Lição 4: vocabulário essencial sobre cibersegurança

Termos cibersegurança

Na lição passada comentei sobre alguns mitos relacionados à segurança na Internet. Você viu que nem tudo é tão seguro quanto parece  ser. Espero ter despertado a sua consciência. É necessário que você se proteja contra os riscos presentes na Internet.

Esta lição será um pouquinho mais técnica, mas sem nenhum nível de dificuldade. Falarei, sem entrar em muitos detalhes, sobre alguns termos correlatos à cibersegurança. Conhecê-los o ajudará a familiarizar-se sobre o assunto e aumentará a sua compreesão e consciência.

Vamos em frente.

1. Ciberataque

ciberataquesComputadores e sistemas informáticos são alvos de ataques diários encetados por indivíduos ou grupos de indivíduos que denominaremos cibercriminosos.

As ações de cibercriminosos  estão centradas, primordialmente, na obtenção de benefícios econômicos, mediante ações ilegais, com o apoio da informática.

No entanto, não podemos deixar de mencionar, há incidentes em que a motivação principal é política ou ideológica, como nos casos de ciberterrorismo e hacktivismo.

Um ciberataque é um ataque, via ciberespaço, que visa danificar, interromper ou obter acesso não autorizado a um ambiente computacional ou infraestrutura de rede.  Pode visar, também,  obter, adulterar ou destruir dados ou informações, sem autorização expressa ou tácita do titular do dispositivo. Para atingir ao seu intento, o perpetrador do ciberataque usa de habilidades técnicas para identificar vulnerabilidades.

Ciberataques podem ser direcionado a computadores individuais, redes de computadores, sistemas de informação e infraestrutura de TI de todos os tamanhos. Podem partir de qualquer lugar e podem acontecer a qualquer momento. Ninguém está a salvo. Basta estar conectado.

Curiosidade: no Brasil, a Lei 12737/12, vulgarmente conhecida como Lei Carolina Dieckman, visa proteger os dispositivos informáticos contra invasóes, tutelando a privacidade, que engloba o sigilo, a intimidade e a vida privada, consistente na proteção de dados e informações armazenadas em dispositivo informático.

2. Malware

É um dos termos que você mais vai ouvir neste site e nos assuntos relacionados à segurança da informação. O termo, que é a abreviação de malicious software (software malicioso), é usado para se referir a toda uma categoria de programas maliciosos, tais como vírus, worms, trojans, ransomware, spyware, adware, scareware, dentro outros programas nocivos.

tipos de malware

Imagem: CERT.br

Malware é usado pelos cibercriminosos para:

  • Invadir sistemas de computadores;
  • Coletar informações sensíveis;
  • Interromper as operações de um computador.

A transmissão de um malware normalmente é feita por meio da execução de um arquivo infectado, anexados em mensagens eletrônicas, mídias removíveis como pendrives, páginas web comprometidas ou de outros computadores conectados na rede.

Malware, normalmente, vem disfarçado ou incorporado em arquivos aparentemente não maliciosos, com extensões como .jpeg, .mpeg, .exe, .gif, .mp3, .doc, .xls, .ppt, dentre outros.

A melhor maneira de se prevenir contra malware é a instalando um software de segurança, sempre atualizado, combinado com treinamentos de conscientização que explicam, por exemplo, o porquê dos usuários devem evitar abrir qualquer arquivo.

Para mais informações sobre o assunto, leia o artigo Entendendo as ameaças digitais e as suas diferenças – Malware – Parte I.

3. Vírus de computador

virus de computador

Imagem: CERT.br

Um vírus de computador é uma espécie de malware capaz de se replicar e se espalhar para outros arquivos do sistema ou de outros computadores.

O vírus, que é um conjunto de códigos maliciosos, se anexa a um aplicativo hospedeiro. O aplicativo hospedeiro quando executado tenta replicar o vírus procurando por outras aplicações a fim de infectá-las com o seu código malicioso.

Vírus podem apagar arquivos, causar reboots aleatórios, conectar o computador a uma botnet, ou ativar backdoors para que invasores acessem ou controlem remotamente o sistema. Antigamente, na minha época de garoto (faz tempo!), lá pelos anos 80, os vírus apenas exibiam mensagens animadas na tela do computador (Veja aqui um exemplo).

Os vírus podem residir em arquivos executáveis (.exe ou .com), em arquivos de dados (Microsoft Word ou PDFs) ou no setor de inicialização do disco rígido.

Alguns vírus  são chamados de polimórficos, o que significa que são capazes de se transformar quando replicados ou executados. A ideia é criar variações que dificultem a detecção do software antivírus.

