Embed Size (px)
Citation preview
CENTRO UNIVERSITÁRIO SENAC
Gislaine Lirian Bueno de Oliveira
Evolução das ameaças sobre o ambiente operacional Windows
Sorocaba/SP 2006
GISLAINE LIRIAN BUENO DE OLIVEIRA
Evolução das ameaças sobre o ambiente operacional Windows
Trabalho de conclusão de curso, do Centro Universitário SENAC – Unidade Sorocaba, como exigência parcial para a obtenção do Diploma de Especialização em Segurança de Redes e Sistemas. Orientador: Prof. Msc. Marcelo Lau
Sorocaba/SP 2006
Oliveira, Gislaine Lirian Bueno de
Evolução das ameaças sobre o ambiente operacional Windows/ Gislaine Lirian Bueno de Oliveira – Sorocaba, 2006.
81 fls.
Trabalho de Conclusão de Curso – Centro Universitário Senac Orientador: Prof. Msc. Marcelo Lau 1.Pragas virtuais 2. Segurança em Windows 3. Fraudes eletrônicas CDD. 005.8
GISLAINE LIRIAN BUENO DE OLIVEIRA
Evolução das ameaças sobre o ambiente operacional Windows
Trabalho de conclusão de curso, do Centro Universitário SENAC – Unidade Sorocaba, como exigência parcial para a obtenção do Diploma de Especialização em Segurança de Redes e Sistemas. Orientador: Prof. Msc. Marcelo Lau
A banca examinadora dos Trabalhos de Conclusão em
sessão pública realizada em __/__/____, considerou o (a)
candidato (a):
1) Examinador (a):
2) Examinador (a):
3) Presidente:
Dedico este trabalho a Deus, meus familiares e a
todos meus amigos.
AGRADECIMENTOS
Ao meu orientador, Marcelo Lau, pelo incentivo constante, paciência, dedicação e
ensinamentos durante todo o curso e elaboração do trabalho.
Aos meus pais, que com sua simplicidade me ensinaram o valor da honestidade e
caráter.
Aos meus amigos do curso de pós-graduação pelo incentivo, amizade e grande
senso de humor.
Aos professores e funcionários do SENAC, principalmente Professor Luis e a
funcionária Fernanda Lopes, que me auxiliaram durante o decorrer do curso.
Aos meus amigos, em especial Fernanda Nascimento, do Laboratório de
Sistemas Integráveis da USP, grandes companheiros de trabalho.
Aos meus amigos Grace, Selma, Adriana, Fernanda, Rodrigo, Laudson, Diego,
Mariana, Rosangela e, principalmente a Leonardo e Janaina, que são dádivas de
Deus, apoiadores leais, que estiveram comigo em todos os momentos e merecem
meu carinho e respeito.
E a todos aqueles que de alguma forma não acreditaram no meu trabalho,
agradeço por serem os meus maiores incentivadores.
RESUMO
Este trabalho propicia uma análise evolutiva da exploração das
vulnerabilidades do ambiente operacional Windows por pragas virtuais. O estudo
relata o histórico da família do sistema operacional Windows avaliando as
principais falhas que ocasionam riscos a segurança e podem se tornarem alvos
de ataques.
Permite ao leitor uma possível visão da situação atual das ameaças sobre
o sistema operacional Windows, avaliando a evolução das estatísticas das
fraudes eletrônicas realizadas por agentes de ataques que buscam, muitas vezes,
a obtenção de ganhos financeiros.
Inclui ainda, as principais medidas de segurança tomadas pelo fabricante
do sistema operacional Windows e instituições financeiras que buscam a
mitigação dos riscos de fraudes. E finalmente, traz uma análise das possíveis
tendências de ataques que passam a atingir outros dispositivos e utilizam técnicas
que dificultam a identificação do atacante, ludibriando as medidas de segurança
implementadas.
Palavras chaves: vulnerabilidades, ameaças, Windows, fraudes.
ABSTRACT
This study gives us an evaluative analyze of the of the vulnerabilities’
exploration at the environment operational Windows by virtual plagues. The study
describes the operational system Windows’ major faults that occasion risks to the
security and can became target of attacks.
It gives to the reader a possible vision about recent threats to the
operational system Windows, estimating the evolution of the electronics frauds’
statistics realized by attacks agents that look for, many times, the financial earn.
It still includes, the major safety measures taken by the operational system
Windows manufacture and financial institutes who look for the mitigation of the
frauds risks. And finally, it brings an analyze of possible tendencies of attacks that
became to attain others gadgets and that apply techniques which difficult the
identification of striker duping the security methods implemented.
Key-words: vulnerabilities, threats, Windows, frauds.
SUMÁRIO
1 INTRODUÇÃO............................................................................. 10 1.1 Justificativa ..........................................................................................................10 1.2 Objetivo do Trabalho ...........................................................................................12 1.3 Metodologia de Pesquisa .....................................................................................12 1.4 Conceitos .............................................................................................................12
1.4.1 Vulnerabilidade................................................................................................13 1.4.2 Fraude ..............................................................................................................13 1.4.3 Pragas Virtuais.................................................................................................13 1.4.4 Agentes de ataque ............................................................................................14 1.4.5 Ameaças...........................................................................................................14 1.4.6 Ambiente Operacional .....................................................................................14
1.5 Estrutura do Trabalho ..........................................................................................15
2 SISTEMA OPERACIONAL WINDOWS ...................................... 16 2.1 Histórico da família Windows .............................................................................16
2.1.1 MS-DOS ..........................................................................................................17 2.1.2 Windows ..........................................................................................................17 2.1.3 Windows NT 3.1..............................................................................................18 2.1.4 Windows for Workgroups 3.11 .......................................................................19 2.1.5 Windows NT Workstation 3.5 .........................................................................19 2.1.6 Windows 95 .....................................................................................................19 2.1.7 Windows NT Workstation 4.0 .........................................................................20 2.1.8 Windows 98 .....................................................................................................20 2.1.9 Windows Millennium Edition (Windows ME) ...............................................21 2.1.10 Windows 2000 .................................................................................................21 2.1.11 Windows XP....................................................................................................22 2.1.12 Windows Vista.................................................................................................24
2.2 Resumo comparativo das versões da família Windows.......................................25
3 VULNERABILIDADES DO AMBIENTE OPERACIONAL E EVOLUÇÃO DOS ATAQUES ........................................................... 27
3.1 Principais tipos de vulnerabilidades ....................................................................27 3.2 Pragas virtuais......................................................................................................29 3.3 Evolução dos Ataques..........................................................................................30
3.3.1 Anos 80 ............................................................................................................31 3.3.2 Década de 90....................................................................................................33 3.3.3 Ataque aos sistemas operacionais Windows explorando suas vulnerabilidades – 2000 a 2005...............................................................................................................34 3.3.4 Síntese da evolução dos ataques evidenciando as principais vulnerabilidades40
4 SITUAÇÃO ATUAL – ATAQUES VOLTADOS PARA A REALIZAÇÃO DE FRAUDES ........................................................... 43
4.1 Conceito de Fraude Eletrônica.............................................................................45 4.2 Phishing Scam......................................................................................................46 4.3 Scam.....................................................................................................................47
4.4 Pharming..............................................................................................................48 4.5 Vulnerabilidades e agentes de ataques.................................................................49
5 MEDIDAS DE SEGURANÇA PARA PREVENÇÃO DE FRAUDES ELETRÔNICAS ................................................................................. 52
5.1 Medidas de Segurança do Windows....................................................................52 5.1.1 Atualizações de segurança ...............................................................................52 5.1.2 Medidas de Segurança do Windows XP SP2 ..................................................53 5.1.3 Medidas de Segurança do Internet Explorer 6.0 .............................................54 5.1.4 Medidas de Segurança do Windows Vista ......................................................55 5.1.5 Medidas de segurança Internet Explorer 7.0 ...................................................56
5.2 Medidas de segurança tomadas pelas instituições financeiras.............................57 5.2.1 Teclados Virtuais .............................................................................................57 5.2.2 Teclado codificado...........................................................................................58 5.2.3 Matriz de Segurança ........................................................................................58 5.2.4 On-time Password (OTP).................................................................................59 5.2.5 Certificação digital...........................................................................................59 5.2.6 Cadastramento de computadores .....................................................................61
5.3 Outras medidas de segurança...............................................................................62 5.3.1 Utilização de autenticação e frase secreta........................................................63 5.3.2 Instalação de software de segurança................................................................63 5.3.3 Educação do usuário ........................................................................................64
6 POSSIVEIS TENDÊNCIAS DE ATAQUES................................. 65 6.1 Ameaças em celulares..........................................................................................65 6.2 Outros dispositivos móveis e ameaças.................................................................67 6.3 Máquinas “zumbis” outra tendência de ataque....................................................68 6.4 Considerações sobre futuras tendências ..............................................................69
7 CONSIDERAÇÕES FINAIS ........................................................ 70 7.1 Conclusão.............................................................................................................70 7.2 Trabalhos futuros .................................................................................................72
8 REFERÊNCIAS ........................................................................... 73
ÍNDICE DE TABELAS
Tabela 1. Totais Mensais Classificados por Tipo de Ataque ................................11 Tabela 2. Diferentes versões do Windows 2000 ..................................................22 Tabela 3. Diferenças entre XP Home e XP Professional (parte 1)........................23 Tabela 4. Diferenças entre XP Home e XP Professional (parte 2)........................24 Tabela 5. Versões do Windows Vista....................................................................25 Tabela 6. Resumo dos Sistemas Operacionais da Família Windows ...................25 Tabela 7. Principais ataques ocorridos entre 2000 a 2005 ...................................41 Tabela 8. Incidentes relatados a CERT.br de 2004 a 2006 ..................................43 Tabela 9. Medidas de segurança IE 7.0................................................................56 Tabela 10. Ferramentas fornecidas pelos bancos ................................................63
ÍNDICE DE FIGURAS
Figura 1. Estatísticas de Incidentes ocorridos entre 2004 a 2006.........................44
10
1 INTRODUÇÃO
Manter um sistema operacional seguro e garantir a integridade das
informações é um grande desafio, diante dos consideráveis números de ataques
e vulnerabilidades de segurança. No entanto, nem sempre temos o conhecimento
das falhas dos sistemas que usamos em nossos servidores ou estações de
trabalho.
As ameaças ao ambiente operacional evoluíram, resultando em diversos
tipos de ataques. No princípio, os ataques tinham como objetivo explorar as
vulnerabilidades do sistema e saírem do anonimato. Com o surgimento de
agentes de ataques, os riscos passaram atingir com mais freqüência os usuários
finais, oferecendo outros tipos de riscos que muitas vezes resultam em fraudes.
1.1 Justificativa
Durante anos, desde o surgimento do primeiro vírus em 1988, muitas
pesquisas foram realizadas com intuito de apontar as principais vulnerabilidades
dos sistemas operacionais.
A exploração dessas vulnerabilidades, por exemplo, em uma estação
cliente que realiza transações bancárias, permite ao invasor instalar um software
malicioso capaz de obter acesso a dados confidenciais como senhas, números de
agências e contas bancárias e até mesmo o desvio de valor para uma outra conta
da qual o cliente desconhece.
É preciso estar atento a esses tipos de ataques, pois pesquisas, afirmam
que movimentações financeiras via Internet estão cada vez mais populares e que
os serviços on-line, como e-commerce e Internet Banking tendem aumentar
consideravelmente nos próximos anos, conforme a citação a seguir:
“Nos últimos quatro meses, as transações bancárias pela rede foram as
que mais cresceram no País. Entre 2003 e 2004, o aumento do número de
pessoas físicas que usam o Internet Banking foi de 53%, totalizando 16,2 milhões
de usuários” (CERTSIGN,2005)
Por outro lado, segundo o Centro de Estudos, Respostas e Tratamento de
Segurança no Brasil – CERT.br, conforme pode ser visto na Tabela 1, foram
11
reportados entre janeiro a dezembro de 2006, 197892 incidentes de segurança
dentre eles estão: invasões, ataques a servidores Web, varredura de portas,
fraude, negação de serviço e worm1. Dentre os ataques, estão relacionados às
fraudes eletrônicas, que representou total de 21% dos incidentes.
Mês Total worm (%) dos2 (%) invasão (%) aw3 (%) scan (%) fraude (%)jan 8446 1358 16 71 0 24 0 32 0 3274 38 3687 43fev 7742 1223 15 33 0 59 0 54 0 2737 35 3636 46mar 11945 4062 34 41 0 112 0 29 0 2925 24 4776 39abr 14126 7327 51 3 0 61 0 28 0 2742 19 3965 28mai 18204 11139 61 81 0 24 0 29 0 3153 17 3778 20jun 17470 11036 63 24 0 44 0 43 0 3127 17 3196 18jul 18754 12833 68 11 0 57 0 46 0 2823 15 2984 15
ago 17501 8961 51 4 0 44 0 37 0 5160 29 3295 18set 23321 13499 57 4 0 26 0 38 0 5507 23 4247 18out 18592 8944 48 3 0 21 0 35 0 6823 36 2766 14nov 23414 16355 69 0 0 43 0 51 0 3777 16 3188 13dez 18377 12939 70 2 0 8 0 27 0 3143 17 2258 12
Total 197892 109676 55 277 0 523 0 449 0 45191 22 41776 21 Tabela 1. Totais Mensais Classificados por Tipo de Ataque (CERT, 2006)
Os incidentes relacionados às fraudes, apesar de apresentarem uma
queda no percentual de ataques durante o ano de 2006, ainda são considerados
um dos fatores preocupantes em relação à segurança, pois é o terceiro tipo de
mais reportado.
Além das falhas detectadas freqüentemente em sistemas operacionais,
estudos indicam que o Brasil é o maior desenvolvedor de cavalos de tróia
bancários do mundo e por isso o mais afetado por essas pragas virtuais.
(B2B,2005)
Cavalos de Tróia são ameaças que se escondem em programas que
comprometem a segurança, causando danos, muitas vezes são encontrados em
arquivos compactados ou executáveis e evitando a detecção de programas
antivírus. (KLANDER,1997, p. 391-397)
1 Worm é um tipo de vírus que cria cópia de si mesmo de um computador para o outro automaticamente, controlando recursos do sistema afetado permitindo transporte de arquivos e informações 2 DoS – Denial of Service – Ataque de negação de serviço. 3 aw – Ataque a servidor Web.
12
1.2 Objetivo do Trabalho
O objetivo deste trabalho é analisar a evolução das ameaças sobre o
ambiente Windows, desde o surgimento do primeiro vírus até as ameaças atuais,
que muitas vezes resultam em fraudes eletrônicas. Este trabalho traz um histórico
do sistema operacional Windows, enfatizando as melhorias realizadas em cada
sistema, principalmente as relacionadas aos aspectos de segurança com o intuito
de mitigar os riscos de ataques.
Também são avaliadas as principais medidas tomadas pelas instituições
financeiras, como exemplos, autenticação, criptografia, certificação e assinatura
digital. Tais medidas são adicionadas, algumas vezes, no fortalecimento da
segurança do ambiente ou mesmo dos pontos frágeis do sistema operacional.
E finalmente este trabalho traz, as possíveis tendências de ataques que
passam a utilizar outros tipos de dispositivos e técnicas para cometer ações
maliciosas que muitas vezes resultam em fraudes.
1.3 Metodologia de Pesquisa
Este trabalho está baseado em pesquisas realizadas em fontes de órgãos
do governo, empresas ligadas à segurança da informação, revistas, livros,
trabalhos acadêmicos e conteúdos disponíveis na Internet.
1.4 Conceitos
A definição dos conceitos tem o intuito de contextualizar termos utilizados
neste trabalho.
13
1.4.1 Vulnerabilidade
Uma vulnerabilidade pode ser causada por uma falha de engenharia do
sistema4, por uma configuração mal feita ou uma atualização não realizada.
Segundo a CERT.br, em sua Cartilha de Segurança para Internet (CERT 2005a,
p.08), uma vulnerabilidade é definida como:
“... uma falha de projeto, implementação ou configuração de um software
ou sistema operacional que, quando explorada por um atacante, resulta na
violação da segurança de um computador.”
O termo vulnerabilidade neste trabalho está relacionado aos aspectos das
falhas do sistema operacional. Muitas vezes, esse termo é utilizado para definir
uma falha que pode ser explorada, resultando em fraude.
1.4.2 Fraude
O termo fraude descreve as ações maliciosas realizadas pelo atacante no
ambiente da Internet, que tem como objetivos ludibriar e convencer a vítima a
fornecer credenciais pessoais e financeiras para que possam ser utilizadas
posteriormente na obtenção de lucros ilícitos.
Ainda segundo LAU (2006, p.5), “é compreendido como fraude, o
aliciamento de vítimas através do fraudador e realização de transações
fraudulentas beneficiando um indivíduo ou grupo de pessoas envolvidas no
esquema.”
1.4.3 Pragas Virtuais
O termo “pragas virtuais” nesse trabalho consiste em códigos maliciosos
que afetam o funcionamento do sistema. (SILVA, 2005)
Dentre os códigos maliciosos estão os vírus, worms, bots, backdoors,
cavalos de tróia , keyloggers, screenloggers, adware, spyware e rootkits.5
4 O termo engenharia de software refere-se a uma abordagem sistemática, disciplinada e quantificável durante os processos de desenvolvimento do software. Caso ocorra algum erro durante o desenvolvimento do software e não ocorra a reparação, podemos dizer que o software apresentará falhas de engenharia. 5 As definições desses termos encontram-se item 3.2 deste trabalho.
14
1.4.4 Agentes de ataque
A terminologia “agentes de ataque” refere-se aos termos phishing, scam e
pharming6. Essa forma de conceito foi adotada devido ao fato de não haver uma
nomenclatura padrão para se referir a esses termos e também para facilitar a
fluência da leitura.
Os dois primeiros termos, phishing e scam, têm como principal meio de
disseminação o envio de mensagens fraudulentas pelo atacante, que são
recebidas pelo usuário sem permissão e buscam ludibriar a vítima com objetivo
de ganhos ilícitos. O pharming, utiliza outro tipo de técnicas para comprometer o
ambiente da vítima. (LAU, 2006, p. 60)
O termo “mecanismos utilizados pelos fraudadores” (LAU, 2006, p. 60)
pode ser atribuído como sinônimo a agentes de ataque.
