Hora de
melhorar a sua infra-estrutura de confiança?
|
 |
 |
|
O Relatório de Ameaças à Segurança
da Internet da Symantec fornece uma visão
clara do mundo on-line, onde as instituições
financeiras realizam seus negócios. Este artigo
analisa algumas das questões que devem ser
abordadas, se desejarmos desenvolver uma infra-estrutura
eletrônica segura e confiável.
Na análise das tendências dos ataques
de 2003, a edição mais recente do Relatório
de Ameaças à Segurança da Internet
da Symantec confirmou o que nós, profissionais
da segurança de informações, já sabíamos
há muito tempo: que de uma forma geral, o setor
de serviços financeiros é um dos mais
afetados por eventos graves. “Os agressores e
ameaças combinadas atacaram cada vez mais as
portas dos fundos deixadas por outros agressores e
por worms", observou o Relatório. Essas
portas de fundo provavelmente serão alvos de
ataques, como uma forma de construir redes de hosts
comprometidos, de onde os ataques poderão ser
lançados.
Usando o Relatório de Ameaças como ponto
de partida, gostaria de falar um pouco sobre as formas
como as ameaças cibernéticas contra os
setores de serviços financeiros evoluem e, em
seguida, passar para algumas das questões que
devemos abordar, se desejarmos desenvolver uma infra-estrutura
eletrônica mais confiável e segura.
A natureza dos ataques
As ameaças combinadas continuaram a representar um problema de segurança
significativo para as instituições financeiras em 2003, de acordo
com o Relatório de Ameaças. Essas espertas ameaças encontram
várias maneiras de se propagar e continuam a evoluir para ataques cada
vez mais bem-sucedidos. O Blaster, Welchia e Sobig são exemplos desse
tipo de ameaça. No verão passado, em um determinado momento, tivemos
que lidar com quatro ameaças de alto impacto em um período de oito
dias.
Outra característica
desses worms é que cada
vez eles vêm atacando
vulnerabilidades nos principais
componentes do Windows. Esses
componentes são mais
abrangentes do que o software
do servidor atacado anteriormente
por worms baseados na rede,
resultando em um volume muito
maior de sistemas vulneráveis.
Esses worms se beneficiam
da redução do
tempo entre o surgimento da
vulnerabilidade e a divulgação
de um código de exploração.
Pense nisto: o worm Slammer
de janeiro de 2003 atacou uma
vulnerabilidade que foi descoberta
seis meses antes, enquanto
o worm Blaster explorou uma
vulnerabilidade encontrada
apenas 26 dias antes. Mais
recentemente, o worm Sasser,
que começou a se propagar
no dia 1º de maio, explorou
uma brecha em um componente
do sistema operacional Windows,
para o qual a Microsoft lançou
um patch em 13 de abril. Houve
também o worm chamado
de Witty, que foi lançado
apenas 36 horas após
a divulgação
da vulnerabilidade. Nossa “janela
de ameaças a vulnerabilidades” continua
a ser reduzida.
Os ataques se tornam
mais sofisticados
Como todos sabem, uma das ameaças mais perturbadoras que enfrentamos
hoje em dia envolvem diferentes formas de “phishing”, normalmente
definidas como uma tentativa de roubar informações sensíveis,
através de esforços de engenharia social. Qual a dimensão
desse problema?
De acordo com a empresa de
pesquisas Gartner Inc., o número
dessas ameaças aumentou
muito no último ano,
levando cada vez mais pessoas
a revelar informações
confidenciais aos criminosos.
Em um estudo conduzido em abril
de 2004 (“Phishing Attack
Victims Likely Targets for
Identity Thefts”), a
Gartner pesquisou 5000 usuários
adultos da Internet e descobriu
que por volta de 3 por cento
dos pesquisados afirmaram ter
fornecido informações
financeiras ou pessoais, após
terem sido levados a uma armadilha
do tipo “phishing”,
que normalmente utiliza mensagens
de e-mail e páginas
da Web criadas para parecerem
correspondência legítima
de empresas on-line. Uma taxa
de sucesso de 3 por cento é mais
do que suficiente para estimular
outros ataques, observa a Gartner.
