Segurança da Informação

Ξ Deixe um comentário

Phishing, zumbis e os ataques de hackers a sites do governo

publicado por Francisco Camargo
A prática de ‘phishing’ não é nova, mas continua a fazer vítimas. As mais recentes, por incrível que pareça, foram os sites governamentais. Isso, mesmo, a base desses ataques é o phishing. Sem ele, não teriam acontecido. Mas como isso aconteceu? Ora, o phishing consiste em ‘enganar’ as pessoas, usando todo tipo de subterfúgio para convencê-las a abrir arquivos ou clicar em links que, na verdade, vão instalar programas executáveis que infectam o micro do incauto. Também usados para roubar dados pessoais, senhas etc., esses programas maliciosos além de gerar prejuízos financeiros, ficam instalados nas máquinas, sem serem percebidos. E as tornam ‘zumbis’, ou seja, o malware ou programa malicioso fica instalado e os hackers podem ativá-lo quando quiserem, ordenando tarefas sem o conhecimento do dono do PC.

Sobre os ataques sofridos pelos sites de órgãos governamentais, podemos delinear três objetivos. O primeiro é o de ‘derrubar’ o site por meio de ataques DDoS, do inglês Distribuited Denial of Service, ou Negação de Serviço, em que um grande número de requisições chega aos servidores Web do site ao mesmo tempo. Esse tipo de ataque conta com o uso de milhares de “zumbis”, que conectados à internet, são “sequestrados” pelos “malwares” residentes. O sucesso desse ataque só é possível com a contaminação de milhares de micros em todo o mundo. Se pensarmos nesse aspecto, embora no momento em que o ataque foi ‘ordenado’ seja muito difícil defender (e ainda há uma variante, o SynFlood, que concentra o ataque nas portas públicas), há a questão preventiva. Para evitar ataques DDoS não basta ter a última tecnologia em IPS ou Web Application Firewall, é importantíssimo divulgar para o maior número de pessoas como são e para que são feitos esses phishings.

Estima-se que milhões de computadores sejam infectados todos os anos, no mundo. Formam, assim, uma rede de PCs zumbis prontos para serem acordados para o ‘ataque’. É um exército que ataca simultaneamente, um site ou portal, como a página da Presidente Dilma Roussef, por exemplo. Afinal, o phishing costuma usar a criatividade para enganar o usuário e fazê-lo clicar no arquivo ou link. Alguns exemplos mostram isso: ‘você está sendo traído, veja as fotos’; ‘atualize seu itoken para continuar acessando sua conta’; ‘veja fotos do acidente’; ‘promoção do cartão de credito’; ‘depósito judicial’; ‘evite o bloqueio da sua conta’; ‘extrato de multas online’; ‘comprovante de depósito’; ‘débito na Receita Federal”. Todos convidando o incauto a clicar em um link. Essas iscas lançadas mexem com características humanas como a curiosidade, medo e ambição, com a vontade de ganhar dinheiro, prêmios, viagens etc..

É o apelo à “ganância” inerente a todos os seres humanos e um apelo à “lei de Gerson”: “levar vantagem”, que é um script comportamental inscrito no nosso inconsciente e que se revelou bastante útil nos últimos 4 bilhões de anos de evolução, é um script muito primitivo e portanto muito forte, fazendo apelo a nossas emoções primárias. Gravado no nosso cérebro reptiliano (o tronco cerebral, a parte mais primitiva do cérebro, do tamanho de um dedo), como diz o psicólogo empresarial Clotaire Rapaille em seu livro: “O réptil sempre vence.

Assim, podemos dizer que o phishing está na origem dos ataques aos sites do governo brasileiro. A instalação de um pequeno programa em seu computador o transforma em um zumbi, um escravo silencioso, dormente, que será acordado, a um sinal dos hackers, para agir de forma coordenada contra um site, um ataque de Negação de Serviço Distribuído (Distributed Denial of Service – DDoS), o mais difícil de combater, que inunda com milhões de conexões o firewall, o WebServer, o IPS da vítima, colocando-os fora de combate. Este é o ataque mais espetacular que existe e que pode causar dano por algum tempo ao site da vítima, mas não é o mais danoso nem o mais perigoso.

