A McAfee me mandou o texto abaixo, o qual considero de extrema importância pois explica de uma forma muito clara e precisa como trabalham e como evitar os crackers. Fiz questão de replicar aqui no meu blog pois conceitos como hacker, cracker, DDoS (negação de serviço), Defeacement (pichação virtual), rede Bot, etc . são explicados e exemplificados.
O assunto é muito oportuno uma vez que a cada dia que passa temos ouvido mais e mais sobre este assunto, estes termos, toda a temática de segurança. Aliás há quem diga que a próxima guerra mundial será travada também no espaço virtual e que isso poderia ser tão ou mais catastrófico que os ataques de bombas e invasões de soldados...
Obrigado à McAfee pela colaboração. Espero que se deliciem com este ótimo texto e aprendam tanto quanto também aprendi...
As melhores práticas para contra-ataque às ações de crackers
Por José Antunes*
Toda ação vinda de grupos de crackers tem como objetivo principal demonstrar a força desses grupos e até mesmo criar pânico. Com relação aos recentes ataques promovidos em junho deste ano envolvendo sites de diversos governos, entre eles, alguns do Brasil, não podemos dizer que seja um terrorismo virtual, mas, pela característica desses ataques, fica claro que esses grupos buscam prejudicar a credibilidade dos governos no que diz respeito à segurança e à disponibilidade dos serviços.
Este artigo pretende informar aos usuários de todas as esferas (corporativos, governamentais e consumidores) o que são essas ameaças e ataques, para que, conhecendo o propósito dos crackers e como atuam, esses usuários estejam cada vez mais preparados para a prevenção e o contra-ataque. O objetivo é viabilizar a utilização das tecnologias da maneira mais segura possível, analisando e explicando as ramificações das ações dos crackers. Vale lembrar aqui que o termo hacker, mal-empregado em muitos casos, está sendo amplamente utilizado em relação aos recentes ataques. Entretanto a verdadeira denominação para invasores de computadores é cracker, que designa programadores maliciosos e ciberpiratas que agem com o intuito de violar de forma ilegal ou imoral os sistemas.
Nos últimos 12 meses observamos um período de transformação e evolução na cibersegurança. Também foi possível identificar o aumento dos ataques dirigidos, mais sofisticação e com foco na obtenção de dados, inclusive com o crescimento no número de ataques direcionados aos novos dispositivos móveis.
A grande maioria dos recentes ataques de crackers, nos últimos dias, refere-se ao tipo de ataque distribuído por negação de serviços (cuja sigla em inglês é DDoS – Distributed Denial of Service). O ataque utiliza uma série de computadores escravos ou robôs (bots) espalhados pela Internet que, geralmente, pertencem a consumidores, entre os quais há aqueles que desconhecem padrões básicos e necessários de segurança, além de utilizarem, em alguns casos, programas ilegais. Nessa situação, boa parte desses programas carrega algum tipo de código malicioso (malware) que pode funcionar como “ladrão” de senhas de banco, como cavalos de Troia, e, nos ataques recentes, como bots.
Diferentemente dos vírus antigos, os bots não causam nenhum tipo de lentidão ou problema no computador. A ideia por trás dos bots é que estes fiquem escondidos em algum local do computador até que recebam, via Internet, um comando dos crackers para entrarem em ação. Quando os bots recebem esse comando, milhares deles vão acessar ao mesmo tempo um determinado site, por meio de acessos legítimos ou não. Todo site tem um limite de conexões simultâneas e a velocidade de resposta está diretamente ligada ao tamanho do link que esse site possui na Internet. Quando o número de conexões dos bots é maior que o suportado pelo site, ou quando há limitações de processamento das conexões pelos sistemas o site fica indisponível para acesso, devido à sobrecarga gerada pelos computadores-bots.
Outro tipo de problema detectado também a partir dos recentes ataques de grupos de crackers é o vazamento de informações, viabilizado pela existência de sistemas vulneráveis dentro dos ambientes tecnológicos atacados. Podem ocorrer em qualquer sistema, desde servidores de Web a servidores de bancos de dados ligados à Internet, sendo possível passarem despercebidas aos olhos do usuário corporativo. Existem hoje ferramentas disponíveis para auxiliar na manutenção desses sistemas, de modo a automatizar a detecção de problemas, sejam eles devidos à falta de aplicação de correções (patches) ou a erros de configuração. É importante notar que muitas das informações divulgadas por esses grupos como resultado de seus ataques são na verdade informações públicas disponíveis e acessíveis em sites ou mesmo realizando uma simples busca na Internet. Portanto, até agora, os dados não foram obtidos por meio de um ataque mais sofisticado que visaria a roubo ou vazamento de informações.
