quinta-feira, 10 de outubro de 2013

Ameaças de segurança infelizmente em alta

Tempo vai, tempo vem e a infinita corrida entre o “gato e o rato” não tem fim. O submundo pernicioso da Internet está sempre em busca de fragilidades e vulnerabilidades seja nos sistemas informatizados ou nas próprias pessoas. Engenharia social, ou seja, provocar reações nas pessoas de forma que elas mesmas aceitem um convite malicioso em um link de e-mail (ou anexo) que vai comprometer sua segurança é um método largamente utilizado. Explorar as lacunas de segurança dos sistemas operacionais, especialmente daqueles computadores que não fizeram as devidas atualizações, é o outro método. 

Existe um tipo de ataque que já foi bem popular no passado que retornou vestindo uma roupa nova. É algo que já tinha visto com meus próprios olhos pelo menos 4 a 5 anos atrás. São os ataques de DNS. Malfeitores virtuais voltaram a usar esta técnica com modernizados retoques de sofisticação.

Indo direto para a consequência do ataque, o usuário acessa sites legítimos de qualquer natureza, mas na verdade ele está acessando sites falsos. Estes estão devidamente preparados para capturar todas as informações que forem digitadas. São muitos os golpes que podem ser aplicados:
  • Captura de dados de contas bancárias
  • Captura de contas de e-mail e suas respectivas senhas de acesso
  • Captura de login e senha de Facebook e outras redes sociais
  • Captura de dados pessoais completos (nome, CPF, endereço, telefone, etc.)

Deve dar para imaginar o que se pode fazer com estas informações. Dados bancários nem preciso explicar, mas e os outros dados? Os vigaristas digitais são imaginativos. Já faz um tempo que surgiu uma nova forma de golpe, na verdade um tipo de extorsão. O bandido entra no seu e-mail ou conta de rede social, troca sua senha e realiza um sequestro. Ele entra em contato com a pessoa e exige uma boa soma em dinheiro para devolver o acesso para o legítimo dono inclusive pressionando-o com a ameaça de apagar todas as informações, todos os e-mails, perfil da rede social, fotos e também ameaça a falar em seu nome com as pessoas de seu relacionamento. É apavorante!!

Para os mais curiosos vou detalhar um pouco como funciona este golpe. A primeira versão usa uma técnica chamada de “Envenenamento de DNS”. DNS é análoga ao seu livro de telefones. Na Internet os nomes dos sites não significam muita coisa. É necessário um número, assim como um telefone não conhece “Flavio Xandó”. Um número é que deve ser discado. O DNS é quem descobre que, por exemplo, o site www.itweb.com.br reside em um endereço IP 200.198.189.240. O tal envenenamento consiste em alterar o DNS da máquina de tal forma que ao traduzir o nome para o endereço (que ocorre nos bastidores – o usuário não vê), informa para o sistema um endereço diferente. Dessa forma ocorre um desvio. O usuário do pensa estar acessando Gmail, Facebook, Twitter, Banco, etc. mas ele é conduzido para sites falsos.

O tal envenenamento do DNS acontece basicamente de duas formas. Ao receber um e-mail com anexo perigoso, este ao ser clicado muda a configuração do DNS da máquina. Faz apenas e tão somente isso. E não fica rastro no computador a não ser o tal programa ou script anexo no e-mail. Sites com códigos maliciosos podem induzir o visitante a clicar e executar programas. Há relatos de sites com falsas atualizações do diversos programas como FLASH ou ACROBAT que na verdade fazem isso ou implantam um “bot” no computador (programa que escraviza a máquina).

Existe outra forma menos comum que é a invasão de roteadores. A imensa maioria das pessoas não altera a senha de administração de seu sistemas (roteador WiFi) e alguém pode ter acesso e trocar no roteador a configuração do DNS. Isso é ainda mais difícil de descobrir pois o computador do usuário nem é tocado.

A nova forma de ataque – PAC (Proxy Auto Configuration)

Proxy é um servidor que concentra acessos de Internet, principalmente Web (HTTP) de tal forma que se uma pessoa acessa, por exemplo, o site ITWEB todas as imagens já ficam armazenadas e um acesso subsequente não vai requisitar o ITWEB novamente. Assim as páginas e imagens são carregadas bem mais rápido (até que expire o prazo de validade da página - importante para quem divulga notícias). Esta técnica usada de forma legítima na rede local pode ter impacto dramático no desempenho do acesso às páginas tornando muito melhor a experiência de navegação.

A Microsoft inclui em seus produtos (Internet Explorer e Windows) o prático recurso de detecção automática de Proxy, ótimo para o ambiente de empresa, pois facilita a configuração principalmente em redes com muitos computadores. Um novo malware que é distribuído por meio de um arquivo bastante pequeno faz a mudança do endereço de servidor Proxy da máquina para um servidor Proxy "viciado".


No passado o que eu tinha visto era um tipo de infecção, notadamente por anexo malicioso em e-mail que simplesmente ao ser acionado mudava o proxy do navegador e se auto apagava. Assim um programa antivírus não tinha o quê detectar, mas o estrago já tinha sido feito. A partir daí ocorre o desvio de toda navegação pelo servidor proxy "venenoso".

Este tipo de ataque se assemelha ao "envenenamento de DNS" uma vez que o efeito prático é que ao direcionar toda navegação pelo Proxy, este tem o poder de transformar um acesso ao www.itau.com.br, www.bradesco.com.br, etc. para um site falso feito especialmente para roubar dados e também dinheiro das pessoas.

Como se proteger?

Começo pelo conselho mais óbvio que é manter o sistema operacional atualizado, com todas as correções de segurança bem como contar com um sistema de proteção (antivírus e firewall) também em dia. Porém há mais por fazer. Para evitar o envenenamento do DNS no roteador as senhas administrativas dos mesmos devem ser trocadas. Abertura de anexos de e-mails, principalmente arquivos de programas e scripts (EXE, VBS, SCR, COM, etc.) jamais deve ser feita.

Da mesma forma o usuário deve ter grande cuidado ao quanto aos links que ele é convidado (ou induzido) a clicar nos e-mails que recebe. Bom senso!! Ver fotos de alguém em situação vexatória em uma festa (que você nem sabe do que se trata), abrir o comprovante de depósito em seu nome vindo de alguém que você nem conhece, e coisas assim são sempre um convite a se infectar e trazer malwares nefastos. A propósito eu vou explorar este assunto dos e-mails maliciosos em breve.


Nenhum comentário:

Postar um comentário