Entendendo as Principais Vulnerabilidades
|
 |
 |
|
Eventos recentes chamaram a atenção para as ameaças que atacam diretamente as instituições financeiras. Descubra o que são essas ameaças e o que as empresas estão fazendo para combatê-las.
Introdução
Foi uma maneira difícil de acordar para a realidade.
Um worm de envio de e-mail em grande escala, denominado Win32.Bugbear.B iniciou sua jornada em todo o mundo por volta de julho deste ano. O Win32.Bugbear.B, com recursos de porta dos fundos e registro de pressionamento de teclas, utilizou uma vulnerabilidade conhecida do Windows que causa a auto execução do worm quando os usuários lerem ou visualizarem uma mensagem infectada.
O problema? O Win32.Bugbear.B continha recursos que visavam especificamente várias instituições financeiras. O código desse worm continha uma lista de nomes de domínios de mais de 1.000 bancos em todo o mundo. O Win32.Bugbear.B incluía recursos para enviar dados confidenciais dessas instituições financeiras para um dos 10 endereços de e-mail públicos, com código embutido. As informações enviadas incluíam senhas com cache e dados de registro de pressionamento de tecla.
"Descobrimos um recurso até então desconhecido no worm Win32.Bugbear.B e alertamos que as instituições financeiras em todo o mundo podem estar correndo um grande risco de exposição", afirmou a Symantec em uma declaração logo após o descobrimento do worm (A equipe de analistas do Symantec DeepSight Threat foi a primeira a notificar os clientes sobre o impacto do Win32.Bugbear.B nas instituições financeiras, com um Alerta de ameaças em 7 de junho de 2003).
Os especialistas de segurança disseram, na época, que acreditavam ser esse o primeiro ataque da Internet direcionado especificamente ao setor econômico. Felizmente, nenhum banco relatou uma quebra de segurança como resultado do Win32.Bugbear.B. Porém, a mensagem às instituições financeiras, já sob pressão dos clientes para oferecer mais recursos on-line, estava perigosamente clara: Vocês são um alvo certo.
Capturando vulnerabilidades
Quais são as principais vulnerabilidades que as instituições financeiras enfrentam hoje? Uma pesquisa publicada em julho, pela firma de consultoria britânica NTA Monitor, oferece uma chance de examinar as vulnerabilidades reais mais comuns em setores industriais verticais. A pesquisa, baseada em dados de mais de 600 testes de segurança de perímetros de rede e conduzida entre 1999 e 2002, revelou que 94 % das organizações financeiras testadas mostraram vulnerabilidades do roteador básico, que poderiam comprometer a disponibilidade de seus sistemas de banco on-line.
Entre os riscos específicos de configuração de roteadores identificados estavam os ataques de negação de serviços (DoS), acesso não autorizado aos recursos da rede e revelação de detalhes sobre usuários conectados ao roteador, inclusive seus nomes.
A pesquisa descobriu também que um terço das organizações testadas apresentou, pelo menos, 10 falhas de segurança. Infelizmente, esse quadro não tem melhorado, pois 2002 mostrou um nível semelhante de vulnerabilidades do roteador àquele constatado em 2001. Além disso, as organizações financeiras mostraram um aumento regular nos riscos de firewall durante o período do estudo.
A pesquisa conclui que, em termos de áreas de risco, o setor financeiro mostrou um desempenho "médio", comparado com os setores governamentais, telecomunicações e TI, manufaturas e jurídico. O setor financeiro teve a mais baixa ocorrência dos riscos de servidores e de riscos de nível médio.
De acordo com a pesquisa, os 10 maiores riscos descobertos no setor financeiro em 2002 foram:
1. O roteador da Internet permite o acesso ao ICMP (Internet Control Message Protocol, Protocolo de Mensagens de Controle da Internet);
2. Os servidores DNS permitem a transferência a partir de qualquer host;
3. O roteador da Internet oferece diversos serviços de rede;
4. O servidor da Web anuncia o tipo e versão do software;
5. Servidores de e-mail que suportam ESMTP;
6. O firewall da Internet oferece serviços de VPN e de gerenciamento;
7. O roteador da Internet possui vulnerabilidades de vazamento de informações;
8. Os servidores da Internet utilizam previsíveis números de seqüência TCP;
9. O servidor DNS permite a procura pública recorrente;
10. O servidor da Web suporta somente a autenticação básica.
Vulnerabilidades IM e P2P
Como a maioria das instituições financeiras já sabem, Mensagens Instantâneas (IM) e redes de ponto a ponto (P2P) estão se tornando cada vez mais populares entre seus funcionários. Porém, diferentemente de e-mail, IM e P2P com freqüência possuem pouca ou nenhuma segurança. De acordo com a última edição do Symantec Internet Security Threat Report (Relatório de Ameaças à Segurança da Internet da Symantec), 19 em 50 dos principais vírus utilizam aplicativos de IM e P2P. Isso representa um aumento de quase 400% em apenas um ano. Para controlar e proteger o uso de IM e P2P, os especialistas de segurança recomendam que as empresas proíbam os funcionários de utilizar versões inseguras desse serviço, e tornem disponíveis os aplicativos de IM desenvolvidos para uso comercial e que incluem segurança. Além disso, uma política de uso deve ser desenvolvida e executada.
Instruções sobre o aumento
Como essas vulnerabilidades são traduzidas em ataques cibernéticos reais? Algumas idéias podem ser obtidas através das instituições financeiras, como nos Relatórios de Atividades Suspeitas (SARs, Suspicious Activity Reports) que o Treasury Department solicita que as instituições preencham quando há suspeita de atividades criminais.