Vimos em alguns dos ataques a sites governamentais, por exemplo, uma pichação virtual (defacement), que consiste em modificar a página inicial dos sites colocando uma marca existente há muito tempo na Internet e aproveitando-se das vulnerabilidades ou falhas de configuração dos sistemas. Essa é a forma mais explícita de ataque que aponta para a existência da vulnerabilidade.
Já em relação as infraestruturas críticas de governos e corporações, as soluções e ferramentas de análise de vulnerabilidades em servidores Web, bancos de dados, aplicativos e sistemas operacionais disponíveis ajudam os usuários governamentais e corporativos a automatizarem o processo de manutenção da segurança. A combinação de soluções de prevenção de intrusão de sistemas, de ferramentas de análise de vulnerabilidades, de sistema de reputação em nuvem fornece as informações sobre endereços de protocolos de Internet (os IPs), de aplicações e domínios, em tempo real, constituindo-se em um conceito avançado de defesa contra ameaças que beneficia as infraestruturas críticas de governos, bem como aquelas de empresas de todos os portes e segmentos. As tecnologias aliadas aos links redundantes das infraestruturas críticas, às políticas de segurança dos órgãos governamentais e das empresas, mais o envolvimento dos provedores de telecomunicações, possibilitam criar proteção e a segurança proativa de vital importância para a contenção de ataques futuros.
Aos consumidores, para os quais a transformação de seus computadores em bots pelos crackers é imperceptível, a melhor maneira de se protegerem e não fazerem parte desse “exército” de computadores necessários para ataques distribuídos de negação de serviços é adotar um programa antivírus e um firewall pessoal em suas máquinas. É importante que o consumidor mantenha seu antivírus sempre atualizado e evite clicar em links recebidos em correios eletrônicos e nas mensagens instantâneas enviados por desconhecidos. E, se ele receber links de pessoas conhecidas, deve confirmar, sempre, com elas a origem desses links. Assim, poderá navegar e realizar suas atividades na Internet com tranquilidade, uma vez que estará protegido.
*José Roberto de Oliveira Antunes é gerente de Engenharia de Sistemas da McAfee do Brasil. Formado em Ciência da Computação pela Universidade Paulista – Unip –, atua na área de segurança da informação há mais de dez anos como engenheiro de sistemas, tendo obtido experiência atuando nos maiores fabricantes do segmento. Especializou-se e certificou-se em áreas específicas – TCP-IP e Cisco – pela Global Knowledge, entre outras entidades.
Este artigo pretende informar aos usuários de todas as esferas (corporativos, governamentais e consumidores) o que são essas ameaças e ataques, para que, conhecendo o propósito dos crackers e como atuam, esses usuários estejam cada vez mais preparados para a prevenção e o contra-ataque. O objetivo é viabilizar a utilização das tecnologias da maneira mais segura possível, analisando e explicando as ramificações das ações dos crackers. Vale lembrar aqui que o termo hacker, mal-empregado em muitos casos, está sendo amplamente utilizado em relação aos recentes ataques. Entretanto a verdadeira denominação para invasores de computadores é cracker, que designa programadores maliciosos e ciberpiratas que agem com o intuito de violar de forma ilegal ou imoral os sistemas.
Nos últimos 12 meses observamos um período de transformação e evolução na cibersegurança. Também foi possível identificar o aumento dos ataques dirigidos, mais sofisticação e com foco na obtenção de dados, inclusive com o crescimento no número de ataques direcionados aos novos dispositivos móveis.
A grande maioria dos recentes ataques de crackers, nos últimos dias, refere-se ao tipo de ataque distribuído por negação de serviços (cuja sigla em inglês é DDoS – Distributed Denial of Service). O ataque utiliza uma série de computadores escravos ou robôs (bots) espalhados pela Internet que, geralmente, pertencem a consumidores, entre os quais há aqueles que desconhecem padrões básicos e necessários de segurança, além de utilizarem, em alguns casos, programas ilegais. Nessa situação, boa parte desses programas carrega algum tipo de código malicioso (malware) que pode funcionar como “ladrão” de senhas de banco, como cavalos de Troia, e, nos ataques recentes, como bots.