Há ainda mais dois objetivos nesses ataques. O segundo é o de ‘pichar’ e ‘assinar’ as páginas do site, mostrando que ele não tem defesas ou que estas são muito ruim. O dano à imagem do governo, do órgão ou da empresa é grande, pois mostra uma falha de gestão e compreensão dos riscos por parte dos responsáveis. E o terceiro objetivo é roubar informações relevantes de bancos de dados de órgãos públicos, como Secretaria da Receita Federal, SERPRO, INSS, Ministério da Saúde, Ministério da Educação etc.. Este é o mais grave, pois com ferramentas tipo SQL Injection podem conseguir dados de pesquisa de petróleo da Petrobras, de pesquisa de minérios da Companhia Vale do Rio Doce, dados de salários e jetons pagos por empresas em geral, e muito mais.

A solução para este terceiro, que é o que acarreta, de fato, danos reais especialmente por ser silencioso, o que dificulta saber a extensão do dano, são dois sistemas de segurança, complementares e que devem ser combinados: os WAF – Web Application Firewall e os IPS – Intrusion Prevention Systems.

O WAF age na camada de aplicação Web e combate ataques como SQL injections, cross-site scripting, session tampering, buffer overflows, etc.. Muitas aplicações são vulneráveis a estes ataques, uma vez que segurança não é a prioridade de seus desenvolvedores, prazo e funcionalidades são mais importantes na hora do desenvolvimento. O Web Application Firewall atua em todos os ataques na camada de aplicação. Além dos que já mencionamos, ele intercepta entre outros ataques como command injections; roubo de sessão; Denial of Service (DDoS); probes maliciosos/crawlers; interceptação de Cookie/Sessões; path transversal e vazamento de informações

Os IPSs, sistemas de detecção de intrusos, por sua vez, emprestam inteligência ao monitoramento de rede. Uma boa solução de IPS é capaz de integrar, em tempo real, o conhecimento do contexto de inspeção e reunir informações sobre configurações de rede e host, aplicativos e sistemas operacionais, identificação de usuário, o comportamento da rede e do tráfego. E aprender com as ocorrências.

Evidentemente que não basta ter esses sistemas, eles têm que ser bem configurados para conseguirem a utilização ótima na defesa das organizações.

  •  
  •  
  •  
  •  
  •  
  •  
  •  

Compare preços de Uber, 99 e Taxi

Minimum Way

Autor

Associação Brasileira das Empresas de Software. Engenheiro de Produção pela Escola Politécnica, o executivo tem especialização pela Harvard University. Francisco é também Fundador do Grupo CLM, Distribuidor latino-americano focado em Segurança da Informação, Infraestrutura Avançada e Analytics. Sobre a ABES A ABES, Associação Brasileira das Empresas de Software, é a mais representativa entidade do setor com cerca de 1.600 empresas associadas ou conveniadas, distribuídas em 23 Estados brasileiros e no Distrito Federal, responsáveis pela geração de mais de 120 mil empregos diretos e um faturamento anual da ordem de US$ 20 bilhões por ano. As empresas associadas à ABES representam 86% do faturamento do segmento de desenvolvimento e comercialização de software no Brasil e 33% do faturamento total do setor de TI, equivalente em 2015 a US$ 60 bilhões de vendas de software, serviços de TI e hardware. Desde sua fundação, em 9 de setembro de 1986, a entidade exerce a missão de representação setorial nas áreas legislativa e tributária, na proposição e orientação de políticas voltadas ao fortalecimento da cadeia de valor da Indústria Brasileira de Software e Serviços – IBSS, na defesa da propriedade intelectual e combate à pirataria de softwares nacionais ou internacionais e no apoio às iniciativas de fomento à pesquisa, desenvolvimento, inovação e ao desenvolvimento do software nacional. Acesse o Portal ABES - www.abes.org.br ou fale com a nossa Central de Relacionamento: (11) 2161-2833.

Francisco Camargo

Comentários

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade




Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes