parte 1 - Symantec Website Security

Transcrição

Relatório de Ameaças à Segurança de Sites I 2015
PARTE 1
CONTEÚDO
Introdução
3
Resumo executivo
4
Ameaças na Web
5
Crimes eletrônicos e malware
21
Recomendações e melhores práticas
36
Sobre a Symantec
40
2
I Symantec Website Security Solutions
INTRODUÇÃO
A Symantec possui a mais abrangente fonte de dados do mundo sobre ameaças na
Internet, com a Symantec™ Global Intelligence Network, composta por mais de 41,5
milhões de sensores de ataque e capaz de registrar milhares de eventos por segundo.
Essa rede monitora a atividade de ameaças em mais de
157 países e territórios por meio de uma combinação de
produtos e serviços da Symantec, como:
157
• o Symantec DeepSight™ Threat Management System
• o Symantec™ Managed Security Services
• produtos Norton™
• o Symantec Website Security Solutions
• outras fontes de dados de terceiros.
A Symantec também possui um dos bancos de dados
de vulnerabilidades mais abrangentes do mundo,
consistindo em mais de 60.000 vulnerabilidades
registradas por mais de 19.000 fornecedores que
representam mais de 54.000 produtos.
Dados de spam, phishing e malware são capturados
por uma variedade de fontes, incluindo:
•o Symantec Probe Network, um sistema com mais de
5 milhões de contas falsas
• o Symantec.cloud
•produtos para malware e vulnerabilidades do
Symantec Website Security Solutions
•várias outras tecnologias de segurança da Symantec.
A Skeptic™, a tecnologia heurística e patenteada
do Symantec.cloud, é capaz de detectar ameaças
direcionadas novas e sofisticadas antes que elas
cheguem às redes dos clientes. Mais de 8,4 bilhões
de mensagens de e-mail são processadas todos os
meses, e mais de 1,7 bilhão de solicitações da Web
são filtradas todos os dias, em 14 data centers. A
Symantec também coleta informações de phishing por
meio de uma ampla comunidade antifraude composta
por empresas, fornecedores de segurança e mais de
50 milhões de consumidores.
A Symantec possui um dos bancos
de dados de vulnerabilidades
mais abrangentes do mundo.
19.000
54.000
60.000
fornecedores
produtos
vulnerabilidades registradas
Skeptic™, a tecnologia heurística
e patenteada do Symantec.cloud
14 data centers
1,7 BILHÃO de solicitações Web
8,4 BILHÕES de mensagens de e-mail
O Symantec Website Security Solutions fornece 100 por cento
de disponibilidade e processa seis bilhões de pesquisas OCSP
(Online Certificate Status Protocol) por dia, que são usadas
para obter o status de revogação de certificados digitais X.509
em todo o mundo. Esses recursos oferecem aos analistas da
Symantec fontes de dados sem igual, com as quais eles podem
identificar, analisar e fornecer comentários embasados sobre
as novas tendências de ataques, atividades de código malintencionado, phishing e spam.
O resultado é o Relatório da Symantec de Ameaças à Segurança de Sites, que fornece a empresas
de todos os portes, e também aos consumidores, as informações essenciais para que protejam seus
sistemas com eficácia agora e no futuro.
3
RESUMO EXECUTIVO
O grande acontecimento em 2014 foi — é claro — o bug Heartbleed, que
estremeceu as bases da segurança na Internet. Seu significado não foi comprovar a
inteligência dos criminosos; na verdade, ele demonstrou a vulnerabilidade inerente
aos softwares criados por seres humanos e lembrou a todos sobre a necessidade de
vigilância e maior cuidado na implementação e na segurança de sites.
É claro que, enquanto o Heartbleed ocupava as
manchetes, os criminosos aproveitaram para criar
suas próprias oportunidades de exploração, roubo e
destruição. Em 2014, os criminosos se tornaram mais
profissionais, sofisticados e agressivos em suas táticas,
prejudicando empresas e indivíduos igualmente.
As vulnerabilidades expõem todos nós
O Heartbleed não foi a única vulnerabilidade explorada
esse ano. As vulnerabilidades Poodle e Shellshock
também permitiram que criminosos usassem sites para
acessar servidores, roubar dados e instalar malware.
É interessante observar que, embora três quartos dos
sites verificados apresentassem vulnerabilidades
(o mesmo que no ano anterior), o número de sites
atacados por malware em 2014 caiu consideravelmente,
chegando a um em 1126. Em parte, isso pode ter ocorrido
devido ao aprimoramento da segurança dos sites, mas
também é possível que os criminosos tenham optado por
métodos alternativos de entrega de malware, como mídia
social e malvertising (anúncios mal-intencionados).
Infelizmente, de forma mais geral, muitas pessoas
deixam de instalar patches para vulnerabilidades dos
softwares que executam em dispositivos e servidores,
o que facilita demais a exploração pelos criminosos.
Com frequência, os invasores utilizam um “dropper”
especializado, entregue talvez por meio de um ataque
“drive-by” (por download não solicitado) ou fraude de
mídia social, que verifica a gama de vulnerabilidades
conhecidas e explora qualquer brecha de segurança não
corrigida.
Os criminosos cibernéticos profissionalizam suas ações
Em 2014, a sofisticação das operações criminosas
aumentou, e especializações, fornecimento de
serviços e flutuações de mercado agora espelham seus
equivalentes no setor de tecnologia legítimo.
Um toolkit de ataque “drive-by”, por exemplo, incluindo
atualizações e suporte 24/7, pode ser alugado por um
valor entre US$ 100 e US$ 700 por semana. Ataques
de negação de serviço distribuídos (DDoS) podem ser
encomendados por US$ 10 a US$ 1.000 por dia. Além
disso, quando se trata de demanda e oferta, o mercado
favorece o comprador: detalhes de cartão de crédito
podem ser adquiridos por algo entre US$ 0,50 e US$
20 por cartão, e 1.000 seguidores em uma rede social
podem custar de US$ 2 a US$ 12.
As táticas de ataque são agressivas e amorais
Os criminosos nunca se importaram muito com suas
vítimas, mas em 2014 suas más intenções alcançaram
um novo patamar.
Somente entre maio e setembro, a Symantec percebeu
um aumento de 14 vezes na ocorrência de cryptoware.
Esse tipo de ransomware criptografa os arquivos da
vítima – de fotos a faturas e contatos importantes
– e retém as chaves privadas necessárias para
descriptografar as informações até o pagamento de
um resgate. As vítimas recebem instruções para fazer
o pagamento em bitcoins, usando uma página Tor
anônima, o que praticamente impede que os criminosos
responsáveis pela fraude sejam rastreados e presos.
Fraudes de mídia social e phishing também tentaram
aproveitar temores relacionados a hacking e integridade
de informações a fim de enganar os usuários e fazer
com que clicassem em links. O lucro dessas ações vem
de programas afiliados que pagam por inscrições e
cliques, além de downloads de malware que exploram
a vítima ou os dados coletados quando a vítima fornece
informações em um site de phishing vinculado.
1.
http://www.symantec.com/connect/blogs/underground-blackmarket-thriving-trade-stolen-data-malware-and-attack-services
2
http://www.symantec.com/connect/blogs/australiansincreasingly-hit-global-tide-cryptomalware
Symantec Website Security Solutions I
4
AMEAÇAS NA WEB
5
VISÃO GERAL
1
A vulnerabilidade Heartbleed deixou cerca de meio milhão de sites con-
2
A ameaça do Heartbleed fez com que muito mais pessoas observassem e
3
3
fiáveis à mercê de violações de dados significativas em abril de 20143.
aprimorassem os padrões na implementação de SSL e TLS.
Os criminosos aproveitam a tecnologia e a infraestrutura criadas por
redes de anúncios legítimas para disseminar fraudes e ataques
mal-intencionados.
4
Um salto para cinco por cento do total de sites infectados levou os sites de
5
O número total de sites com malware reduziu-se praticamente à metade
anonimato para os dez principais tipos de sites infectados em 2014.
desde 2013.
http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
6
INTRODUÇÃO
As ameaças na Web ficaram maiores e muito mais agressivas em 2014, conforme
brechas em ferramentas e protocolos de criptografia comuns foram expostas e os
criminosos refinaram suas armas mal-intencionadas.
Em 2014, o panorama de ameaças na Web tornou-se muito
mais intimidador, uma tendência que deve continuar
em 2015. Vulnerabilidades e novas variações de
malware enfatizam a necessidade de atenção contínua e
aprofundada para a segurança dos sites.
4
No momento em que este documento é escrito, uma
nova vulnerabilidade de SSL/TLS, chamada “FREAK”,
foi identificada por vários pesquisadores da área de
segurança (2015)4. A vulnerabilidade FREAK permite
que ataques de tipo “man-in-the-middle” ocorram em
comunicações criptografadas entre um visitante e o site,
o que acaba possibilitando que invasores interceptem
e descriptografem as comunicações entre clientes
e servidores afetados. Depois que a criptografia é
quebrada pelos invasores, eles podem roubar senhas e
outras informações pessoais e, potencialmente, iniciar
outros ataques contra o site afetado.
http://www.symantec.com/connect/blogs/freak-vulnerability-can-leave-encrypted-communications-open-attack
7
VULNERABILIDADES DE ALTA VISIBILIDADE