1.4.5 Ameaças
O termo ameaça é utilizado neste trabalho para descrever aspectos de
segurança que estão relacionados ao uso dos sistemas operacionais. Os
aspectos podem se referir a três principais objetivos: garantir a confidencialidade
e privacidade dos dados de maneira que não sejam expostos; prover a
integridade dos dados não permitindo que sejam adulterados e; prover a
disponibilidade do sistema. (TANENBAUM, 2003, p. 439-440)
1.4.6 Ambiente Operacional
O termo ambiente operacional neste trabalho é utilizado para descrever o
sistema operacional Windows e seus componentes.
Esse termo é comumente utilizado pela Microsoft para descrever os
sistemas operacionais7. A terminologia pode ainda, contextualizar outros
ambientes operacionais, como por exemplo, Linux8.
6 As definições dos termos phishing, scam e pharming encontram-se respectivamente nos itens 4.2, 4.3, Error! Reference source not found. deste trabalho. 7 Um exemplo de utilização do termo “ambiente operacional” pode ser encontrado em: http://www.microsoft.com/brasil/security/guidance/prodtech/winxp/secmod64.mspx 8 Exemplos de utilização do termo podem ser encontrados em:
15
1.5 Estrutura do Trabalho
O trabalho é composto de uma estrutura de sete capítulos.
O capítulo 2, apresenta um histórico dos sistemas operacionais da família
Windows e suas principais funcionalidades. Devido a sua vasta utilização, esse
sistema foi escolhido como foco desse trabalho. É importante entender a evolução
do sistema operacional, porque apesar da melhora constante das versões, os
sistemas possuem vulnerabilidades que puderam e ainda podem ser exploradas
por pragas virtuais.
As vulnerabilidades do ambiente operacional e a evolução dos ataques
será o assunto do capítulo 3. Onde ilustra as principais vulnerabilidades, tipos de
pragas virtuais, como ocorreu a evolução dos ataques e uma tabela contendo a
síntese dos ataques evidenciando a exploração das vulnerabilidades dos
sistemas operacionais Windows.
O capítulo 4, denota a situação atual dos ataques que muitas vezes são
voltados para a realização de fraudes eletrônicas, utilizando agentes de ataques,
como o phishing, scam e o pharming, que exploram vulnerabilidades obtendo
sucesso em suas ações.
As medidas de segurança para mitigar ataques com foco a fraude
corresponde ao conteúdo do capítulo 5, que está subdividido em três partes. A
primeira descreve as medidas tomadas pelo fabricante, a segunda as medidas
tomadas pelas instituições e finalmente medidas adicionais que agregam maior
segurança para os usuários.
Outro assunto tratado neste trabalho são as ameaças que não estão
presentes apenas em computadores pessoais ou servidores, pois utilizam novas
técnicas para propagação de pragas e efetivação de ataques. Esse será o
assunto do capítulo 6.
Por fim o capítulo 7, trata das considerações finais abrangendo as
conclusões e sugestões de trabalhos futuros sobre o assunto.
http://br-linux.org/linux/taxonomy/term/8?from=15
16
2 SISTEMA OPERACIONAL WINDOWS
É possível encontrar no mercado de sistemas operacionais diversas
plataformas como as variações de distribuições em Linux, MAC OS X da Apple e
a família Windows da Microsoft. No entanto, o sistema operacional Windows é
considerado líder de utilização em todo mundo, no que se refere a computadores
de usuários domésticos e nas empresas.
Atualmente, a Microsoft, detém mais de 90% de hegemonia de mercado
para usuários domésticos, segundo afirma o gerente de marketing da Microsoft
Brasil, Alexandre Leite. Porém esse número pode ser ainda maior já que, não é
possível determinar a quantidade exata de instalações consideradas ilegais.
(INFO,2006b, p.71)
Em relação ao ambiente corporativo, em pesquisa realizada pela revista
Info no mês de maio do ano de 2006, o Windows também lidera a lista dos
sistemas operacionais mais utilizados para estações de ambientes corporativos.
Uma surpresa está na questão das instalações em servidores, onde novamente o
Windows aparece no topo da lista onde antes a liderança pertencia aos sistemas
Unix. (INFO,2006b, p.71)
Baseado nas estatísticas de utilização, o Windows será o sistema
escolhido para o desenvolvimento do estudo. Entretanto, focaremos sua utilização
no ambiente doméstico e como suas vulnerabilidades podem influenciar nas
fraudes eletrônicas.
Em continuidade a este capítulo seguinte, será apresentado um histórico
da família Windows possibilitará conhecer um pouco melhor as funcionalidades de
cada sistema.
2.1 Histórico da família Windows
Neste item do trabalho conheceremos um pouco sobre a história dos
sistemas operacionais da família Windows e suas funcionalidades, desde o
lançamento do MS-DOS até o sistema Windows Vista que tem previsão para
lançamento em 2007.
17
2.1.1 MS-DOS
No ano de 1981, surge o sistema operacional denominado MS-DOS 1.0,
sistema mais popular da história. As iniciais MS, diz respeito à empresa fabricante
Microsoft e as três letras posteriores DOS (Disk Operating System), sendo a
tradução para o português, Sistema Operacional em Disco.
Nessa época, a IBM produzia computadores baseados no chip 8080. Esses
PCs (Personal Computers), possuíam sistemas operacionais monousuário e
funcionava com linhas de comando. A Microsoft, mesmo sendo uma empresa de
pequeno porte aliou-se a IBM e projetou esse novo sistema para que operasse
nos computadores pessoais fabricados por ela. Esse pequeno sistema tinha um
código de 8 KB, residente em memória e foi projetado para funcionar em CPUs
8080 e Z80, de 8 bits. (OLIVEIRA W.,2000).
Após dois anos, em 1983, foi lançado o sistema MS-DOS 2.0, de 24 KB,
que continha um processador em linha de comando. Em 1986, a IBM lança um
computador pessoal com a nova versão do sistema baseado em um chip Intel
286, denominado PC/AT. Devido à tecnologia avançada (AT- Advanced
Tecnology), esse computador podia endereçar até 16MB de RAM com velocidade
de 8MHz. (TANENBAUM,2003, P. 439-573)
Em 1984, é lançado o MS-DOS 3.0, agora com 36 KB, porém com suporte
a discos flexíveis de 1.2 MB e discos rígidos maiores. No entanto, o pequeno
sistema ainda continuava agregando características como na versão 3.1 que já
possuía suporte a redes.
2.1.2 Windows
Em 1985, a Microsoft decide lançar a primeira interface gráfica para o MS-
DOS, chamada Windows, nascendo o Windows 1.0. No entanto, esse projeto não
obteve muito sucesso. Em seguida, veio a versão Windows 2.0, que foi projetada
para funcionar em PC/AT. Antes mesmo que essa versão fosse lançada a aliança
da IBM e da Microsoft se desfez, ocasionada por divergências técnicas.
Em 1990, é lançado o Windows 3.0 que funcionava em chip 386. Sendo
seus sucessores as versões 3.1 e 3.11, responsáveis pelo grande sucesso
18
comercial da Microsoft. No entanto, nenhuma dessas versões poderia ser
considerada um sistema operacional, pois eram apenas melhorias nas interfaces
gráficas, todos os programas eram executados no mesmo espaço de memória e
caso houvesse uma pequena falha todo funcionamento era comprometido.
(MICROSOFT,2003)
2.1.3 Windows NT 3.1
O Windows NT 3.1, visava proporcionar uma significativa mudança no
ambiente computacional corporativo, assim como no ambiente doméstico.
Lançado em 1993, tendo o seu nome acompanhado pela sigla NT – New
Technology, com tradução para o português Nova Tecnologia, o projeto desse
sistema tinha o objetivo de que as empresas utilizassem computadores pessoais
para executar determinadas funcionalidades que antes eram apenas realizadas
por computadores de grande porte. (MICROSOFT,2003)
Na época, foi bem recebido pelos desenvolvedores devido a sua
confiabilidade, estabilidade e pela possibilidade de executar aplicações baseadas
em 32 bits. Inicialmente voltado para operação em computadores pessoais ou
estações de trabalho, possuía como uma de suas diversas características suporte
a aplicações cliente/servidor. O conceito inicial de conceber um sistema
operacional baseada no código de 16 bits do antigo Windows 95, que foi deixado
de lado, partindo para um novo projeto onde foi implementado um sistema de 32
bits.
Seu sistema de arquivo era baseado em NTFS, possuía como subsistemas
o POSIX e OS/2, sustentação a múltiplos processadores e fornecia segurança
para o usuário de domínio.
Apesar de sua superioridade, sendo utilizados até mesmo em servidores
posteriormente, os usuários preferiram o antigo sistema de 16 bits, pois esse
apresentava uma lentidão maior no processamento de tarefas, já que exigia maior
capacidade de memória.
19
2.1.4 Windows for Workgroups 3.11
Desenvolvido para estações de trabalho, com ele era possível a criação de
grupos de trabalho em rede ponto a ponto e suporte a domínio de rede,
centralizando as configurações e segurança. Possuía suporte a redes Novell
NetWare e serviço de acesso remoto (RAS). (MICROSOFT,2003)
2.1.5 Windows NT Workstation 3.5
Lançado em 1994, esse sistema tinha como característica principal maior
nível de proteção a aplicação de negócio. Com sustentação ao padrão gráfico
OpenGL9 oferecia suporte a aplicações voltadas para área científica, financeira e
análise de negócios. Suporte a servidores de arquivos de rede Netware e
servidores de impressão.
2.1.6 Windows 95
Trata-se de um sistema operacional que permite a multiprogramação,
gerenciamento de processos e memória virtual. Lançado em agosto de 1995, o
sistema contém todas as características do MS-DOS 7.0 com todas as suas
limitações. A sua vantagem principal era a possibilidade de nomes longos de
arquivos, onde poderia ultrapassar o limite 8 (oito) caracteres, chegando até o
número máximo de 255 caracteres. Ainda não era considerado um programa de
32 bits, pois possui linguagem de montagem10 de 16 bits, sendo implementada
com uma linguagem de outro código de 32 bits. (TANENBAUM,2003, P. 439-573).
Com lançamento do Windows 95, a Microsoft confirmou a sua supremacia
no que se dizia respeito a sistemas para computadores pessoais.
Em relação às características relacionadas ao serviço de rede o Windows
95 possui o protocolo TCP/IP ativo, o que o diferencia do Windows 3.11. No
9 “OpenGL é definida como "um programa de interface para hardware gráfico". Na verdade, OpenGL é uma biblioteca de rotinas gráficas e de modelagem, bi (2D) e tridimensional (3D), extremamente portável e rápida.” Citação extraída do Tutorial de Introdução a OpenGL, com autoria da Profª Isabel Harb Manssour, que pode ser acessado em http://www.inf.pucrs.br/~manssour/OpenGL/Tutorial.html 10 Linguagem de montagem ou assembly pode ser denominada como a linguagem máquina que o computador utiliza para realizar suas operações.
20
entanto, falhas relacionadas à segurança persistiram nessa versão do sistema:
falta de controle de contas de usuários e o processo de proteção de senha é fraco
e fácil de ser descoberto (TANENBAUM,2003, P. 439-573).
2.1.7 Windows NT Workstation 4.0
Essa versão é considerada a versão que precede o Windows 2000.
Lançada em 1996, com interface amigável, similar a da versão do Windows 95,
porém com melhorias de segurança de acesso a Internet e a rede local, melhoria
na velocidade de transmissão de informações na rede e gerenciamento de
tarefas.
2.1.8 Windows 98
Em 1998, foi lançado o Windows 98. Considerado um sistema multitarefa
preemptivo, ou seja, cada tarefa é executada seguindo um processo de
agendamento. Porém era possível detectar problemas graves no funcionamento
do sistema, como a deficiência do gerenciamento de processos e falhas na
alocação de endereço de memória virtual. (MICROSOFT,2003)
As falhas de gerenciamento de processos causavam lentidão no
funcionamento do sistema. Já em relação ao endereçamento de memória, os
problemas causados nas alocações de endereços, podiam causar desde lentidão
até travamento geral do sistema. (TANENBAUM,2003, P. 439-573)
A primeira versão do Windows 98 foi desenhada totalmente para o
consumidor doméstico. Oferecia como vantagens suporte a USB (Universal Serial
Bus), suporte a leitura de DVDs, acessos às aplicações e a Internet devido a
incorporação do Internet Explorer.
A segunda versão do Windows 98, denominada Windows 98 SE, foi
lançada em 1999. Esse sistema também era voltado para o usuário doméstico,
porém era possível utilizá-lo em um ambiente corporativo em conjunto com o
Windows NT. Trazia como melhoramentos a ajuda on-line do Internet Explorer
5.0, suporte a ferramenta de comunicação NetMeeting 3.0, suporte melhorado a
21
multimídia utilizando Microsoft Directx11 e finalmente capacidade de
compartilhamento da Internet para usuários domésticos. (MICROSOFT,2003)
2.1.9 Windows Millennium Edition (Windows ME)
Esse é a versão mais recente dos sistemas operacionais baseados em
código fonte do Windows 95. A próximas versões são baseadas na plataforma
Windows NT.
O Windows ME inovou na parte de entretenimento voltado ao usuário final,
já que também foi projetado para usuários domésticos. Uma de suas
características principais baseava-se no suporte a conexões de banda larga,
modem a cabo e ADSL. (TANENBAUM,2003, P. 439-573)
Segundo o fabricante proporcionava maior confiabilidade em ambiente
doméstico.(MICROSOFT,2003)
2.1.10 Windows 2000
O Windows 2000 é considerado mais do que um melhoramento da versão
anterior NT. Construído com uma interface semelhante a Windows 98 e tendo
como fonte um código de 32 bits, é considerado um sistema operacional de
multiprogramação.
Esta versão herda diversas características do Windows NT 4.0, como
escalonamento de processos, nomes de arquivos e diretórios (exemplo:
\winnt\win32).
No entanto, é possível perceber diversas melhorias como:
internacionalização das instalações, infra-estrutura de gerenciamento de sistemas
e objetos, segurança usando Kerberos12, suporte de ferramentas de
monitoramento de sistemas, integração de computadores portáteis e
computadores de mesa, serviço de diretório ativo, suporte a cartões inteligentes,
suporte a sistema de arquivo NTFS estendido para suportar arquivos
11 O Microsoft DirectX é um pacote de interfaces de programação de aplicativos (APIs) para sistemas Microsoft Windows. 12 Protocolo de segurança para autenticação de domínio, que faz uma autenticação bidirecional, do cliente que solicita a autenticação e do servidor.
22
criptografados, volumes, redirecionamentos de arquivos, cotas e indexação de
conteúdo e instância de armazenamento simples do NTFS. (TANENBAUM,2003,
P. 439-573)
O Windows 2000 foi projetado em várias versões: Professional, Server,
Advanced Server e Data Center Server. Na Tabela 2, serão descritas as
diferenças de configurações das versões do Windows 2000:
Versão Max. RAM CPU’S Max clientes Tamanho Cluster Otimizado para
Professional 4GB 2 10 0 Tempo de resposta
Server 4GB 4 Ilimitado 0 Vazão Advanced
Center 4GB 8 Ilimitado 2 Vazão
Datacenter Server 64GB 32 Ilimitado 4 Vazão
Tabela 2. Diferentes versões do Windows 2000 (TANENBAUM,2003)
Conforme visto na tabela, as diferenças de versões são pequenas: número
máximo de processadores, quantidade de memória e número máximo de clientes.
O motivo da criação é mais voltado ao mercado de venda dos produtos do que a
parte técnica do sistema.
O Windows XP, que será analisado a seguir, também apresenta diversas
versões com funcionalidades específicas para cada tipo de ambiente.
2.1.11 Windows XP
O Windows XP foi lançado em outubro de 2001, visando tanto usuários
domésticos quanto para uso profissional. O termo “XP” refere-se a “experiência”,
que segundo seus desenvolvedores são inovações oferecidas aos usuários de
computador pessoal. (MICROSOFT,2003)
Assim como o Windows 2000, o XP possui diversas edições, cada uma foi
desenvolvida para um propósito específico, dentre elas estão as versões:
• Windows XP Professional (2001): Indicado para uso profissional.
Possui sustentação a acesso remoto, sistema de criptografia de arquivos,
sistema de restauração, recursos avançados em ambiente operando em
rede. Sua proposta principal é garantir segurança, confiabilidade e
desempenho;
23
• Windows XP Home Edition (2001): Projetado para usuários
domésticos. A diferença entre essa edição e a profissional torna evidente
quando as funções ultrapassam os limites da utilização doméstica. Possui
recursos como assistente de instalação de ambiente de rede, Windows
Media Player e manipulação de fotos digitais;
• Windows XP 64-bits Edition (2001): Voltado para usuários
especializados que necessitam de grande desempenho de memória para
suas aplicações, como exemplo, aplicações científicas;
• Windows XP Media Center (2002): Com as mesmas características
da versão profissional, adiciona recursos de meios digitais e de
entretenimento;
• Windows XP Tablet PC Edition (2002): Essa versão voltada para
instalações em notebooks, busca maior versatilidade e mobilidade. Inclui
como recurso uma caneta digital, porém o teclado e o mouse ainda podem
ser utilizados e;
• Windows XP Stater Edition (2006): Uma versão mais limitada que
tem como foco o usuário doméstico. Possui um sistema de ajuda amigável
com tutoriais através de vídeos que ensinam procedimentos básicos na
utilização de seu computador.
Através das Tabela 3 e Tabela 4, observamos os pontos comuns e as
diferenças entre o Windows XP Home e o Windows XP Professional
(INFO,2006a): Função Descrição Home Pro
Proteção de Arquivos
Evita automaticamente que as aplicações alterem acidentalmente arquivos fundamentais do sistema. X X
Separação de Processos
Cada programa é executado em uma área independente. Caso uma aplicação que apresente um comportamento anômalo não há comprometimento do sistema.
X X
DLLs paralelas Versões diferentes de componentes podem ser executadas separadamente, eliminando conflitos e instabilidade. X X
Firewall de conexão à Internet
Aplicativo de proteção contra invasores. X X
Troca de usuários
Dois ou mais usuários podem compartilhar o computador sem a necessidade de efetuar logoff. X X
Restauração do sistema
Executa o backup automático dos arquivos de sistema. Caso ocorra uma falha grave é possível recuperar a última configuração. X X
Retorno de driver
Caso um driver (programa necessário para o funcionamento de um dispositvo) apresente algum problema, o usuário pode recuperar o driver anterior.
