[INFORMATIVO] MONITORAR E DETECTAR ATAQUES: MAIS DO QUE UMA MEDIDA DE SEGURANÇA

"Por conta do elevado número de casos e ameaças vindas de softwares mal-intencionados (que são chamados de malware) tem aumentado, significativamente, a conscientização e o estímulo que a maioria das empresas tem dado, em forma de recursos e incentivos, na defesa contra tais problemas de segurança. Contudo, poucas atentam para o fato de que, por mais improvável que pareça, a maior ameaça que uma organização pode sofrer à sua infra-estrutura pode não estar contida em ataques externos, como no caso de vírus e malwares, mas sim na própria rede interna da empresa.

Ataques que são concretizados de dentro da rede interna da empresa possuem um poder de destruição muito maior e mais devastador, que qualquer outro possa possuir. Isso se deve porque, na maioria das vezes, isso só ocorrerá vindo de pessoas que ocupam cargos de confiança e que, por isso, têm acesso a grande maioria, senão todos, os recursos de rede, dentro da empresa. É aí que as empresas começam a se mexer, para cuidarem da sua segurança e monitorarem os ataques, partam de onde eles partirem.

O objetivo inicial de um monitoramento desse tipo seria o de ajudar na identificação de eventos suspeitos em uma rede, que pode, eventualmente, indicar atividades mal-intencionadas e erros nos procedimentos.

Tais práticas de monitoramento de segurança, contudo, podem encontrar dificuldades de serem implantadas, em empresas que são governadas por restrições normativas, já que essas normas podem exigir controle sobre aspectos como por quanto tempo e como os registros desse monitoramento de segurança devem ser mantidos e como serão arquivados. Por isso, faz-se mais fácil e de melhor decisão que empresas de médio porte, que não precisam obedecer a requisitos de regulamentação, optem por realizarem monitoramento de segurança e detecção de ataques. As conseqüências de um ataque à sua infra-estrutura seriam, basicamente, as mesmas que as proferidas a uma grande organização, gerando perdas, consideráveis, as suas operações, bem como possíveis perdas monetárias e de produtividade, em geral. A perda de reputação, nesse caso, também afetaria qualquer empresa, pequena, média ou grande. E isso, muitas vezes, pode ser considerado um dano muito maior do que um ataque malicioso. A diferença para uma empresa de médio porte é que, como ela estaria livre de “prestações de conta”, no que diz respeito as restrições normativas impostas por suas próprias diretrizes, o processo de estabelecer um monitoramento de segurança seria menos complicado e, portanto, mais rápido, eficaz."

Fonte: CNASI

[NOTÍCIA] 68% das empresas latinas são vulneráveis, diz Kaspersky

As empresas da América Latina são bastante vulneráveis na parte de segurança digital. É o que constata um estudo feito pela empresa de antivírus Kaspersk, com cerca de três mil profissionais de TI de 22 países.

Segundo o estudo, 68% das empresas da América latina – incluem-se nesta lista as brasileiras – já tiveram a infraestrutura de TI infectada por malware, como vírus e spyware, e ataques sofisticados, que visam o roubo de dados.

O problema, diz o estudo, atinge empresas de todos os tamanhos, incluindo os grandes conglomerados que investem milhões em tecnologia para proteger dados estratégicos e de clientes. “E acontece porque a cultura de segurança da informação no Brasil e nos países latinos é tratada como assunto não importante por empresários e grandes executivos”, afirma Fabio Assolini, analista sênior de malware da Kaspersky,

De acordo com a Kaspersky, 63% das pequenas empresas analisadas no estudo enfrentaram problemas de TI causados por malware nos últimos 12 meses. O problema se repetiu em 60% das médias empresas.

Nos dois nichos, os problemas de segurança são causados por conta de brechas em programas desatualizados, sistemas de proteção piratas ou configurações fracas no ambiente de rede.

Segundo o estudo da Kaspersky, as empresas de menor porte não se preparam para evitar problemas de segurança na infraestrutura tecnológica. E costumam reagir aos ataques somente depois que eles acontecem.

As grandes empresas, geralmente, conseguem barrar o ataque de malware mais simples, como vírus de computador. Contudo, explica a Kaspersky, não ficam livres de ataques sofisticados. Os hackers e crackers usam avançadas técnicas para invadir as redes dessas empresas e causar danos sérios, como o roubo de dados – que são vendidos no mercado negro ou repassados aos concorrentes.

