Personal tools
You are here: Home Artigos O Vírus Perfeito

O Vírus Perfeito

by Ricardo Bánffy last modified Nov 19, 2008 08:30 PM
— filed under: , , ,

Para muitas das maiores empresas, o ataque de um vírus feito sob medida é apenas uma questão de tempo

Alguns dias atrás, foi divulgado pela imprensa especializada um ataque comprometeu vários computadores do Departamento de Transporte dos EUA (análogo ao nosso Ministério dos Transportes) e alguns dos seus fornecedores (Booz Allen, HP, Hughes, Unisys). O ataque pareceu ser direcionado a essas vítimas e empregava programas feitos especificamente para esse fim, que capturavam informações específicas e que as retransmitiam a outras máquinas no mundo exterior. Os computadores foram comprometidos quando os funcionários abriram e-mails e seguiram links para sites com supostas oportunidades de emprego.

A única coisa que me surpreendeu sobre ele é que tenha levado tanto tempo para que algo assim fosse descoberto.

O Buraco

Programas anti-vírus, anti-malware e anti-qualquer-outra-coisa funcionam baseados em alguns princípios:

  1. Alguns computadores sofrerão tentativas de invasão em algum momento de suas vidas.
  2. Programas mal-intencionados fazem coisas específicas de maneiras específicas e, portanto, possuem trechos iguais ou muito parecidos.
  3. É possível parar uma infecção inspecionando o que é baixado e o que é executado comparando-o com um catálogo de características pré-determinadas.
  4. Programas mal-intencionados podem ser capturados, analizados e as características que os identificam podem ser catalogadas para que o agente seja reconhecido no futuro.

O cenário predominante hoje em dia é o da infecção de computadores para que eles passem a fazer parte de redes de envio de spam ou de redes de ataques de DDoS (Distributed Denial of Service).

Por esse prisma, a culpa pelo spam do mundo recai sobre os ombros dos usuários de Windows, que não tornam seus computadores seguros, e da Microsoft, que fez do Windows um sistema praticamente impossível de se manter seguro.

Mas isso é assunto para outro dia.

A Ameaça "Por atacado"

Os produtos anti-malware do mercado estão prontos para lidar com esse tipo de ameaça "por atacado". Eles estão baseados na idéia de que um número relativamente pequeno de agentes (programas invasores) relativamente parecidos fazem relativamente as mesmas coisas (instalar spam-zombies, serviços de DDoS) em uma população grande de computadores relativamente similares (que rodam Windows).

Ataques como esse colocam por terra esse modelo. Ele demonstrou que programas podem ser feitos especialmente para atacar um alvo específico. Qualquer up disposto a isso pode contratar alguém suficientemente amoral e capaz de escrever um programa que infecte um ou mais computadores específicos e que execute, nestes computadores, ações como, por exemplo, mandar todos os documentos que tenham as palavras "proposta", "contrato", "plano" ou "orçamento" no seu corpo. Podem até usar os mecanismos de desktop search do Windows para evitar grandes e suspeitos acessos ao disco. Se o invasor conhecer detalhes do seu alvo, pode fazer essas buscas numa intranet ou em algum recurso que só esteja acessível de dentro da rede.

Mais interessante do que isso, o invasor pode ser absolutamente inocente em sua composição e fazer apenas o que supõe-se que deveria fazer - acrescentar emoticons novos ao MSN é um exemplo que me veio à cabeça - e as funcionalidas "malignas" só seriam adicionadas durante sua execução, quando ele contactasse seus mestres e recebesse atualizações para serem instaladas (ou não) dependendo de quem é ou onde trabalha a vítima - arquivos de CAD, textos, bancos de dados ou planilhas, conforme o tipo de alvo. Nesse caso, ele não teria nenhum pedaço suspeito nele mesmo, apenas um inocente (muitos programas fazem isso, inclusive os anti-malware) auto-atualizador. Ele passaria pelos anti-qualquer-coisa sem muitos problemas e, muito provavelmente, suas "atualizações" também.

A Solução

Detectar ameaças assim é muito difícil - envolve monitorar cuidadosamente o tráfego nas redes, verificar o padrão de acessos em busca de anomalias (usuários que acessam alguns tipos de arquivos estão lendo arquivos de outro tipo, acessos sequenciais a vários arquivos do mesmo tipo etc) e variações no tráfego de dados (de repente muitos sites do Cazaquistão recebendo muitos dados). Envolve também medidas impopulares, como proibir usuários de acessar redes de mensagens ou de navegar pela web em sites não autorizados. Envolve a checagem de links em e-mails e a proibição do acesso a contas de Hotmail, GMail e afins. Envolve reavaliar seus processos e compartimentalizar a informação - você só ter acesso àqueles dados com os quais você precisa trabalhar, quando precisar, e nenhum outro em nenhum outro momento. Envolve remover software desnecessário. Envolve usar sistemas mais seguros com mecanismos mais rigorosos de controle de acesso.

Quem não gosta de mim (ou não me conhece) deve estar pensando que eu vou dizer que basta abandonar o Windows em favor de algum Unix-like que o problema vai passar. Não. Não sou irresponsável. Deixar para trás um sistema cronicamente inseguro e frágil como o Windows seria um bom começo, lógico, mas não é a solução. A bem da verdade, um Linux, MacOS X ou um Solaris muito mal configurados são igualmente perigosos - a diferença é que você precisa deliberadamente configurá-los mal (e um usuário precisa ser administrador da máquina para isso) enquanto o Windows já vem assim quando sai do disco de instalação. Independende do bom começo, para barrar ataques como os da semana passada é preciso repensar fluxos de trabalho, levantar defesas eficazes e ser muito menos tolerante com os maus usos do equipamento de trabalho.

É extremamente necessário, porque a porta foi aberta e todos (mesmo os que olharam para o outro lado até agora) já sabem que algo assim é possível. o próximo ataque que seu micro sofrer pode não ser do tipo antigo, mas ser um preparado especialmente para você, para seus dados e para sua empresa.

Na verdade, eles já devem estar acontecendo há algum tempo e em muitos lugares por aí.

Quem tem segredos para guardar acaba de ganhar um motivo a mais para ser paranóico.

Da minha parte, eu continuo tão paranóico como eu sempre fui.

Adendo: Na mesma semana, outro programa malicioso foi identificado. Ao invés de ser direcionado a uma empresa ou organização específica, este era do tipo "atacado". A diferença é que ele "sequestrava" os dados dos usuários exigindo o pagamento de um resgate - com o pagamento, a vítima receberia um programa para decodificá-los. A Secure Science Corporation analizou o programa e descobriu algumas coisas interessantes sobre ele. A página de onde os relatórios podem ser baixados menciona que, nos últimos meses, eles recuperaram dados de 152 mil vítimas espalhados em 51 servidores.

© Ricardo Bánffy

Este artigo também está disponível aqui.