X X
Tabela 3. Diferenças entre XP Home e XP Professional (parte 1)
24
Função Descrição Home Pro
Rede ponto a ponto
Um assistente auxilia a configuração de uma pequena rede possibilitando o compartilhamento acesso à Internet. X X
Desktop remoto O usuário pode acessar e operar remotamente o sistema. X Suporte a múltiplos processadores
Funciona em máquinas com até dois processadores. X
Arquivos e pastas codificados
Protege informações armazenadas usando o sistema de arquivos NTFS. X
Controle de Acesso
Restringe acesso a arquivos, programas e outros recursos. X
Administração Centralizada
Pode fazer parte de um domínio e ser administrado pelo servidor. X
Instalação remota
Permite fazer a instalação de atualizações a partir de um servidor, ou outras operações remotas. X
Add-on multilingüe
Opção de interface de múltiplos idiomas, que pode ser selecionado pelo usuário. X
Tabela 4. Diferenças entre XP Home e XP Professional (parte 2)
Com a análise das tabelas apresentadas é possível verificar que apesar de
cada versão ser utilizada para um fim específico, ambas procuram atender as
necessidades do usuário quanto a funcionalidade e segurança.
2.1.12 Windows Vista
O Windows Vista, com lançamento previsto para 30 de janeiro de 2007, já
é considerado um sistema com grandes promessas de melhorias em relação ao
Windows XP, que consistem basicamente em três: maior segurança, facilidade
para organizar as informações e uma aparência mais elegante.
Dentre suas mudanças estão: criação de pastas virtuais de arquivos XML,
mudança na nomenclatura de pastas do sistema, nova interface gráfica,
mecanismo de busca mais amigável, alterações no Windows Explorer, introdução
de novos recursos de rede, novidades no navegador, comando de voz,
organizador de imagens com funções de edição e a novidade mais importante é o
User Account Protection (UAP). O UAP é um sistema de segurança semelhante
ao existente em outros sistemas operacionais que quando ativado os programas
passar a serem executados com permissões limitadas do sistema evitando uma
ação perigosa, como a instalação de um aplicativo com código
malicioso.(INFO,2006a)
25
Algumas versões betas já foram disponibilizadas. Assim como o XP, o
Windows Vista apresentará várias edições e seus nomes já foram divulgados
porém ainda podem ser alterados (INFO,2006a): Edição Funcionalidade
Stater Edition Sucessor do Windows XP Starter Edition Home Basic Sucessor do Windows XP Home Home Premium Substituto do Windows Media Center Small Business Edição voltada para pequenas empresas Enterprise Funções de gerenciamento para grandes redes Ultimate Voltada para usuários avançados
Tabela 5. Versões do Windows Vista
2.2 Resumo comparativo das versões da família Windows
Para sintetizar as versões da família Windows apresentadas até agora,
preparamos a Tabela 6, com as suas principais funções: Sistema Operacional Função
MS-DOS Primeiro sistema operacional lançado para PCs, considerado um sistema monousuário operava em linha de comandos.
Windows Em 1985 lançada a primeira interface do MS-DOS, Windows 1.0, todos os programas eram executados no mesmo espaço de memória e caso houvesse uma pequena falha todo funcionamento era comprometido. Após a versão 1.0, houve mais dois lançamentos Windows 2.0 e 3.0.
Windows NT 3.1
Esse sistema visava proporcionar uma significativa mudança no ambiente computacional corporativo, assim como no ambiente doméstico, com objetivo de que as empresas utilizassem computadores pessoais para executar determinadas funcionalidades que antes eram apenas realizadas por computadores de grande porte.
Windows for Workgroups 3.11 Desenvolvido para estações de trabalho, proporcionava suporte a domínio de rede e criação de grupo de trabalho em rede ponto a ponto.
Windows NT Workstation 3.5 Tinha como característica principal maior nível de proteção a aplicação de negócio. Suporte a servidores de arquivos de rede Netware e servidores de impressão.
Windows 95 Voltado para uso em PC, prometia multiprogramação, gerenciamento de memória e processos. Tendo como vantagem principal os nomes longos de arquivos que podiam chegar até 255 caracteres.
Windows NT Workstation 4.0 Apresentava melhorias de segurança de acesso a Internet e a rede local, melhoria na velocidade de transmissão de informações na rede e gerenciamento de tarefas. Indicado para uso em servidores.
Windows 98 Considerado um sistema multitarefa preemptivo, com algumas falhas graves de gerenciamento de memória. A primeira versão foi projetada totalmente para uso doméstico, já a segunda oferecia suporte para trabalhar em ambiente corporativo.
Windows Millennium Edition (ME)
Última versão dos sistemas operacionais baseados no código fonte do Windows 95. Inovou no que diz respeito a entretenimento, voltado para usuário doméstico oferecendo suporte ADSL.
Windows 2000
Considerado um melhoramento da versão NT, código fonte de 32 bits e é considerado um sistema de multiprogramação. Apesar de apresentar algumas características da versão anterior, apresenta diversas melhorias, sendo principais: internacionalização das instalações, infra-estrutura de gerenciamento de sistemas e objetos, segurança usando Kerberos, suporte a sistema de arquivo NTFS estendido e indexação de conteúdo e instância de armazenamento simples. Lançado nas versões: Professional(PCs), Server, Advanced Server e Data Center Server
Windows XP Indicado para PCs, tanto para uso profissional como doméstico. Na época do lançamento foi considerada uma grande evolução em relação aos sistemas operacionais dedicados a computadores pessoais, graças as funcionalidades de segurança e interface gráfica amigável.
Windows Vista Voltado para uso em estações, considerado o sucessor do Windows XP e tem como propostas principais: maior segurança, facilidade para organizar as informações e uma aparência mais elegante.
Tabela 6. Resumo dos Sistemas Operacionais da Família Windows
26
Os sistemas operacionais apresentaram uma grande evolução das
funcionalidades, tanto para utilização em servidores como em computadores
pessoais. Apesar de todas as mudanças, os sistemas apresentam inúmeras
vulnerabilidades, que são corrigidas através de atualizações divulgadas pelo
fabricante. Entretanto, nem sempre pode-se detectar uma vulnerabilidade antes
que ela seja explorada por um programa malicioso. A seguir, será descrito como
uma vulnerabilidade pode comprometer a segurança do ambiente operacional. E
também, como a evolução dos ataques contribuiu para que tais falhas fossem
exploradas.
27
3 VULNERABILIDADES DO AMBIENTE OPERACIONAL E EVOLUÇÃO DOS ATAQUES
Uma vulnerabilidade em um ambiente operacional quando devidamente
explorada pode colocar em risco toda a segurança dos dados armazenados e do
sistema operacional.
Como visto no capítulo anterior, os sistemas operacionais evoluíram
apresentando melhorias de segurança, interface gráfica amigável, escalabilidade
entre outras. Mesmo assim, tanto as versões dedicadas a usuários finais ou
destinadas a servidores, apresentam vulnerabilidades que podem servir como
alvo de ataques.
Neste capítulo, estudaremos a evolução dos ataques decorrentes das
explorações de falhas do ambiente operacional por um agente mal-intencionado13.
Primeiramente, apresentaremos os principais tipos de vulnerabilidades e
como podem a afetar a estabilidade e a segurança de um sistema operacional.
Outro ponto fundamental é conhecer os tipos de pragas virtuais que afetam
os sistemas, suas principais características e seu funcionamento.
Logo em seguida, os principais ataques ocorridos desde a década de 80
até os dias atuais. Na evolução dos ataques atentamos para um ponto
fundamental que se refere ao objetivo do ataque realizado, que inicialmente o
atacante buscava fama e hoje tem como meta obter recursos financeiros de uma
forma ilícita fraudando meios eletrônicos.
3.1 Principais tipos de vulnerabilidades
Podemos citar uma variedade de vulnerabilidades que afetam o
funcionamento e a segurança dos sistemas operacionais. Porém, enfatizaremos
apenas três tipos que podem atingir os usuários finais: buffer overflow (estouro de
pilha), elevação de privilégios e DoS – Denial of Service (negação de serviço):
13 O termo “agente mal-intencionado” refere-se a pessoa que utiliza programas ou técnicas para obter acesso ao sistema e executar ações que podem causar danos a segurança da informação. Pode ser utilizado com sinônimo, os termos “invasor” ou “atacante”.
28
• Buffer overflow (estouro de pilha): Denominado em português
como estouro de pilha. Pilha ou buffer é o espaço de memória destinado ao
armazenamento de dados temporários que auxilia na execução de
programas. Quando esse espaço é ultrapassado ocorre o estouro de pilha
ou buffer overflow e essa falha possibilita que um usuário mal-intencionado
execute programas maliciosos no espaço ultrapassado. Em alguns casos,
é possível que o atacante tenha acesso ao sistema remotamente,
colocando em risco a segurança de todo sistema.
• Elevação de privilégios: Em sistemas operacionais da Windows
(NT, 2000, XP, 2003) e Linux, é possível definir níveis de permissão de
acessos para usuários. No entanto, quando esses sistemas possuem
brechas que podem ser exploradas por um usuário mal-intencionado.
Essas permissões podem ser alteradas aumentando o nível de acesso ao
sistema.(HSBC,2005)
• DoS (negação de serviço): A negação de serviço ocorre quando
um invasor executa um ataque capaz de paralisar todo o sistema, deixando
os serviços indisponíveis. Os ataques podem ocorrer local ou
remotamente. Existe uma outra forma de ataque denominada negação de
serviço distribuída (DDoS – Distributed Denial of Service), que pode ser
considerada uma variante do DoS, que atinge empresas e ficou muito
conhecido a partir do ano 2000 quando sites famosos como Yahoo,
Amazon e CNN foram atacados. (HSBC, 2005)
As falhas descritas podem resultar ataques colocando em risco a
integridade e segurança dos sistemas. O fabricante do sistema operacional
disponibiliza mensalmente correções das falhas. No entanto, os ataques
continuam ocorrendo, pois nem sempre é possível garantir que uma determinada
falha possa ser corrigida antes que se torne alvo de um ataque.
Com análise do histórico dos ataques a seguir, veremos como a exploração
das falhas pode afetar o funcionamento e a disponibilidade do sistema.
29
3.2 Pragas virtuais
O objetivo deste trabalho não consiste em estudar especificamente as
pragas virtuais, porém é aconselhável conhecer as funcionalidades e ações
desses códigos maliciosos. Código malicioso ou malware, pode ser definido como
programas mal-intencionados utilizados para realizar tarefas que colocam em
risco a segurança das informações de um sistema. (SILVA, 2005)
A seguir uma breve descrição sobre os diversos tipos de pragas:
• Vírus: é código escrito com o objetivo de contaminar sistemas
computacionais que se propaga rapidamente. É considerado um agente
hospedeiro que age fazendo cópia de seu próprio código e sua ação
está ligada diretamente à execução do programa ou do arquivo
infectado;
• Worms: Os worms são pragas que utilizam as vulnerabilidades ou a
configuração inadequada de um sistema para infectá-lo. Sua
disseminação é feita de forma automática, realizando cópias do próprio
código e não necessita de um arquivo ou programa para executar suas
funções. Comprometem os recursos computacionais, causando lentidão
no tráfego das informações e problemas no armazenamento de
arquivos, ocupando espaço demasiado em disco devido ao número de
cópias geradas;
• Bots: Possui as mesmas características que o worm, porém permite
que o atacante tenha acesso ao sistema através de um canal de
comunicação realizando ações como envio de phishing, captura de
senhas e dados do sistema em uso, ataques na Internet e causar a
indisponibilidade do sistema através de um ataque de negação de
serviço;(HSBC, 2005)
• Backdoors: Esses programas são considerados sérias ameaças a um
sistema computacional, pois permitem ao atacante acesso remoto.
Consiste na habilitação de um novo serviço ou alteração de um serviço
já existente no computador de maneira alterada. Sua instalação pode
ser feita por um invasor ou por um cavalo de tróia;
30
• Cavalos de Tróia (Trojan Horse): código malicioso que se propaga
normalmente através de e-mail, que através da execução de um
arquivo em anexo ocorre a infecção. Utiliza como arma a engenharia
social, aguçando a curiosidade das pessoas, insinuando em seu
conteúdo supostos cartões virtuais, jogos, fotos e outros que despertam
interesse do usuário. Os objetivos desse código consistem em: furtos
de dados sigilosos, como senhas e dados bancários; instalação de
códigos que facilitem a abertura de portas para que o atacante obtenha
o acesso remoto do sistema; disseminação de keyloggers e; corromper
arquivos;
• Keylogger: Programa capaz de fazer a captura e armazenamento dos
caracteres digitados pelo usuário; (HSBC,2005)
• Screenloggers: programa capaz de capturar imagens através a
movimentação do ponteiro de ações realizadas com o uso do mouse;
• Adware e Spyware: Adware, aplicações desenvolvidas para fins de
propaganda, porém também podem possuir funcionalidades de
spyware. Já os sypwares, são aplicações desenvolvidas para monitorar
a utilização de computadores enviando as informações para pessoas
interessadas, denominados programas espiões (CERT,2005). Suas
funcionalidades principais resumem-se em: furtos de senhas;
monitoramento do conteúdo de acesso a Internet; monitoramento e
verificação de programas e arquivos presentes no sistema; instalação
de outros programas maliciosos e; monitoramento de ações executadas
pelo mouse e teclado e;
• Rootkits: Conjunto de ferramentas responsáveis por camuflar e
garantir o acesso de um atacante durante uma invasão.(HSBC, 2005)
3.3 Evolução dos Ataques
O surgimento de novos ataques influencia as organizações em relação aos
investimentos feitos em segurança da informação. Os atacantes refinam cada vez
mais suas técnicas e métodos de invasão, o que exige dos profissionais de
segurança uma busca contínua de medidas de prevenção e de detecção de
31
ataques. É fundamental entender a evolução dos ataques, que deixam de atingir
somente as organizações, chegando aos usuários finais.
O conceito de ataque baseia-se na intenção de um agente mal
intencionado obter acesso aos recursos computacionais, colocando em risco a
segurança das informações. Segundo descrito no Glossário da Cartilha de
Segurança para Internet da CERT.br (CERT,2005c) ataque também pode ser
descrito como:
“Tentativa bem ou mal sucedida, de acesso ou uso não autorizado a um
programa ou computador. Também são considerados ataques as tentativas de
negação de serviço.”
O estudo da evolução dos ataques realizados por códigos maliciosos faz-
se necessário para entender as ações realizadas por essas pragas nos sistemas
operacionais Windows que inicialmente corrompiam arquivos de sistemas. No
passado o único objetivo do atacante era tornar-se conhecido pela destruição que
causava.(SILVA, 2005)
Atualmente, além de causar danos aos sistemas operacionais, existem
outros fatores envolvidos. A exploração de uma vulnerabilidade de sistema ou a
criação de um código malicioso passa a ter como objetivo a realização de fraudes
que visam principalmente obter vantagens financeiras.
Vários fatores contribuem para propagação dos ataques dentre os quais
estão: o crescimento do uso da Internet como meio de comunicação,
compartilhamento de arquivos, falhas no desenvolvimento de aplicações e
vulnerabilidades de sistemas operacionais.
Neste capítulo citaremos as evoluções do ataques e suas conseqüências,
evidenciando os prejuízos causados às vítimas e sua relação com a evolução dos
sistemas operacionais.
3.3.1 Anos 80
Antes dos anos 80, é possível encontrar algumas documentações, como a
RFC 706 “On the Junk Mail Problem” de novembro de 1975, escrita por Jon
Postel que trata de um tipo de ataque de negação de serviço causada por um
spam. No entanto, descreveremos os ataques a partir da década de 80, onde
32
encontraremos os primeiros casos de infecções de através de vírus e seus
métodos de propagação.
Com a disseminação do uso de computadores pessoais, lançamentos de
novos sistemas operacionais e uso do disquete como forma de compartilhamento
de arquivos começam a surgir os primeiros problemas relacionados a ataques
causados por vírus. Em seguida veremos os principais ataques ocorridos nesse
período(SILVA, 2005):
1986 – Vírus Brian: Esse foi considerado o primeiro ataque a computador
pessoal. Afetava o sistema MS-DOS, usava como meio de propagação a troca de
arquivos através de disquetes e atingindo o setor de boot. Conhecido também
como Lahone, Pakistani ou Pakistani Brain, o setor de boot era movido, marcado
como defeituoso e no lugar era carregava uma cópia do vírus que continha uma
mensagem de boas-vindas.
1987 – Vírus Sexta-feira 13 – Criado com o objetivo de atacar arquivos
com a extensão “.exe“ e “.com”. Também conhecido com o nome de vírus
israelense, tinha como objetivo destruir o maior número de arquivos possível no
dia 13 de maio de 1988, sexta-feira, data em que foi comemorado os 40 anos do
fim do Estado Palestino. A sua forma de propagação foi através de disquetes e
assim como o vírus Brian, afetava o setor de boot. Atingiu sistemas operacionais
IBM e caso não fosse descoberto um erro de código de programação do vírus
poderia ter afetado um grande número de arquivos, causando danos aos
sistemas.
1988 – Vírus Ping-pong – Através de um recurso gráfico, de uma bolinha
de ping-pong, aparecia na tela e fica pulando de um lado para outro, tornando
difícil a operação do PC. Sua disseminação foi feita através de disquetes, atingia
o setor de boot do sistema operacional MS-DOS.
1988 – Worm criado por Robert Morris – Ainda no ano de 1988, é criado
o primeiro worm, gerando preocupações de segurança para rede ARPANET.
Atingindo mais de 6000 computadores, explorava vulnerabilidades do sendmail,
finger e outros serviços. Morris foi condenado a pagar uma multa de dez mil
dólares e a cumprir três anos de prisão.
1989 – Vírus 1704 – Também conhecido Blackjack, apesar da sua
disseminação ter sido através de disquetes e atingir o sistema operacional MS-
33
DOS, sua forma de ataque difere dos outros vírus descritos. A cada arquivo
infectado, o vírus utilizava criptografia para alterar o arquivo atingido. Tem como
objetivo atingir arquivos com extensão “.exe” e acrescentava a esses arquivos
1704 bytes, explicando a origem do nome deste vírus.
3.3.2 Década de 90
A década de 90 é marcada pelo crescimento da utilização da Internet como
meio de comunicação. A utilização dos meios digitais, como e-mail, aumenta a
possibilidade da comunicação rápida entre as pessoas. No entanto, apesar dos
grandes benefícios, essa década é marcada pelo surgimento dos primeiros
ataques realizados remotamente, implementações de ferramentas para realizar
invasões, propagação de pragas virtuais rapidamente pela Internet, maior
utilização de termos relacionados a segurança da informação e utilização da
engenharia social14 .
Os anos 90, também são marcados pelo surgimento de ferramentas que
ajudam a aumentar a segurança dos arquivos e pela preocupação dos fabricantes
de sistemas operacionais na criação de um sistema resistente contra vírus.
