O Mutante
Cenário das Ameaças Atuais
|
 |
 |
|
Como as novas ameaças
se propagam rápido demais para serem detidas
por qualquer mecanismo de resposta de segurança,
e as ameaças futuras serão tão
rápidas que farão o veloz worm Slammer
parecer lento, fica óbvia a urgência
com que as empresas atuais devem procurar novas maneiras
para se proteger.
As estatísticas mostram um cenário
desanimador. De acordo com a edição mais
recente do Relatório
de Ameaças à Segurança
na Internet da Symantec, o uso de códigos
maliciosos que revelam dados confidenciais aumentou
de modo significativo
em 2003. Ao mesmo tempo, a Symantec documentou 2.636
novas vulnerabilidades de software no ano passado,
uma média de sete por dia.
As ameaças à segurança na Internet
não estão apenas aumentando, como também
estão cada vez mais velozes ao se propagar pelas
redes, dificultando ainda mais a tarefa de se proteger
contra elas. Como demonstra o Relatório de Ameaças,
o período de tempo entre o anúncio de
uma vulnerabilidade e o lançamento de uma exploração
a ela associada está cada vez mais curto, aumentando
a probabilidade de que veremos, em breve, a tão
temida ameaça de “dia zero”. Uma
ameaça combinada de dia zero (ou seja, que utiliza
diversos métodos e técnicas para se propagar)
poderia se direcionar a uma vulnerabilidade antes mesmo
que tenha sido anunciada ou de uma correção
ter sido lançada para resolvê-la.
Uma análise das ameaças recentes confirma
as novas tendências das quais somos testemunhas.
Antes das epidemias de worms em agosto de 2003, as
explorações eram geralmente lançadas
meses (ou até mesmo anos) após o anúncio
público de uma vulnerabilidade. Esse período
entre o anúncio e a exploração
está encurtando rapidamente. No ano passado,
o worm Blaster usou uma falha conhecida da Microsoft
anunciada apenas 26 dias antes. O recente worm Sasser,
que passou a se espalhar globalmente em 1º de
maio, explorou uma falha em um componente do sistema
operacional Windows para o qual a Microsoft lançou
uma correção em 13 de abril.
O
problema das assinaturas
A maioria dos sistemas de detecção de intrusões é baseada
em assinaturas e não consegue detectar ataques de dia zero. Eles somente
conseguem detectar ataques para os quais são programados para reconhecer – ou
seja, para os quais eles já têm assinaturas. No caso de ataques
de dia zero, as empresas não podem esperar até que assinaturas
tenham sido desenvolvidas e instaladas. Embora as empresas de segurança
tenham aperfeiçoado seu tempo de resposta, passando de dias ou semanas
para apenas algumas horas, a verdade é que os worms mais velozes ainda
podem se espalhar antes que empresas de segurança possam se defender.
Considere os seguintes pontos: a ameaça severa
Code Red, lançada em meados de 2001, dobrava
seu índice de infecção a cada
37 minutos. Menos de dois anos depois, o worm Slammer,
lançado em janeiro de 2003, era capaz de dobrar
seu índice de infecção a cada
8,5 segundos. Nessa velocidade, o Slammer pôde
infectar 90% dos servidores desprotegidos conectados à Internet
em apenas 10 minutos. O recente worm MyDoom infectou
sistemas de e-mail no mundo todo – em seu período
de pico, 1 em cada 12 e-mails enviados pela Internet
carregava o MyDoom.
Uma vez que as novas ameaças se propagam rápido
demais para serem detidas por qualquer mecanismo de
resposta de segurança, e que ameaças
futuras serão tão rápidas que
farão o veloz worm Slammer parecer lento, fica óbvia
a urgência com que as empresas atuais devem procurar
novos modos de se protegerem. Que mecanismos de prevenção
de ataques elas poderiam adotar?
Quatro estratégias promissoras
Vamos agora analisar quatro estratégias que podem permitir que empresas
impeçam que ameaças maliciosas penetrem em suas redes.
- Bloqueio
de comportamento. O objetivo dessa estratégia é monitorar
comportamentos de aplicativos em execução em tempo real,
e bloquear atividades de programas aparentemente maliciosas. Pense
nessa analogia com o mundo real: como as drogas combatem os vírus
no corpo humano? Em geral, os vírus infectam as células
humanas localizando um ponto na célula com uma determinada forma
e “ancorando” naquele ponto para injetar os genes virais.