Heartbleed
O Heartbleed chegou às manchetes em abril de 2014,
quando foi divulgado que uma vulnerabilidade na
biblioteca do software criptográfico OpenSSL permitia
que invasores acessassem os dados armazenados na
memória de um servidor Web durante uma sessão
criptografada. Os dados da sessão poderiam incluir
detalhes de cartão de crédito, senhas ou, até mesmo,
chaves privadas que desbloqueariam toda uma troca
criptografada5.
Na época, estimou-se que o Heartbleed tivesse afetado 17
por cento dos servidores Web SSL, que usam certificados
SSL e TSL emitidos por autoridades de certificação
confiáveis6. O impacto em indivíduos e empresas foi
gigantesco.
Não só uma imensa quantidade de dados confidenciais
estava em risco, mas o público também precisava ser
informado a respeito da vulnerabilidade para saber
quando atualizar suas senhas. Primeiro, os proprietários
dos sites precisaram atualizar seus servidores com a
versão corrigida do OpenSSL, instalar novos certificados
SSL e, finalmente, revogar os certificados antigos. Só
então uma alteração de senha seria eficaz contra a
ameaça, e passar essa informação ao público em geral
representou um grande desafio.
Felizmente, a resposta foi rápida. Em cinco dias, nenhum
dos sites incluídos na lista dos 1.000 principais sites
(segundo o Alexa) estava vulnerável ao Heartbleed,
e apenas 1,8 por cento dos 50.000 principais sites
continuava vulnerável7.
ShellShock e Poodle
A vulnerabilidade Heartbleed não foi a única a surgir
no ecossistema online em 2014. Em setembro, foi
descoberta uma vulnerabilidade conhecida como “Bash
Bug” ou “ShellShock” que afetava a maioria das versões
5
6
do Linux e do Unix, além do Mac OS X. O ShellShock é
um exemplo especialmente adequado que mostra o quão
rapidamente o panorama da segurança pode mudar para
os proprietários de sites: um dia seus servidores estão
seguros e atualizados e, no dia seguinte, isso não é mais
verdade, vários dos patches iniciais estão incompletos e
precisam ser corrigidos novamente.
A rota de ataque mais fácil passava pelos servidores Web,
já que os invasores podiam usar a interface CGI (Common
Gateway Interface), o sistema amplamente usado para a
geração de conteúdo Web dinâmico, a fim de adicionar
um comando mal-intencionado a uma variável ambiental,
que o Bash, o componente de servidor contendo a
vulnerabilidade, poderia interpretar e executar8.
Inúmeras ameaças se aproveitaram do ShellShock,
expondo servidores (e as redes às quais eles se
conectavam) a malware que poderia infectar e espionar
múltiplos dispositivos.
Em outubro, as atenções se voltaram para a criptografia,
quando o Google descobriu uma vulnerabilidade
conhecida como Poodle. Essa vulnerabilidade poderia
permitir que criminosos explorassem os servidores
que ainda utilizassem um protocolo SSL mais antigo,
conhecido como SSL 3.0, interferindo no processo de
“handshake” (que verifica qual protocolo o servidor pode
usar) e forçando-o a usar o SSL 3.0, mesmo se houvesse
suporte a um protocolo mais recente9.
Uma exploração bem-sucedida permitiria a um
invasor executar um ataque “man-in-the-middle” para
descriptografar cookies de HTTP seguro, o que lhe
permitiria roubar informações ou controlar as contas
online da vítima. Felizmente, essa ameaça não foi tão grave
quanto o Heartbleed. Para aproveitar a vulnerabilidade
Poodle, o invasor precisaria ter acesso à rede entre o
cliente e o servidor, como um hotspot Wi-Fi público.
http://www.symantec.com/connect/blogs/heartbleed-bug-poses-serious-threat-unpatched-servers
http://news.netcraft.com/archives/2014/04/08/half-a-million-widely-trusted-websites-vulnerable-to-heartbleed-bug.html
7
http://www.symantec.com/connect/blogs/heartbleed-reports-field
8
http://www.symantec.com/connect/blogs/shellshock-all-you-need-know-about-bash-bug-vulnerability
9
http://www.symantec.com/connect/blogs/poodle-vulnerability-old-version-ssl-represents-new-threat
8
VULNERABILIDADES DE ALTA VISIBILIDADE
Vulnerabilidades de alta visibilidade e tempo de
correção
Os certificados SSL e TLS ainda são essenciais para a
segurança
Os ataques que ocorreram logo após o anúncio dessas
vulnerabilidades foram bastante noticiados, embora
de maneira diferente das chamativas vulnerabilidades
de dia zero. O Heartbleed e o ShellShock poderiam ser
vistos como uma classe diferente de vulnerabilidades,
sendo usados para comprometer servidores em vez de
endpoints. O principal fator dessas vulnerabilidades
de alta visibilidade era a prevalência dos softwares
que elas afetavam, encontrados em tantos sistemas e
dispositivos. Considerando sua existência abrangente,
essas vulnerabilidades imediatamente se tornaram alvos
importantes para os invasores. Em poucas horas após a
sua divulgação, elas já estavam sendo exploradas.
É importante observar que, embora a segurança online
tenha sido estremecida em 2014, os certificados SSL e
os certificados TLS, seus equivalentes mais modernos,
ainda funcionam e ainda são essenciais. Na verdade, a
ocorrência do Heartbleed demonstrou a rapidez com que
a comunidade de segurança online foi capaz de reagir a
esses tipos de ameaças.
Os padrões do setor também melhoram continuamente,
graças ao trabalho árduo e à vigilância de organizações
como o CA Browser Forum, do qual a Symantec faz parte.
Em outras palavras, a base da segurança na Internet,
que protege seu site e seus visitantes, está mais forte do
que nunca.
Os grandes picos do gráfico mostram que, embora
houvesse assinaturas da Symantec prontas para
detectar e bloquear ataques quase imediatamente após
a divulgação, um grande número de ataques já estava
se desenrolando. Os invasores conseguiram explorar
a vulnerabilidade Heartbleed em um prazo de quatro
horas após a sua divulgação.
ATAQUES GLOBAIS DO HEARTBLEED E DO SHELLSHOCK, ABRIL A NOVEMBRO DE 2014
40
Ataques do
Heartbleed (globais)
35
Milhares
30
Ataques do
Shellshock (globais)
25
20
15
5
0
M
J
J
Fonte: Symantec
9
A
S
O
N
VISÃO GERAL DAS VULNERABILIDADES
Com pequenas flutuações de um ano a outro, a
tendência no número de vulnerabilidades continua a
crescer. Existem ações corretivas, soluções alternativas
ou patches para a maioria das vulnerabilidades
relatadas. No entanto, os criadores de malware sabem
que muitas pessoas não aplicam essas atualizações,
e por isso eles conseguem explorar vulnerabilidades
bem documentadas. Em muitos casos, um “dropper”
especializado procura algumas vulnerabilidades
conhecidas e usa qualquer brecha de segurança não
corrigida como porta dos fundos para instalar malware.
Isso, é claro, enfatiza a importância crucial da aplicação
de atualizações.
É dessa forma que toolkits de exploração na Web,
como o Sakura e o Blackhole, permitem que invasores
explorem vulnerabilidades não corrigidas publicadas
meses (ou até mesmo anos) antes. É possível criar várias
explorações para cada vulnerabilidade, e um toolkit
de ataque na Web primeiro realiza uma verificação
de vulnerabilidades no navegador para identificar
quaisquer plug-ins potencialmente vulneráveis e
o melhor ataque que pode ser aplicado. Muitos
toolkits não utilizam as explorações mais recentes
em vulnerabilidades novas se uma mais antiga for
suficiente; explorações para vulnerabilidades de dia
zero são raras, sendo muito procuradas por invasores,
especialmente para uso em ataques direcionados de
tipo “watering hole”.
NOVAS VULNERABILIDADES
2014
2013
2012
6.549
6.787
5.291
-3,6%
+28%
Fonte: Symantec | Deepsight
Symantec Website Security Solutions I 10
2010
6253
2011
4989
5291
6787
2011
2009
4814
2012
2008
5562
891
2013
2007
4644
351
591
2014
2006
4842
2012
Vulnerabilidades
de navegador,
2011 – 2014
2013
Número total de
vulnerabilidades,
2006 – 2014
639
Opera
2014
Mozilla Firefox
Microsoft Internet
Explorer
Google Chrome
6549
Apple Safari
Fonte: Symantec I Deepsight
Vulnerabilidades de plug-in por mês, 2013-2014
Java
80
Apple
71
70
Adobe
60
54 54
50
40
ActiveX
53
48
48
45
30
31
29
27
20
10
5
F
M
A
M
J
J
11
8
A
2013
4
S
30
23
29
17
J
37
36
35
O
N
13
8
2
D
J
F
M
A
M
J
J
A
S
O
N
D
2014
Embora as vulnerabilidades relatadas representem um risco geral, as vulnerabilidades de dia zero são potencialmente muito
mais graves. Essas são as vulnerabilidades que são descobertas apenas após serem exploradas por invasores. Consulte o
capítulo sobre ataques direcionados para ver uma abordagem mais ampla sobre as vulnerabilidades de dia zero.
11 I Symantec Website Security Solutions
Plug-in Vulnerabilities by Month
SITES COMPROMETIDOS
Considerando todos os sites que a Symantec verificou em
2014, cerca de três quartos apresentaram vulnerabilidades,
um número parecido com o do ano anterior. A porcentagem
dessas vulnerabilidades que foi classificada como crítica,
porém, aumentou de 16 para 20 por cento.
Em contraste, o número de sites em que malware
realmente foi encontrado foi muito menor no ano passado,
tendo sido reduzido de um em 566 para um em 1126. Isso
parece ter tido um efeito secundário no número de ataques
na Web bloqueados por dia, que também foi reduzido