Exemplo disso, em 1991, temos o lançamento do PGP (Pretty Good Privacy),
ferramenta criada por Philip Zimmerman, utilizada para criptografar arquivos. No
que diz respeito a sistemas operacionais, em 1995, a Microsoft lança Windows
95, prometendo que seria um sistema resistente a infecção de vírus, porém com a
evolução dos vírus de macro essa resistência deixou de existir. (SILVA, 2005)
A seguir descreveremos os principais acontecimentos relacionados a
ataques ocorridos nessa década e suas implicações a segurança das
informações:
1998 – Vírus Chernobyl – Tinha como objetivo atacar o sistema
operacional Windows 95. Sua propagação era feita através de troca de arquivos
em disquetes, porém havia outra forma mais perigosa de contaminação através
de transferência de arquivos usando protocolo FTP15 em rede local ou externa. A
14 “Termo é utilizado para descrever um método de ataque, onde alguém faz uso de persuasão muitas vezes abusando da ingenuidade ou confiança do usuário, para obter informações que podem ser utilizadas para ter acesso a computadores ou informações.” (CERT,2005) 15 FTP – File Transfer Protocol (Protocolo utilizado para transferência de arquivos).
34
contaminação era feita em arquivos com extensão “.exe”. O ataque era feito
sobrescrevendo o conteúdo da BIOS, tornando o sistema inoperante.
1999 – Vírus Melissa – Esse vírus ocasionou milhares de ataques com
abrangência mundial, com prejuízos aproximados de oitenta milhões de dólares.
O alto número de ataques foi possível graças ao uso da Internet, ou seja, cada
usuário contaminado poderia enviar dezenas de cópias do vírus através de um e-
mail que continha um arquivo com extensão “.doc” anexado. Esse arquivo
infectado atingia o arquivo de modelo global “Normal.dot”, do Word 97 ou Word
2000, que contaminava os arquivos criados após a infecção, tornando essa uma
outra forma de contaminação. A engenharia social pode ser considerada uma
colaboradora para que a contaminação fosse realizada em um grande número de
computadores, utilizando a curiosidade e ingenuidade das pessoas, já que na
disseminação do e-mail tinha como conteúdo do campo assunto “Mensagem
importante de” seguido do nome da vítima que também havia sido atacada e
estava enviando a mensagem com código malicioso. Sendo assim, o e-mail
inspirava confiança passando a idéia de ter sido enviado por uma pessoa
conhecida.
Após o ataque do vírus Melissa e dos prejuízos causados pelas infecções,
empresas e usuários começaram a investir mais em software de antivírus com
objetivo de aumentar a segurança da informação.
3.3.3 Ataque aos sistemas operacionais Windows explorando suas
vulnerabilidades – 2000 a 2005
Neste item, estudaremos os principais ataques ocorridos por pragas
virtuais explorando as falhas do ambiente operacional Windows, a partir do ano
2000.
Vemos uma grande evolução nas formas de ataques e as mudanças nas
suas características. A propagação de uma praga virtual torna-se um processo
rápido e eficiente que nem sempre exige a interação dos invasores. Há uma
grande diversidade de códigos maliciosos com múltiplas funcionalidades e
capazes de assumir o controle remotamente de uma rede sem a ciência do
responsável.
35
Outra mudança foi em relação às características dos atacantes, que
passam a ser pessoas com pouco conhecimento que utilizam ferramentas
automatizadas para realizar ataques. Acredita-se que há a participação do crime
organizado nos ataques que tem por objetivo arrecadar valores, através de
esquemas de extorsão e invasões (CERT,2005b).
O usuário final passa ser o foco dos ataques, é considerado um ponto
vulnerável graças a engenharia social e o aumento das transações financeiras
eletrônicas realizadas no ambiente doméstico.
O ambiente Windows é composto por diversos produtos ou componentes
que também apresentam vulnerabilidades que podem ser exploradas
ocasionando um ataque. Por isso, além de evidenciarmos as falhas dos sistemas,
demonstraremos algumas vulnerabilidades desses componentes, como por
exemplo falhas sobre o Internet Explorer passíveis a ataques.
A seguir descreveremos de forma sucinta as principais pragas virtuais
criadas entre 2000 a 2005 e como exploravam as vulnerabilidades dos sistemas
operacionais Windows e dos componentes instalados:
2000 – Vírus “Love Letter” ou “I love you” – Lançado em abril de 2000,
esse vírus teve sua propagação através de e-mail que continha um arquivo em
anexo de extensão “.vbs”, que ao executar criava uma cópia de si mesmo e
enviava uma cópia a todos os contatos do catálogo de endereço da ferramenta
Microsoft Outlook. Na época, foi considerada uma praga de altíssimo grau de
disseminação, atingindo sistemas operacionais Windows 95, 98, NT e 2000.
(SILVA,2005)
2001 – Vírus Code Red – Surgiu em julho de 2001, explorava a falha de
segurança do Windows NT 4.0 com IIS 4.0 e 5.0 e também do Windows 2000
com IIS 4.0 e 5.0. O ataque provocava a desconfiguração dos sites armazenados
nesses servidores e se propagava para outros servidores com a mesma
vulnerabilidade através da porta TCP 80.
2001 – Vírus Nimda - Suas principais formas de disseminação era via e-
mail e redes P2P. Tinha como objetivo explorar falhas de segurança dos sistemas
operacionais Windows, desde a edição do Windows 95 ao Windows XP, utilizando
cavalos de tróia para contaminação através de portas abertas.
36
2001 – BadTrans Worm Information – A disseminação dessa praga foi
considerada de larga escala, porém oferecia risco moderado, segundo a
Microsoft. explorava falhas do Internet 5.01 SP1 5.5 SP1. Esse código malicioso
permitia o envio de e-mails em massa, ou seja, sem o consentimento do usuário.
A contaminação acontecia no momento em que a mensagem era lida no Outlook,
sem que houvesse a necessidade de execução de código em anexo. Essa
vulnerabilidade está descrita no Boletim MS01-020 da Microsoft (MS01-020,
2001), que recomenda a atualização que contém a correção da falha e ainda
sugere que seja feito algum tipo de bloqueio de arquivos contendo as extensões
“.pif” ou “.src”.
2001 – W32.GonerA@mm – Também considerado um worm de ataque em
massa, utilizava o catálogo de endereço o Outlook para enviar mensagens a
todos os destinatários. A mensagem continha um arquivo em anexo chamado
“goner.scr” que quando acessado promovia a propagação da praga, finalizando
processos do sistema e apagando arquivos relacionados aos processos. Além do
e-mail, utilizava como meio de propagação o ICQ. A correção dessa falha do
Outlook foi sanada com a recomendação instalação do pacote de atualização
denominado “Outlook E-mail Security Update”, que permitia bloquear a praga.
2002 – W32.Klez – Envio de e-mail contendo a praga em massa, remoção
de arquivos que referenciam programas de antivírus e propagação de outro vírus
associado são os principais impactos causados por esse worm. Utilizava como
meio de propagação e-mail e compartilhamentos de rede. Explorava falhas do
Outlook 2000 pre-SR1 e Outlook Express. O vírus associado a estava mensagem
El_Kern-A, trafega na rede, contaminando sistemas operacionais Windows,
paralisando processos e provocando a reinicialização do sistema. Esse worm
possui diversas variantes como Klez-E e Klez-H. (TECHNET, 2005)
2002 – W32.Myparty@mm – É um tipo de praga que atingia aplicativos de
e-mail como Outlook e Outlook Express. Agia enviando e-mails em massa para
lista de contatos que possui como extensão “.dbx”, para isso utilizava o protocolo
SMTP, infectando o servidor responsável pelo envio de mensagens. O e-mail
contaminado possuía um arquivo em anexo que possibilitava a instalação do
backdoor AAF.W32/Myparty@MM se a data do sistema estivesse entre 25 a 29
de Janeiro de 2002.
37
2002 – JS/Exploit-Messenger – Os ataques dessa praga atingiam uma
das ferramentas de conversação mais utilizadas e propagava-se através do envio
de um link. Quando acessado espalhava a praga para todos os contatos da lista
de usuários da vítima, através do envio do endereço malicioso na janela de
conversação ou envio de e-mail para os contatos que estivesse offline. A correção
da falha é possível com a instalação da atualização do Internet Explorer, segundo
o boletim MS02-005 da Microsoft (MS02-005, 2002).
2002 – Mylife e variantes – Esse worm se multiplicava no diretório de
sistema do Windows, como “list480.txt.scr” e insere uma chave de registro para
que o código malicioso seja executado todo vez que o computador seja reiniciado.
Os impactos da contaminação podem ser descritos como envio de e-mail em
massa e propagação de cavalo de tróia. O Mylife possui outras variantes, porém
suas ações são similares, afetando sistemas de correio Outlook, através do envio
de mensagem contendo os mesmos tipos e tamanhos de arquivos.
2002 – W32/Braid@mm – Explorando vulnerabilidades do Microsoft
Outlook, Microsoft Outlook Express e aplicações voltadas para caixa postal de e-
mail essa praga utilizava como meio de propagação o envio de e-mails e também
se propagava através de compartilhamentos presentes na rede. (TECHNET,
2005)
2003 – W32.Lirva – A contaminação de sistemas por esse worm utilizava
diversos meios de propagação. Além de a disseminação ocorrer através do envio
de e-mails em massa, outra forma de contaminação era através de redes de
compartilhamentos de arquivos denominadas Peer to Peer.16 As mensagens no
corpo do e-mail tentavam induzir a vítima através de uma suposta correção que
deveria ser instalada para minimizar possíveis problemas no sistema. Explorava
falhas existentes no Microsoft Outlook, Microsoft Outlook Express e Internet
Explorer. Dentre os principais impactos causados por essa praga estão: captura
de senhas armazenadas e envio para o atacante; envio de e-mails contendo o
código malicioso para toda a lista de contatos; inserção de cópia de seu código no
diretório de sistema, adição de chaves no registro do Windows e fazia tentativas
para desabilitar o firewall ou antivírus presente no computador.
16 Redes de computadores que tem como função principal compartilhar arquivos. Essa nomenclatura é baseada na arquitetura utilizada, onde os equipamentos são interligados ponto a ponto.
38
2002 - Vírus Bugbear – Essa praga explorava falhas de segurança do
Internet Explorer 5.01 e 5.5 SP1. Essa vulnerabilidade era denominada como
“Incorrect Mime Header”, segundo o boletim de Microsoft MS01-020 (MS01-020,
2001). Utilizava como meios de propagação: a Internet, o e-mail que continha um
anexo com um código escrito em Visual C++ ou redes com compartilhamentos.
Essa praga foi considerada uma evolução em relação aos códigos maliciosos
existentes, pois além de infectar vários sistemas atingindo as plataformas desde o
Windows 95 até XP, fazia tentativas para desativar serviços de rede, antivírus e
firewall. O objetivo dessa ação era que após desativar os serviços fosse possível
a instalação de cavalo de tróia, comprometendo a segurança de todo sistema,
sendo possível acesso a dados sigilosos do usuário como senhas pessoais e
número de cartões de crédito.(SILVA, 2005)
2003 – Nachi – Esse worm possui altos níveis de propagação atingindo
sistemas operacionais Windows XP , Windows 2000 e o IIS 5.0. Dissemina-se
através da rede e instala um software não autorizado.
2003 – Sobig – O worm Sobig possui diversas variantes, que se propagam
através do envio de e-mails e compartilhamentos de rede, afetando sistemas de
e-mail Microsoft Outlook e Microsoft Outlook Express.
2003 – Blaster – Esse vírus explora vulnerabilidade do RPC (Remote
Procedure Local), presentes na plataforma Windows NT, 2000, XP e 2003,
varrendo a porta TCP 135 e caso se encontre vulnerável instala o arquivo
msblast.exe. Na época tinha como objetivo atingir o site da Microsoft,
www.windowsupdate.com, que era utilizado para atender requisições de
atualizações dos sistemas operacionais. A tentativa em sistemas infectados gerou
milhares de pacotes de requisições ao site, causando a negação de serviço (DoS
– Denial of Service).
2004 – Mydoom – O recurso principal para a instalação dessa praga é a
engenharia social, pois não explora nenhuma vulnerabilidade de software. Sua
forma de propagação mais utilizada é o e-mail que contém um arquivo em anexo
com extensões “.zip”, “.cmd”, “.exe” , “.bat” ou “.scr”. Tenta convencer o usuário a
abrir o arquivo em anexo, através do preenchimento apelativo do campo assunto
da mensagem como: “Hi”, “Test”, “Hello”, “Status”, “Mail Delivery System”, “Server
Report” ou “Error” . Tinha como objetivo atingir o site de uma empresa de software
39
americana e também utilizar cavalos de tróia abrindo as portas TCP 3127 a 3198
utilizando o componente shimgapi.dll permitindo que o atacante assumisse o
controle da máquina remotamente. (SILVA, 2005)
2004 – Vírus NetSky – Assim como o Mydoom, o NetSky utiliza como
recurso principal para a disseminação a engenharia social, convencendo os
usuários a acessarem e-mails com conteúdo malicioso. Esse vírus faz diversas
cópias de si mesmo, enviando-as por e-mail ou redes compartilhadas. Essa
mensagem é enviada com um arquivo em anexo com extensão “.zip” ou “.exe”,
atingindo sistemas Windows 95 a 2003.
2004 – Sasser - O Sasser apesar de possuir as mesmas características
que o Blaster e o Mydom, explora outras vulnerabilidades dos sistemas. A
contaminação pode ocorrer em sistemas operacionais Windows 2000 e XP,
explorando a vulnerabilidade do “Local Security Authority Subsystem Service”
(LSASS), paralisando o serviço e exibindo uma mensagem que o sistema será
finalizado. Essa praga possui diversas variantes como B, C, D, E e F explorando
a mesma falha descrita anteriormente. A praga faz uma cópia de si mesmo na
pasta de instalação do sistema operacional, insere uma chave no registro para
que seja executada toda vez que o Windows for inicializado, utiliza a API
“AbortSystemShutdown” para que o computador não possa ser desligado ou
reiniciado corretamente, utiliza o serviço FTP na porta 5554 para propagar o vírus,
gera um endereço IP aleatório conectando-se a porta TCP 445 para verificar se o
computador remoto está ativo. Caso a resposta seja positiva, o atacante envia
uma cópia do worm através do protocolo FTP e executará o código malicioso.
2004 – Zafi - Esse worm faz uma cópia de si mesmo no diretório de
sistema e insere uma chave no registro do Windows. Dissemina-se enviando
cópias do seu código para lista de contato encontrada e também é responsável
por finalizar alguns processos relacionados a segurança do sistema.
2005 – Zotob – Trata-se de um código malicioso que explora
vulnerabilidades do sistema operacional Windows 2000, possibilitando a
instalação de código malicioso e realizando pesquisas no ambiente de rede com o
objetivo de encontrar outros computadores para serem infectados. Também
possui diversas variantes A, B, C, D e E.
40
2005 – Mytob – O Mytob utiliza como formas de disseminação: o envio de
e-mail em massa contendo cópia do seu código malicioso para a lista de contatos
do computador atacado ou envio de links que direcionam para o worm; envio de
mensagem contaminada utilizando o MSN Messenger ou Windows Messenger.
Explora compartilhamentos de rede com senhas fracas inserindo uma cópia de si
mesmo, aproveita-se da vulnerabilidade de buffer overflow do DCOM RPC para
enviar e executar cópias do código infectando outros computadores e também
explora a falha de buffer overflow do serviço LSASS executando a mesma ação
descrita anteriormente.
2005 – W32.Gaobot – Esse worm é capaz de explorar até oito
vulnerabilidades do sistemas operacionais. Faz uma cópia de si mesmo na pasta
Windows ou System e insere uma chave no registro para que toda vez que o
sistema seja iniciado, o código seja executado. A praga conecta-se remotamente
pela IRC e especifica um canal, podendo executar ações como varreduras de
máquinas não atualizadas, downloads e execução de arquivos, adição de
usuários, detectar a configuração do computador infectado e atualização do
código malicioso. (TECHNET, 2005)
No próximo item, será apresentada uma síntese das evoluções dos
ataques destacando as principais vulnerabilidades exploradas por essas pragas.
3.3.4 Síntese da evolução dos ataques evidenciando as principais
vulnerabilidades
Devido ao grande número de ataques ocorridos, na Tabela 7 , faremos
uma síntese dos principais ataques ocorridos. Será demonstrado também, um
resumo das principais vulnerabilidades exploradas pelas pragas virtuais:
41
Código Malicioso
Vulnerabilidades Exploradas
Sistemas Afetados
Love Letter ou “I love you”
Falha de Segurança do Outlook. Falha do sistema de autenticação. Windows 95, 98, NT e 2000
Code Red Falhas do IIS 4.0 e 5.0 Windows NT 4.0 e 2000 com IIS 4.0 e 5.0
Nimda Falhas do IIS 4.0 e 5.0. Falha de cabeçalho MIME, que permite a execução do arquivo em anexo do e-mail.
Windows com IIS 4.0 e 5.0; Windows 95, 98, NT e 2000; Outlook e Outlook Express; IE5.5 SP1 ou anterior
BadTrans Worm Information
Falha de cabeçalho MIME, que permite a execução do arquivo em anexo do e-mail.
IE 5.01; IE 5.5 ; Outlook 2000 pre-SR1 e Outlook Express
W32.Goner Falhas de segurança do Outlook. Outlook
W32.Klez Falha de cabeçalho MIME, que permite a execução do arquivo em anexo do e-mail.
IE 5.01; IE 5.5 ; Outlook 2000 pre-SR1 e Outlook Express
W32.Myparty Falha de Segurança do Outlook e Outlook Express Outlook 98, 2000 pre-SR1 e Outlook Express
JS/Exploit-Messenger Falhas do IE 5.1, 5.5 e 6.0. Microsoft MSN Messenger
W32.Lirva Falha de cabeçalho MIME, que permite a execução do arquivo em anexo do e-mail.
IE 5.01; IE 5.5; Outlook e Outlook Express
Mylife Falhas de segurança do Outlook. Outlook e Outlook Express
W32/Braid Falha de cabeçalho MIME, que permite a execução do arquivo em anexo do e-mail. IE 5.01 e IE 5.5
Vírus Bugbear Falha de cabeçalho MIME que permite a execução do arquivo em anexo do e-mail. Falhas de validação do certificado digital.
IE 5.01 e IE 5.5
Nachi Falha no serviço RPC do DCOM; Falha do WebDav17; falha de buffer overflow do serviço da estação de trabalho; falha do Serviço Localizador.
