegador ou em plug-ins por meio de assinaturas e detecção baseada no comportamento, além do ASLR. 16 Os usuários finais devem utilizar estratégias de defesa em profundidade, incluindo a instalação de programa antivírus e um firewall pessoal. Os usuários devem atualizar as suas definições antivírus freqüentemente.eles também devem assegurar que todos os computadores desktop, notebooks, e servidores estejam atualizados com todos os patches de segurança disponibilizados pelo fornecedor do software. Eles nunca devem visualizar, abrir ou executar arquivos anexados a s a não ser que o arquivo seja esperado e venha de uma fonte conhecida e confiável e tenha seu propósito conhecido. Principais países de origem do spam Essa seção discutirá os 10 principais países de origem de spam. A natureza do spam e a sua distribuição na Internet apresentam desafios na identificação da localização da pessoa que está enviando a mensagem porque muitos spammers tentam redirecionar a atenção para longe de suas localizações. Portanto, a região onde o spam se origina pode não corresponder com a região onde os spammers estão localizados. Em 2008, 12 por cento de todo o spam detectado no mundo teve origem na América Latina. Na classificação por países, o Brasil ficou em quinto no ranking mundial e em primeiro no regional, somando 4 por cento do total mundial e 29 por cento do total regional (tabela 5). Além do fato do Brasil ser de longe o país mais populoso da América Latina com a maioria dos assinantes de banda larga, a alta taxa de spam regional no Brasil provavelmente se deve ao primeiro lugar no ranking da região e do mundo em 2008 em zumbis para spam. Os zumbis para spam são usados para enviar muito spam, e o Brasil somou 9 por cento do total mundial em Tabela 5. Principais países de origem do spam na LAM A Argentina ficou em segundo lugar no ranking da origem de spam na América Latina em 2007, com 15 por cento do total, e a Colômbia ficou em terceiro, com 12 por cento. Assim como acontece com o Brasil, os números desses países provavelmente se devem aos rankings elevados para zumbis para spam na região, já que eles estão em segundo e terceiro nessa classificação, respectivamente. ### 15 Uma zona desmilitarizada (DMZ) é uma área dentro da rede que propositalmente não possui proteção, como um firewall ou port trigger. Isso também limita o acesso aos computadores protegidos na rede. 16 A randomização do layout de endereços é uma medida de segurança usada para complicar a exploração de algumas classes de vulnerabilidades ao randomizar o layout de processos na área de endereços para torná-la menos previsível aos invasores.

7 7 Sobre o Symantec Security Technology and Response O Relatório Symantec sobre Ameaças de Segurança na Internet é realizado pela organização Security Technology and Response (STAR). A STAR, que engloba também a área de Security Response, é um time global de engenheiros de segurança, analistas de ameaças e pesquisadores que fornecem todo panorama, funcionalidades, conteúdo e conhecimento sobre as ameaças para todos os produtos de segurança da Symantec tanto para usuários domésticos como corporativos. Com centros globais de resposta localizados por todo o mundo, a STAR monitora os relatórios de códigos maliciosos de mais de 130 milhões de sistemas por toda Internet, recebe dados de sensores de rede instalados em mais de 200 países e rastreia mais de vulnerabilidades que afetam mais de tecnologias de cerca de fabricantes. A equipe da Symantec utiliza esse vasto serviço de inteligência para desenvolver e oferecer o que há de mais completo no mundo em termos de proteção e segurança. Sobre a Symantec Global Intelligence Network A Symantec possui uma das mais completas redes de detecção de ameaças de Internet em todo o mundo: a Rede de Inteligência Global da Symantec ou Symantec Global Intelligence Network. Essa rede captura dados de inteligência de segurança que possibilitam aos analistas da Symantec todos os recursos necessários para identificar, analisar, criar medidas preventivas e manter os usuários informados sobre possíveis ameaças ou ataques por códigos maliciosos, phishing e spam. Cerca de sensores em mais de 200 países por todo o globo estão ativos todo o tempo monitorando as atividades maliciosas por meio de uma combinação dos produtos e serviços da Symantec e dados de outros institutos de pesquisa. Para mais informações acesse o website da Symantec Global Intelligence Network. Sobre a Symantec A Symantec é líder mundial no fornecimento de soluções de segurança, armazenamento e gerenciamento de sistemas para ajudar consumidores e organizações a proteger e gerenciar suas informações em um mundo conectado. Nossos softwares e serviços protegem contra mais riscos, em mais pontos, de forma completa e eficiente, oferecendo segurança onde quer que a informação esteja sendo utilizada ou armazenada. Mais informações estão disponíveis em