(embora apenas em 12,7 por cento), sugerindo que sites
infectados foram, na média, responsáveis por mais ataques
em 2014. Um motivo para isso é a maneira como alguns
toolkits de ataques na Web foram desenvolvidos para
serem usados na nuvem, como Software como serviço
(SaaS). Por exemplo, um site comprometido pode usar
uma tag HTML iframe ou JavaScript disfarçada para injetar
código mal-intencionado do toolkit de exploração baseado
em SaaS, em vez de iniciar o ataque mal-intencionado
diretamente do código da exploração hospedado no próprio
site comprometido. Esse crescimento no uso de toolkits
de exploração baseados em SaaS também é indicado pelo
declínio do número de novos domínios mal-intencionados
usados para hospedar malware, que caiu 47%, de 56.158
em 2013 para 29.927 em 2014.
Toolkits de ataques na Web executam verificações nos
computadores das vítimas, buscando plug-ins vulneráveis
a fim de iniciar o ataque mais eficaz. Além disso, esses
toolkits de estilo SaaS normalmente estão hospedados
em serviços bastante protegidos, com endereços IP que
podem mudar rapidamente e nomes de domínio que
podem ser gerados dinamicamente, dificultando localizar
a infraestrutura SaaS mal-intencionada e desativá-la.
Os invasores também podem controlar a forma como as
explorações são administradas; por exemplo, habilitando
ataques apenas se um cookie tiver sido definido pelo site
inicial comprometido, preservando o código
mal-intencionado da curiosidade de mecanismos de
pesquisa e pesquisadores de segurança. Os toolkits
de ataques na Web são analisados em mais detalhes
posteriormente neste capítulo.
Em relação ao tipo de site explorado com mais frequência,
é interessante observar a inclusão dos sites de anonimato
entre os 10 primeiros este ano. Talvez esse seja mais um
caso de criminosos que seguem as tendências, com mais
pessoas tentando despistar o rastreamento de provedores
de Internet e outros interessados e aumentar a privacidade
de sua navegação.
DEZ PRINCIPAIS VULNERABILIDADES NÃO CORRIGIDAS ENCONTRADAS EM SERVIDORES
WEB VERIFICADOS
Classificação
Nome
1
Vulnerabilidade SSL/TLS POODLE
2
Cross Site Scripting (XSS)
3
Suporte para SSL v2 detectado
4
Conjuntos de cifras fracas de SSL suportados
5
Cadeia de certificados SSL inválidos
6
Atributo de segurança ausente em cookie de sessão criptografada (SSL)
7
Vulnerabilidade de renegociação de protocolos SSL e TLS
8
Vulnerabilidade de divulgação de informações da função PHP ‘strrchr()’
9
Ataque XXS para http TRACE
10
Vulnerabilidade não especificada de tratamento de erro OpenSSL ‘bn_wexpend()’
Fonte: Symantec I Website Security Solutions
SITES VERIFICADOS
QUE APRESENTARAM
VULNERABILIDADES
… % DAS QUAIS
ERAM CRÍTICAS
76%
20%
-1%
+4%
77%
16%
+25%
+8%
55%
24%
2014
2014
2013
2013
2012
2012
In
5)5)ofde
alltodas
vulnerabilities
discovered
on legitimate
websites
were
considered
critical,
thatou
could
attackers
Em2014,
2014,20
20 percent
por cento(1(1inem
as vulnerabilidades
descobertas
em sites
legítimos
foram
consideradas
críticas,
seja,allow
vulnerabilidades
access
to sensitive
data,
the website’s
content,
orconfidenciais,
compromise alterassem
visitors’ computers.
que poderiam
permitir
que alter
os invasores
acessassem
dados
o conteúdo do site ou comprometessem os computadores dos
visitantes.
SITES QUE APRESENTARAM MALWARE
1250
1000
1126
1 EM
750
500
532
566
250
2012
2013
2014
CLASSIFICAÇÃO DOS SITES EXPLORADOS COM
MAIS FREQUÊNCIA, 2013-2014
As 10 categorias de
sites explorados com
mais frequência
em 2014
Porcentagem do
número total de
sites infectados
em 2014
10 principais
em 2013
1
Tecnologia
21,5%
Tecnologia
9,9%
2
Hospedagem
7,3%
Empresarial
6,7%
3
Blogs
7,1%
Hospedagem
5,3%
4
Empresarial
6,0%
Blogs
5,0%
5
Anonimato
5,0%
Ilegal
3,8%
6
Entretenimento
2,6%
Compras
3,3%
7
Compras
2,5%
Entretenimento
2,9%
8
Ilegal
2,4%
Setor automotivo
1,8%
9
Espaço reservado
2,2%
Educação
1,7%
Comunidade virtual
1,8%
Comunidade virtual
1,7%
Classificação
10
Porcentagem
de 2013
Fonte: Symantec | SDAP, Safe Web, Rulespace
ATAQUES NA WEB BLOQUEADOS POR MÊS, 2013-2014
900
Linear (2013)
800
Linear (2014)
700
Milhares
600
500
400
300
200
100
J
Fonte: Symantec | SDAP
F
M
A
M
J
J
2013
A
S
O
N
D
J
F
M
A
M
J
J
A
S
O
N
D
2014
NOVOS DOMÍNIOS WEB MAL-INTENCIONADOS ÚNICOS
2014
2013
2012
2011
29.927
56.158
74.001
55.000
-47%
-24%
+34%
Fonte: Symantec | .cloud
Em 2014, uma queda de 47 por cento nos domínios Web mal-intencionados únicos indica um aumento no uso de
toolkits do tipo SaaS (Software como serviço).
ATAQUES NA WEB BLOQUEADOS POR DIA
2014
2013
2012
2011
496.657
568.734
464.100
190.000
-12,7%
+23%
+144%
A maior parte da queda de -12,7% no número médio de ataques diários bloqueados ocorreu no segundo semestre de
2013, uma vez que o declínio em 2014 foi bem menos acentuado.
Com a maioria dos sites ainda apresentando
vulnerabilidades, está claro que muitos proprietários
de sites não realizam verificações de vulnerabilidade.
Apesar disso, é possível que eles estejam prestando
mais atenção a verificações de malware que possam
descobrir software mal-intencionado. No entanto, o
malware normalmente é instalado após a exploração
das vulnerabilidades, e a prevenção é sempre o melhor
remédio.
Com tantos sites potencialmente vulneráveis, os
criminosos já estavam conquistando razoável sucesso
em sua exploração, e muitos também foram rápidos
em aproveitar algumas das vulnerabilidades de SSL e
TLS expostas em 2014. Além disso, a prevalência de
fraudes de mídia social e malvertising em 2014 sugere
que os criminosos já veem essas opções como métodos
alternativos de distribuição de malware.
CINCO PRINCIPAIS TOOLKITS
DE ATAQUE NA WEB, 2012
8%
17%
3%
7%
10%
10%
5
41%
5
14%
26%
23%
19%
22%
Blackhole
Outros
Sakura
G01 Pack
Phoenix
Blackhole
Redkit
Sakura
Nuclear
Styx
Outros
Coolkit
Fonte: Symantec I SDAP, Wiki
Cronologia do uso de toolkits
de ataque na Web, cinco
principais, 2014
100%
50%
5
23%
10%
7%
5% 5%
0%
J
Sakura
Nuclear
Styx
Orange Kit
Blackhole
Outros
F
M
A
M
J
J
A
S
O
N
D
Outros
Blackhole
Orange Kit
Styx
Nuclear
Sakura
MALVERTISING
A partir de 2014, percebemos uma convergência entre
ransomware e malvertising, com aumento significativo
do número de vítimas redirecionadas ao site Browlock.
O Browlock, por si só, é uma das variantes menos
agressivas de ransomware. Ao contrário do código
mal-intencionado que é executado no computador
da vítima, ele é apenas uma página da Web que usa
truques de JavaScript para impedir que a vítima feche a
guia do navegador. O site determina onde a vítima está
e apresenta uma página da Web específica do local,
alegando que a vítima violou a lei ao acessar sites de
pornografia e exigindo o pagamento de multa para a
polícia local.
Aparentemente, os invasores do Browlock compram
anúncios de redes legítimas para criar tráfego para seus
próprios sites. O anúncio é direcionado para uma página
de conteúdo adulto, que em seguida é redirecionada
para o site do Browlock. O tráfego adquirido pelos
invasores do Browlock é proveniente de várias fontes,
mas principalmente de redes de anúncios adultos10.
Tudo o que as vítimas precisam fazer para escapar é
fechar o navegador, mas o investimento feito pelos
criminosos para obter tráfego sugere que as pessoas
pagam. Talvez isso ocorra porque a vítima clicou em um
anúncio de site de pornografia antes de chegar à página
do Browlock: a culpa pode ser um motivador poderoso.
Malvertising à solta
Não é só o ransomware que o malvertising ajuda a
disseminar: anúncios mal-intencionados também levam
a sites que instalam Cavalos de Troia. Alguns anúncios
mal-intencionados também podem infectar o dispositivo
da vítima sem que o usuário clique neles, por meio de um
ataque “drive-by”.
O que atrai os criminosos é que o malvertising pode atingir
grandes sites legítimos, estimulando altos volumes de
tráfego. Redes de anúncios também costumam ter alvos
bastante específicos, o que significa que os criminosos
podem ajustar as fraudes a vítimas específicas, como
pessoas que buscam serviços financeiros. Às vezes, redes
de anúncios legítimas fazem inadvertidamente todo o
trabalho pelos criminosos.
Os criminosos também mudam de tática para evitar
a detecção. Por exemplo, eles podem divulgar um
anúncio legítimo durante algumas semanas para lhe
dar credibilidade e, depois, convertê-lo em anúncio
mal-intencionado. Como resposta, as redes de anúncios
precisam realizar verificações regulares, em vez de apenas
quando um novo anúncio é carregado.
Para os proprietários de sites, é difícil impedir o
malvertising, já que eles não têm controle direto sobre
as redes de anúncios e seus clientes. No entanto, os
administradores dos sites podem reduzir os riscos
escolhendo redes que restrinjam a funcionalidade dos
anúncios, de forma que os anunciantes não possam
incorporar código mal-intencionado em suas promoções. E,
é claro, exercer o devido cuidado ao escolher uma rede de
anúncios é fundamental.
Exemplo de página do Browlock,
exigindo o pagamento de multa por