Windows XP e 2000
Sobig Falhas do IE 5.0 e 5.5. Windows 95, 98, Me, NT, 2000 e XP
Blaster Falha no serviço RPC do DCOM, permitindo a execução de código remoto. Windows XP e 2000.
Mydoom Falha de buffer overflow do Internet Explorer. IE 6.0 com Windows XP SP1 e Windows 2000
Sasser Falha de buffer do serviço LSASS. Windows: 2000 e XP Falha do Serviço Plug and Play, se explorado permite a execução de código remoto e elevação de privilégios. Windows: 2000, XP e 2003
Zotob Brecha no serviço de resposta do cliente Web
Windows: XP SP1, XP 64-Bit Edition SP1 e Edition Version 2003; Server 2003
Falha no serviço RPC, permitindo a execução de código remoto.
Windows : NT4.0, 2000, XP e 2003 Server Mytob
Falhas: LSASS, LDAP18, Winlogon, Metafile, H.32319, ASN.1 Windows: NT4.0, 2000, XP e 2003
Falha de checagem de buffer de Plug and Play Windows: 98, 98SE, ME, XP.
Elevação de Privilégio do usuário Web para SQL SQL Server 7.0 e 2000; MSDE 1.0 e 2000.
Vulnerabilidade de DCOM RPC Windows: NT4.0; 2000; XP; 2003 Vulnerabilidade WebDav Windows: NT4.0; 2000; XP Falha de buffer não verificado no serviço Microsoft Messenger Windows: NT4.0; 2000; XP; 2003
Falha do serviço localizador Windows: NT4.0; 2000; XP
W32.Gaobot
A vulnerabilidade de buffer não verificado no serviço Workstation Windows: NT4.0; 2000; XP; 2003
Tabela 7. Principais ataques ocorridos entre 2000 a 2005
Na medida em que os sistemas operacionais evoluíram novas técnicas de
ataques surgiram para que tornasse possível a exploração das vulnerabilidades 17 Web-based Distributed Authoring as Versioning, componente que permite aos usuários manipular arquivos aramzenados nos servidores WEB. 18 Afeta somente Windows 2000 19 Pode atingir sistemas operacionais Windows 98. 98SE e ME.
42
desses sistemas. No entanto, o foco do trabalho não consiste em indicar qual o
sistema mais adequado para utilização em computadores pessoais ou em
servidores.
O objetivo é demonstrar como as vulnerabilidades dos sistemas
operacionais Windows e de seus componentes puderam ser exploradas pelas
pragas virtuais. E também, apresentar qual foi a contribuição dessas técnicas
maliciosas para os ataques ocorridos atualmente, que buscam obter lucros
financeiros, atingindo vítimas, principalmente, durante transações bancárias e
contribuindo para o aumento das fraudes eletrônicas.
No capítulo a seguir, será descrito o cenário atual e os agentes que
contribuem para a efetivação dos ataques.
43
4 SITUAÇÃO ATUAL – ATAQUES VOLTADOS PARA A REALIZAÇÃO DE FRAUDES
Fazendo uma pequena retrospectiva dos ataques ocorridos, a partir do ano
de 2002, os códigos maliciosos começam a ser utilizados para funções
especificas, porém visando um objetivo lucrativo, o roubo de valores, ou seja
fraudes em meios eletrônicos. Nesse período notamos o surgimento de diversos
códigos maliciosos com múltiplas funcionalidades, facilmente adaptável quase
sem a necessidade da ação dos atacantes. (CERT, 2005). Esses fatos podem ser
considerados os primeiros indícios de uma tendência de ataques que surgiriam de
uma maneira assustadora em 2005.
Em 2005, conforme levantamento realizado pelo Centro de Estudos,
Resposta e Tratamento de Incidentes no Brasil, as fraudes virtuais aumentaram
mais de 500%, em comparação ao mesmo período no ano de 2004. A estatística
assustadora evidencia a sofisticação, a eficiência dos ataques e o que provocou
um prejuízo estimado em aproximadamente R$ 300 milhões de reais para as
vítimas.(NOVO, 2006). Na Tabela 8, encontram-se o total de incidentes relatados
ao CERT.br no período de 2004 a 2006:
Ano Total de Incidentes Fraudes %
2004 75722 4015 5% 2005 68000 27292 40% 2006 197892 4177620 21%
Tabela 8. Incidentes relatados a CERT.br de 2004 a 2006
Em 2004, as fraudes correspondiam apenas a 5% do total de incidentes
reportados. Já em 2005, o percentual sobe para 40% apesar do número de total
de incidente ser menor do que 2004. E finalmente, em 2006, o percentual é de
21%, porém o índice de incidentes em quantidade de ataques é bem maior do
que nos anos anteriores. É possível que esse número tenha aumentado, devido
ao interesse dos usuários, instituições financeiras e empresas de segurança em
buscar soluções para este tipo de problema. Outra possibilidade, considerada 20 Dados baseados em Incidentes reportados de Janeiro a Dezembro de 2006. http://www.cert.br/stats/incidentes/
44
bastante viável é o aumento de acesso às instituições financeiras, o que
conseqüentemente elevou o número de fraudes.
Com esses dados é possível demonstrar graficamente o aumento das
fraudes ocorridas entre 2004 a 2006:
Figura 1. Estatísticas de Incidentes ocorridos entre 2004 a 2006
Outro dado alarmante, publicado em maio de 2005 pela IBM, em uma
pesquisa realizada com mais de 500 mil sistemas e 2,7 mil profissionais de
segurança, registrou o crescimento 200% do phishing scam21 em um mês. Além
dessa estatística, também foi possível detectar que 30% dos e-mails que circulam
todos os dias estão infectados por algum tipo de malware. Segundo os
pesquisadores o aumento dessas ameaças está relacionado a elevação do
número de computadores zumbis, botnets, que enviam e-mails infectados sem o
conhecimento da vítima. (INFO, 2006c)
Além disso,o Brasil em 2005, segundo estudo da empresa de segurança
Symantec, possui cerca de 120 mil computadores zumbis, liderando o ranking na
América Latina com 19% do total. (INFO, 2006c)
21 O assunto relacionado a phishing scam será tratado ainda neste capítulo.
Estatísticas de Incidentes Reportados entre 2004 a 2006
050000
100000150000200000
2004 2005 2006Anos
Total deIncidentesFraudes
45
O foco da situação atual consiste nos anos de 2005 e 2006, onde o
aumento das fraudes virtuais é considerado bastante significativo. As
características do ataques realizados nesse período apresentam–se diferentes,
buscando explorar as falhas freqüentes em um período curto, utilizando códigos
automatizados e tendo como alvo o usuário final.
O método de disseminação mais utilizado é o e-mail, que induz o usuário a
receber uma mensagem enganosa, colocando em risco toda a segurança do
sistema. Apesar dos inúmeros alertas publicados pelas instituições financeiras,
empresas particulares de segurança da informação e de centros de combate às
fraudes, os usuários continuam vulneráveis as táticas de engenharia social
utilizadas pelos atacantes.
Portanto, o objetivo deste capítulo é tratar como as fraudes eletrônicas
podem ocorrer, evidenciando os agentes responsáveis e como as
vulnerabilidades dos sistemas operacionais podem ser exploradas para a
efetivação de um ataque.
4.1 Conceito de Fraude Eletrônica
Diversas pesquisas e investimentos na área da segurança da informação
têm sido realizados buscando uma forma de mitigar os prejuízos ocasionados
pelo aumento das fraudes eletrônicas.
O conceito de fraude eletrônica pode ser definido como forma ilícita de
obter recursos utilizando meios eletrônicos através da Internet onde o agente mal-
intencionado usa a capacidade de convencer ou induzir a vítima a realizar ações
que colaborem com a efetivação do golpe. Diante desse fato é notável observar
que os ataques não possuem somente os usuários de computadores como alvos.
Geralmente, o primeiro passo para a realização de uma fraude é o envio de
um e-mail contendo uma mensagem falsa que tenta convencer o usuário a
executar ações como, por exemplo, clicar em um link para acessar a página de
um banco. Esse tipo de mensagem é denominado como phishing scam.
O phishing scam, o scam e pharming, são os agentes mais utilizados nas
tentativas de fraudes financeiras no Brasil. No entanto, os ataques relacionados a
pharming são realizados com mais freqüência no exterior. (LAU, 2006)
46
Nos próximos itens, serão detalhados como agem esses agentes e suas
definições.
4.2 Phishing Scam
O phishing scam pode ser definido como mensagens falsas enviadas por e-
mail com o intuito de enganar a vítima e induzi-la a revelar dados pessoais como
senhas de banco, por exemplo. A CERT.br (CERT, 2005c, p7) define esse tipo de
técnica de fraudulenta como:
“Também conhecido como phishing scam ou phishing/scam. Mensagem
não solicitada que se passa por comunicação de uma instituição conhecida, como
banco, empresa ou site popular e que procura induzir usuários ao fornecimento de
dados pessoais e financeiros...”
Essa nomenclatura phishing surgiu em 1996, quando fraudadores
utilizaram uma técnica para capturar senhas da América Online (INFO, 2006c).
As características principais desse tipo de mensagem eletrônica fraudulenta
consistem em: e-mails possuindo em seu conteúdo logomarcas conhecidas,
porém forjadas; links que direcionam para páginas falsificadas; induz a vítima a
fornecer seus dados através do preenchimento de formulários falsificados em
páginas WEB ou através do e-mail e; as informações capturadas são enviadas
aos fraudadores através do protocolo HTTP.(LAU, 2006)
Através da análise das características do phishing scam nota-se que o uso
da engenharia social é fundamental para persuadir a vítima a executar ações que
colaborem com o atacante.
Como dito anteriormente, as vulnerabilidades existem e podem ser
exploradas, porém é grande a preocupação em relação ao comportamento do
usuário diante de uma situação que ofereça risco de fraudes. Por isso as
instituições financeiras insistem na importância da educação dos seus clientes,
alertando-os e desenvolvendo ferramentas de proteção para os computadores e
melhorando a segurança dos aplicativos utilizados durante as transações.
Segundo a Websense, empresa americana de segurança, estima que a
cada dia surgem aproximadamente 1500 novos tipos de phishing. Outro número
preocupante está relacionado ao número de relatos de incidentes que em
47
Julho/2006 chegaram a 23670, conforme pesquisa da empresa APWG.(INFO,
2006c).
Atualmente, as ameaças acontecem de uma forma mais complexa,
expondo a vítima a mais de um tipo de perigo. O phishing pode trazer junto a
mensagem fraudulenta vários tipos de códigos maliciosos como spyware,
keylogger, cavalo de tróia e worms.
Essas pragas virtuais instalam-se nos computadores pessoais, explorando
as vulnerabilidades dos sistemas operacionais ou software e buscando meios
para efetivar ações fraudulentas.
Além do e-mail existem outras formas de disseminação do phishing como
páginas contendo links mal-intencionados, links recebidos durante utilização de
ferramenta de comunicadores instantâneos e links em sites de relacionamento,
como o Orkut.
4.3 Scam
O scam consiste em ato fraudulento, considerado um golpe, que tem como
objetivo enganar a vítima e tendo como resultado ganhos financeiros ao
fraudador.De acordo com a CERT.br(Fraudes, p 5), scam é definido como:
“O scam (ou “golpe”) é qualquer esquema ou ação enganosa e/ou
fraudulenta que, normalmente, tem como finalidade obter vantagens financeiras.”
Os meios de propagação utilizados pelo scam, são páginas fraudulentas na
Internet e recebimento de mensagens enganosas através do e-mail. No caso, das
páginas Web, as fraudes utilizam mensagens apelativas como oferecimento de
prêmios, concursos, loterias e leilões de produtos com preços atrativos, induzindo
a vítima a fornecer seus dados pessoais, até mesmo pagar taxas para receber o
produto que, provavelmente, nunca será entregue e constituindo o golpe.
Em relação as mensagens recebidas por e-mail possuem características
semelhantes ao phishing, utilizando técnicas que convencem a vítima a acessar
links forjados, instalando programas como cavalos de tróia e infectando o
computador da vítima. Esses programas maliciosos têm como objetivo capturar
informações da vítima como dados bancários, que podem ser obtidas durante
uma transação financeira, por exemplo, através do Internet Banking.
48
Dentre os dois meios de disseminação citados, o e-mail é o mais utilizado
tendo sua origem no golpe conhecido como cartas nigerianas22 ou esquema
nigeriano. Esse golpe antigo foi disseminado do correio normal para o fax e logo
em seguida, para a Internet. Consiste em uma mensagem de ajuda aos países
africanos, que segundo o golpe, possuem uma quantia vultosa em dinheiro que
estaria bloqueada por algum problema político ou legal, solicitando da vítima seus
dados bancários para que o dinheiro seja transferido e retirado do país e em,
troca promete recompensas. (HSBC,2005)
É possível definir o scam no ambiente Internet brasileiro como uma
mensagem capaz de conter uma logomarca ou um link forjados, utilizando
engenharia social para induzir vítima a instalar códigos maliciosos, utilizados para
capturar informações confidenciais, que podem ser obtidas sem que sejam
percebidas pelo usuário ou apresentar páginas falsificadas, sobrepostas
persuadindo a digitação dos dados que poderão ser transmitidos por meios de
protocolos de transporte como FTP ou SMTP23. (LAU, 2006)
O CERT.br ainda, possui em sua Cartilha de Segurança para a Internet,
uma tabela contendo diversos temas das mensagens de scam. No entanto, é
preciso estar sempre atento as tendências e mudanças dos temas, já que a cada
dia surgem novas formas de ludibriar as vítimas para a execução de um ataque.
4.4 Pharming
Essa técnica utiliza servidores com DNS alterados ou um programa
malicioso para alterar o roteamento e redireciona a vítima a uma página falsa,
porém similar a da instituição, induzindo o usuário a fornecer dados pessoais, que
serão utilizados posteriormente pelo atacante para cometer fraudes. (SILVA,2005)
Na utilização de servidores DNS adulterados, o atacante explora as
vulnerabilidades do sistema operacional e altera arquivos ou configurações dos
serviços responsáveis pela resolução de nomes dos provedores de acesso. Esse
tipo de ataque pode ocorrer através da exploração de falhas de configuração de
22 Esse esquema recebe o nome de Nigeriano, devido ao seu país de origem.Porém atualmente, os países como Inglaterra, Canadá, Ásia, Europa e Estados Unidos são os maiores responsáveis pelo envio deste tipo de mensagem, espalhando para o mundo todo. (LAU, 2006) 23 SMTP – Simple Mail Transfer Protocol, protocolo utilizado para o envio de e-mail.
49
um equipamento de rede, como por exemplo um roteador, ou uma falha no
serviço de resolução de nomes.
Quando um programa malicioso é utilizado para a execução do ataque, o
arquivo de configuração de nomes do sistema operacional é adulterado. No caso
dos sistemas operacionais baseados em Windows, o arquivo adulterado é o Hosts
que possui como função determinar como serão feitos os acessos às páginas. A
propagação desse código malicioso, geralmente ocorre através de scam que
instala um cavalo de tróia no computador tendo como função alterar o arquivo
Hosts inserindo endereços de páginas falsas e posteriormente induzir a vítima a
acessar e fornecer dados que serão utilizados na efetivação de uma fraude.
Os ataques utilizando a técnica de pharming apresentam estatísticas de
crescimento elevadas, principalmente no exterior.
No próximo item será descrito como as vulnerabilidades dos sistemas
operacionais contribuem com os agentes de ataques para a efetivação de uma
fraude.
4.5 Vulnerabilidades e agentes de ataques
Nos itens anteriores, foram descritos os três agentes de ataque mais
utilizados: o phishing, o scam e o pharming. Através da descrição foi possível
entender como cada mecanismo se comporta durante a efetivação de um ataque.
No entanto, é preciso entender como as vulnerabilidades dos sistemas
operacionais podem ser exploradas por essas técnicas.(LAU, 2006)
Com o aparecimento das técnicas de scam, também surgiram as primeiras
mensagens eletrônicas que traziam como anexos, programas maliciosos como
cavalos de tróia. Essas mensagens eram forjadas, pois utilizavam nomes de
instituições financeiras conhecidas para ludibriar a vítima a fornecer suas
credenciais bancárias. Em muitos casos, os atacantes aproveitavam a fragilidade
dos sistemas operacionais e exploravam falhas para que fossem instalados
códigos maliciosos, que posteriormente poderiam ser utilizados para a alteração
de um arquivo de configuração, como exemplo Hosts24, ou para detectarem
portas abertas que seriam utilizadas pelo invasor, para realizar acessos remotos e 24 Esse ataque é exemplificado no item 4.4, que descreve o método de pharming.
50
capturar dados sigilosos da vítima. A infecção se tornava possível porque os
arquivos maliciosos possuíam extensões “.exe”, “.zip”, “.scr” e “ rar”, que eram
interpretados pelo próprio sistema operacional.
A técnica de scam apresenta diversas evoluções que colaboram cada vez
mais na captura dos dados da vítima e exploram as vulnerabilidades do ambiente
operacional. Dentre essas evoluções, o cavalo de tróia age como um agente de
captura de informações que são digitadas pela vítima25 ou através da coleta de
imagens de ações executadas pelo mouse26, por exemplo. As capturas eram
realizadas no momento em que a vítima utilizava o Internet Banking para realizar
operações bancárias. Surgem também, códigos maliciosos que simulam teclados
virtuais falsificados que sobrepostos aos originais simulavam um ambiente seguro
para realização das operações.
Um quadro evolutivo também é apresentado no que se refere às técnicas
de detecção e prevenção pelas empresas fabricantes de ferramentas capazes de
combater a proliferação desses ataques. Já em relação às vulnerabilidades dos
sistemas operacionais, muito se trabalhou para corrigir falhas dos sistemas e
componentes, que exploradas pelo código malicioso comprometiam a segurança.
Medidas de combate e prevenção que poderiam ser implementadas como uma
funcionalidade dos sistemas operacionais, mas não foram efetivadas. No entanto,
hipoteticamente, é possível dizer que a implementação de uma medida de
segurança poderia tornar o desenvolvimento do código fonte do sistema mais
complexo ou comprometer a execução de processos vitais do sistema devido à
necessidade de processamento para execução da funcionalidade de segurança.
