Continuando o post anterior, apresento a seguir novos truques utilizados pelos hackers em seus esforços em um novo campo de ataque: o ambiente web.
Explorar erros de digitação por parte dos usuários
Ao criarem websites utilizando nomes de domínios similares àqueles utilizados por sites confiáveis (por exemplo “Goggle” em vez de “Google” ou utilizando uma extensão de domínio diferente - “.org” em vez de “.com”) os hackers podem se utilizar desses erros comum de usuários para disseminarem seus códigos maliciosos em páginas web. Por causa de suas aparências bastantes similares aos sites visitados pelos usuários, os hackers podem facilmente enganá-los e obrigá-los a baixar conteúdos aparentemente seguros.
Guiar o usuário ao malware através de ataques em “fast-flux spam”
Em vez de encaminhar seus códigos maliciosos através de arquivos anexados aos e-mails, os cibercriminosos passaram a enviar em seus spams apenas os links para páginas infectadas Atrás destes links existe um exército de computadores infectados, conhecidos como “Botnets” atuando como web hosts. O criador do malware percorre todos estes equipamentos com seu código provendo uma mudança constante da página infectada. Este processo de mudança rápida de endereço IP do computador que hospeda o código malicioso é conhecido como “fast flux - fluxo rápido” e aumenta as dificuldades de busca e bloqueio dos ataques spam associados por parte dos filtros de segurança.
Ultrapassar as defesas de segurança através de alterações rápidas
Contrastando totalmente com o método “atire e esqueça” dos vírus e worms orientados a e-mailI, as ameaças atuais da web estão constantemente sendo adaptadas e modificadas afim de ultrapassar qualquer tipo de defesa. Através do reempacotamento de ameaças diversas vezes, os cibercriminosos podem criar numerosas pequenas variações de seus códigos, muitos dos quais podem passar despercebidos pelas soluções de segurança. Este processo pode até ser automatizados permitindo aos criminosos gerar múltiplas variantes de seu malware em um único dia. Esta modificação constante de código não somente permite aos hackers comprometerem mais computadores, mas também significa que uma vez infectado, estes permanecem infectados por mais tempo do que antes. Ao alterar as características de seus códigos continuamente, os hackers podem enganar as ferramentas de detecção de malware baseadas em assinaturas (ou aquelas com capacidade de escaneamento relativamente pobre) e instalar mais códigos maliciosos como spywares ou adwares ao computador. Alternativamente, estes computadores podem ser utilizados para lançar repetidas campanhas de spams ou proferir ataques de negação de serviços (DOS - Denial-of-service).
Esta evolução constante das ameaças ao ambiente web e a exploração quase instantânea das vulnerabilidades descobertas pelos criadores de códigos maliciosos atribui uma nova dimensão às atividades dos responsáveis pela segurança da informação nas organizações. Não é mais suficiente apenas garantir a proteção a seus servidores de e-mail e sistemas fim. Eles precisam garantir a navegação na web por parte de seus usuários de forma segura, sem riscos à segurança, aos recursos de rede e à sua produtividades. Além de manter práticas preventivas regulares como atualização de patches e conscientização dos usuários a respeito dos riscos envolvidos na navegação pela internet, é vital que as organizações implementem uma solução completa de segurança ao ambiente web compreendendo seus três pilares principais:
- Filtragem baseada em reputação
- Filtros de predição de ameaças em real-time
- Filtragem baseada em conteúdo
No próximo post falarei um pouco mais sobre cada um destes três pilares.
Basedo em tradução do artigo publicado pela empresa Sophos - Safe and productive browsing in a dangerous web world: The chalenge for business
1 - 2007 Annual Study: Cost of a Data Breach – Ponemon Institute, November 2007
Comentários Recentes