Alguns dias atrás, foi divulgado pela imprensa especializada que um ataque comprometeu vários computadores do Departamento de Transporte dos EUA (análogo ao nosso Ministério dos Transportes) e alguns dos seus fornecedores (Booz Allen, HP, Hughes, Unisys). O ataque pareceu ser direcionado a essas vítimas e empregava programas feitos para esse fim, que capturavam informações específicas e as retransmitiam a outras máquinas no mundo exterior.
A única coisa que me surpreendeu sobre ele é que tenha levado tanto tempo para que algo assim fosse descoberto.
O buraco
Programas anti-vírus, anti-malware e anti-qualquer-outra-coisa funcionam baseados em alguns princípios:
1. Alguns computadores sofrerão tentativas de invasão em algum momento de suas vidas.
2. Programas mal-intencionados fazem coisas específicas de maneiras específicas e, portanto, possuem trechos iguais ou muito parecidos.
3. É possível parar uma infecção inspecionando o que é baixado e o que é executado e comparando com um catálogo de características pré-determinadas.
4. Programas mal-intencionados podem ser capturados, analisados e as características que os identificam podem ser catalogadas para que o agente seja reconhecido no futuro.
O cenário predominante hoje em dia é o da infecção de computadores para que eles passem a fazer parte de redes de envio de spam ou de redes de ataques de DDoS (Distributed Denial of Service).
Por esse prisma, a culpa pelo spam do mundo recai sobre os ombros dos usuários de Windows, que não tornam seus computadores seguros, e da Microsoft, que fez do Windows um sistema praticamente impossível de se manter seguro.
Mas isso é assunto para outro dia.
A ameaça “por atacado”
Os produtos anti-malware do mercado estão prontos para lidar com esse tipo de ameaça “por atacado”. Eles estão baseados na idéia de que um número relativamente pequeno de agentes (programas invasores) relativamente parecidos fazem relativamente as mesmas coisas (instalar spam-zombies, serviços de DDoS) em uma população grande de computadores relativamente similares (que rodam Windows).
Ataques como esse colocam por terra esse modelo. Ele demonstrou que programas podem ser feitos especialmente para atacar um alvo específico. Qualquer um disposto a isso pode contratar alguém suficientemente amoral e capaz de escrever um programa que infecte um ou mais computadores específicos e que execute, nestes computadores, ações como, por exemplo, mandar todos os documentos que tenham as palavras “proposta”, “contrato”, “plano” ou “orçamento” no seu corpo.
Podem até usar os mecanismos de desktop search do Windows para evitar grandes e suspeitos acessos ao disco. Se o invasor conhecer detalhes do seu alvo, pode fazer essas buscas numa intranet ou em algum recurso que só esteja acessível de dentro da rede.
Mais interessante do que isso, o invasor pode ser absolutamente inocente em sua composição e fazer apenas o que supõe-se que deveria fazer – acrescentar emoticons novos ao MSN é um exemplo que me veio à cabeça – e as funcionalidades “malignas” só seriam adicionadas durante sua execução, quando ele contactasse seus mestres e recebesse atualizações para serem instaladas (ou não) dependendo de quem é ou onde trabalha a vítima – arquivos de CAD, textos, bancos de dados ou planilhas, conforme o tipo de alvo.
Nesse caso, ele não teria nenhum pedaço suspeito nele mesmo, apenas um inocente (muitos programas fazem isso, inclusive os anti-malware) auto-atualizador. Ele passaria pelos anti-qualquer-coisa sem muitos problemas e, muito provavelmente, suas “atualizações” também.
A solução
Detectar ameaças assim é muito difícil – envolve monitorar cuidadosamente o tráfego nas redes, verificar o padrão de acessos em busca de anomalias (usuários que acessam alguns tipos de arquivos estão lendo arquivos de outro tipo, acessos sequenciais a vários arquivos do mesmo tipo etc) e variações no tráfego de dados (de repente muitos sites do Cazaquistão recebendo muitos dados).
Envolve também medidas impopulares, como proibir usuários de acessar redes de mensagens ou de navegar pela web em sites não autorizados. Envolve a checagem de links em e-mails e a proibição do acesso a contas de Hotmail, GMail e afins. Envolve reavaliar seus processos e compartimentalizar a informação – você só ter acesso àqueles dados com os quais você precisa trabalhar, quando precisar, e nenhum outro em nenhum outro momento. Envolve remover software desnecessário. Envolve usar sistemas mais seguros com mecanismos mais rigorosos de controle de acesso.
Quem não gosta de mim (ou não me conhece) deve estar pensando que eu vou dizer que basta abandonar o Windows em favor de algum Unix-like que o problema vai passar. Não. Não sou irresponsável. Deixar para trás um sistema cronicamente inseguro e frágil como o Windows seria um bom começo, lógico, mas não é a solução. A bem da verdade, um Linux, MacOS X ou um Solaris muito mal configurados são igualmente perigosos – a diferença é que você precisa deliberadamente configurá-los mal (e um usuário precisa ser administrador da máquina para isso) enquanto o Windows já vem assim quando sai do disco de instalação. Independende do bom começo, para barrar ataques como os da semana passada é preciso repensar fluxos de trabalho, levantar defesas eficazes e ser muito menos tolerante com os maus usos do equipamento de trabalho.
É extremamente necessário, porque a porta foi aberta e todos (mesmo os que olharam para o outro lado até agora) já sabem que algo assim é possível. O próximo ataque que seu micro sofrer pode não ser do tipo antigo, mas ser um preparado especialmente para você, para seus dados e para sua empresa.
E, eu imagino, eles já devem estar acontecendo em muitas empresas por aí.
Quem tem segredos para guardar acaba de ganhar um motivo a mais para ser paranóico. Da minha parte, eu continuo tão paranóico como eu sempre fui. [Webinsider]
.
Ricardo Bánffy
Ricardo Bánffy (ricardo@dieblinkenlights.com) é engenheiro, desenvolvedor, palestrante e consultor.
6 respostas
eu queria saber qual é prevenção do vírus
se eu soubesse usar um virus desse eu estava feito
Luam,
Embora longe de elaborar uma política completa e abrangente de segurança em TI no artigo, eu dei algumas idéias práticas que eu aplico seletivamente (de acordo com as necessidades e riscos) em alguns clientes.
Sinta-se à vontade para fazer perguntas pontuais. Aqui é um ótimo lugar para isso.
No meu entender seria melhor apontar uma solução (ou ponto de vista concreto) do que discorrer sobre o que nós, profissionais de TI, já sabemos…
Usuário. Este, não tem anti-vírus que de conta. E, normalmente, a política de segurança ou é ridícula ou é abusiva. NUNCA é pensada e trabalhada.
Realmente sofremos muito hoje em dia com a questão dos malwares.
Ótimo o artigo
Um abraço