As medidas de seguranças tomadas pelas empresas de antivírus, fizeram
com que os atacantes utilizassem uma nova forma de ataque através do phishing
scam. As mensagens fraudulentas enviadas por e-mail já não se baseavam em
páginas de instituições financeiras e passavam a ter em seu conteúdo links que
direcionavam para páginas que continham cavalos de tróia. Isso dificultava a
detecção, pois o problema não estava concentrado no arquivo em anexo e sim,
na URL existente na mensagem. Outra forma de ludibriar o sistema de detecção
de pragas foi apresentada através de arquivos que continham extensão “.jpg” e
25 A sentença “captura de informações digitadas pela vítima”, refere-se a funcionalidade de keyloggers. 26 A sentença “ações executadas pelo mouse”, refere-se a funcionalidade de screenloggers.
51
utilizavam um sistema de busca responsável pela atualização dos módulos do
código que era feito via FTP ou SMTP. Isso era possível, pois as ferramentas
proteção tinham a funcionalidade apenas de detecção das extensões executáveis.
Outra vulnerabilidade que foi largamente explorada pelos atacantes foi a
possibilidade de adulteração no serviço de resolução de nomes. Como dissemos
no item 4.4, a técnica de pharming foi amplamente explorada. O
redireciomamento era feito para uma página fraudada que procurava persuadir a
vítima a fornecer suas credenciais bancárias.
As falhas dos componentes dos sistemas operacionais também se
tornaram alvos de ataques. Citamos como o exemplo, o Outlook, componente
utilizado para o recebimento e envio de e-mail. O agente mal-intencionado
enviava um código contendo uma seqüência de passos que executavam o
download, a instalação e a infecção do sistema, isso ocorria com apenas a
visualização do conteúdo da mensagem.
O contexto principal deste item foi explicar como agentes responsáveis
pela efetivação de fraudes eletrônicas exploraram vulnerabilidades de um sistema
operacional a fim de executar ações maliciosas que comprometem a segurança
dos dados da vítima.
Além das correções e atualizações constantes dos sistemas operacionais,
as instituições financeiras preocupadas com seus clientes têm desenvolvido
medidas para mitigar os riscos de fraudes eletrônicas, conforme veremos no
próximo capítulo.
52
5 MEDIDAS DE SEGURANÇA PARA PREVENÇÃO DE FRAUDES ELETRÔNICAS
Este capítulo apresenta as principais medidas de segurança tomadas pelo
fabricante do sistema operacional Windows e também as ações tomadas pelas
instituições financeiras no objetivo de mitigar os riscos de fraudes que ocorrem
durante as transações on-line27.
Outras formas de prevenção também podem agregar segurança ao
sistema, como a mudança de comportamento do usuário em relação ao uso do
computador. Manuais, cartilhas, dicas em sites e até cursos e-learning são
recursos utilizados pelas instituições e até pelo fabricante, conforme descrito a
seguir.
5.1 Medidas de Segurança do Windows
Os sistemas operacionais Windows apresentaram diversas melhorias nas
funcionalidades, conforme a sua evolução28 . Porém após o surgimento das
primeiras pragas virtuais29, ocorreu uma maior preocupação em desenvolver
medidas que oferecessem segurança ao sistema.
Este capítulo apresenta as medidas de segurança implementadas pelo
fabricante. Porém serão descritas as medidas atuais com o foco sobre o usuário
final, que é a maior vítima dos agentes de ataque.
5.1.1 Atualizações de segurança
Um dos problemas mais freqüentes relacionados a segurança da
informação possui como causa principal a falta de atualização do sistema. O
usuário por falta de tempo ou até mesmo conhecimento não possui a boa prática
de atualizar periodicamente o sistema operacional e outros softwares instalados
em seu computador.
27 O termo on-line refere-se a transações executadas em tempo real. 28 Verificar Capítulo 2. 29 Verificar item 3.3 .
53
A Microsoft publica mensalmente boletins com as atualizações de
segurança necessárias para o funcionamento dos sistemas. Porém muitas falhas
de segurança continuam sendo exploradas pelos atacantes através da instalação
de pragas ou invasões.
As atualizações de segurança são tão importantes quanto as ferramentas
de segurança utilizadas para mitigar os riscos de ataques. Por isso, alertas de
segurança são divulgados por empresas de segurança, instituições financeiras e
pelo próprio fabricante.
O próximo item deste capítulo que trata das medidas de segurança do
Windows XP e irá descrever o quanto as atualizações contidas no Service Pack 2
– SP2, trouxe benefícios a segurança das informações dos usuários desse
sistema operacional.
5.1.2 Medidas de Segurança do Windows XP SP2
No item 2.1.11, foram descritas as principais funcionalidades das edições
do Windows XP. No entanto, após o lançamento foram detectadas várias
vulnerabilidades que comprometiam a segurança do sistema.
A Microsoft com o objetivo de corrigir essas falhas e aprimorar a segurança
do sistema lançou em setembro de 2004, o Service Pack 2(SP2). O SP2 foi
considerado pelo fabricante o principal pacote de segurança publicado, porém era
incompatível com algumas aplicações na época do lançamento. (MICROSOFT,
2006)
Dentre as principais melhorias está a funcionalidade conhecida como
Central de Segurança que tinha como recurso principal gerenciar os componentes
de segurança:
Firewall do Windows – nesse pacote o firewall é uma versão aprimorada
da existente no Windows XP original e na instalação já é ativado por padrão; Atualizações Automáticas – recomenda-se que este componente esteja
ativo e configurado e;
Proteção contra vírus – esse componente tem como função monitorar as
funções do antivírus.
54
Outras medidas de segurança tomadas pelo SP2 estão relacionadas aos
componentes do Windows: Outlook Express e Internet Explorer. O Outlook
apresentou como medida principal o bloqueio automático, por padrão, de imagens
em mensagens HTML, que eram utilizadas pelos atacantes de forma ilícita para
obter as configurações da vítima. Já as melhorias de segurança do Internet
Explorer serão descritas no item a seguir.
5.1.3 Medidas de Segurança do Internet Explorer 6.0
O Internet Explorer (IE) é considerado o navegador mais utilizado em todo
o mundo, o que o torna principal alvo de ataques e golpes que exploram falhas
desses componentes. Algumas tecnologias implementadas no IE, apresentam
falhas de segurança como são os casos do Active X e do Javascript.
O navegador Internet Explorer (IE) apresenta diversas versões. A versão a
ser estudada refere-se a 6.0. As versões anteriores não foram foco da pesquisa,
pois não são recomendadas para uso por apresentarem grande quantidade de
falhas de segurança.
Apesar do lançamento IE 7.0 (ver item 5.1.5), é importante conhecer as
características de segurança da IE 6.0, pois essa versão é amplamente utilizada
para navegação.
A IE 6.0, apresenta recursos aprimorados voltados à segurança como:
• Bloqueador de pop-up;
• Mecanismo de bloqueio de download de arquivos não solicitados;
• Controle de cookies, utilizando uma ferramenta30 que protege as
informações coletadas pelos sites Web;
• Mecanismo de coleta de falhas que podem ser enviadas ao
fabricante para possível análise e;
• Oferece suporte a implementação de aplicativos31 voltados a Web.
30 Essa ferramenta oferece suporte a Plataforma de Preferência de Privacidade (P3P), um padrão em desenvolvimento pelo World Wide Web Consortium (W3C). (http://www.microsoft.com/brasil/windows/ie/default.mspx) 31 O detalhamento sobre o suporte aos aplicativos pode ser visto no site da Microsoft (http://www.microsoft.com/brasil/windows/ie/features.mspx)
55
O objetivo desse item consistiu em descrever, sucintamente, as principais
melhorias dos recursos do IE 6.0. Essa descrição foi baseada no site da Microsoft
(http://www.microsoft.com/brasil/windows/ie/ie6/default.mspx), onde é possível
encontrar o detalhamento desses recursos.
O IE 6.0 apresenta também um pacote de atualização (IE 6.0 SP1), que
também deve ser instalado para aprimorar a segurança da navegação.Com o
lançamento SP2 do Windows XP, o IE 6.0 passou a ser amplamente utilizado,
pois está integrado no pacote de atualização.
No próximo item, serão descritas as principais medidas de segurança
implementadas pelo Windows Vista que também possui em sua instalação a
versão 7.0 do IE.
5.1.4 Medidas de Segurança do Windows Vista
O Windows Vista, que já foi comentado no item 2.1.12, trará medidas de
segurança que prometem garantir a proteção contra programas maliciosos e
detectar se o ambiente operacional está devidamente seguro.
As medidas de segurança, implementadas no Windows Vista consistem
em:
• Controle de Contas de Usuários: onde as permissões do usuário
são restritas ao tipo de acesso que irá executar no sistema. Por
exemplo, função administrativa como instalação de software ou se
será apenas um usuário padrão;
• Implementação do conceito de segurança em camadas: para
evitar os ataques de códigos maliciosos;
• Instalação do Windows Defender: para proteger o sistema contra
spywares ou outros programas indesejados e;
• IE 7.0, que está integrado ao pacote de instalação: com o
objetivo de oferecer funcionalidades de segurança ao sistema
operacional.
As informações sobre as medidas de segurança do Windows Vista
foram baseadas no site da Microsoft:
(www.microsoft.com/brasil/windowsvista/features/foreveryone/security.mspx)
56
Apesar das várias implementações visando aumentar a segurança do
sistema operacional, é difícil fazer uma análise já que o sistema ainda não foi
lançado oficialmente. Assim, como o Windows XP prometia medidas eficientes de
segurança quando lançado, porém várias falhas de segurança foram encontradas
e exploradas por pragas virtuais, torna uma tarefa complexa afirmar que o
Windows Vista atenderá todas as expectativas em relação a segurança do
sistema.
O próximo item deste capítulo, discutirá os mecanismos de segurança
implementados no Internet Explorer 7.0, que conforme descrito acima faz parte do
pacote de instalação do Windows Vista.
5.1.5 Medidas de segurança Internet Explorer 7.0
O Internet Explorer 7.0 (IE 7.0) é a última versão dos navegadores da
plataforma Windows. É considerada uma versão de fácil utilização, que foi
desenvolvida para aperfeiçoar a plataforma de desenvolvimento de aplicações
voltadas para o ambiente Web e elevar o nível de segurança durante a
navegação. As medidas abrangem recursos de segurança utilizados para mitigar
os riscos de ataques de pragas virtuais e inibir as ações de mecanismos utilizados
na prática de fraudes, como é o caso do phishing. (IE 7.0, 2006)
A Tabela 9, apresenta as principais medidas de segurança implementadas
no IE 7.0, baseada nas informações extraídas do site do fabricante
(www.microsoft.com/brasil/windows/ie/ie7/about/features/default.mspx ): Medidas de Segurança IE 7.0
Análise de URL; Proteção preventiva contra sites fraudulentos; Limitação de interação de scripts em páginas Web com conteúdos de outros domínios; Funcionalidade de exclusão de histórico de navegação; Proteção da barra de endereços; Desativação dos controles Active X para impedir os possíveis ataques que exploram suas vulnerabilidades; Barra indicativa que utiliza cores para indicar a confidencialidade e segurança de um site durante o acesso; Alerta de configurações inseguras utilizando uma barra de correção; Funcionalidades exclusivas quando instalado no Windows Vista: modo protegido que permite que o navegador seja executado de forma isolada dos outros aplicativos do sistema operacional e controle de restrição para menores;
Tabela 9. Medidas de segurança IE 7.0
As medidas apresentadas indicam a preocupação da Microsoft que
busca melhorias nos aspectos de segurança e correção de falhas para mitigar os
57
riscos de um ataque. No entanto, as medidas de proteção do ambiente não
podem estar fundamentadas somente nos sistemas operacionais utilizados. É
necessária implementação de outras medidas de segurança, que podem ser
tomadas pelas instituições financeiras ou pelo próprio usuário. O próximo item
deste trabalho,contempla as medidas de segurança tomadas pelas instituições
financeiras.
5.2 Medidas de segurança tomadas pelas instituições financeiras
Diminuir os riscos de fraudes e evitar prejuízos financeiros, são os
principais objetivos das medidas implementadas pelas instituições financeiras.
Além de preservar a sua imagem perante ao cliente, as instituições buscam
formas de garantir um ambiente mais seguro para os usuários, possibilitando a
realização da transações com segurança.
Essa seção tem a finalidade de mostrar as principais medidas tomadas
pelas instituições financeiras, que contribuem para o aumento da segurança dos
sistemas operacionais aqui estudados.
5.2.1 Teclados Virtuais
Teclado virtual é uma ferramenta segurança utilizada pelos clientes dos
bancos durante a utilização do Internet Banking. A inserção da senha é realizada
utilizando o mouse e evitando o uso do teclado. Essa medida de segurança tem
como objetivo evitar os ataques realizados por keyloggers (MARQUES,2004)
Os teclados virtuais podem ser numéricos ou alfanuméricos, as teclas
podem estar dispostas de forma ordenada ou aleatória e também sua imagem
pode ser fixa ou mudar a cada acesso. Essas características dependem de como
cada instituição implementa a ferramenta e são utilizadas para evitar ataques de
programas maliciosos (screenloggers) capazes de capturar as imagens da tela
visualizando toda a movimentação do mouse.
58
5.2.2 Teclado codificado
Outra forma de proteção das senhas utilizadas no ambiente Internet
Banking é um teclado codificado. Nesse caso, o usuário possui uma lista de teclas
onde cada uma corresponde a um outro valor. Por exemplo, suponhamos que
temos os números de 0 a 9, cada um corresponde a uma letra do alfabeto e assim
o usuário em vez de digitar a senha numérica, escolherá as letras
correspondentes aos números. Isso poderá ser utilizado, para ludibriar o atacante,
pois no caso da captura de tela tornaria confusa a descoberta da senha, já que a
cada acesso as posições das letras são alteradas disponibilizando ao número um
valor distinto.
Geralmente, as letras são digitadas utilizando teclado convencional. A
desvantagem é que o atacante conseguiria a senha com mais facilidade, caso um
programa malicioso capaz de monitorar os dados digitados fosse instalado.
5.2.3 Matriz de Segurança
A matriz de segurança32 consiste numa tabela com um determinado
número de posições que corresponde a um conjunto de dígitos numéricos que é
solicitado toda vez que é realizado um acesso ao Internet Banking. Geralmente,
esse recurso é utilizado após o fornecimento da senha de acesso, agregando um
nível a mais de segurança durante as transações. Em uma nova janela do
browser, é solicitado o código correspondente à posição exibida na tela.
A quantidade de posições e a formatação dos códigos podem variar, pois
cada instituição implementa o recurso de forma distinta. No entanto, cada matriz
de código é única sendo destinada apenas a uma conta correspondente, É
responsabilidade da instituição o envio e confecção do cartão, que na maioria das
vezes é enviado ao cliente via correio. Este dispositivo contém a matriz impressa
em papel comum no formato de um cartão. (REAL,2006)
Algumas instituições oferecem tutoriais on-line para auxiliar os clientes
durante a utilização do recurso, como é o caso do Banco Bradesco e do Banco
32 O termo “matriz de segurança” foi adotado apenas para descrever o recurso, porém algumas instituições utilizam outras nomenclaturas como “chave de segurança” (Bradesco), “tabela de senhas” (Banco Real), “tabela de acessos”(Sudameris) e outros.
59
Real. Outras instituições alertam os usuários a não fornecerem os dados contidos
na matriz pois caso um atacante com conhecimento da senha de acesso,
estivesse de posse dos códigos contidos na matriz poderia realizar transações
utilizando as credenciais da vítima.
5.2.4 On-time Password (OTP)
Os dispositivos de segurança que possuem a tecnologia OTP têm como
função principal a geração de senhas aleatórias que poderão ser utilizadas
apenas em um período curto de tempo. A solução oferecida evita que um
atacante possa utilizar a senha capturada durante uma sessão para realizar
transações, já que o período de tempo de utilização é limitado.
Os tokens de acesso, como também são conhecidos os dispositivos OTP,
estão disponíveis em hardware cuja instalação e utilização é bastante simples,
pois possui uma interface USB que deverá ser conectada ao computador do
cliente.
Segundo a CertiSign (CERTSIGN, 2006), os tokens incluem recursos
físicos e lógicos capazes de:
“... assegurar a identificação do portador (que precisa de uma senha
pessoal e intransferível para utilizá-lo), permitir que a integridade e o sigilo das
informações contidas nele, proteger e armazenar essas informações (as chaves e
os certificados) e impossibilitar a separação da chave criptográfica do hardware
criptográfico.”
As instituições financeiras, de um modo geral, oferecem esse dispositivo a
pessoas jurídicas e clientes que realizam transações de valores elevados.
5.2.5 Certificação digital
Garantir a segurança na troca de informações entre os clientes e as
instituições financeiras via Internet é essencial para garantir o sucesso das
transações e diminuir os riscos de ataques relacionados a fraudes do ambiente
Internet Banking.
60
A medida de segurança utilizada pelas instituições foi estabelecer um
protocolo de comunicação que oferecesse um canal de comunicação seguro para
transporte, já que o HTTP não oferece características de segurança necessárias.
O protocolo de utilizado pela maioria das aplicações bancárias é o SSL (Secure
Sockets Layer). (MARTINS, 2001)
O SSL estabelece um canal seguro onde os dados são cifrados, provendo
a autenticação tanto do cliente como do servidor33 e realiza o transporte confiável
da mensagem garantindo a integridade. A autenticação ocorre utilizando um
certificado digital, considerado um documento eletrônico de identificação
digital.(MARTINS,2001)
Os certificados digitais são utilizados para oferecer a autenticidade das
informações através da assinatura digital. E garante ainda, a integridade, a
privacidade34 dos dados e o não-repúdio das informações. Os certificados devem
ser emitidos por entidades confiáveis denominadas Autoridades Certificadoras
(AC).35
Os certificados mais utilizados pelas instituições são os modelos A1 e A3.
O certificado A1 é considerado menos seguro, pois sua chave privada é
armazenada no sistema operacional do computador e apenas protegida por uma
senha. Esse certificado tem a validade de um ano e apesar de não apresentar um
nível elevado de segurança, é bastante utilizado devido ao custo ser menor.
O certificado A3, geralmente armazenado em token ou smart card, oferece
maior segurança, por oferecer o armazenamento da sua chave privada em
hardware que não permite cópias de sua chave privada para nenhum outro
dispositivo. No entanto é possível, transportar a chave privada e o certificado,
podendo realizar transações de onde desejar, desde que o dispositivo possua
leitora adequada para smart card ou token. A validade deste tipo de certificado é
de 3 anos. (CERTSIGN, 2005)
Apesar do custo de certificado A3 ser maior que o A1, algumas instituições
estão adotando este tipo de certificado para clientes que realizam transações de
33 Nesse caso servidor está substituindo tanto o termo “instituição financeira”. 34 O termo “privacidade” é utilizado para descrever que durante uma transação eletrônica os dados devem ser protegidos, garantindo o sigilo não permitindo que nenhuma outra entidade envolvida tenha acesso ao seu conteúdo. 35 A ICP-Brasil (Infra-estrutura de Chaves Públicas Brasileiras) é responsável por fiscalizar e normalizar as ACs.
