As Mil Faces dos Ataques Cibernéticos
Por Steve Trilling
Senior Director
Symantec Research Labs |
 |
 |
|
Em 1999, o vírus Melissa nos pegou despreparados e resultou no envio de milhões de e-mails infectados pelo mundo todo. No ano seguinte, em maio de 2000, o worm LoveLetter causou danos no valor de 8,7 bilhões de dólares, de acordo com os relatórios publicados (computereconomics.com). Em 2001, o Nimda e o Code Red inauguraram uma nova era de ameaças diversificadas. As ameaças diversificadas são capazes de se espalhar por toda a Internet sem qualquer interação do usuário e automaticamente acionar ataques adicionais, tais como aqueles de negação de serviço (denial of service, DoS) ou de hackers. Em janeiro de 2002, o worm Slammer se espalhou pela Internet, fazendo com que ela caísse em vários pontos, ainda que por um período curto de tempo.
Não há dúvida de que no futuro iremos encontrar ameaças que se espalharão mais rapidamente e com um poder destrutivo ainda maior. As ameaças "Warhol" e "Flash" têm o potencial de desativar redes importantes ou grande parte da Internet em apenas alguns minutos, ou até mesmo segundos, sem permitir que as equipes de TI possam reagir a elas.
Aumento nos incidentes
A ameaça de ataques cibernéticos tem crescido a cada dia, devido principalmente ao aumento no uso de e-mail e da Internet pelas empresas. De acordo com as estatísticas do CERT Coordination Center do Carnegie Mellon, o número de incidentes relacionados à segurança de TI registrados passou de 52.658 em 2001, a 82.094 em 2002; além disso, no primeiro trimestre de 2003 já foram registrados 42.586 casos, indicando a tendência de dobrar os números do ano passado.
Os resultados da nova pesquisa sobre segurança e crime através de computadores realizada em 2003 pelo CSI/FBI indica que as ameaças via e-mail continuam a ser o tipo mais comum de ataque. Essa pesquisa afirma também que o roubo de informações privadas ainda é um problema generalizado e a causa da maior parte das perdas financeiras resultantes de crime cibernético. O segundo lugar na lista de ataques cibernéticos mais comuns são aqueles de negação de serviço. Esse aumento contínuo de incidentes relacionados à segurança prevê mais um ano de desafios para equipes de segurança de TI.
O perfil mutante dos responsáveis pelos ataques
Ao mesmo tempo em que as ameaças aumentam em número e complexidade, é provável que vejamos uma evolução também no perfil daqueles responsáveis pelos ataques. Diversos dos ataques recentes mais sofisticados foram causados por "amadores" sem um alvo nem motivação particulares em mente. No entanto, à medida em que mais e mais atividades comerciais e governamentais são conduzidas on-line, esperamos ver o surgimento de "profissionais" em ataques, os quais terão alvos e motivações específicos em mente. Eles terão mais recursos e tempo para se dedicar aos ataques, e é provável que encontrem e explorem as vulnerabilidade de forma mais veloz do que os amadores do passado.
Menos tempo para reagir
Ameaças diversificadas, worms e hackers em geral tiram proveito de vulnerabilidades conhecidas de software de computador. Geralmente, os ataques acontecem pouco tempo após a descoberta da vulnerabilidade. O tempo decorrido entre a descoberta de uma vulnerabilidade e a exploração dessa por meio de uma ameaça específica é conhecido como janela de ameaça à vulnerabilidade. Por exemplo, a janela de ameaça à vulnerabilidade até o surgimento dos worms Nimda e Slammer durou vários meses, o que deixou tempo suficiente para que o fornecedor do software vulnerável pudesse criar uma correção e alertar ao público, reduzindo assim o potencial de danos causados por uma ameaça. Em média, as ameaças são criadas seis meses após o anúncio público de uma vulnerabilidade. Contudo, conforme visto na seção anterior, o responsáveis pelos ataques estão cada vez mais sofisticados e profissionais, o que pode resultar em janelas de ameaça à vulnerabilidade ainda mais curtas. Quanto mais recursos o responsável pelo ataque tiver, maiores serão as chances de que ele descobrirá novas vulnerabilidades e criará rapidamente ameaças que as explorem. Isso poderá levar ao surgimento das ameaças de Zero Dia. Uma ameaça de Zero Dia ocorre quando um ataque associado é criado e lançado assim que uma vulnerabilidade é descoberta, não deixando tempo para que os fornecedores de software, administradores de TI e usuários possam se proteger.
Ameaças de hoje e de amanhã
É possível diferenciar as ameaças atuais das emergentes ao atribuí-las a classes gerais de acordo com a rapidez com que se espalham. Ao passarmos da Classe I à Classe III, diminuem as chances de uma resposta humana que possa conter a ameaça:
- Hoje: Ameaças de Classe I - As ameaças de Classe I se espalham em poucos dias ou mesmo horas. Até esse momento, a maioria dos ataques pode ser classificada nessa categoria. As ameaças de Classe I incluem worms de e-mail e várias ameaças diversificadas. A resposta humana a essas ameaças pode se dar através de atualizações de definição de vírus, filtros roteadores e regras de firewall.
- Hoje e amanhã: Ameaças de Classe II - As ameaças de Classe II podem ser espalhar via Internet em algumas horas ou minutos. O worm Slammer SQL lançado no começo deste ano nos deu uma idéia do que uma ameaça de Classe II pode fazer, uma vez que a infecção causada pelo Slammer dobrou a cada 8,5 segundos em sua fase inicial e nos primeiros cinco dias, custando aproximadamente 1 bilhão de dólares em perda de produtividade. As ameaças de Classe II mais velozes são difíceis ou impossíveis de conter através de mecanismos de resposta humanos. Elas requerem respostas mais automatizadas.
- Amanhã: Ameaças de Classe III - As futuras ameaças de Classe III serão capazes de atacar sistemas na Internet em poucos segundos. A conectividade mundial ajudará a tornar essa uma possibilidade real. A resposta humana a tais ameaças será impossível e até mesmo a mais rápida das respostas automatizadas talvez não seja capaz de contê-las. Defender-se contra ameaças de Classe III irá envolver a criação de novas e eficazes tecnologias. Tais tecnologias deverão ser capazes de bloquear novas ameaças nos computadores host e na rede antes que tenham a chance de se espalhar.
As boas e as más novas
As boas novas são que as empresas estão reforçando suas políticas de segurança de forma mais estrita do que antes, e os funcionários estão cientes dos perigos de clicar em anexos executáveis ou abrir e-mail não solicitado. Os resultados adicionais da pesquisa do CSI/FBI em 2003 indicam que 99 porcento da empresas está usando software antivírus, 98 porcento instalou a proteção de um firewall e 73 porcento conta com a tecnologia de Detecção de Intrusão instalada (em relação a 60 porcento em 2002). As soluções de segurança têm se multiplicado para englobar diversas camadas e facilitar o gerenciamento através do uso de consoles centralizados e mecanismos de resposta automática e co-relação. Recursos como alertas preventivos, detecção heurística e gerenciamento de políticas também ajudam empresas a proteger suas redes contra as crescentes ameaças à segurança.
No entanto, a sofisticação daqueles responsáveis por ataques e as ameaças que criam só fazem aumentar. Essa não é a hora de baixar a guarda - ao contrário, você deve reforçá-la. No futuro, seremos confrontados por ameaças velozes almejando destinos específicos que deixarão pouco ou quase nenhum tempo para que as combatamos. Não fique esperando até o próximo ataque cibernético - dar-se ao luxo de reagir a um ataque ocorrido é uma coisa do passado.
Links relacionados
|
|
|