De acordo com o "SAR Activity Review" mais recente, publicado em outubro pela Financial Crimes Enforcement Network (ou FinCEN), o número de SARs enviados sob o título "intrusão em computadores" vem aumentando significativamente. 65 relatórios foram enviados em 2000 (o primeiro ano em que o SARs para intrusão de computadores foi enviado), 419 em 2001, 2.484 em 2002 e 3.605 até 30 de junho de 2003.
Informações adicionais foram fornecidas por uma pesquisa recente do Deloitte & Touche, que analisou a segurança entre as 500 principais instituições financeiras globais. A pesquisa, publicada em maio de 2003, concluiu que quase 40% dessas empresas sofreram uma violação de segurança no ano passado, apesar do alto investimento nas práticas e tecnologias de segurança.
Os autores da pesquisa disseram que esse número é até baixo, se comparado a outras pesquisas que mostram que 80% a 90% das 500 empresas e agências governamentais pesquisadas pela Fortune foram violadas. Porém, eles observaram que as instituições financeiras geralmente têm padrões de segurança mais altos, devido à natureza dos seus negócios.
Os participantes dos Estados Unidos mostraram o nível de implementação mais alto de todas as áreas de medidas de segurança, exceto na adoção de padrões de segurança e privacidade e no uso de biométricos e infra-estruturas de chaves públicas (PKI). Os participantes americanos caracterizaram também o nível de risco que as empresas trabalham para atingir, como "efetivo e eficiente". Além disso, os participantes desse país mostraram os níveis mais altos de desenvolvimento, manutenção e testes de respostas a acidentes e continuidade de negócios.
A pesquisa mostrou também que somente 5% dos participantes mostraram-se "extremamente seguros" sobre a proteção dos sistemas de suas empresas contra ataques internos, enquanto somente 43% mostraram-se "bastantes seguros" de que o backup de suas empresas é efetivo ou estão armazenados seguramente fora da empresa.
Curiosamente, das instituições financeiras que relataram uma quebra de segurança substancial, somente 10% afirmaram que esses ataques foram provenientes de funcionários da empresa. Isso contradiz a convicção geral de que a grande maioria dos crimes cibernéticos são originados dentro da própria empresa e não em intrusões externas.
O resultado da pesquisa mostra uma indústria que apresenta problemas. Por exemplo:
- As empresas de serviços financeiros globais normalmente vêm utilizando de 6% a 8% do seu orçamento de TI para a segurança de informações;
- Mais de dois terços de todos os participantes da pesquisa relataram que a gerência das empresas considera a segurança de TI um "custo necessário na execução de negócios" e não uma despesa opcional;
- Mais da metade (47%) dessas instituições financeiras aumentou o número de seus funcionários de segurança desde 2001;
- Somente 19% afirmaram que reduziram o número de funcionários de segurança devido à crise na economia.
Recuperando
Nesse ambiente atual, onde ataques vêm se tornando cada dia mais freqüentes e mais sofisticados, quais as medidas que as instituições financeiras podem tomar para garantir a continuidade de seus negócios? Cada vez mais, essas empresas estão implementando (ou considerando a implementação) de sistemas de alertas preventivos.
Um sistema de alertas preventivos permite às empresas se protegerem contra ameaças iminentes, antes que elas possam afetar as operações. Em casos onde os ataques já estiverem a caminho, um sistema de alertas preventivos pode fornecer uma estratégia de redução de riscos.
Basicamente, um sistema de alertas preventivos se baseia em uma rede mundial de firewall e sensores de detecção de intrusões, mantida por milhares de parceiros de dados, para transmitir milhões de dados a um repositório central para a agregação e correlação de dados de ataques.
Um sistema de alertas preventivos pode também avaliar os eventos, de acordo com uma indústria vertical específica ou um segmento de uma indústria. Essas informações ajudam as indústrias mais visadas a se preparar melhor e se prevenir contra possíveis ataques.
Veja, por exemplo, a ameaça conhecida como Trojan.Myss.B, uma variação do Cavalo de Tróia. A equipe de analistas do Symantec DeepSight Threat obteve e analisou recentemente esse código malicioso nunca antes documentado, que rouba informações de contas e transações financeiras. O Trojan.Myss.B. é instalado através da exploração da vulnerabilidade de validação do tipo de objeto do Microsoft Internet Explorer. Ele foi criado para capturar comunicações financeiras de computadores infectados e enviá-las por e-mail para um endereço de e-mail com código embutido, sediado na Rússia. O registrador de chaves do Tróia ataca especificamente sites de bancos on-line, pois é chamado toda vez que o usuário navegar até um site que possua um dos 10 strings de pagamento on-line (como "Bank of America" e "PayPal") na sua barra de título.
Como resultado dessa análise, a equipe de analistas do Symantec DeepSight Threat publicou instruções específicas que permitiram aos usuários de instituições financeiras reduzir a ameaça imposta pelo Trojan.Myss.B.
Conclusão
Fornecendo alertas preventivos a ataques cibernéticos e medidas para a prevenção contra ataques antes que eles ocorram, os sistemas de alertas preventivos garantem que as instituições financeiras se mantenham um passo à frente dessas crescentes ameaças. Essas soluções serão imprescindíveis para os esforços dessas instituições em reduzir riscos, gerenciar ameaças e garantir a continuidade dos negócios. Essa é uma ótima notícia, principalmente porque a demanda dos clientes por uma variedade de serviços on-line está em constante crescimento.
Links relacionados
|