61
grandes somas de valores, já que é uma das medidas que apresentam os
maiores níveis de segurança .
O crescimento da utilização da certificação digital pelas instituições
bancárias é bastante notável, devido à segurança oferecida por essa medida. Um
fato que contribuiu para esse aumento é incentivo da Federação Brasileira dos
Bancos – Febraban, que em 2005, assinou junto a Receita Federal e o Instituto
Nacional de Tecnologia da Informação um protocolo que visa a utilização de
Certificação Digital, e-CPF36 e e-CNPJ37 , do tipo A338, como padrão de
assinatura digital nas transações bancárias e documentos eletrônicos. E para
colaborar ainda mais com esse crescimento a Receita Federal instituiu uma
norma que obriga as empresas com receita bruta acima de 30 milhões a entregar
a DCTF39 pela Internet assinada digitalmente, correspondendo a mais de 10 mil
empresas brasileiras. (ITI, 2005)
A utilização de certificação digital tem sido tema dos congressos
realizados pela Febraban, desde 2004, como é o caso do Congresso e Exposição
de Tecnologia da Informação das Instituições financeiras – CIAB40.
5.2.6 Cadastramento de computadores
O cadastramento de computadores é uma das últimas medidas de
segurança utilizadas pelas instituições com o objetivo de mitigar os riscos de
fraudes. A finalidade do cadastramento é garantir o reconhecimento do
computador do cliente a fim de evitar que outras pessoas acessem sua conta de
outros computadores.
Durante o cadastramento é gerado um código único de reconhecimento
que é baseado na configuração de hardware e software existente no computador.
Caso o usuário possua dois sistemas operacionais ou mais de um titular realize
36 e-CPF : certificado digital fornecido pela Receita Federal como comprovante de cadastro de pessoas físicas (http://www.receita.fazenda.gov.br/). 37 e-CNPJ: “O e-CNPJ é um documento eletrônico em forma de certificado digital, que garante a autenticidade e a integridade na comunicação entre pessoas jurídicas e a Secretária da Receita Federal (SRF), funcionando exatamente como uma versão digital do CNPJ.” (http://www.certisign.com.br/produtos/ecnpj/e-cnpj.jsp) 38 A3 – Esse termo será explicado no decorrer do texto 39 DCTF – sigla atribuída a Declaração de Débitos e Créditos Federais que deve ser entregue a Receita Federal pelas empresas. 40 Informações sobre o CIAB podem ser obtidas acessando www.ciab.org.br
62
transações financeiras o cadastramento deverá ser feito individualmente. (BRASIl,
2006)
Segundo o Banco do Brasil, que aderiu essa medida de segurança um
código de cadastramento é gerado e enviado ao cliente que tem um prazo de 15
dias para ser utilizado, devendo ser liberado em um dos serviços de atendimento.
O banco ainda afirma que é possível realizar o cadastramento de mais de um
computador para realizar as transações, porém caso após o prazo estipulado o
cadastramento ainda não tenha sido efetuado apenas consultas e compras de
produtos poderão ser realizadas, limitando os outros tipos de transações. Para
maiores informações acessar a página do Banco do Brasil (www.bb.com.br), onde
é ilustrada a importância do cadastramento dos computadores.
A vantagem dessa medida consiste no fato do banco saber que o acesso
está sendo realizado via computador do cliente. No entanto, existem algumas
desvantagens no que diz respeito ao conforto do cliente que a cada mudança de
configuração do computador o cliente deverá fazer gerar um novo código de
cadastramento.
Outro fato, é que se computador for infectado com um cavalo de tróia que o
torne uma máquina zumbi a instituição poderá prover a autenticação do cliente,
porém não é possível garantir a irretratabilidade das transações.
A descrição da medida apresentada refere-se a procedimentos a serem
realizados por pessoas físicas. Existem outras medidas utilizadas para pessoas
jurídicas, porém o objetivo desse tópico é apenas descrever as medidas de
segurança utilizadas pelas instituições para mitigar os risco de fraudes, não
fazendo parte do contexto discutir se devem ou não ser aplicadas para os
diferentes tipos de clientes que utilizam o serviço.
5.3 Outras medidas de segurança
Medidas adicionais de segurança podem ser tomadas para garantir a
integridade e a privacidade dos usuários. A seguir, uma pequena demonstração
de como isso pode ser feito.
63
5.3.1 Utilização de autenticação e frase secreta
Algumas instituições adotaram como medida adicional de segurança a
utilização de autenticação. No momento que são inseridas as credenciais
bancárias do usuário, como agência, conta e a senha, é solicitado ao cliente a
autenticação de acesso. Na maioria das vezes, uma mensagem de saudação é
exibida, confirmando a autenticação do usuário e pode vir acompanhada pela
data e hora do acesso, mas esses detalhes dependem de como a aplicação foi
implementada pela instituição,
Outro complemento é a digitação de uma frase secreta, além das
credenciais utilizadas para o acesso no Internet Banking. Um exemplo de
aplicação que utilize essa medida é a implementada pelo Banco Bradesco.
5.3.2 Instalação de software de segurança
Além de todos os cuidados com a segurança, ilustrados até agora, que vão
desde a atualização dos programas instalados até as medidas implementadas
pelas instituições, para prover um ambiente mais seguro, ainda é necessária a
instalação de programas que previnem e detectam pragas virtuais.
É possível encontrar diversos programas de antivírus, anti-spywares e
firewalls. Porém está fora do contexto desse trabalho determinar qual solução
será utilizada em um determinado ambiente operacional e também qual fabricante
atende as expectativas dos usuários desses programas.
Algumas instituições financeiras oferecem aos seus clientes ferramentas
que auxiliam no combate a fraude. Abaixo, citamos dois exemplos:
Instituição Ferramenta Descrição Banco do Brasil Browser Defense Programa que atua contra ataques de programas maliciosos
Banco Real Módulo de Proteção
Identifica e impede automaticamente o funcionamento de programas maliciosos
Tabela 10. Ferramentas fornecidas pelos bancos
Através dessas soluções, é possível notar que as instituições financeiras
estão cientes dos riscos que seus clientes estão expostos diariamente. Outro fator
preocupante é a educação dos usuários na utilização do Internet Banking. No item
64
a seguir, citaremos algumas soluções que auxiliam os usuários a manter seu
ambiente operacional seguro.
5.3.3 Educação do usuário
Além dos investimentos em feitos em tecnologias para garantir a segurança
das informações várias medidas estão sendo implementadas para garantir a
educação do usuário. A engenharia social é considerada uma grande ameaça,
que por falta de treinamento ou até mesmo inocência do usuário, é uma
ferramenta eficaz que contribuem para a efetivação das fraudes.
Muitas instituições elaboram manuais e cartilhas on-line para os usuários
com dicas de segurança, alertando os usuários dos riscos e quais medidas
podem ser tomadas para tornar o ambiente operacional mais seguro.
O Banco Santander Banespa, por exemplo, possui uma cartilha e um curso
e-learning41 de segurança de informação. Não é necessário ser cliente para ter
acesso ao curso. O Banco Itaú possui uma medida denominada “Programa mais
segurança”42 que é uma apresentação mostrando dicas e dispositivos de
segurança que pode ser utilizados. Já a Caixa Econômica Federal possui em sua
seção de segurança43 um link para a página do site
Antispam.br(http://antispam.br/), com objetivo de alertar os usuários sobre a
importância de um ambiente virtual mais seguro. Os bancos citados foram apenas
exemplos das diversas medidas que visam contribuir para educação dos usuários.
41 O curso pode ser acessado em: www.santanderbanespa.com.br/portal/gsb/script/templates/GCMRequest.do?page=1502&entryID=1403#&entryID=3072 42 O “Programa mais segurança” pode ser acessado em: //www.itau.com.br./seguranca/mais_seguranca.htm 43 A seção de segurança da caixa pode ser acessada em: http://www.caixa.gov.br/seguranca/
65
6 POSSIVEIS TENDÊNCIAS DE ATAQUES
Com base nas evoluções dos ataques, é possível analisar que as
características e funcionalidades das pragas virtuais tornaram robustas e
complexas. As ameaças possuem como alvos não somente computadores, mas
atingem também dispositivos móveis como exemplo: celulares.
Esse trabalho tem como foco apresentar as vulnerabilidades existentes nos
sistemas operacionais Windows, evidenciando como podem ser exploradas por
programas maliciosos que tem como objetivo capturar credenciais das vítimas e
finalmente efetivar fraudes eletrônicas, No entanto, é importante conhecer as
possíveis tendências e os alvos desses ataques para buscar formas de mitigar os
riscos e prejuízos causados.
Sabe-se também que há tendências que indicam a utilização de
dispositivos móveis para a realização de transações financeiras. Suponha, que
um dispositivo possua sistema operacional que esteja vulnerável e a falha é
facilmente explorada por um agente capaz de capturar dados da vítima resultando
em perdas financeiras. Isso torna bastante convincente a necessidade de buscar
medidas de segurança para essa nova tendência de operação bancária.
Outra forma de proliferação dos ataques está relacionada ao uso de
máquinas zumbis. Segundo o SANS Institute cerca de 3 a 3,5 milhões de
computadores são utilizados como zumbis em todo o mundo. (INFO, 2006c)
Nos próximos subitens descreveremos com mais detalhes como os
dispositivos móveis podem ser atacados e como uma máquina zumbi pode
auxiliar o atacante para que a sua identidade seja mantida em sigilo durante um
ataque.
6.1 Ameaças em celulares
O primeiro vírus desenvolvido para aparelhos celulares foi descoberto em
junho de 2004, pela empresa Kapersky. Esse vírus, denominado como Cabir,
infectava aparelhos que possuem sistemas operacionais Sybian pela interface
Bluetooth. Toda vez que o celular era ligado o vírus tentava detectar dispositivos
com interface sem fio ativada e enviar cópias sem afetar as funcionalidades do
66
aparelho infectado, já que o vírus mantinha-se oculto e não era percebido pela
vítima.(BARTORI, 2006)
Segundo a McAfee, empresa desenvolvedora de software de segurança,
cerca de 99% dos aparelhos que apresentam riscos de infecção atualmente,
possuem sistema operacional S60 (Sybian). A empresa ainda afirma que houve
um crescimento de 877%, do ano de 2004 para 2005, no número de pragas
voltadas para aparelhos celulares, porém a maioria é considerada experimentos.
No entanto empresas de segurança como a F-Secure, a Kapersky, TrendMicro,
Symantec e a própria McAfee, já desenvolveram software voltados para
segurança dos dispositivos. (BARTORI,2006)
Apesar de alguns fabricantes já oferecerem dispositivos com aplicativos de
segurança, não é possível garantir a total segurança e integridade dos dados.
Outra praga que também ficou conhecida, o Mquito, responsável pela
instalação de um código malicioso, comprometia o registro de licença do jogo
mosquito e tentava a disseminação enviando mensagens SMS para números
internacionais, causando prejuízos financeiros à vítima e comprometendo a
integridade dos dados.
Muitos especialistas em segurança não consideram um grande problema o
crescimento das estatísticas, que apontam o surgimento de pragas desenvolvidas
para celulares, os atacantes continuam implementando novos códigos. Em agosto
de 2006, a empresa F-Secure detectou uma nova variante para vírus de celular
denominada Commwarrior.Q. A forma de disseminação acontece através da
utilização de Bluetooth, cartão de memória infectado no aparelho ou através de
envio de mensagem MMS.44
Até agora os vírus apresentados foram desenvolvidos para afetar sistemas
operacionais Sybian. O foco deste trabalho consiste no estudo dos sistemas
operacionais baseados na plataforma Windows, porém nesse caso os vírus que
afetam o sistema Sybian foram descritos com o objetivo de evidenciar as
possíveis tendências de ataques voltados para dispositivos móveis.
A Microsoft possui uma forte tendência para implementação de sistemas
operacionais voltados para aparelhos móveis. O Windows Mobile, foi sistema
44 É um sistema que envia mensagem multimídia em tempo real e automaticamente de um celular para o outro ou de um PC para celular.
67
operacional desenvolvido para PDAs da família Pocket PC, iPAQs e
Smartphones. (MICROSOFT,2006)
No próximo item será descrito como as pragas virtuais também podem
atacar outros dispositvos móveis e as tendências de ataques ao Windows Mobile.
6.2 Outros dispositivos móveis e ameaças
As primeiras ameaças para dispositivos móveis surgiram a partir do ano
2000. O cavalo de tróia com o nome “Liberty” desenvolvido para afetar sistemas
Palm OS, foi considerado o precursor das pragas desenvolvidas para dispositivos
móveis. Atingia Palms, com esse sistema operacional, tentava burlar registros do
sistema e após ativado apagava todas as aplicações existentes provocando a
reinicialização do dispositivo. (BARTORI,2006)
Após o ano de 2000, novos equipamentos móveis foram lançados com
funções diferenciadas, tecnologias e sistemas operacionais. Dentre eles, a
Microsoft lançou o Windows Mobile, sistema operacional voltado para dispositivos
móveis que possui algumas similaridades com os sistemas desenvolvidos para
PC. Foram lançadas várias versões, a última versão Windows Mobile 5.045, foi
implementada para dispositivos como handhelds46 e smartphones47.
Algumas vulnerabilidades foram descobertas nesses sistemas
operacionais. A última, descoberta em novembro 2006 pela J. Gold Associates, é
uma falha na arquitetura que compromete a segurança das informações durante a
troca de mensagens com o cliente Microsoft Exchange, pois os dados os dados
trafegam sem criptografia, podendo ser interceptados e utilizados por agentes
mal-intencionados. (BROERSMA, 2006)
Com base nessas informações é possível verificar uma forte tendência
para novos tipos de ataques, que buscam não somente afetar computadores
pessoais e servidores, como dispositivos móveis capazes de armazenar
informações úteis no caso de um ataque.
45 Não é objetivo deste trabalho estudar a funcionalidades de sistemas operacionais voltados para dispositivos móveis, porém algumas funções estão sendo descritas para auxiliar a compreensão das possíveis tendências de ataques. 46 O termo handheld é denominado a dispositivos móveis que possuem funcionalidades de um computador de bolso, também conhecido como PDAs. 47 Termo utilizado para telefones com recursos de PDA.
68
Outra tendência de ataque refere-se a utilização de computadores zumbis
para a efetivação de fraudes, como será apresentado a seguir.
6.3 Máquinas “zumbis” outra tendência de ataque
Nos últimos anos, as máquinas “zumbis” tornaram-se uma das principais
ameaças da Internet, porém segundo dados divulgados pela empresa de
segurança CipherTrust, indicando o aumento de 21% de computadores escravos
em junho de 2006, essa técnica consiste em uma forte tendência para realização
dos ataques que serão realizados no futuro. (CIPHERTRUST, 2006)
Máquinas “zumbis” é a denominação dada a computadores invadidos e que
podem ser controlados a distância pelos atacantes. O comprometimento desses
computadores ocorre, geralmente, de duas formas. A primeira a vítima é induzida
a instalar programas maliciosos, cavalos de tróia ou bots48, que tem como função
fornecer acesso remoto ao atacante. E a outra forma acontece quando as
máquinas apresentam vulnerabilidades no sistema operacional ou em outros
programas e essas falhas são exploradas para efetivação do ataque.
Outro termo que está em evidência são as denominadas botnets, que
traduzida significa “redes robôs”, formadas por programas maliciosos, com
funções similares aos cavalos de tróia e worm, são capazes de explorar brechas
de segurança ou induzir a vítima a instalar códigos maliciosos, fornecendo
posteriormente o controle da máquina.
Um atacante capaz de controlar computadores “zumbis” executar diversas
ações, fazendo se passar pela máquina atacada. Dentre as ações mais
freqüentes estão os ataques distribuídos de negação de serviços (DDoS).No
entanto, não é possível descartar a hipótese de utilização desses computadores
para que sejam executados ataques, relacionados as fraudes eletrônicas, já que
alguns programas maliciosos instalados durante a contaminação tem a função de
capturar os dados digitados no teclado, podendo ter acesso a credenciais
bancárias da vítima.
Outra vantagem para o atacante é a garantia do seu anonimato, já que se
faz passar pela vítima e caso seja feito o rastreamento dos dados, apenas 48 A explicação desse termo pode ser encontrada no item 3.2.
69
credenciais da vítima e de seu computador ficarão evidentes. Com base nesse
fato, o atacante poderá tirar proveito para efetivar outros tipos de ataques, como
por exemplo, a realização de fraudes eletrônicas apenas utilizando o computador
atacado.
6.4 Considerações sobre futuras tendências
Nos tópicos anteriores foram discutidas as possíveis tendências de
ataques. Apesar de algumas já estarem ocorrendo no cenário atual, acredita-se
que os ataques futuros poderão utilizá-las para obter lucros financeiros e
comprometer a segurança das informações, isso com base nas estatísticas
descritas durante o trabalho.
Outra possibilidade é a combinação de um determinado número de fatores
para realização de um ataque. Hipoteticamente, suponhamos que um dispositivo
móvel operando com um sistema operacional Windows, que seja capaz de enviar
um cavalo de tróia para um computador pessoal, também com plataforma
Windows, induzindo a vítima a instalar um programa malicioso que será utilizado
posteriormente pelo atacante, de forma remota, tornando a máquina em uma
estação zumbi. E esta estação, poderá ser utilizada para descobrir credenciais
bancárias de outras vítimas para efetivação de fraudes.
Primeiramente, o atacante ao enviar a praga por um dispositivo móvel
dificultaria a sua identificação caso fosse rastreada a origem da praga. E, em
seguida poderia cometer diversos crimes, porém sua identidade continuaria
resguardada, ficando evidente apenas a identidade da máquina “zumbi”.
O cenário descrito trata-se apenas de uma hipótese, não é possível afirmar
que esse fato se tornará real no futuro, pois diversas formas de prevenção e
detecção de ataques têm sido desenvolvidas. Porém provavelmente novas
técnicas de ataques também serão desenvolvidas através de aplicação de novas
ferramentas e recursos.