Segundo Assolini, há uma razão para tanto despreparo. E ela está na legislação da maioria desses países: “As leis brasileiras, por exemplo, não punem as empresas que são invadidas e perdem dados de seus clientes”, diz. “Nos países europeus e nos Estados Unidos, uma empresa que perde dados, por exemplo, deve ir ao mercado anunciar o que aconteceu para evitar uma penalidade alta”.

Nessas empresas, os ataques geralmente são do tipo DDoS, phishing e por códigos maliciosos avançados que permitem o acesso remoto de servidores e desktops. Para evitá-los, as corporações não precisam apenas de sistemas avançados, mas também de conscientização dos funcionários.

Fonte: Site Revista INFO

[NOTÍCIA] - Nova ameaça "sequestra" arquivos e exige US$ 3 mil para recuperá-los

Olha aí um caso de roubo de informações com intuito de ganhar dinheiro!

"Funcionários de TI do Brasil inteiro estão tendo que lidar com uma ameaça perigosa. Um novo vírus utilizando uma criptografia pesada em arquivos importantes para forçar usuários e empresas a pagarem a partir de US$ 3 mil pela liberação dos dados.

A técnica é chamada de ransomware (ransom significa "sequestro" em inglês), justamente pela estratégia de sequestro de dados e liberação apenas mediante pagamento. A ameaça, neste caso, é identificada como "Anti-Child Porn Spam Protection 2.0".

A thread relacionada ao assunto no fórum oficial da Microsoft está repleta de relatos de técnicos que precisam lidar com este problema em servidores e estações de trabalho. O vírus se manifesta de maneira semelhante em todos os casos, comprimindo arquivos em um .RAR criptografado.

O criminoso oferece um e-mail de contato no Gmail, com o qual é possível contatá-lo para um "orçamento" e também uma amostra de que ele é capaz de quebrar a criptografia. Ele permite o envio de um arquivo pouco importante e leve para provar que ele detém a chave.

Os técnicos têm tentado utilizar o método de força bruta para tentar quebrar a senha, mas não têm obtido sucesso, devido à sua complexidade.

Segundo o relato dos técnicos do fórum, a ameaça utiliza o protocolo RDP para se infiltrar na máquina e precisa de privilégios de administrador para realizar os seus procedimentos."

Fonte: Site Olhar Digital

O ransomware é um tipo de praga virtual que compacta e criptografa arquivos de um usuário ou empresa, e cobra resgate para liberar seu uso. A infecção pode acontecer por um programa com um cavalo de troia, por exemplo. No caso da reportagem mostrada o ransomware se passa por um programa chamado "Anti-Child Porn Spam Protection 2.0". Aquela velha dica de não clicar e nem abrir tudo o que vê e/ou recebe da internet antes de confirmar com o remetente da mensagem (se for um e-mail) ainda é válida!

Abraços e até o próximo post!!!

[VÍDEO] - Invasores

Esse é um vídeo desenvolvido pelo CGI.br(Comitê Gestor da Internet no Brasil) que explica de forma simples os tipos de pragas virtuais existentes.

Até o próximo post! Abraços!

Pragas Virtuais

Malware é o nome dado a um software malicioso que entra num sistema sem o conhecimento ou consentimento do usuário e que tem a intenção de causar dano, por exemplo, remover arquivos, formatar HD, coletar informações, se multiplicar para causar alguma perturbação ou instabilidade no sistema dentre outros.

fonte da imagem: Google

Os malwares são classificados em:

1 - Vírus: É um programa que é anexado por ele mesmo por meio de um "agente transportador" que pode ser um documento ou um programa, e quando este é executado o vírus é ativado. Quando o vírus é ativado ele vai realizar dois procedimentos  básicos: primeiro procurar um meio de se replicar contaminando outros arquivos/programas e segundo encontrar um meio de enviar os arquivos/programas contaminados para outros computadores. Isso pode ocorrer, por exemplo, quando o vírus se replica num pen drive ou se anexa numa mensagem de e-mail.

Os vírus se subdividem em 5 tipos:

1.1 - Vírus de Boot: Infecta o setor MBR de um HD que é a área responsável pela inicialização do sistema operacional fazendo com que todo o HD seja danificado.

1.2 - Vírus de Arquivo: Infecta arquivos de programas executáveis e quando o programa infectado é acionado o vírus é executado.

1.3 - Vírus Residente: É sempre ativado quando o computador é ligado e é carregado na memória interrompendo praticamente todas as funções do sistema operacional, corrompe os arquivos e/ou programas em uso.