Um vírus, portanto, é definido pela sua capacidade de se reproduzir e se espalhar. Um vírus não é qualquer coisa que acontece de errado com um computador: é muito comum dizermos, “Xii, meu computador está com vírus”. E por fim, vírus não é simplesmente outro nome para malware.

4. Trojan horse (Cavalo de Tróia)

Cavalo de Tróia

Imagem: CERT.br

Um cavalo de Tróia, mais conhecido como Trojan, é um tipo de malware que se disfarça de um arquivo ou programa legítimo, induzindo o usuário a  baixá-lo e instalá-lo como se fosse um programa normal. Ou seja, se parece com algo benéfico, mas é algo malicioso.

A classe dos Trojans é a que mais contém amostras de malwares, ao lado

Trojans são usados frequentemente para criar backdoors, permitindo que cibercriminosos se conectem remotamente aos sistemas infectados. Quando isso acontece, os criminosos podem, por exemplo:

  • Manipular os arquivos do computador da vítima;
  • Executar comandos remotamente;
  • Interceptar as teclas digitadas;
  • Capturar telas do computador;
  • Furtar dados (logins, senhas, financeiros);
  • Instalar ferramentas de negação de serviço;
  • Usar o computador como botnet;
  • Causar lentidão e travar o sistema;
  • Formatar seus discos, destruir todo o conteúdo no seu dispositivo, etc

Seu sistema pode ficar comprometido por um Trojan de diversas formas. Eles podem chegar  por meio de anexos de e-mail ou drive-by downloads1. Além destas formas, a infecção pode se dar por meio da instalação de programas falsos que se apresentam legítimos: softwares freeware, ferramentas para remoção de programas, otimizadores de sistema, screensavers, música, imagens, jogos, vídeos ou dispositivos USB infectados.

5. Ransomware

ransomwareEste é o meu bichinho preferido! Tenho até uma coleção deles. Sem dúvidas, é uma das mais temidas espécies de malware, causando sérios problemas a usuários domésticos e organizações de todos os tamanhos. Não é exagero dizer que nunca antes na história da humanidade fomos submetidos a um tipo de extorsão que ocorre em grande escala.

Ransomware é um tipo de malware que permite aos atacantes assumirem o controle do computador do usuário, exigindo dele, em seguida, que pague um resgate para ter o controle de volta.

O cenário mais comum nos ataques ransomware  é aquele onde os dados do computador da vítima são criptografados antes do pedido de resgate. Como muitos usuários valorizam as suas informações, muitos estão dispostos a pagá-lo para obtê-las de volta.

De acordo com um estudo realizado pela Centro interdisciplinar de Investigação de Segurança Cibernética da Universidade de Kent, em fevereiro 2014, mais de 40% das vítimas de Cryptolocker concordaram em pagar o resgate2.

Em comum com outros tipos de malware, há muitas maneiras de propagação do ransomware. No entanto, a forma mais comum é por meio de spam, em que a vítima vitima recebe um e-mail contendo um anexo infectado ou inclui um link para um site malicioso.

As chances de recuperar seus dados são muito escassas, ao menos que você esteja disposto a pagar o resgate. Justamente por isso, é crucial ter um backup dos seus dados em um local seguro.

Os bandidos por de trás do CryptoWall, para melhor ou para pior, estabeleceram uma reputação de honestos. Se você pagar, quase certamente irá receber a sua chave, e será muito provável que conseguirá recuperar seus dados. Infelizmente, cada chave é única para cada infecção, então você não terá como juntar forças com outras vítimas a fim de ratear o custo do resgate. Cada vítima é única3.

Contra ransomware, recomendo a leitura do artigo A tríade contra o ransomware: prevenção, educação e recuperação.

6. Spam

spam

Imagem: CGI.br

Mensagens de spam são muito inconvenientes. São e-mails não solicitados que entopem nossas caixas de entrada ou sobrecarregam os servidores de e-mail. Alguns estudos indicam que 80 a 90% de todos os e-mails que circulam pela Internet são spam. Mas não é só isso. Spam atinge, também, aplicativos de mensagens instantâneas, mensagens de texto, blogs, fóruns e mídias sociais.

Muitos spam são anúncios inofensivos, porém, alguns outros são mal-intencionados, transportando malware ou links que nos direcionam a sites maliciosos hospedeiros de exploit kits.

