A mídia tem comentado bastante sobre histórias de ataques eletrônicos patrocinados por governos estrangeiros, denominados ameaças persistentes avançadas (APTs – Advanced Persistent Threats), e ataques de roubo de dados realizados por cibercriminosos. Mas o que isso significa para proprietários e administradores de empresas (empresas que não sejam da indústria de armamentos ou grandes corporações)? Significa um sinal de alerta.
Uma pesquisa recente realizada pela empresa de segurança Websense revela que as técnicas de grande sucesso usadas nos ataques patrocinados por governos passam por um "ciclo de vida de adoção do malware". Os antigos ataques milionários e bem planejados estão rapidamente se transformando em "kits exploit" que custam apenas US$ 25 e são disponibilizados na internet para exércitos de hackers de baixo nível. Esse exército de hackers em busca de dinheiro está usando as mesmas técnicas avançadas para roubar qualquer informação para vender, fazer chantagem ou extorsão. Ninguém está seguro, pois as defesas tradicionais não funcionam contra o malware avançado. E os hackers agora buscam todo e qualquer tipo e tamanho de empresa.
Os ataques mais famosos ocupam as manchetes, mas muitas empresas vivem uma falsa sensação de segurança, pensando estar seguras por não serem repositórios de segredos de estado. A pesquisa mostra como as técnicas avançadas usadas nos ataques APT estão se alastrando. Começando com os grupos patrocinados pelo estado, passando por gangues criminosas e chegando, por último, aos hackers individuais – eles estão atacando qualquer empresa que tenha qualquer item de valor ou que possa representar valor. Porque é ali que está o dinheiro. E é uma tarefa fácil, uma vez que software antivírus não consegue proteger contra estes métodos de ataques avançados. A Websense acredita que o ciclo de vida da adoção do malware deve ocorrer da seguinte maneira na prática:
– O ataque Aurora é um ótimo exemplo. O Google anunciou o ataque em 12 de janeiro e, quatro dias depois, o código foi disponibilizado ao público. Em semanas, o exploit estava em uso mundo afora. Apenas 18 meses depois, 5,8 mil ataques foram realizados usando o mesmo código.
– Esses ataques estão se espalhando em formato de kit. A CVE-2010-0188, uma vulnerabilidade descoberta no Adobe Reader. Um exploit para ele foi incluído em dois dos kits mais populares: o Blackhole e o Phoenix. Esses kits combinam uma grande variedade de exploits, mas o importante é que eles são amplamente disponibilizados a um custo relativamente pequeno. Um número muito maior de pessoas pode aproveitar facilmente esse tipo de ataque com tais kits. Agora, os hackers com menos habilidade técnica já podem aproveitar essas técnicas – as mesmas que permitiram ataques direcionados de grande repercussão em grandes empresas e empresas de armamentos em ataques anteriores patrocinados por alguns governos.
Esse exemplo ilustra a dominância desses ataques e kits, com o Blackhole disponível em mais de 14 mil URLs e o Phoenix atingindo mais de 12 mil URLs. Em geral, esses ataques perdem a eficiência quando ganham popularidade, mas é nesse momento que o problema do gerenciamento de atualizações também se torna um fator crítico. A Websense observou um período do ano passado, analisando quando esse tipo de falha foi identificada em aplicativos comuns e quanto tempo foi necessário para distribuir uma atualização. Ela descobriu que mesmo se você estivesse aplicando as atualizações imediatamente após a sua distribuição, dentro de um período de quatro meses sua empresa estaria vulnerável a ataques de dia zero por 104 dias daquele mesmo período, ou mais de 88% do tempo.
Quantas empresas estão em dia com a instalação de atualizações? Algumas podem atrasar a aplicação de patches ou esperar e reunir várias atualizações para instalação conjunta, mas isso significa que quanto mais se espera para instalar as atualizações, mais aumenta a eficiência do malware e o ciclo de vida do exploit. É por isso que esses ataques ainda são incluídos nos kits; mesmo com as atualizações… eles ainda funcionam.
Quando se olha para um novo ataque de dia-zero usado em um ataque direcionado recente de grande repercussão (como o ataque divulgado pelo Adobe Flash em julho), a pergunta é: durante quanto tempo e em que medida os criminosos devem usar isso para roubar seus dados? Mesmo que você não seja um grande fornecedor do governo ou uma empresa gigante, se você tiver um IP, você é um alvo.
Em um mês, a Websense já observou 140 sites. Quantos deles estão sendo usados em ataques direcionados a empresas de médio porte? Quanto tempo até que esse ataque seja incluído nos maiores kits disponíveis e ainda mais dinheiro ou dados confidenciais sejam roubados de outras empresas? O malware moderno não é detectado por antivírus ou firewalls, então não basta apenas confiar nessas tecnologias ou no gerenciamento de atualizações para proteger sua empresa. É preciso estudar o tráfego de entrada e saída para minimizar o risco. Porque, se você combinar esses exploits com uma engenharia social bem desenvolvida, as empresas continuarão sendo vítimas. As empresas devem examinar – em tempo real – o conteúdo de cada site acessado e cada e-mail, para combater esse ciclo de vida de malware com eficiência.