1.4 - Vírus de Macro: Macro é uma linguagem de script(programação) largamente utilizada para automatizar tarefas complexas ou repetitivas, por exemplo, macros escritos em VBA e executados por planilhas como o Excel. Quando o documentos é aberto o vírus de macro executa as instruções programadas e infecta o computador.

1.5 - Vírus Agrupado: Cria no sistema operacional uma cópia de algum programa já existente, por exemplo, CALC.COM que contém um  vírus agrupado se agrega ao programa original da calculadora do Windows(CALC.EXE) e quando você for digitar no campo executar no menu iniciar "CALC" sem extensão para abrir a calculadora o Windows irá abrir o CALC.COM em vez do original CALC.EXE e executará o vírus devido a extensão .COM vir antes da .EXE por causa da ordem alfabética. Felizmente esse tipo de vírus não é mais popular, pois os usuários utilizam os ícones de atalho para executar os programas e não mais precisam digita-los para serem executados.
Eu particularmente ainda acesso muitos programas utilizando o campo "executar" para abrir alguns programas, mas sempre coloco a extensão deles...acho mais prático e rápido, mas para quem não tem a experiência com isso não recomendo arriscar.

Para evitar que sejam facilmente detectados alguns vírus são desenvolvidos com a técnica de "metamorfose" já outros usam a técnica "polimorfose" que além de mudar de forma, criptografam seu conteúdo de forma dinâmica!

2 - Worms(verme): Possuem o mesmo potencial destrutivo dos vírus, mas com a diferença de não precisar de um "agente transportador" para se multiplicar já que explora alguma vulnerabilidade do sistema e não precisa que o usuário execute um arquivo/programa para ser acionado.

3 - Cavalo de Troia(Trojan Horse): São programas que entram num sistema escondidos atrás de outros programas. Um usuário executa um programa infectado imaginando se tratar de um programa legitimo, mas que na verdade possui instruções maliciosas. Na maioria das vezes esse tipo de praga virtual infecta um computador para abrir uma brecha de conexão para que o autor dele invada a máquina. O nome dado a esse malware é uma analogia à lenda da guerra de Troia.

4 - Spyware: É um malware que viola a privacidade das informações do usuário coletando dados pessoais, sites visitados, senhas etc. As Lan Houses são um exemplo para propagação de spware, pois os programas que controlam tempo de acesso das máquinas à internet tem a função de captura de teclado que monitora e captura tudo que os usuários digitam.

5 - Adware: São malwares utilizados em programas categorizados como Shareware(programas trial - avaliação) que fazem propaganda de produtos ou dele mesmo para que o usuário efetue a compra da versão completa. Alguns adwares são acionados quando o usuário visita um determinado site ou digita uma determinada palavra num site de busca e uma janela com a propaganda aparece!

6 - Rootkits: É um malware recente, eficaz e de difícil detecção, pois ele infecta o sistema operacional de tal forma que pode fazer praticamente o que quiser com o computador. Ele pode infectar não somente um sistema operacional, mas também sistemas virtualizados, firmware de hardwares como placas de vídeo ou placas de rede ou BIOS.

7 - Botnet: É um conjunto de softwares "robotizados" chamados de bots que são executados automaticamente e anonimamente para fins maliciosos em conjunto com um grupo de computadores infectados por pragas virtuais chamados de "zombies". Dessa forma os autores do botnet realizam ataques distribuídos para burlar a identificação da origem do ataque e tirar do ar, por exemplo, um serviço de e-mail de grande utilização por boa parte dos usuários de internet. Fora isso o botnet pode distribuir spywares ou adwares e coletar as informações privadas de um usuário.

8 - Bomba Lógica: É um programa malicioso que executa uma ação num evento predefinido. Esse evento pode ser uma data ou uma palavra ou sequencia de caracteres que é digitada no teclado.
Um exemplo dessa praga virtual é a de um ex-funcionário de uma empresa que por vingança, por achar que foi demitido injustamente, instala uma bomba lógica num computador para que se o seu login de rede seja usado todos os arquivos do seu perfil sejam deletados para que ninguém venha a usá-los.

Essa é a lista das pragas virtuais mais comuns, mas existem muitas outras que com o tempo serão mencionadas aqui no blog e outras que surgem todo dia!

Por isso para minimizar ao máximo o risco de ter seu equipamento infectado sempre tenha um bom antivírus(atualizado), um firewall pessoal e o sistema operacional sempre atualizado!!

fonte da imagem: CGI.br

Fonte de consulta: Livro Certificação Security+ 2ª Edição(Yuri Diógenes/ Daniel Mauser)

Até o próximo post! Abraços!