7. Exploit Kit

Exploit kits são ferramentas usadas para explorar falhas de segurança, a fim de espalhar malware. Eles têm como alvo softwares instalados e utilizados pela maioria dos usuários, como o Adobe Flash, Java, Microsoft Silverlight e Internet Explorer.

Exploit kits são componentes importantes na infraestrutura do cibercrime, pois permitem que os atacantes atinjam uma ou mais vulnerabilidades nos sistemas das vítimas, sem exigir que elas baixem um arquivo ou anexo: basta a vítima navegar para um site comprometido, e este se encarregará de entregar a carga maliciosa para o sistema, a partir de uma falha de segurança do navegador do usuário

Um típico kit de exploração de vulnerabilidades, normalmente, fornece um console de gestão, uma lista de falhas de segurança de diferentes aplicações para serem exploradas e botões de comando, tornando a vida do cibercriminoso muito mais fácil.

Cadeia de infecção por um exploit kit em quatro etapas
transmissão exploit kits

Fonte imagem: EVOLUTION OF EXPLOIT KITS, Trendmicro, 2015.

Uma das maneiras de se proteger contra exploit kits é manter o software atualizado constantemente. Utilizar suítes de segurança capazes de verificar e bloquear tráfego malicioso da web, além de adicionar no navegador um serviço de verificação de reputação de websites ajudará a bloquear as cadeias de redirecionamento antes mesmo que a carga maliciosa seja baixada.

Se você for um estudioso ou acadêmico, interessado em se aprofundar sobre o assunto, sugiro a leitura do artigo científico (em inglês) EKHUNTER: A Counter-Offensive Toolkit for Exploit Kit Infiltration. Para a esmagadora maioria dos usuários, o artigo citado é absolutamente dispensável.

8. Drive-by-download

Infecção via drive-by-download é um método muito comum para entrega de malware. Quando um usuário, inadvertidamente, visita um website comprometido, este executará um exploit kit, que verificará a existência de vulnerabilidades no navegador. Se o navegador do usuário estiver vulnerável, o exploit iniciará um processo que tirará proveito desta brecha, baixando malware para o computador do usuário sem o conhecimento ou permissão dele.

Normalmente, acontece assim:

Infeção drive-by-download

Não é só visitando sites que corremos o risco de ser infectados via drive-by-download. Acessar e-mails com cargas maliciosas ou clicar em janelas pop-up também podem transmitir malware.

Drive-by-download

Exemplo de um método de disseminação de malware por meio drive-by-download que exige interação do usuário.

Mais uma vez, não custa dizer, é de suma importância manter os softwares atualizados, a fim de mitigar os riscos de ser infectado, já que a exploração de tais  vulnerabilidades coloca em risco os usuários.

 9. Malvertising

Malvertising é a abreviação de malicious advertising (publicidade maliciosa). Trata-se de um tipo de ataque em que publicidade online é usada para disseminar malware.

Cibercriminosos injetam código malicioso em redes de publicidade online ou em sites legítimos. Muitos dos banners se parecem com anúncios regulares, sem qualquer tipo de problema, mas na verdade, devido à invasão, contêm código malicioso. Alguns dos anúncios são applets em Flash com código malicioso embutido; outros apenas redirecionam o usuário para um site contendo um exploit kit.

Normalmente, acontece assim:

Como funciona malvertising

É muito difícil detectar esse tipo de ataque, pois os elementos maliciosos são plantados furtivamente, sem que o usuário perceba. Com os anúncios online são geridos por redes legítimas de publicidade online, o usuário dificilmente desconfiará. Sites como do Yahoo! e New York Times já foram utilizados para disseminar malware por meio dos seus banners.

Usar AD Blockers (bloqueadores de propaganda) em conjunto com soluções anti-exploit e anti-malware ajudam a combater malvertising.

10. Keyloggers

Keyloggers são programas que registram a atividade do teclado. O método que utiliza tais programas chama-se keylogging ou keystroke logging. Por meio deste método, cibercriminosos capturam e armazenam toda a atividade do teclado a fim de obter informações valiosas, como credenciais do usuário (login e senha) e números de cartões de crédito. As teclas digitadas são armazenadas em um arquivo que pode ser enviado periodicamente para o atacante.

Toda essa atividade é feita de uma maneira oculta, de modo que você não vai perceber que está sendo monitorado enquanto estiver digitando senhas e outros dados em seu teclado.

Há, também, programas keyloggers legítimos usados por corporações para monitorar os funcionários e pelos pais para monitorar seus filhos.

Atenção: tenha cuidado com o registro de teclas. Mesmo com boas intenções, o monitoramento de funcionários levanta várias questões legais se não for feito corretamente. Peça orientação para o seu advogado.