Diferentemente dos vírus antigos, os bots não causam nenhum tipo de lentidão ou problema no computador. A ideia por trás dos bots é que estes fiquem escondidos em algum local do computador até que recebam, via Internet, um comando dos crackers para entrarem em ação. Quando os bots recebem esse comando, milhares deles vão acessar ao mesmo tempo um determinado site, por meio de acessos legítimos ou não. Todo site tem um limite de conexões simultâneas e a velocidade de resposta está diretamente ligada ao tamanho do link que esse site possui na Internet. Quando o número de conexões dos bots é maior que o suportado pelo site, ou quando há limitações de processamento das conexões pelos sistemas o site fica indisponível para acesso, devido à sobrecarga gerada pelos computadores-bots.
Outro tipo de problema detectado também a partir dos recentes ataques de grupos de crackers é o vazamento de informações, viabilizado pela existência de sistemas vulneráveis dentro dos ambientes tecnológicos atacados. Podem ocorrer em qualquer sistema, desde servidores de Web a servidores de bancos de dados ligados à Internet, sendo possível passarem despercebidas aos olhos do usuário corporativo. Existem hoje ferramentas disponíveis para auxiliar na manutenção desses sistemas, de modo a automatizar a detecção de problemas, sejam eles devidos à falta de aplicação de correções (patches) ou a erros de configuração. É importante notar que muitas das informações divulgadas por esses grupos como resultado de seus ataques são na verdade informações públicas disponíveis e acessíveis em sites ou mesmo realizando uma simples busca na Internet. Portanto, até agora, os dados não foram obtidos por meio de um ataque mais sofisticado que visaria a roubo ou vazamento de informações.
Vimos em alguns dos ataques a sites governamentais, por exemplo, uma pichação virtual (defacement), que consiste em modificar a página inicial dos sites colocando uma marca existente há muito tempo na Internet e aproveitando-se das vulnerabilidades ou falhas de configuração dos sistemas. Essa é a forma mais explícita de ataque que aponta para a existência da vulnerabilidade.
Já em relação as infraestruturas críticas de governos e corporações, as soluções e ferramentas de análise de vulnerabilidades em servidores Web, bancos de dados, aplicativos e sistemas operacionais disponíveis ajudam os usuários governamentais e corporativos a automatizarem o processo de manutenção da segurança. A combinação de soluções de prevenção de intrusão de sistemas, de ferramentas de análise de vulnerabilidades, de sistema de reputação em nuvem fornece as informações sobre endereços de protocolos de Internet (os IPs), de aplicações e domínios, em tempo real, constituindo-se em um conceito avançado de defesa contra ameaças que beneficia as infraestruturas críticas de governos, bem como aquelas de empresas de todos os portes e segmentos. As tecnologias aliadas aos links redundantes das infraestruturas críticas, às políticas de segurança dos órgãos governamentais e das empresas, mais o envolvimento dos provedores de telecomunicações, possibilitam criar proteção e a segurança proativa de vital importância para a contenção de ataques futuros.
Aos consumidores, para os quais a transformação de seus computadores em bots pelos crackers é imperceptível, a melhor maneira de se protegerem e não fazerem parte desse “exército” de computadores necessários para ataques distribuídos de negação de serviços é adotar um programa antivírus e um firewall pessoal em suas máquinas. É importante que o consumidor mantenha seu antivírus sempre atualizado e evite clicar em links recebidos em correios eletrônicos e nas mensagens instantâneas enviados por desconhecidos. E, se ele receber links de pessoas conhecidas, deve confirmar, sempre, com elas a origem desses links. Assim, poderá navegar e realizar suas atividades na Internet com tranquilidade, uma vez que estará protegido.
*José Roberto de Oliveira Antunes é gerente de Engenharia de Sistemas da McAfee do Brasil. Formado em Ciência da Computação pela Universidade Paulista – Unip –, atua na área de segurança da informação há mais de dez anos como engenheiro de sistemas, tendo obtido experiência atuando nos maiores fabricantes do segmento. Especializou-se e certificou-se em áreas específicas – TCP-IP e Cisco – pela Global Knowledge, entre outras entidades.