Tal “ponto de âncora” pode ser visto como uma peça
de quebra-cabeça, para a qual o vírus tem a peça
que nela se encaixa. Uma vez encaixado o vírus, a célula
se abre e o vírus injeta a si próprio. Atualmente, os
medicamentos antivirais avançados funcionam bloqueando o ponto
de âncora na célula ou no vírus, a fim de impedir
que ele se encaixe na célula e injete seus genes. Com a tecnologia
de bloqueio de comportamento, o mesmo raciocínio é aplicado
aos vírus de computador e worms. Nesse caso, APIs de sistemas
fundamentais são bloqueadas, do mesmo modo que são bloqueados
os pontos de âncora necessários aos vírus para
se espalhar e sobreviver. Sem essas APIs, o ciclo de vida do worm é interrompido.
Observe que ainda há desafios associados a essa tecnologia.
Assim como as drogas antivirais podem prejudicar o funcionamento do
corpo devido aos seus efeitos colaterais, o bloqueio de comportamento
pode fazer com que computadores não funcionem corretamente ao
identificar erroneamente comportamentos de programas legítimos
(os chamados falsos positivos). Essa área ainda requer a realização
de muita pesquisa.
- Proteção contra anomalias de protocolo. Essa
estratégia tenta impedir a ameaça antes mesmo que ela
alcance qualquer computador e cause danos. Muitos ataques têm
como alvo protocolos como o Telnet, HTTP, RPC e SMTP. Certos erros
de programação (como o estouro do buffer) são
usados por agressores para comprometer ou causar danos a um sistema.
Esses ataques exploram erros de programação e são
bastante comuns. O conceito por trás da proteção
de anomalias de protocolo é interceptar todas as comunicações
em rede - no perímetro (o firewall corporativo), nos hosts e
até mesmo na infra-estrutura do roteador/comutador - e assegurar
que os dados transmitidos pelos dispositivos obedecem aos protocolos
padrão da Internet. Vários worms enviam intencionalmente
dados inválidos (fora das especificações) a fim
de criar uma brecha (vulnerabilidade) específica no computador
de destino. Se essas comunicações “fora das especificações” forem
anuladas antes de chegarem ao computador de destino, o worm terá sido
detido. Embora a proteção contra anomalias de protocolo
já exista em produtos de segurança atuais, ainda há obstáculos
fundamentais a serem ultrapassados. Em primeiro lugar, há milhares
de protocolos da Internet a serem filtrados. Controlar todos eles seria
uma tarefa hercúlea. Em segundo lugar, realizar a “inspeção
detalhada de conteúdo” necessária à proteção
contra anomalias de protocolo resultaria em um custo computacional
muito alto. Abordagens de alta velocidade devem ser estudadas para
assegurar que o tráfego de rede corresponda aos padrões
e taxas de transferência de multigigabits exigidos pelos clientes.
- Limitação de conexões. A idéia
por trás dessa técnica, desenvolvida por pesquisadores
da Hewlett-Packard, é “sacrificar” um pequeno número
de computadores em nome do bem-estar de toda a rede. Na prática,
a maioria dos computadores interage regularmente com um grupo pequeno
de computadores (por exemplo, o servidor de e-mail, alguns servidores
da Web, o servidor DNS). Além disso, a maior parte dos computadores
não estabelece várias conexões freqüentes
a computadores completamente novos – menos de uma conexão
por segundo, na maioria dos casos. Sendo assim, os pesquisadores da
HP desenvolveram um sistema de regulagem que automaticamente limita
a uma por segundo o número de conexões a novos computadores.
Todas as conexões a computadores que já fazem parte do
grupo de computadores regularmente usados são imediatamente
estabelecidas, porém as conexões a novos computadores
são limitadas de acordo com uma determinada taxa. As ameaças
como o Nimda, Code Red e Blaster geralmente escolhiam endereços
de rede aleatórios, e iniciavam milhares de novas conexões
a novos computadores – um comportamento totalmente fora do normal.