70
7 CONSIDERAÇÕES FINAIS
7.1 Conclusão
Através estudo do histórico da família do sistema operacional Windows foi
possível perceber melhorias implementadas em cada versão. As finalidades
principais das melhorias consistem em facilitar a operabilidade, oferecer
funcionalidades adicionais e melhorar questões de segurança a cada lançamento
de versão do sistema operacional. Durante a pesquisa, foram citadas algumas
versões de sistemas utilizados em ambiente servidor. No entanto, a segurança de
sistemas voltados para usuário finais foi o foco de nosso estudo, pois buscamos
evidenciar pontos nos sistemas que levassem a possibilidade da efetivação de
fraudes.
Foi possível notar uma maior preocupação com os aspectos relacionados a
segurança a partir do lançamento da versão NT, porém melhorias ficaram
evidentes com o lançamento do Windows 2000. Em seguida o Windows XP,
proporcionou ao usuário maior proteção em suas atividades através de
mecanismos que implementam a segurança do sistema.
Ao analisar os tipos de ataques, os primeiros tinham como objetivo atacar e
destruir dados dos sistemas afetados. Após alguns anos, surgiram ataques que
utilizavam ferramentas com objetivos específicos, tinham como meio principal de
disseminação a Internet e usava técnicas de engenharia social para ludibriar a
vítima. A partir do ano 2000, houve uma mudança de características dos ataques
que passam a atingir principalmente os usuários finais.
Diante do número de vulnerabilidades descobertas e exploradas pelos
atacantes tornou evidente que a preocupação em manter um ambiente
operacional seguro não era considerado um fator essencial, mesmo que a cada
dia surgisse uma nova praga virtual e as estatísticas indicassem o crescimento
dos números de ataques.
A situação atual indica o resultado de algo que poderia ter sido controlado.
Com o surgimento de novos agentes de ataques, os sistemas continuaram a
oferecer riscos de segurança, porém agregando um agravante, o aumento de
técnicas utilizadas para ludibriar a vítima.
71
As medidas de segurança tomadas em relação sistema operacional,
através das atualizações de segurança, utilização do Windows XP com o SP2,
através do IE 6.0 ou IE 7.0, apenas oferecem formas de mitigar os riscos de
segurança. Em relação ao Windows Vista, não é possível afirmar o nível de
segurança, mas que segundo seu fabricante tem a promessa de apresentar o
ambiente operacional mais seguro já lançado e com funcionalidades para mitigar
os riscos de fraudes.
Mesmo perante toda a preocupação com segurança, ainda é possível
identificar melhorias que poderiam ser feitas em um ambiente operacional. Como,
por exemplo, um modelo de sistema operacional que oferecesse embutido em
seu código maneiras de mitigar riscos de ataques, possuindo apenas as
funcionalidades necessárias para acesso aos aplicativos Internet Banking e
agregasse às medidas de segurança que atualmente são oferecidas pelas
instituições financeiras.
A avaliação das medidas tomadas pelas instituições financeiras permitiu
uma visão dos investimentos que ainda devem ser feitos em relação a segurança,
pois os índices de ataques em relação as fraudes apresentam estatísticas
elevadas. No entanto, com a implementação da certificação digital as transações
bancárias são realizadas com maior segurança, mas é preciso que os usuários
estejam aptos a utilizar essa tecnologia. Outra característica essencial para a
melhoria dos aspectos de segurança foram os investimentos feitos na educação
do usuário.
Uma medida de segurança que poderia ser sugerida pelas instituições
financeiras seria a utilização de um computador especifico para realização de
transações bancárias, contendo um sistema operacional atualizado e ferramentas
que proporcionassem proteção ao ambiente operacional.
Em relação as possíveis tendências apresentadas neste trabalho, é
possível perceber a preocupação dos fabricantes e de empresas especializadas
em segurança da informação com ataques voltados a dispositivos móveis que
tendem a ser utilizados largamente para operações bancárias, o que pode
aumentar consideravelmente os riscos de fraudes.
Outra tendência de ataque avaliada foi a utilização das máquinas “zumbis”.
Atualmente, esse tipo de técnica é mais utilizada para causar ataques de negação
72
de serviço. Entretanto, o fator preocupante encontra-se no aprimoramento da
técnica e na possibilidade da sua utilização em ataques relacionados a fraudes.
Após avaliação desses problemas, é possível argumentar que houve uma
evolução rápida dos ataques, principalmente após o surgimento dos agentes de
ataques. No entanto, a descoberta e exploração das vulnerabilidades do ambiente
operacional contribuíram para o aumento do número ataque. Contudo, manter um
sistema operacional seguro exige um conjunto de ações, dentre elas:
compromisso do fabricante do sistema para a correção de falhas, implementação
de medidas de segurança pelas instituições financeiras que auxiliem a inibir os
riscos de fraudes e conscientização do usuário na utilização e manutenção do
ambiente operacional.
7.2 Trabalhos futuros
Durante as pesquisas e análises para elaboração deste trabalho, foi
perceber que diversos assuntos poderiam ser mais bem detalhados, servindo
como base de desenvolvimento para trabalhos futuros, tais como:
• Ameaças em outros ambientes operacionais: é possível elaborar
um estudo que evidencie as principais ameaças que afetam outros
sistemas operacionais, analisando os agentes de ataques e as
medidas de segurança tomadas para mitigar os riscos de ataques;
• Avaliação das ameaças em nível de código: estudo mais
aprofundado de como ocorre às ações das ameaças em nível de
código, e quais os arquivos dos sistemas operacionais são afetados
durante o ataque;
• Ataques em dispositivos móveis: esses dispositivos tendem a ser
alvos de ataques voltados à fraude e;
• Outros tipos de ataques: o foco deste trabalho referiu-se aos
ataques voltados para fraudes, porém é possível descrever outros
tipos de ataques, como por exemplo, utilização de máquinas
“zumbis” para causar ataques de negação serviço(DoS).
73
8 REFERÊNCIAS
ALEVATE, Willian, “Uso do Internet Banking, a defesa contra criminosos virtuais ou crackers das trevas”, Módulo Securiy Magazine, 16/05/2005,
Disponível em: http://www.modulo.com.br/index.jsp
Acesso em:11/12/2005
ANTIPHISING.org.
Disponível em: http://www.antiphising.org
Acesso em:15/06/2006
B2B, Magazine, “Segundo Trend Micro, Brasil é fortemente afetado por trojans bancários”, Trend Micro, 19/10/2005.
Disponível em : http://www.b2bmagazine.com.br/ler_materia.aspx?numero=14245
Acesso em:10/12/2005.
BARTORI, Software & Security. “Virus para cellular”. Artigos. 06/2006
Disponível em:http://www.batori.com.br/itenslst.asp?id_item=111&id_menu=39
Acessado em: 04/10/2006
BELTRAN, Marcus Vinicius F., “Entendendo as fraudes bancárias”, Linha
Defensiva, 08/07/2005.
Disponível em: http://linhadefensiva.uol.com.br/artigos/entendendo-fraudes/
Acesso em:19/11/2005.
BRADESCO, Banco
Disponível em: www.bradesco.com.br
Acesso em: 02/10/2006
BRASIL, BANCO DO. Acesso e Segurança. 2006
Disponível em: www.bb.com.br
Acesso em 02/10/2006
74
BROERSMA, MATTHEW. “Analyst blasts Windows Mobile Security”.
Computerword, News, Acesso em:05/11/2006.
Disponível em:
http://www.computerworld.com.au/index.php/id;2031511544;fp;16;fpid;1
Acesso em:05/11/2006.
CAMARGO, Francisco, “Fraudes eletrônicas assustam o setor financeiro”,
Web Insider, 12/02/2004.
Disponível em: http://webinsider.uol.com.br/vernoticia.php/id/2045
Acesso em:10/12/2005.
CARVALHO, Jackeline.”Bancos aumentam investimentos em segurança para barrar fraudes.” CertiSign, CertNews. 28/11/2006
Disponível em: http://www.certisign.com.br
Acesso em: 29/11/2006
CERT, 2005a. – Centro de Estudos, Respostas e Tratamento de Incidentes de
Segurança no Brasil, “Evolução dos Problemas de Segurança e Formas de Proteção”, II Congresso Brasileiro de Tecnologia, Novembro,2005a ,
Disponível em:http://www.cert.br/docs/palestras/certbr-
conbratec2005.pdf#search=%22ataques%20evolu%C3%A7%C3%A3o%20segura
n%C3%A7a%20filetype%3Apdf%22
Acesso em:05/09/2006
CERT, 2005. CERT.br. – Centro de Estudos, Respostas e Tratamento de
Incidentes de Segurança no Brasil. “Cartilha de Segurança para Internet”. Elaboração CERT.br. Versão 3.0, setembro de 2005. acessado 18/11/2005
CERT, 2005b. Cartilha de Segurança para Internet – Conceitos.
CERT.br, 2005.
CERT, 2005c. Cartilha de Segurança para Internet – Glossário.
CERT.br, 2005. 3p.
75
CERT, 2006 – Centro de Estudos, Resposta e Tratamento de Incidentes e
Segurança no Brasil, “Incidentes Reportados ao CERT.br ”.
Disponível em: http://www.cert.br/stats/incidentes
Acessado 05/12/2006.
CERTSIGN - A sua identidade na rede. “Internet Banking ganha cada vez mais popularidade no Brasil”, Infomoney SP, 05/12/2005.
Disponível em:
http://www.certisign.com.br/certinews/banconoticias/2005/dezembro/dezembro_05
_Internet_Banking_ganha_cada_vez_mais_popularidade_no_Brasil.jsp
Acesso em:10/12/2005.
CERTSING, 2006 - A sua identidade na rede. “FAQ- Certificação Digital”,
11/2006
Disponível em:http://www.certisign.com.br/produtos/ecpf/pop_faq.jsp
Acessado em: 10/11/2006
CIPHERTRUST, Security Computing – Anti Spam and Email Security. 10/2006
Disponível em: http://www.ciphertrust.com/
Acessado em: 10/11/2006
CRHISTENSEN, Jeff “Vinte anos com o mundo a seus pés”. Estadão – link
sua vida digital. 21/11/2005
Disponível em: www.link.estadao.com.br/index.cfm?id_conteudo=5635
Acesso em: 03/05/2006
DIGITRUST Segurança Digital, Site Autêntico Notoriado do Brasil, “Clippings”,
Disponível em: http://www.digitrust.com.br/clipping.asp
Acesso em:10/12/2005
FEBRABAN - Federação Brasileira dos Bancos, “Segurança – Certificação Digital”, 27/01/2005.
76
Disponível em: http://www.febraban.org.br/Certificacao_digital/index.asp
Acesso em:11/12/2005.
FUKS, H., Raposo, A.B.&Gerosa M.A. Engenharia de Groupware: Desenvolvimento de Aplicações Colaborativas, XXI Jornada de Atualização
em Informática, Anais do XXII Congresso da Sociedade Brasileira de
Computação, V2, Cap. 3, ISBN 85-88442-24-8, p. 2.
Disponível em:
http://groupware.les.inf.puc-rio.br/groupware/publicacoes/JAI2002.pdf
Acessado em :10/10/2006
HSBC, Banco, “Artigos de segurança”, Diversos.
Disponível em:
http://www.hsbc.com.br/common/seguranca/artigos-anteriores.shtml
Acesso em:28/11/2005
IDGNOW, Site de Tecnologia. “ Segurança” 11/2006
Disponível em: http://idgnow.uol.com.br/
Acesso em: 10/11/2006
IE 7.0, Internet Explorer Home. 11/2006
Disponível em: http://www.microsoft.com/windows/ie/default.mspx?mg_ID=10001
Acesso em: 10/11/2006
INFO, Especial Info, Revista. A Bíblia do Windows XP. Edição 236-A, p.9; 19-
19. Editora Abril 2006a.
INFO, Exame, Revista. Pesquisa Info de Marcas. Ano 21, Nº 242, p.71. Editora
Abril. Maio,2006b.
INFO, Exame, Revista. Os espiões querem seu PC!. Ano 21, Nº 247, p. 52.
Editora Abril. Outubro, 2006c.
77
ITI, Instituto Nacional de Tecnologia da Informação. “Assinatura Digital ganha mobilidade com o celular”. Diário do Comércio – SP 06/2006
Disponível em: www.iti.br/twiki/bin/view/Main/MidiaClip2006Jun20A
Acesso em: 14/11/2006
ITI, 2005. Instituto Nacional de Tecnologia da Informação. “Bancos lançam
campanha pela adoção nacional do e-CPF”. Insituto Nacional de Tecnologia da
Informação(ITI), 10/05/2005.
Disponível em: http://www.iti.br/twiki/bin/view/Main/PressRelease2005May11B,
Acesso em : 15/11/2006.
KLANDER, Lars, Hacker Proof, Trojans Horses. Revisting Worms, p.391-397,
Editora Jamsa Press, 1997.
LAU, Marcelo. Análise das fraudes aplicadas sobre o ambiente Internet
Banking. Universidade de São Paulo – Escola Politécnica, 2006.
Disponível em: http://www.datasecur.com.br/Dissertacao.pdf
Acesso em:12/10/2006.
MARQUES, Edson Silva. Autenticação em Internet Banking. Faculdade
SENAC, 2006
Disponível em: http://www.datasecur.com.br/Dissertacao.pdf
Acesso em:12/10/2006
MARTINS, Alessandro. Autoridade Certificadora para Acesso Seguro.
Laboratório RAVEL/COPPE/FRJ, 02/02/2001
MICROSOFT, 2003 - Microsoft.com, “Windows Products and Technologies History”, Windows Overview e History, 30/06/2003.
Disponível em: http://www.microsoft.com/windows/WinHistoryIntro.mspx
Acesso em: 12/07/2006
78
MICROSOFT, Brasil
Disponível em:http://www.microsoft.com/brasil
Acesso em: 02/12/2006
MINASI, Mark/ Anderson,Christa/ Smith, Brian M. / Toombs, Doug, Dominando o Windows 2000 Server. Tradução e Revisão técnica: equipe Makron Books de
informática, Editora Person Education do Brasil, 2001.
MODULO, Security. “Artigos” Disponível em: http://www.modulo.com.br
Acesso em 14/11/2006
MS01-020, Microsoft Security Bulletin. “Incorrect MIME Header Can Cause IE to Execute E-mail Attachment”. Março, 2001.
Disponível em: http://www.microsoft.com/technet/security/bulletin/MS01-020.mspx
Acesso em: 06/03/2006
MS02-005. Microsoft Security Bulletin.” 11 February 2002 Cumulative Patch for Internet Explorer”. Fevereiro, 2002
Disponível em: http://www.microsoft.com/technet/security/bulletin/ms02-005.mspx
Acesso em: 06/03/2006
NIST, Nacional Institute of Standards and Technology. “Guide To Malware Incident Prevention and Handling.” 11/2005
Disponível em: http://csrc.nist.gov/publications/nistpubs/800-83/SP800-83.pdf
Acesso em: 04/10/2006
NORTHCUTT, Stephen/ Novak, Judy /Mclachlan, Danald, Segurança e Prevenção em Redes, Editora Berkeley, 2001.
NOVO, Aguinaldo. “Internet veloz, fraude mais ainda”. Jornal O Globo,
Caderno de Economia, Janeiro de 2006.
79
OLIVEIRA, Salomão, “Agentes Digitais do Crime”, Módulo Securiy Magazine,
05/07/2004.
Disponível em:
http://www.modulo.com.br/index.jsp?page=3&catid=2&objid=389&pagecounter=0
&idiom=0
Acesso em:11/12/2005
OLIVEIRA, Wilson José. Hacker Invasão e Proteção - Acesso Rápido. Visual
Books, 2000.
REAL, Banco
Disponível em: www.real.com.br
Acesso em: 02/10/2006
REBELO, Paulo, “Windows 98 chega ao fim (oficialmente) no Brasil”,
Windows, WebInsider Tecnologia. 02/05/2006.
Disponível em: http://webinsider.uol.com.br/index.php/2006/05/02/windows-98-
chega-ao-fimoficialmente-no-brasil/
Acesso em: 08/07/2006
Rocha, Luís Fernando, “Retrospectiva 2003”, Modulo Security, 15/12/2003.
Disponível em: http://www.cert.br/docs/
Acesso em:22/11/2005
RSA, Security, “Identify & Access Management” RSA Security Inc.
Disponível em: http://www.rsasecurity.com
Acesso em: 11/12/2005.
SANS, Institute, “Computer Security Education and Information Security Training”.
Disponível em:http://www.sans.org/
Acesso em: 11/12/2005.
80
SCAMBRAY, Joel/ Shema, Mike, Segurança contra Hackers: Aplicações WEB, 1ª Edição, 2003, Editora Futura.
SCHUTZ, Eugene E. “Where have the worms e viruses gone?”. Computer
Fraud and Security. 07/2006
Disponível em:
www.sciencedirect.com/science?_ob=MImg&_imagekey=B6VNT-4KMG66R-5-
6187&_user=972067&_orig=browse&_coverDate=07%2F31%2F2006&_sk=97993
9992&view=c&wchp=dGLbVlzkzk&md5=4cf6789ebd663d1608b166459b46db1c&i
e=/sdarticle.pdf
Acesso em: 13/08/2006.
SEGURA, Internet
Disponível em: http:// www.internetsegura.org
Acesso em:15/06/2006.
SILVA, João Pedro, “Evolução das Pragas Vituais”, Centro Universitário Senac,
Novembro,2005 , Modulo Security,
Disponível em: http://www.modulo.com.br/pdf/EvolucaoPragasVirtuais-01.pdf
Acesso em:05/09/2006
SPYMAN, Manual Completo do Hacker Edição 2004. 5ª edição ampliada &
Atualizada, Editora Book Express, 2003.
SUDAMERIS, Banco
Disponível em: www.sudameris.com.br
Acesso em: 02/10/2006
TANENBAUM, Andrew S., Sistemas Operacionais Modernos, p. 439-573, 2ª
Edição. Pearson Prentice Hall, 2003.
TECHNET, Microsoft. Microsoft Security Vírus Alerts. 2006.
Disponível em: http://www.microsoft.com/technet/security/alerts/default.mspx
Acesso em:02/10/2006
81
UNIBANCO, Banco. “Produtos e Serviços”
Disponível em: www.unibanco.com.br/atc/por/cer/index.asp
Acesso em: 14/11/2006
XANDO, Flavio. “Do Windows 1.0, lançado em 1985, até o XP, uma seqüência de avanços técnicos e disputas pela liderança”. Estadão – Link
sua vida digital. 02/05/2006
Disponível em: www.link.estadao.com.br/index.cfm?id_conteudo=3565
Acesso em: 03/05/2006
![Evide evolucao[1]](https://img.document.onl/doc/110x75/5590b4ea1a28ab105f8b4570/evide-evolucao1.jpg)