Keyloggers podem ser encontrados em formato de hardware. Se o invasor ganhar acesso físico ao sistema do cliente, poderá instalar o dispositivo capaz de capturar senhas ou outros dados confidenciais.

Keylogger de hardware

Keylogger de hardware pode ser instalado entre o teclado e a porta de comunicação do computador. Aproveite e dê uma chegada atrás do seu PC para ver se não tem alguém te espionando.

A melhor defesa contra a instalação de keyloggers em seus sistemas é usar programas anti -malware ou de proteção de endpoint. Não é infalível, mas pode ajudar. Em relação aos keyloggers físicos, será necessárias uma inspeção visual em cada sistema.

11. Phishing

Phishing é um difundido método utilizado pelos criminosos cibernéticos para adquirir informações pessoais sensíveis, tais como nomes de usuários, senhas e detalhes de cartão de crédito.

Os golpistas criam conteúdos de e-mails falsos, dando a impressão de serem de uma instituição confiável. Desta forma, acabam induzindo os destinatários a clicar em um link para atualizarem seus perfis pessoais ou realizarem alguma transação. Se clicar, a vítima será conduzida a um site falso, onde suas informações pessoais ou financeiras, se digitadas, serão encaminhadas diretamente ao golpista.

Phishings bancários, por exemplo, enviam solicitações por e-mail para que o destinatário confirme as informações bancárias ou redefina suas senhas ou PINs.

Phishing bancário

Neste clássico exemplo de phishing bancário, dados confidenciais relativos ao cartão de débito/crédito, eram pedidos. Note que os endereços acessados não é da instituição financeira em questão.

Ataques de phishing são feitos por meio de e-mails fraudulentos, aplicativos de mensagens instantâneas, SMS, mensagens de mídias sociais, como Facebook, Twitter, Linkedin etc. Lembra-se da lição passada, quando eu disse que as redes sociais não eram lugares seguros?

É provável que nas suas leituras você se depare com o termo Spear Phishing, que nada mais é do que uma forma específica de phishing. Ao invés de enviar e-mails para diversos e indeterminados usuários, um ataque de spear phishing tenta atingir grupos específicos de usuários, ou mesmo alguém específico. Podem ter como alvo funcionários ou clientes de uma empresa.

No âmbito empresarial, a conscientização dos usuários e treinamentos de segurança são grandes defesas contra ataques de phishing. Como muitos profissionais de TI podem atestar treinamentos fazem uma enorme diferença na capacidade do usuário discernir o que representa ou não uma ameaça.

Em termos tecnológicos, as ferramentas antiphishing, ajudam, mas infelizmente não conseguem acompanhar o número crescente de fraudes.

12. Engenharia social

Este é um assunto muito interessante. Para quem se interessa em fazer ligações entre a área de humanas com a da ciência da computação, vale a pena procurar literatura especializada sobre assunto.

A engenharia social consiste na aquisição de informações confidenciais ou na obtenção de acesso privilegiado por um estranho, com base em manipulação psicológica para ganhar confiança, convencendo as vítimas a executarem determinadas ações ou divulgar informações confidenciais.

Por princípio, o ser humano, geralmente, é o elo mais fraco na cadeia de segurança da informação. Em vez de explorar falhas de segurança do computador, os engenheiros sociais tiram proveito de algumas qualidades da natureza humana, tais como o desejo de sermos útil, a tendência de confiarmos nas pessoas e o medo que algo aconteça de errado.

Um engenheiro social, comumente, usa o telefone ou Internet para enganar as pessoas a revelar informações confidenciais ou para levá-las a fazer algo que é contra as políticas de segurança da organização. Aqueles que são capazes de aparentar ser parte da organização-alvo são os mais bem sucedidos em ataques de engenharia social.

Ataques de phishing, vistos logo acima, são exemplos de aplicação de engenharia social usando a Internet.

Apesar de alguns ataques de engenharia social não serem de simples execução, já que exigem habilidades que nem todas as pessoas têm, são os mais difíceis de serem barrados. Não tem como uma empresa se defender deste tipo de ataque simplesmente usando hardware ou software. A defesa mais bem sucedida depende de boas políticas de segurança e garantir que os funcionários a respeitem.

Como evitar um ataque de engenharia social

Trecho do livro A Arte de Enganar, de Kevin Mitnick.