A tecnologia da HP limitaria de modo significativo a expansão
desses tipos de ameaças. O Nimda estabeleceu entre 300 e 400
conexões por segundo. De forma similar, o Blaster podia enviar
850 pacotes por segundos. Se a taxa de conexão estivesse limitada,
essas ameaças não teriam sido capazes de enviar mais
do que um pacote por segundo, o que reduziria dramaticamente, ou até impediria,
a sua propagação. Embora essa técnica seja promissora,
há muita pesquisa a ser feita nessa área. Um de seus
problemas é ser eficaz apenas contra determinados tipos de worms.
Por exemplo, worms de e-mail não são contidos por esse
método. Uma vez que worms de e-mail não estabelecem novas
conexões diretas a outros computadores para enviar e-mails,
eles passam impunes. Portanto, são capazes de enviar e-mails
em massa ao servidor de e-mail (que está no grupo de computadores
sem limitação). Outro problema é que alguns dos
protocolos amplamente usados em geral exigem que o computador se comunique
com diversos computadores. Aplicar o esquema de limitação
da taxa a esses protocolos iria certamente tornar esse computador lento.
- Bloqueio geral de explorações. Esse método
tenta proteger uma nova vulnerabilidade contra todo e qualquer ataque
futuro. Pense nele como um cadeado. Cada cadeado tem um conjunto interno
de pinos que determina o formato da chave que poderá abri-lo.
Se examinarmos esse conjunto de pinos em um cadeado, podemos identificar
o formato da chave capaz de abrir esse cadeado. E isso pode ser feito
sem que nem mesmo vejamos a chave real que abrirá o cadeado.
Em seguida, podemos usar o "formato" do cadeado para bloquear
qualquer tentativa de abri-lo, independentemente do formato real da
chave. Do mesmo modo, sempre que uma nova vulnerabilidade fosse anunciada,
os pesquisadores poderiam identificar o “formato” daquela
vulnerabilidade. Em outras palavras, eles poderiam descrever o fluxo
de dados específico que deve ser enviado pela rede ao computador
vulnerável para tentar explorar sua vulnerabilidade. Uma vez
determinados esses dados, seria possível produzir uma assinatura
capaz de detectar e bloquear qualquer ataque (por exemplo, um worm)
que apresente esse "formato" identificado. O bloqueio geral
de explorações é também chamado de “correção
genérica”, já que a tecnologia proporciona a proteção
contra novas vulnerabilidades sem exigir que os usuários instalem
imediatamente uma correção de software. Um dos desafios
do bloqueio geral de explorações é que, ao contrário
do formato simples determinado por pinos em um cadeado, algumas vulnerabilidade
têm um “formato” extremamente complexo. Seria muito
difícil tentar distribuir assinaturas a altas velocidades de
dados sem causar lentidão na rede.
Um cenário em constante alteração
Outra descoberta do Relatório de Ameaças à Segurança
na Internet enfatiza a necessidade de tecnologias como as descritas acima: infra-estruturas
e negócios que lidam com recursos financeiros significativos têm
sido vítimas de severos ataques em massa. Na verdade, os setores de serviços
financeiros, organizações de saúde e companhias de energia
e eletricidade estavam entre os mais atingidos por eventos graves em 2003.
Observe o caso dos fornecedores de energia elétrica. Atualmente,
a maioria das companhias de energia elétrica nos Estados Unidos
conduz seus negócios usando a estrutura fornecida pela Internet.
Isso significa que elas estão usando a Internet ou computadores
conectados à Internet para negociar energia elétrica,
e qualquer um desses computadores corre o risco de ser atingido por
uma nova ameaça que se espalhe rapidamente. Além disso,
as principais operadoras de telecomunicações estão
disponibilizando cada vez mais serviços via Internet. Em dezembro
de 2003, a AT&T, Qwest Communications e Time Warner Cable anunciaram
planos de implantar uma tecnologia de voz sobre IP (VoIP). Contudo,
bastaria um único worm que causasse um tráfego moderado
na rede para devastar um serviço de telefonia tradicional que
dependesse da Internet.
Como a Internet continua a controlar aspectos chave
de nossas vidas diárias, é essencial
que as empresas explorem estratégias como
as descritas acima a fim de proteger a rede global
e a si mesmas. Somente uma abordagem como essa poderá garantir
a segurança da próxima geração
de computação via Internet.
Links Relacionados:
|
|
|