O resultado das pesquisas
sugere que 57 milhões
de adultos já sofreram
ataques do tipo “phishing” e
que 1,78 milhões de
adultos foram vítimas
desses ataques, fornecendo
informações confidenciais
pessoais.
O Anti-Phishing Working Group,
um consórcio voluntário
que monitora os ataques on-line,
reportou recentemente que rastreou
1125 ataques do tipo phishing
exclusivos em abril, um aumento
de 180 por cento em relação
ao número de ataques
relatados em março.
O consórcio revelou
também que grandes e
conhecidas empresas, como o
Citigroup, Bank of America,
Wachovia, Wells Fargo e Lloyds
TSB, também foram afetadas
por esse tipo de ataque.
Aparentemente, os agressores
estão agora levando
o ataque do tipo phishing para
um outro nível. Em vez
de contar somente com a ingenuidade
de suas vítimas, os
agressores estão também
se aliando aos criadores de
vírus, para explorar
as vulnerabilidades do software
e plantar Cavalos de Tróia
nos computadores-alvo.
No mês passado, o jornal
de tecnologia eWEEK relatou
que uma mensagem de e-mail
começou a circular recentemente
com a finalidade de instalar
um Cavalo de Tróia conhecido
como Sepuc. O e-mail não
apresenta linha de assunto
e não possui texto no
corpo da mensagem. Quando o
usuário abre a mensagem,
o código oculto no e-mail
tenta explorar uma vulnerabilidade
conhecida do navegador Internet
Explorer da Microsoft, para
forçar um download de
um computador remoto.
Segundo os especialistas, o
arquivo então faz o
download de vários outros
códigos, e eventualmente
instala um Cavalo de Tróia
capaz de coletar dados do PC
e enviá-los a um computador
remoto.
De acordo com a eWEEK, “O
aspecto mais preocupante desse
ataque é que, diferente
de agressões anteriores,
as vítimas desse ataque
nem terão idéia
de que estão fazendo
alguma coisa errada”.
Desafios e tendências das soluções atuais
A indústria de segurança tem respondido de forma agressiva e eficaz,
na tentativa de ajudar seus clientes a lidar com as ameaças combinadas.
As principais ferramentas são o popular antivírus, firewall, detecção
de intrusões, anti-spam, filtragem de conteúdo, aviso preventivo
e produtos de gerenciamento de patches. Apesar de novos recursos serem adicionados
a esses produtos regularmente, os maiores obstáculos à sua eficiência
são causados pelas limitações da implementação
em ambientes corporativos reais. Ou seja: se recebermos um alerta preventivo
sobre uma nova ameaça, estamos organizados para responder de forma dinâmica
e ativa? Sabemos como aplicar patches, mas como utilizarmos os patches de forma
rápida, sem danificar os próprios sistemas que estamos tentando
proteger? Temos conhecimento de todos os dispositivos que necessitam de patches?
Quais os dispositivos que devem receber o patch primeiro? Como convencer nossos
funcionários a resistir a comportamentos que colocam nossa rede em risco?
Em uma corporação global, como podemos obter, de forma confiável,
boas tecnologias de controle, implementadas e configuradas de forma segura?
Phishing (e, de uma forma geral, as fraudes que phishing proporciona)
impõe uma nova série de desafios à indústria
de segurança e, como era de se esperar, um grande esforço
tem sido feito no sentido de criar e implementar ferramentas contra
esses ataques. Os fornecedores de produtos de e-mail vêm modificando
o software de seus clientes, para que não suportem a defraudação
de e-mails ou de URLs. Tanto as empresas do setor público, como
do setor privado, vêm trabalhando para informar os usuários
sobre como identificar e evitar os ataques de phishing e outras pressões
da engenharia social. Estão surgindo novos produtos (e aprimoramentos
de produtos já existentes) que podem detectar anormalidades em
e-mails e/ou URLs de websites, para que os usuários sejam notificados
do risco em potencial. Alguns serviços disponíveis tentam
detectar o tráfego de e-mail e websites não legítimos
associados aos ataques de phishing, para que possam alertar os responsáveis
pelo website legítimo de que sua marca e seus clientes estão
sendo atacados.
As empresas que se tornam alvos do ataque phishing estão também
entrando com ações judiciais contra os agressores. Alguns
provedores de serviços da Internet se engajaram na identificação
e fechamento de sites falsos e tráfego de e-mails maliciosos.