O FATOR HUMANO

Ao testemunhar no Congresso há pouco tempo, expliquei que poderia conseguir senhas e outras informações sigilosas nas empresas fingindo ser outra pessoa e simplesmente pedindo essas informações. É natural querer se sentir seguro e isso leva muitas pessoas a buscarem uma falsa ideia de segurança.

Veja o caso do responsável e carinhoso proprietário de uma casa que tem um Medico, um cadeado de fechadura conhecido como sendo à prova de roubo, o qual foi instalado na porta da frente  para proteger sua esposa, seus filhos e sua casa. Agora ele está certo de que tornou sua família muito mais segura com relação a intrusos. Mas e o intruso que quebra uma janela ou descobre o código que abre a porta da garagem? Que tal instalar um sistema de segurança resistente? Isso é melhor, mas não garante nada. Com cadeados caros ou não, o proprietário da casa permanece vulnerável.

Por quê? Porque o fator humano é o elo mais fraco da segurança.

Com frequência, a segurança é apenas uma ilusão, que às vezes fica pior ainda quando entram em jogo a credulidade, a inocência ou a ignorância. O cientista mais respeitado do mundo no século XX, Albert Einstein, disse: “Apenas duas coisas são infinitas: o universo e a estupidez humana, e eu não tenho certeza se isso é verdadeiro sobre o primeiro”. No final, os ataques da engenharia social podem ter sucesso quando as pessoas são estúpidas ou, em geral, apenas desconhecem as boas práticas da segurança. Com a mesma atitude do nosso proprietário de casa consciente sobre a segurança, muitos profissionais da tecnologia da informação (TI) conservam a ideia errada de que tomaram suas empresas imunes ao ataque porque usaram produtos de segurança padrão — firewalls, sistemas de detecção de intrusos (Intrusion Detection Systems) ou dispositivos avançados de autenticação, tais como tokens baseados no tempo ou cartões biométricos inteligentes. Todos que acham que os produtos de segurança sozinhos oferecem a verdadeira segurança estão fadados a sofrer da ilusão da segurança. Esse é o caso de viver em um mundo de fantasia: mais cedo ou mais tarde eles serão vítimas de um incidente de segurança.

13. Vulnerabilidade

Em segurança da informação, vulnerabilidade é uma fraqueza normalmente encontrada em softwares (programas e sistemas operacionais), hardware, configuração ou até mesmo em usuários que operam o sistema.

Vulnerabilidades deixam os sistemas de computação expostos a ciberataques e a malware. Muitas infecções por malware, por exemplo, começam com um exploit kit que tem como alvo uma conhecida vulnerabilidade no sistema operacional ou aplicativo. Quando vulnerabilidades são descobertas, os fornecedores procuram corrigir os seus produtos com patches de atualização/correção.

Não basta que um sistema seja vulnerável para ser invadido. É necessário que sejam usadas as ferramentas certas para isto. O problema é que existem diversos sites que listam as vulnerabilidades e ferramentas usadas para explorá-las. Por outro lado, manter constantemente os softwares atualizados, aplicando os pacotes de correção mais recentes, reduzirá as vulnerabilidades. Nas próximas lições compartilharei algumas dicas.

14. Ataque de dia zero

Ataques de dia zero referem-se a vulnerabilidades que foram encontradas antes que os pesquisadores de segurança e desenvolvedores de software tornarem-se conscientes sobre elas. Em função disso, representam um risco mais elevado para os usuários do que as vulnerabilidades já conhecidas por dois motivos:

1. A falha será explorada com a criação de um novo malware.
2. Muitos programas antivírus dependem de assinaturas para identificar as ameaças, no entanto, a assinatura para o novo tipo criado não está no banco de dados.

É por isso detecções baseadas somente em assinatura não são tão eficientes. As melhores soluções do mercado baseiam-se, além das assinaturas, em análises heurísticas, tomando decisões que estão além do escopo de um banco de dados.

Falaremos sobre elas mais adiante.

15. Software antivírus

Software Antivírus, às vezes chamado de software antimalware, é um programa de computador usado para prevenir, detectar e remover programas maliciosos (malware).

  1. Os atacantes estão cada vez mais usando drive-by downloads para entregar Trojans. Em um ataque drive-by download servidores web incluem código malicioso em suas páginas que será baixado e instalado no computador do usuário após a sua visita.
  2. CryptoLocker victims pay out: https://www.kent.ac.uk/news/science/528/cryptolocker-victims-pay-out
  3. Angler exploit kit rings in 2016 with cryptowall ransomware: https://nakedsecurity.sophos.com/pt/2016/01/21/angler-exploit-kit-rings-in-2016-with-cryptowall-ransomware/