navegação ilegal em pornografia11
10
11
http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware
Ibid
NEGAÇÃO DE SERVIÇO (DDOS)
Ataques de negação de serviço oferecem aos invasores outra forma de atingir
organizações individuais. Os ataques de negação de serviço bloqueiam o acesso
a sistemas críticos, como sites ou e-mail, sobrecarregando-os com tráfego de
Internet, e podem causar destruição financeira e interromper as operações normais.
cento foram atingidas mais de uma vez . Os motivos
incluem extorsão financeira, desvio da atenção de
outras formas de ataque, hacktivismo e vingança.
Cada vez mais, os invasores que desejam utilizar a
negação de serviço podem alugar ataques de duração
e intensidade específicas por apenas US$ 10-20 no
mercado negro online.
Os ataques de negação de serviço distribuídos (DDoS)
não são novos, mas sua intensidade e frequência têm
aumentado . Por exemplo, a Symantec viu um aumento
de 183 por cento em ataques de amplificação de DNS
entre janeiro e agosto de 2014 . De acordo com uma
pesquisa da Neustar, 60 por cento das empresas foram
afetadas por um ataque de DDoS em 2013, e 87 por
TRÁFEGO DE ATAQUES DDOS VISTO PELA SYMANTEC GLOBAL INTELLIGENCE NETWORK
Total de DDoS
8
Ataque de amplificação
de DNS
Ataque genérico de
inundação de ICMP
Ataque genérico de negação
de serviço por inundação de
TCP SYN
7
MILHÕES
6
5
4
3
2
1
0
J
F
M
A
M
J
J
A
S
O
N
D
Fonte: Symantec I DeepSight Symantec Global Intelligence Network
12
http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong
13
http://www.symantec.com/connect/blogs/denial-service-attacks-short-strong
14
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the-continued-rise-of-ddos-attacks.pdf
A VULNERABILIDADE AUMENTA
Por Tim Gallo
Nos últimos anos, o gerenciamento de vulnerabilidades tornou-se um assunto
recorrente, mas ele é visto mais como uma inconveniência ou um processo que,
embora interessante, não é tão importante quanto a resposta a violações ou o
rastreamento de adversários. No entanto, 2014 apresentou exemplos vívidos da
importância das vulnerabilidades. Três grandes vulnerabilidades se tornaram
notícia, e não só no noticiário do setor de segurança, recebendo ampla cobertura
em outros canais de mídia também. Essas foram as vulnerabilidades conhecidas
como Poodle, ShellShock e Heartbleed.
Todas essas vulnerabilidades foram descobertas em
áreas tradicionalmente não atendidas pela maioria
dos processos de gerenciamento de vulnerabilidades
na época. Ultimamente, esses processos têm se
concentrado em laptops e servidores, graças à
regularidade das vulnerabilidades divulgadas pela
Adobe e pela Microsoft e a agilidade dessas empresas
no lançamento de patches. Embora tenhamos visto
novas vulnerabilidades nesses aplicativos, o que
continuará a ocorrer, foram estabelecidos processos
sólidos na implantação de patches e na divulgação
de vulnerabilidades e em processos gerais de
gerenciamento de patches.
Foi a automação da implantação de patches por
fornecedores de sistemas operacionais e aplicativos
que forçou os invasores a mudarem as suas táticas. Os
invasores adotaram novos métodos de exploração ou,
o que talvez seja mais preciso, voltaram às atividades
de pesquisa de vulnerabilidades. Com a maior atenção
dada pelos invasores aos aplicativos, foram descobertas
vulnerabilidades em áreas que anteriormente eram
consideradas seguras.
Vamos considerar uma dessas vulnerabilidades, o
ShellShock, como um exemplo do que provavelmente
veremos nos próximos anos. Na melhor das hipóteses,
o Shellshock era um recurso defeituoso e, no pior
caso, uma falha de design do Bourne Again Shell
(BASH)15, algo ignorado por mais de 25 anos antes de
ser descoberto e depois divulgado publicamente. O
A vulnerabilidade
Heartbleed tem até
mesmo o seu próprio
logotipo.
Shellshock faz parte da malha da Internet praticamente
desde que ela surgiu. Na verdade, os alvos do Shellshock
não eram apenas servidores Linux ou roteadores, mas
também servidores de e-mail e até mesmo bots DDoS
Para aqueles não familiarizados com a terminologia UNIX, um shell é uma interface de usuário com linha de comando para interação
com o sistema operacional. Neste caso, o BASH é um dos shells mais amplamente usados em todos os universos UNIX e LINUX.
15
que utilizam o shell — tudo o que seja baseado em Unix
e que utilize o BASH.
Nos próximos anos, provavelmente continuaremos a
ver vulnerabilidades como essas, por alguns motivos.
Para começar, agora está claro que os invasores
não continuarão a reutilizar os mesmos métodos
e explorações já conhecidos. Em vez disso, eles
investirão na pesquisa de novas vulnerabilidades em
infraestruturas mais antigas, usadas com frequência,
que fornecem uma área de ataque ampla.
Essas três vulnerabilidades de alta visibilidade também
foram interessantes não só porque expuseram falhas
em importantes componentes da infraestrutura da
Internet mas também porque revelaram um dos
segredos mais escondidos do desenvolvimento de
aplicativos: a reutilização de código. Na reutilização
de código, o desenvolvedor copia seções do código de
aplicativos existentes para uso no desenvolvimento
de novos aplicativos. Essa prática, tão antiga quanto
a própria existência de código, pode levar à existência
de vulnerabilidades em sistemas que nem estejam
relacionados.
Avaliando a situação que levou à descoberta do
Heartbleed, os usos legítimos da biblioteca OpenSSL
eram um exemplo perfeito da reutilização de código.
Esse código já era considerado confiável há muito tempo
e normalmente nem era testado, por ser considerado
“um problema resolvido”. No entanto, foram descobertas
novas vulnerabilidades na biblioteca, e desenvolvedores
em todo o mundo precisaram se esforçar para
determinar se suas implementações de reutilização de
código estavam vulneráveis.
Além disso, percebemos um aumento em programas
de recompensa por descoberta de bugs, e os
governos deixaram de ameaçar os pesquisadores de
16
vulnerabilidades com prisão, como em anos passados16.
Portanto, o incentivo à pesquisa de vulnerabilidades
aumentou, e as repercussões da divulgação
irresponsável (ou até mesmo o comportamento
abertamente mercenário) deixaram de ser temidas pelos
pesquisadores.
No entanto, espera-se que no futuro correções e
melhores práticas de segurança se tornem dominantes.
O profissional de TI médio só precisa de algumas
semanas de noites de trabalho para decidir que
planejar o futuro é muito mais vantajoso. A aplicação
mais adequada de configurações, políticas e patches
em infraestruturas inteiras ajudará. A migração
da infraestrutura para a nuvem também ajuda o
profissional de TI sobrecarregado a gerenciar esses
problemas.
Conforme examinamos o ciclo de segurança de
detecção e correção, o retorno das vulnerabilidades é
um ponto essencial para compreendermos o panorama
de ameaças. Para sermos profissionais de segurança
mais eficazes, precisamos pensar também em como
protegemos e reagimos, além de como informamos e
avaliamos. Isso significa que precisamos nos tornar
melhores planejadores e testadores, buscar informações
que nos ajudem a saber mais e conhecer o nosso
ambiente bem o suficiente para entender se essas
informações são úteis.
Precisamos entender melhor que a malha da Internet
provavelmente ainda está cheia de furos, e que é nossa
responsabilidade manter a vigilância e nos prepararmos
para lidar com novas vulnerabilidades conforme elas
forem divulgadas, de maneira programada e orientada
por processos. Deixar de fazer isso prejudicará o nosso
futuro.
http://www.wired.com/2013/03/att-hacker-gets-3-years
CRIMES ELETRÔNICOS
E MALWARE
VISÃO GERAL
1
Na economia clandestina, os preços continuam no mesmo patamar, sugerindo que a demanda por identidades roubadas, malware e serviços de
crime eletrônicos continua alta.
2
Em relação a 2013, o número de vulnerabilidades caiu, mas a tendência
3
O número de novas variantes de malware cresceu em 317.256.956 em 2014
4
5
geral ainda é de crescimento.
– um aumento de 26% em relação ao crescimento em 2013.
O ransomware está cada vez mais perigoso, além de ter aumentado em
volume. A quantidade de ransomware de criptografia também aumentou em
mais de 45 vezes em relação a 2013.
O número de bots diminuiu em 18 por cento em 2014.
INTRODUÇÃO
Todos os dias, sites e e-mails falsos capturam detalhes bancários pessoais.
Computadores infectados com malware são usados para enviar spam ou
contribuem para ataques de negação de serviço distribuídos. Talvez os menos
afortunados descubram que todos os seus arquivos estão criptografados e que seu
computador foi inutilizado por ransomware.
O e-mail continua a ser um veículo eficaz para a
entrega de spam, phishing e malware e, de forma geral,
a proporção de e-mails que incluem malware está
crescendo. Os criminosos cibernéticos dependem de
uma economia online clandestina para comprar e vender
serviços e malware e armazenar cartões de crédito
roubados e botnets.
Trabalhando ao lado de empresas de segurança como a