A sanção de leis (tanto internas como internacionais)
colocou os ataques do tipo phishing em destaque, devido às suas
implicações subjacentes de roubo de identidade. A lista é infinita.
E o mundo não está aceitando esse tipo de ataque de braços
cruzados.
O problema fundamental
Seja quando executados simplesmente por interesse em ganhos financeiros, ou
por qualquer outra forma de extorsão, todos esses ataques deixam uma
questão muito clara: os mecanismos de confiança por trás
dos aplicativos de Internet mais usados (principalmente websites, navegadores
e programas de e-mail) não são suficientes para a proteção
de dados confidenciais e transações arriscadas. Os profissionais
de segurança das informações sabem muito bem disso,
e vêm levantando bandeiras de alerta desde o início da revolução
do e-commerce. No entanto, esses mecanismos básicos continuam a ser
facilmente dissimulados, e é exatamente isso que os ataques do tipo
phishing fazem. Mas, na verdade, não teria necessidade de ser assim.
O antídoto mais eficaz, estratégico e de longa duração
para os ataques do tipo phishing e as fraudes que eles suportam seria
uma infra-estrutura de confiança aprimorada. Um elemento importante
de confiança aprimorada seria uma autenticação
mais potente das partes que se comunicam pela Internet. Por exemplo,
os destinatários de e-mails deveriam ter garantia de que o remetente é realmente
quem alega ser, e, ao visitar websites, deveriam haver formas fáceis
e seguras de saber quem são os proprietários do site.
Uma tecnologia que poderia ajudar a cumprir essa visão de confiança é a
nossa velha (e controversa) conhecida, a PKI (public key infrastructure,
infra-estrutura de chave pública).
A PKI vem sendo implementada parcialmente em quase todos os cantos
da Internet (considere-o como um SSL integrado em cada navegador e aplicativo
de servidores), governos estão fazendo implementações
em grande escala, e várias empresas recentemente voltaram a usar
PKI em funções essenciais de segurança interna.
Será interessante observar se pressões, como os recentes
ataques e fraudes baseados em phishing, alterarão fundamentalmente
as justificativas de alto custo, que têm impedido a implementação
de uma infra-estrutura de confiança aprimorada para a Internet.
Conclusão: não há uma solução mágica
Seja quando executados simplesmente por interesse em ganhos financeiros, ou
por qualquer outra forma de extorsão, todos esses ataques deixam uma
questão muito clara: os mecanismos de confiança por trás
dos aplicativos de Internet mais usados (principalmente websites, navegadores
e programas de e-mail) não são suficientes para a proteção
de dados confidenciais e transações arriscadas. Os profissionais
de segurança das informações sabem muito bem disso,
e vêm levantando bandeiras de alerta desde o início da revolução
do e-commerce. No entanto, esses mecanismos básicos continuam a ser
facilmente dissimulados, e é exatamente isso que os ataques do tipo
phishing fazem. Mas, na verdade, não teria necessidade de ser assim.
O antídoto mais eficaz, estratégico
e de longa duração para os ataques do
tipo phishing e as fraudes que eles suportam seria
uma infra-estrutura de confiança aprimorada.
Um elemento importante de confiança aprimorada
seria uma autenticação mais potente
das partes que se comunicam pela Internet. Por exemplo,
os destinatários de e-mails deveriam ter garantia
de que o remetente é realmente quem alega ser,
e, ao visitar websites, deveriam haver formas fáceis
e seguras de saber quem são os proprietários
do site. Uma tecnologia que poderia ajudar a cumprir
essa visão de confiança é a nossa
velha (e controversa) conhecida, a PKI (public key
infrastructure, infra-estrutura de chave pública).
A PKI vem sendo implementada parcialmente em quase
todos os cantos da Internet (considere-o como um SSL
integrado em cada navegador e aplicativo de servidores),
governos estão fazendo implementações
em grande escala, e várias empresas recentemente
voltaram a usar PKI em funções essenciais
de segurança interna. Será interessante
observar se pressões, como os recentes ataques
e fraudes baseados em phishing, alterarão fundamentalmente
as justificativas de alto custo, que têm impedido
a implementação de uma infra-estrutura
de confiança aprimorada para a Internet.
Links Relacionados:
|
|
|