Symantec, as autoridades policiais continuam a desativar
botnets e a efetuar prisões. Isso resultou em melhorias
perceptíveis, mesmo se temporárias, nos níveis gerais de
crime cibernético.
de cartão de crédito roubados. Alguns desses mercados
já existem há pelo menos dez anos, mas a Symantec
percebe maior profissionalização de todos os elementos.
Qualquer produto ou serviço ligado diretamente a lucros
monetários para o comprador mantém um preço de
mercado sólido19.
Um toolkit de ataque “drive-by”, incluindo atualizações e
suporte 24/7, pode ser alugado por um valor entre US$
100 e US$ 700 por semana. O malware de transações
bancárias online SpyEye (detectado como Trojan.Spyeye)
é oferecido por valores entre US$ 150 e US$ 1.250 em um
aluguel de seis meses, e ataques de negação de serviço
distribuídos (DDoS) podem ser obtidos por US$ 10 a US$
1.000 por dia20.
A economia clandestina
O mercado negro clandestino está se expandindo. Nos
becos escuros da Internet, existe um gigantesco comércio
de dados roubados, malware e serviços de ataque17. Os
criminosos estão afastando seus mercados ilegais do
olhar público, usando, por exemplo, a rede de anonimato
Tor e limitando o acesso por meio de convites18. As
variações de preço fornecem alguma indicação de oferta
e demanda. De forma geral, o preço de e-mails caiu
consideravelmente, o preço de informações de cartão de
crédito teve pequena redução e o preço de detalhes de
contas bancárias online permaneceu estável.
Os criminosos cibernéticos também podem comprar,
com facilidade, malware, kits de ataque e informações de
vulnerabilidade. Podem comprar até mesmo “crimeware
como serviço”, fornecido com toda a infraestrutura
necessária para realizar fraudes online.
Esses mercados permitem realizar divisão de mão
de obra. Algumas pessoas se especializam em criar
Cavalos de Troia e vírus, outras em distribuição de
malware, em botnets ou na monetização de detalhes
Preços de cartão de crédito na economia
clandestina de vários países.
17
http://www.symantec.com/connect/blogs/underground-black-market-thriving-trade-stolen-data-malware-and-attack-services
18
19
20
VALOR DAS INFORMAÇÕES VENDIDAS NO MERCADO NEGRO
1.000 endereços de
e-mail roubados
US$ 0,50 a US$ 10
Spam e phishing
Detalhes de cartão
de crédito
US$ 0,50 a US$ 20
Compras fraudulentas
Digitalizações de
passaportes verdadeiros
US$ 1 a US$ 2
Roubo de identidade
Contas de sistemas
de jogos roubadas
Malware personalizado
US$ 10 a US$ 15
Obtenção de itens virtuais valiosos
Malware personalizado
US$ 12 a US$ 3.500
Desvio de pagamentos, roubo de bitcoins
1.000 seguidores em
redes sociais
US$ 2 a US$ 12
Geração de interesse
Contas de nuvem
roubadas
US$ 7 a US$ 8
Hospedagem de servidor C&C (Command-andControl)
1 milhão de mensagens de spam por
e-mail verificadas
US$ 70 a US$ 150
Spam e phishing
Cartão SIM registrado e ativado para
celulares russos
US$ 100
Fraude
Fonte: Symantec
MALWARE
No final de 2013, as autoridades russas prenderam “Paunch”, o suposto autor do kit
de exploração Blackhole, responsável por um grande número de infecções em todo
o mundo21,22. Foi uma pequena vitória em uma longa guerra contra todas as formas
de malware.
Foi inevitável que outros kits de ataque preenchessem
esse espaço. O malware desenvolvido para roubar
informações bancárias ainda predomina. Em 2014, o
malware passou a atacar novos “mercados”: o Cavalo
de Troia bancário Snifula atacou instituições financeiras
japonesas23, e um grupo de ataques local surgiu no
Oriente Médio, usando malware chamado njRAT24.
Em outubro, apenas sete por cento dos e-mails de spam
mal-intencionados continham links de URL. Esse número
saltou para 41 por cento em novembro e continuou a
crescer no início de dezembro, graças a um aumento no
número de mensagens de engenharia social, incluindo
e-mails mal-intencionados de notificação de fax e correio
de voz.
Os links desses e-mails usavam domínios sequestrados
e tinham um caminho de URL que levava a uma página
de chegada PHP. Se o usuário clicasse nos links, seria
levado a um arquivo mal-intencionado. Especificamente,
Downloader.Ponik e Downloader.Upatre eram usados
nesses e-mails. Esses são Cavalos de Troia bastante
conhecidos, usados para o download de malware
adicional em computadores comprometidos, incluindo
ladrões de informações como o Trojan.Zbot (também
conhecido como Zeus)25.
De forma geral, o volume de e-mails para distribuição de
malware diminuiu em 2014, após ter atingido seu pico
em 2013.
NOVAS VARIANTES DE MALWARE (ADICIONADAS A CADA ANO)
Fonte: Symantec I .cloud
317.256.956
251.789.458
2014
2013
+26%
Com mais de 317 milhões (317 M) de novos itens de malware criados em 2014, ou quase um milhão de novos itens de malware
individuais a cada dia, o número total geral de itens de malware agora se aproxima de dois bilhões (1,7 B).
MALWARE DE E-MAIL COMO URL X ANEXO
12%
-13%
2014
25%
+2%
23%
2013
21
http://en.wikipedia.org/wiki/Blackhole_exploit_kit
22
http://krebsonsecurity.com/2013/12/meet-paunch-the-accused-author-of-the-blackhole-exploit-kit/
23
http://www.symantec.com/connect/blogs/snifula-banking-trojan-back-target-japanese-regional-financial-institutions
24
http://www.symantec.com/connect/blogs/simple-njrat-fuels-nascent-middle-east-cybercrime-scene
25
http://www.symantec.com/connect/blogs/malicious-links-spammers-change-malware-delivery-tactics
2012
TAXA DE MALWARE DE E-MAIL (GERAL)
1 244
1 196
em
1 291
em
2014
em
2013
2012
PORCENTAGEM DE MALWARE DE E-MAIL COMO URL X ANEXO POR MÊS
% PORCENTAGEM
60
50
40
30
20
10
0
J
M
M
J
S
N
J
M
2012
M
J
S
N
J
M
2013
M
J
S
N
2014
12% do malware transmitido por e-mail em 2014 utilizava um link mal-intencionado, em vez de um anexo de e-mail, em comparação a
25% em 2013.
PROPORÇÃO DE TRÁFEGO DE E-MAILS EM QUE FOI DETECTADO VÍRUS, 2012 – 2014
100
150
1 em
200
250
300
350
400
J
M
M
J
2012
S
N
J
M
M
J
2013
S
N
J
M
M
J
S
N
2014
RANSOMWARE
Ataques de ransomware mais do que dobraram, passando de 4,1 milhões em 2013
a 8,8 milhões em 2014. Mais preocupante é o crescimento do ransomware de
criptografia de arquivos (chamado pela Symantec de “crypto-ransomware”), que
aumentou de 8.274 em 2013 para 373.342 em 2014.
aquele livro a ser terminado – e exigem pagamento para
desbloquear os arquivos. A melhor e praticamente única
defesa é manter um backup separado dos arquivos, de
preferência off-line, para futura restauração.
Isso representa 45 vezes mais ransomware de criptografia
no panorama de ameaças em um período de um ano. Em
2013, o ransomware de criptografia representou 0,2% (1
em 500) dos casos de ransomware, e era razoavelmente
incomum; no entanto, no fim de 2014, representava 4%
(1 em 25) de todos os tipos de ransomware.
Existem muitas variantes de ransomware, e nenhum
sistema operacional garante imunidade26. E, embora
a recomendação continue a mesma – não pague os
criminosos – muitas empresas e indivíduos simplesmente
querem ou precisam de seus arquivos de volta. Portanto,
eles pagam, e a fraude continua a ser lucrativa.
Em nível humano, o ransomware é uma das formas de
ataque mais perniciosas para as vítimas. Os criminosos
usam malware para criptografar os dados dos discos
rígidos das vítimas – fotos de família, projetos, músicas,
RANSOMWARE AO LONGO DO TEMPO, 2013 – 2014
900
800
700
Milhares
600
500
400
300
200
100
J
F
M
A
M
J
J
A
S
O
N
D
J
2013
Fonte: Symantec I Response
26
http://www.symantec.com/connect/blogs/windows-8-not-immune-ransomware-0
F
M
A
M
J
J
2014
A
S
O
N
D
RANSOMWARE DE CRIPTOGRAFIA
A má notícia é que, ao mesmo tempo em que o volume de ransomware dobrou,
entre 2013 e 2014 a Symantec viu a ocorrência do ransomware de criptografia no
panorama de ameaças aumentar em mais de 45 vezes27.
O CryptoDefense, divulgado em março, é um exemplo
perfeito da gravidade do ransomware de criptografia e da
dificuldade de rastrear os criminosos por trás dele. Ele é
entregue por meio de anexos de e-mail mal-intencionados
e criptografa os arquivos da vítima usando criptografia de
chave pública com RSA 2048 forte.
Existem diversas famílias de ransomware de criptografia,
como Cryptolocker28, Cryptodefense29 e Cryptowall30, mas
o método de exploração é o mesmo. Em vez de bloquear
seu desktop por trás do muro do resgate, o ransomware
de criptografia criptografa seus arquivos pessoais e
armazena as chaves privadas de descriptografia em um
outro site para receber o resgate. Esse é um ataque muito
mais malicioso do que o ransomware tradicional.
Para pagar o resgate, a vítima precisa visitar uma página
da Web na rede Tor31. O pagamento é solicitado em
bitcoins. Essas são ações típicas de um criminoso do
ransomware de criptografia, dificultando enormemente
rastrear e deter tais fraudes.
Os métodos de infecção variam, mas normalmente o meio
é um anexo de e-mail mal-intencionado, que finge ser
uma fatura, conta de luz ou imagem. A entrega costuma
fazer parte de um serviço que na verdade é fornecido
por criminosos diferentes daqueles que perpetram o
ransomware de criptografia. Essa é apenas uma das faces
sombrias da economia clandestina, na qual os criminosos
oferecem serviços como “posso infectar x computadores
pelo preço fixo de y”.
E aí chegamos à questão central de toda a fraude: o lucro.
A Symantec avaliou que os criminosos cibernéticos por
trás do CryptoDefense ganharam mais de US$ 34.000
em apenas um mês32. Não surpreende que o ransomware
de criptografia seja considerado a operação de crime
cibernético mais eficaz no momento.
RANSOMWARE DE CRIPTOGRAFIA, 2013 – 2014
80
72
70
62
Milhares
60
50
43
48
46
40
36
30
24
0,2% GERAL PARA
20
10
J
F
M
A
M
J
J
A
S
O
N
D
6
5
J
F
10 12
9
M
M
A
J
J
A
S
O
N
D
Source: Symantec I Response
2013
2014
Em 2013, o ransomware de criptografia foi responsável por cerca de 0,2% de todos os ataques de ransomware. No fim de 2014, esse
número chegou a 4%.
http://www.symantec.com/connect/blogs/australians-increasingly-hit-global-tide-cryptomalware
http://www.symantec.com/security_response/writeup.jsp?docid=2013-091122-3112-99
30
31
O site Tor é uma combinação de software e rede aberta que protege seus usuários contra a análise do tráfego e ajuda a preservar seu anonimato e
privacidade online. Embora o site não seja intrinsecamente criminoso, ele ajuda a proteger o anonimato dos criminosos.
32
http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month
27
28
29
BOTS E BOTNETS
O número de bots diminuiu em 18 por cento em 2014,
em comparação ao ano anterior. Em grande medida,
isso ocorreu porque o FBI, o European Cybercrime
Centre (EC3) da Europol e outras autoridades policiais
internacionais, trabalhando com a Symantec e outras
empresas de tecnologia, agiram para desmantelar
operações e deter criminosos. Uma importante notícia
em 2014 foi a paralisação do botnet Gameover Zeus,
responsável por milhões de infecções em todo o mundo
desde o seu surgimento em 201133,34. Essa foi uma
ocorrência em uma série de desativações de botnets nos
últimos anos35,36 nas quais empresas de TI e autoridades
policiais trabalharam em conjunto com resultados
concretos.
ATIVIDADE MAL-INTENCIONADA POR ORIGEM: BOTS, 2012–2014
País/Região
Classificação de
bots em 2014
% de bots em 2014
Classificação de bots
em 2013
% de bots em 2013
China
1
16,5%
2
9,1%
Estados Unidos
2
16,1%
1
20,0%
Taiwan
3
8,5%
4
6,0%
Itália
4
5,5%
3
6,0%
Hungria
5
4,9%
7
4,2%
Brasil
6
4,3%
5
5,7%
Japão
7
3,4%
6
4,3%
Japão
8
3,1%
8
4,2%
Canadá
9
3,0%
10
3,5%
Polônia
10
2,8%
12
3,0%
Fonte: Symantec I GIN
Os Estados Unidos e a China, dois dos países mais populosos com a maior concentração de usuários conectados à Internet, trocaram o
primeiro e o segundo lugar em 2014. Essa mudança pode ser atribuída à desativação do Gameover Zeus37.
33
http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network
34
http://krebsonsecurity.com/2014/06/operation-tovar-targets-gameover-zeus-botnet-cryptolocker-scourge/
35
http://www.computerweekly.com/news/2240185424/Microsoft-partnership-takes-down-1000-cybercrime-botnets
36
http://www.computerweekly.com/news/2240215443/RSA-2014-Microsoft-and-partners-defend-botnet-disruption
NÚMERO DE BOTS
-18%
1,9 MILHÃO
2,3 MILHÕES -33%
3,4 MILHÕES
2014
2013
2012
Fonte: Symantec I GIN
O declínio no número de bots em 2014 foi estimulado em parte pela paralisação do botnet GameOver ZeuS, na “Operação Tovar”. Esse
botnet havia sido amplamente usado para fraudes bancárias e distribuição do ransomware CryptoLocker37.
DEZ PRINCIPAIS BOTNETS DE ENVIO DE SPAM, 2014
País/Região
Porcentagem
do spam
de botnet
Spam
estimado
por dia
Principais origens de spam de botnet
1º lugar
2º lugar
3º lugar
Estados Unidos - 7,6%
Argentina - 7,3%
KELIHOS
51,6%
884.044
Espanha - 10,5%
DESCONHECIDO/
OUTRO
25,3%
432.594
Estados Unidos - 13,5% Brasil - 7,8%
Espanha - 6,4%
GAMUT
7,8%
133.573
Rússia - 30,1%
Vietnã - 10,1%
Ucrânia - 8,8%
CUTWAIL
3,7%
63.015
Rússia - 18,0%
Índia - 8,0%
Vietnã - 6,2%
DARKMAILER5
1,7%
28.705
Rússia - 25,0%
Ucrânia - 10,3%
Cazaquistão - 5,0%
DARKMAILER
0,6%
9.596
Rússia - 17,6%
Ucrânia - 15,0%
China - 8,7%
SNOWSHOE
0,6%
9.432
Canadá - 99,9%
Japão - 0,01%
ASPROX
0,2%
3.581
Canadá - 3,4%
Reino Unido - 3,3%
DARKMAILER3
0,1%
1.349
Polônia - 9,6%
Coreia do Sul - 9,1%
GRUM
0,03%
464
Canadá - 45,7%
Turquia - 11,5%
Alemanha - 8,5%
37
http://www.symantec.com/connect/blogs/international-takedown-wounds-gameover-zeus-cybercrime-network
OSX COMO ALVO
Nos últimos anos, a Apple observou a existência de
ameaças direcionadas ao OSX, e implantou nesse sistema
operacional alguns recursos de segurança bastante
necessários. O XProtect verifica arquivos obtidos por
download em busca de malware, avisando os usuários
caso façam download de algum arquivo mal-intencionado
conhecido pela Apple. O GateKeeper limita os aplicativos
que podem ser executados em um computador OSX
por meio da assinatura de código. Existem vários graus
de proteção no GateKeeper, variando da limitação da
instalação de aplicativos da Mac App Store oficial, de
desenvolvedores identificados como confiáveis pela Apple
ou de qualquer desenvolvedor que assine seus aplicativos.
No entanto, embora esses recursos de segurança tenham
dificultado o avanço das ameaças no OSX, algumas passaram por eles com sucesso. Como ocorre com qualquer
solução de segurança baseada em assinatura, os aplicativos conseguem comprometer computadores antes que
as assinaturas sejam implementadas para bloqueá-los.
Também surgiram aplicativos mal-intencionados com
assinaturas de desenvolvedor legítimas, seja pelo roubo
de credenciais legítimas ou pela criação de credenciais
falsas.
As ameaças mais comuns vistas em 2014 tinham
comportamento semelhante àquelas encontradas em
outros sistemas operacionais. Cavalos de Troia foram
entregues por meio de explorações de navegador.
Ameaças notórias, como o Flashback, que infectou mais
de 600.000 Macs em 2012, ainda são bastante comuns,
com variantes que ocupam o terceiro e o décimo lugares
em 2014. Ameaças que modificam configurações de DNS,
navegador ou pesquisa no computador OSX também se
destacam.
Duas ameaças conhecidas enfatizaram um problema
significativo no panorama de ameaças do OSX: aplicativos
OSX pirateados que continham malware.
O OSX.Wirelurker é um Cavalo de Troia de ameaça
dupla, afetando tanto Macs que executam OSX
quanto dispositivos iOS conectados a um computador
comprometido. Essa ameaça atraiu muita atenção ao ser
descoberta em 467 aplicativos OSX hospedados em uma
app store OSX de terceiros na China. Esses aplicativos
mal-intencionados foram baixados mais de 356.000 vezes
antes de a Apple intervir e bloquear a sua execução.
38
http://www.thesafemac.com/iworm-method-of-infection-found/
O OSX.Luaddit (conhecido também como iWorm) é uma
ameaça que adicionou computadores comprometidos a
um botnet OSX. Essa ameaça foi encontrada em pacotes
de cópias pirateadas de produtos comerciais como Adobe
Photoshop, Microsoft Office e Parallels . Esses aplicativos
foram publicados em sites de torrents e baixados milhares
de vezes.
Considerando outras ameaças OSX de destaque, o OSX.
Stealbit.A e o OSX.Stealbit.B são ameaças de roubo
de bitcoins que monitoram o tráfego de navegação,
buscando credenciais de login para grandes sites de
bitcoins. Essa última foi uma das cinco principais
ameaças OSX vistas em 2014.
O OSX.Slordu é um Cavalo de Troia de porta dos fundos
que parece ser usado para coletar informações sobre o
computador comprometido. O interessante sobre essa
ameaça é que ela parece ser uma porta OSX de uma
conhecida porta dos fundos para Windows.
O OSX.Ventir é uma ameaça modular, equipada com
componentes opcionais que podem abrir uma porta dos
fundos, registrar pressionamentos de teclas ou conter
recursos de spyware. Dependendo do que o invasor deseje
ganhar com o computador comprometido, módulos
diferentes são baixados e instalados no OSX.
O OSX.Stealbit.A é uma ameaça de roubo de bitcoins que
monitora o tráfego de navegação, buscando credenciais
de login para grandes sites de bitcoins.
O OSX.Stealbit.A é uma ameaça de roubo de bitcoins que
monitora o tráfego de navegação, buscando credenciais
de login para grandes sites de bitcoins.
DEZ PRINCIPAIS TIPOS DE MALWARE PARA
MAC OSX BLOQUEADOS EM ENDPOINTS OSX, 2013-2014
Classificação
Nome do malware
Porcentagem de
ameaças para
Mac, 2014
Nome do malware
Porcentagem
de ameaças para
Mac, 2013
1
OSX.RSPlug.A
21,2%
OSX.RSPlug.A
35,2%
2
OSX.Okaz
12,1%
OSX.Flashback.K
10,1%
3
OSX.Flashback.K
8,6%
OSX.Flashback
9,0%
4
OSX.Keylogger
7,7%
OSX.HellRTS
5,9%
5
OSX.Stealbit.B
6,0%
OSX.Crisis
3,3%
6
OSX.Klog.A
4,4%
OSX.Keylogger
3,0%
7
OSX.Crisis
4,3%
OSX.MacControl
2,9%
8
OSX.Sabpab
3,2%
OSX.FakeCodec
2,3%
9
OSX.Netweird
3,1%
OSX.Iservice.B
2,2%
10
OSX.Flashback
3,0%
OSX.Inqtana.A
2,1%
Fonte: Symantec I SDAP
MALWARE EM SISTEMAS VIRTUALIZADOS
A virtualização não protege contra malware. Cada vez mais, o malware pode
detectar se está sendo executado em uma máquina virtual e, em vez de desistir, ele
pode alterar seu comportamento para reduzir o risco de detecção . Historicamente,
a proporção de malware capaz de detectar se era executado em VMware ficava em
torno de 18 por cento, mas esse valor chegou a 28 por cento no início de 201440.
Esse tipo de funcionalidade, porém, não é usado
apenas para despistar pesquisadores de segurança.
Após ser instalado em uma máquina virtual, o malware
pode passar para outras máquinas virtuais no mesmo
hardware ou infectar o hipervisor, aumentando
enormemente o risco e a dificuldade de remoção41. Esse
comportamento já foi visto em campo: o malware W32.
Crisis, que tenta infectar imagens de máquina virtual
armazenadas em um computador host42.
Para os gerentes de TI, esse tipo de ataque apresenta
riscos especiais. É improvável que ele seja detectado
pela segurança de perímetro, como sistemas de
detecção de intrusões ou firewalls que usam máquinas
virtuais para a detecção de ameaças em “sandboxes”
(áreas restritas) virtuais, e as máquinas virtuais podem
não ter o mesmo nível de proteção que os clientes ou
servidores tradicionais devido à (falsa) ideia de que o
malware não ataca máquinas virtuais. As organizações
precisam considerar tecnologias como hardware de rede,
hipervisores e redes definidas por software em seus
planos de segurança e ciclos de patches.
http://www.symantec.com/connect/blogs/does-malware-still-detect-virtual-machines
Ibid
41
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/threats_to_virtual_environments.pdf
42
Ibid
39
40
EXTORSÃO DIGITAL:
UMA BREVE HISTÓRIA DO RANSOMWARE
Por Peter Coogan
Em 2014, o ransomware de criptografia esteve sempre
nas manchetes. Esse tipo de ransomware — a tendência
mais recente e mortal na saga atual do ransomware —
difere de seus parentes de ransomware comuns, que
simplesmente bloqueiam o dispositivo, porque criptografa
arquivos de dados do dispositivo comprometido e, na
maioria dos casos, impede a vítima de resgatar seus
dados. Ambos, porém, se dedicam a extorquir resgate de
suas vítimas para a remoção da infecção.
Esse tipo de malware já existe há mais de uma década,
mas sua prevalência aumentou nos últimos anos. Esse
crescimento ocorreu porque os criminosos cibernéticos
passaram da criação de software antivírus falso para
o ransomware, mais lucrativo. Embora seja possível
rastrear uma evolução de antivírus falso para ransomware
e ransomware de criptografia, os autores de malware
raramente vivem das glórias do passado. É possível ver
com clareza as novas áreas do panorama de ameaças que
são visadas por esses extorsionários digitais.
Antivírus ou softwares de segurança falsos são aplicativos
enganadores que levam o usuário a pagar pela remoção
de malware. Embora esse tipo de software já exista há
algum tempo, sua prevalência alcançou o pico em 2009.
Na época, um relatório da Symantec observou 43 milhões
de tentativas de instalação de software de segurança
falso a partir de 250 programas diferentes, a um custo de
US$ 30 a US$ 100 para qualquer pessoa que adquirisse o
software43.
Ransomware é software mal-intencionado que bloqueia
e restringe o acesso a computadores infectados. Depois,
o software de ransomware exibe uma mensagem de
extorsão usando um tema de engenharia social que
exige o pagamento de resgate para remover a restrição.
Em 2012, a Symantec relatou o crescimento da ameaça
do ransomware, com fraudadores cobrando entre € 50
e € 100 na Europa ou até US$ 200 na América para a
remoção de restrições44.
Agora, após o surgimento e a (má) fama conquistada pelo
conhecido Trojan.Cryptolocker45 em 2013, os autores de
malware direcionaram a sua atenção para a criação de
novas ameaças no estilo do ransomware de criptografia.
Isso aumentou o número de famílias de ransomware de
criptografia vistos em 2014 que incorporam inovações,
plataformas e táticas de evasão, ao lado de truques novos
e antigos em uma tentativa de extorquir dinheiro das
vítimas.
Um dos novos tipos de ransomware de criptografia
mais prolíficos em 2014 foi o Trojan.Cryptodefense46
(conhecido também como Cryptowall). Essa ameaça
surgiu no fim de fevereiro de 2014 e foi inicialmente
denominada Cryptodefense. Ela utilizava técnicas como
o uso de Tor e bitcoins para garantir o anonimato, a
criptografia RSA 2048 forte para os dados e o uso de
táticas de pressão para atemorizar as vítimas e exigir
pagamento. A exigência de resgate inicial de 500 dólares/
euros logo dobrava caso o pagamento não fosse imediato.
No entanto, após uma análise, descobriu-se que a má
implementação da funcionalidade criptográfica pelo autor
do malware indicou a saída aos reféns, na forma de uma
chave de criptografia privada armazenada no sistema.
Depois que essa informação veio a público, o problema
foi solucionado pelos autores do malware e ele foi
renomeado como Cryptowall. Desde então, o Cryptowall
continua a evoluir, tornando-se cada vez mais letal,
com elevação da exploração de privilégios, verificações
antianálise e o uso do I2P (Invisible Internet Project) para
o anonimato das comunicações. Os lucros conhecidos
do Cryptowall foram de pelo menos US$ 34.000 em seu
primeiro mês47, chegando a mais de um milhão de dólares
em um período de seis meses, de acordo com pesquisas48.
O panorama dos PCs Windows é, e provavelmente
continuará a ser, uma área lucrativa para os autores de
ransomware. Entretanto, em 2014, os invasores por trás
dessas ferramentas de extorsão digital começaram a
atacar novas plataformas. Vimos a gangue Reveton lançar
ransomware para Android, conhecido como Android.
Lockdroid.G49 (chamado também de Koler). Utilizando um
sistema de distribuição de tráfego (TDS), ele permitiu que
a gangue Reventon executasse um ataque de ransomware
de três vias. Dependendo de certas condições, como o
navegador ser usado para visualizar um site controlado
pela gangue, o tráfego seria redirecionado para um tipo
de ransomware adequado.
http://eval.symantec.com/mktginfo/enterprise/white_papers/b-symc_report_on_rogue_security_software_exec_summary_20326021.en-us.pdf
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ransomware-a-growing-menace.pdf
46
47
http://www.symantec.com/connect/blogs/cryptodefense-cryptolocker-imitator-makes-over-34000-one-month
48
http://www.secureworks.com/cyber-threat-intelligence/threats/cryptowall-ransomware/
49
50
43
44
45
De uma hora para outra, o ransomware se tornou independente de
plataforma. Os usuários do Android são redirecionados para fazer o
download do Android.Lockdroid.G; usuários do Internet Explorer fazem
o download do kit de exploração Angler, baixando uma carga de Trojan.
Ransomlock.G50, e outros navegadores usados no Windows, Linux ou
Mac são redirecionados para o Browlock51, outra forma de ransomware
que tenta bloquear o computador e extorquir dinheiro do usuário
apenas usando ferramentas do navegador da Web.
Em junho de 2014, o primeiro ransomware de criptografia de arquivos
para Android, conhecido como Android.Simplocker52, foi descoberto.
Com um pedido de resgate inicialmente em russo, em julho de 2014
uma versão em inglês atualizada (Android.Simplocker.B53) que utilizava
o tema de engenharia social do FBI foi detectada. Em outubro de 2014,
surgiu o Android.Lockdroid.E54 (conhecido também como Porndroid),
que também usava um tema de engenharia social falso do FBI. Essa
ameaça, porém, usava a câmera do dispositivo para tirar uma foto que
depois era exibida ao lado do pedido de resgate. O Android.Lockdroid
também produziu novas variantes que incluíam recursos de worm,
permitindo autorreplicação via mensagens SMS, enviadas a contatos do
catálogo de endereços de um dispositivo infectado, além de uma isca de
engenharia social.
Os autores de ransomware começaram a pensar além dos dispositivos
móveis para ver onde mais poderiam extorquir dinheiro, e perceberam
que os dispositivos NAS (armazenamento anexado à rede), nos
quais grandes quantidades de arquivos são armazenadas, também
poderiam se tornar um alvo. O Trojan.Synolocker55 (conhecido também
como Synolocker), atacava dispositivos NAS Synology usando uma
vulnerabilidade até então desconhecida do software de gerenciamento
Synology DiskStation para obter acesso aos dispositivos e depois
criptografava todos os arquivos, armazenando-os até o pagamento do
resgate. Desde então, esses dispositivos foram corrigidos, mas esse
caso mostra que os invasores que utilizam ransomware continuam a
buscar novas áreas de ataque.
A ameaça de ransomware “Porndroid” para
Android.
Então por que vemos mudanças tão rápidas no ransomware? O
ransomware é um negócio lucrativo para os criminosos cibernéticos,
com pedidos de resgate que vão de US$ 100 a US$ 500. Durante 2014,
vimos que os bitcoins se tornaram o método preferido de pagamento de
resgate adotado pela maioria dos novos tipos de ransomware. Devido
ao anonimato garantido dos bitcoins, eles permitem que os criminosos
cibernéticos escondam seus ganhos e os aproveitem com facilidade.
Embora tenhamos observado um crescimento no número de novas
famílias de ransomware, a Symantec também percebeu um aumento
no caminho de crescimento geral. Em comparação a 2013, houve
um aumento de 113% na ocorrência de ransomware. No entanto,
considerando a natureza lucrativa dessas ameaças e o número
de novas famílias de ransomware que surgem, é improvável que
as fraudes que usam ransomware desapareçam do panorama de
ameaças a curto prazo, sendo mais provável ocorrer crescimento
futuro.
http://www.symantec.com/connect/blogs/massive-malvertising-campaign-leads-browser-locking-ransomware
54
55
51
52
53
RECOMENDAÇÕES E
MELHORES PRÁTICAS
Apesar das vulnerabilidades deste ano, quando se trata de proteger os visitantes
do seu site e as informações que eles compartilham com você, o SSL e o TLS
continuarão a ser o padrão-ouro. Na verdade, devido à publicidade recebida pelo
Heartbleed, um número inédito de empresas começou a contratar desenvolvedores
de SSL para lidar com correções e código. Com isso, há mais gente trabalhando em
bibliotecas SSL e em boas práticas de implementação.
Em 2014, os algoritmos de certificados SSL ficaram mais fortes do que nunca. A Symantec, além de
várias outras autoridades de certificação, adotou o SHA-2 como padrão e está reduzindo o suporte
para raízes de 1024 bitsi.
Obtenha
SSL
mais
forte
A Microsoft e o Google anunciaram planos de descontinuar o SHA-1 que podem afetar sites com
certificados SHA-1 cuja expiração começa em 1º de janeiro de 2016ii. Em outras palavras, caso
você ainda não tenha migrado para o SHA-2, os visitantes que usam o Chrome para acessar seu site
provavelmente verão um aviso de segurança e, a partir de 1º de janeiro de 2017, seus certificados
não funcionarão para visitantes que usem o IE.
A Symantec também está expandindo o uso do algoritmo ECC, uma alternativa muito mais forte ao
RSA. Todos os grandes navegadores, mesmo as versões móveis, têm suporte para certificados ECC em
todas as plataformas mais recentes. Existem três benefícios principais no uso de ECC:
1.Segurança aprimorada. Comparadas com as chaves RSA 2048, o padrão do setor, as chaves ECC-256
são 64.000 vezes mais difíceis de violariii. Ou seja, é preciso ter muito mais capacidade de computação e
dispor de muito mais tempo para executar ataques de força bruta que violem esse algoritmo.
2.Melhor desempenho. Os proprietários de sites costumavam se preocupar que a implementação
de certificados SSL deixaria seus sites mais lentos. Por isso, muitos sites adotaram SSL apenas
parcialmente, o que cria vulnerabilidades graves. O ECC requer menos capacidade de processamento
no site do que o RSA e pode lidar com mais usuários e conexões ao mesmo tempo. Isso torna a
implementação do Always-On SSL não só sensata mas também viável.
3.Perfect Forward Secrecy (PFS). Embora a PFS seja uma opção com certificados RSA e ECC, o
desempenho é muito melhor com certificados ECC. Por que isso faz diferença? Bem, sem a PFS, um
invasor que obtenha as suas chaves privadas poderá descriptografar dados de forma retroativa.
Considerando que a vulnerabilidade Heartbleed tornou essa possibilidade bastante real para tantos
sites, esse é um problema. Com a PFS, porém, um invasor que viole ou obtenha sua chave privada
de certificado SSL só poderá descriptografar informações protegidas com as chaves a partir desse
momento. Ele não poderá descriptografar dados históricos.
Como vimos em 2014, os benefícios do SSL dependem da sua implementação e manutenção. Por isso,
certifique-se de:
Use o
SSL da
forma
certa
• Implementar o Always-On SSL. Use certificados SSL para proteger todas as páginas do seu site, de
forma que todas as interações dos visitantes com o site sejam autenticadas e criptografadas.
• Manter os servidores atualizados. Isso não se aplica apenas às bibliotecas SSL do servidor: qualquer
patch ou atualização precisa ser instalado assim que possível. Existe um motivo por que são lançados:
para reduzir ou eliminar uma vulnerabilidade.
•
Exibir marcas de confiança reconhecidas (como o Selo Norton Secured) em locais de grande
visibilidade do site para mostrar seu compromisso com a segurança dos clientes.
•
Executar verificações regulares. Fique atento aos servidores Web e procure vulnerabilidades ou
malware.
•
Manter a configuração dos servidores atualizada. Verifique se versões antigas e inseguras do
protocolo SSL (SSL2 e SSL3) estão desabilitadas e se versões mais recentes do protocolo TLS (TLS1.1
e TLS1.2) estão habilitadas e priorizadas. Use ferramentas como o SSL Toolbox da Symantec para
verificar a configuração correta dos servidores .
http://www.symantec.com/page.jsp?id=1024-bit-certificate-support
http://www.symantec.com/en/uk/page.jsp?id=sha2-transition
iii
http://www.symantec.com/connect/blogs/introducing-algorithm-agility-ecc-and-dsa
iv
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
i
ii
Bom senso básico e alguns bons hábitos de segurança podem fazer muito pela segurança de
sites e servidores este ano:
• Garanta que os funcionários não abram anexos de remetentes que não conhecem.
Instrua os
funcionários
•Eduque os funcionários a respeito da sua conduta em mídia social: ofertas que pareçam
boas demais para ser verdade não são; assuntos “quentes” são uma grande isca para
fraudes; nem todos os links levam a páginas de login verdadeiras.
•Estimule-os a adotarem a autenticação de duas etapas em qualquer site ou aplicativo que
a ofereça.
•Garanta que tenham senhas diferentes para cada conta de e-mail, aplicativo e login,
especialmente no caso de sites e serviços relacionados ao trabalho.
•Lembre-os de cultivar o bom senso. Ter um software antivírus não significa que é
permitido visitar sites mal-intencionados ou questionáveis.
Os invasores estão mais agressivos, mais sofisticados e mais impiedosos do que nunca
em suas tentativas de explorar a Internet para seus objetivos perniciosos. No entanto,
indivíduos e organizações podem fazer muito para limitar o seu impacto.
Garanta a
segurança
ou passe
vergonha
v
O SSL e a segurança de sites agora fazem parte da consciência pública, e se você não fizer
a sua parte poderá passar vergonha no HTTP Shaming, um site criado pelo engenheiro de
software Tony Websterv.
Quando se trata de empresas e seus sites, implementações e processos de segurança
adequados são tudo o que impede a ruína total, tanto financeira quanto de sua reputação.
Por isso, garanta a sua segurança em 2015 com a Symantec.
http://arstechnica.com/security/2014/08/new-website-aims-to-shame-apps-with-lax-security/
VEM AÍ
PARTE 2: ATAQUES DIRECIONADOS E
VIOLAÇÕES DE DADOS
Conheça as informações mais
recentes sobre a desonesta
espionagem cibernética e as novas
técnicas empregadas em ataques
direcionados, de spear-phishing e
watering hole, entre outros.
SOBRE A SYMANTEC
A Symantec Corporation (NASDAQ: SYMC) é uma especialista em proteção de informações
que ajuda pessoas, empresas e governos que buscam a liberdade de aproveitar as
oportunidades trazidas pela tecnologia — a qualquer momento, em qualquer lugar.
Fundada em abril de 1982, a Symantec, uma empresa Fortune 500 que opera uma das
maiores redes globais de inteligência de dados, fornece soluções líderes do setor para
segurança, backup e disponibilidade de locais onde informações vitais são armazenadas,
acessadas e compartilhadas. Os mais de 20.000 funcionários da empresa estão espalhados
por mais de 50 países. Noventa e cinco por cento das empresas Fortune 500 são clientes
da Symantec. No ano fiscal de 2013, ela registrou receitas de US$ 6,9 bilhões.
Para saber mais, visite www.symantec.com
ou conecte-se à Symantec em: go.symantec.com/socialmedia.
Mais informações
• Symantec no mundo: http://www.symantec.com/
• Recursos de inteligência da Symantec e ISTR: http://www.symantec.com/threatreport/
• Resposta de segurança da Symantec: http://www.symantec.com/security_response/
• Norton Threat Explorer: http://us.norton.com/security_response/threatexplorer/
• Norton Cybercrime Index: http://us.norton.com/cybercrimeindex/
Para obter informações de escritórios locais específicos e números de
contato, visite nosso site.
Para obter informações de produtos
ligue para: +1 650 426 5112
Symantec Brazil
Av. Dr. Chucri Zaidan, 920 - 12º andar
Market Place Tower
São Paulo, SP
Brasil
www.symantec.com/pt/br/ssl
© 2015 Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo da Symantec, o logotipo circular
com a marca de verificação e o logotipo do Norton Secured são marcas comerciais ou registradas da Symantec
Corporation ou de suas afiliadas nos Estados Unidos e em outros países. Outros nomes podem ser marcas comerciais
dos respectivos proprietários.

parte 1 - Symantec Website Security

Transcrição

Documentos relacionados

Endpoint_Protection _2_

Symantec™ Enterprise Security Manager

Wilson, Sons gere MSN com Symantec IM Manager

Gerir o Crescimento de Dados não Estruturados com o Symantec

Symantec Software Datasheet

Gallup-McKinley County Schools

Request for Approval of Visit by International Guest

Symantec Ghost™6.5

Symantec™ Endpoint Protection

Symantec™ IT Management Suite 8.0 powered by Altiris™ technology