Muita gente que acompanha o blog achará estranho o que escreverei nos próximos parágrafos, mas isso foi concluído depois de uma análise de mais de 3 dias sobre os dados e números gerados pelo Cert.brTudo começou porque assumi uma nova atribuição, sou um cientista agora – busco inovação em dados e informações onde as pessoas acham que não há. Nada simples e nem muito complicado, mas que me deixa entusiasmado com os desafios…

Para começarmos a nossa análise devo lhes informar de algumas coisas: O Cert.br gera estes gráficos graças ao reporte de incidentes via e-mail, conforme o texto abaixo: Para reportar incidentes por favor envie um email de notificação diretamente para os contatos da rede de onde parte a atividade, colocando e email <cert@cert.br> no campo “Cc:” da mensagem. Mais informações sobre como reportar os incidentes e como encontrar os emails de contato das redes podem ser encontradas na FAQ:

Em resumo, é obrigação nossa, administradores, analistas de suporte e das empresas, reportarem os seus incidentes ao Cert.BR, para que o mesmo possa compilar os dados acima, caso contrário, ele, o Cert.brm terá uma amostragem pequena e provavelmente falha do real cenário de segurança da informação S.I. em nosso país. Compilar, catalogar e listar os mais de 201 mil incidentes reportados até o mês de julho não é uma das tarefas mais simples. Mas acredito que o Cert.br tenha desenvolvido um sistema e possua pessoas aptas à tarefa em seus mais de 10 anos de existência e criação destes relatórios e estatísticas. Confesso que ainda tenho as minhas dúvidas sobre como os analistas do Cert.br processam os dados já que todos eles são provenientes de e-mails, mas sem um padrão ou formalização.  Quem souber a resposta, por favor, coloque-a nos comentários.

Sobre os relatórios do Cert.br

Falando o que interessa, o gráfico acima demonstra que houve um crescimento absurdo quanto a quantidade de pragas, ameaças e tentativas de invasão se comparado com o ano de 2011. Isso fica evidente quando analisamos o link Análise de alguns fatos de interesse observados neste período – lembrando que estas análises são trimestrais, o que acho apropriado… Comentarei a respeito dos 3 principais tópicos – São eles Tentativas de Fraude,  Ataques a servidores Web e Computadores comprometidos.

Tentativas de Fraude

  • As notificações relacionadas a tentativas de fraudes apresentaram crescimento de 65% em relação ao trimestre anterior e de 127% em relação ao mesmo período de 2011;
  • Em relação ao primeiro trimestre de 2012, houve um aumento de 89% no número de notificações de páginas falsas de instituições financeiras e sites de comércio eletrônico (phishing clássico). Já em relação ao mesmo período de 2011, o crescimento foi de 184%. O phishing clássico continua representando mais da metade das notificações desta categoria;
  • As notificações sobre cavalos de Troia, utilizados para furtar informações e credenciais, que representam 31% das notificações de tentativas de fraudes, cresceram 43% em relação ao primeiro trimestre de 2012 e 49% em relação ao segundo trimestre de 2011;
  • Neste segundo trimestre, observamos um crescimento de quase 4% no número de notificações de páginas falsas não relacionadas a serviços financeiros ou comércio eletrônico em relação ao primeiro trimestre de 2012, entretanto, o número de notificações recebidas foi pouco mais de 5 vezes maior que o número de notificações recebidas no segundo trimestre de 2011.

Análise do Coruja — Está é uma área que eu só vejo crescer em nosso país para os próximos anos, e isso é bem fácil de se explicar, inclusão digital da nossa sociedades sem se preocupar com a educação digital. O crescente número de usuários conectados em nosso país, cerca de 15% ao ano, anima e muito o comércio eletrônico, as grandes cadeias varejistas e é claro, aos crackers. Quantas vezes você já não cansou de ouvir a sua empregada ou o porteiro do seu prédio reclamando que pegou um vírus ou teve um problema con a conta bancária devido a um e-mail. O mesmo tipo de reclamação vem de pessoais com um grau de escolaridade maior, mas que não se preocupam com a segurança de seus computadores, mas sim sobre o que estão falando sobre ele no Facebook ou no Twitter. Brasileiros com o poder aquisitivo mais elevado acreditam que a aquisição de um computador da Apple resolverá todos estes problemas quanto a segurança. Mal sabem eles que já há uma série de pragas virtuais para os felinos do falecido Jobs, e a tendência é só aumentar. Uma forma de diminuir este crescimento seria a criação de cadeiras ou matérias de ensino quanto a S.I. em escolas e universidades para disseminar os conceitos básicos sobre este tema para população.

Ataques a servidores Web

  • As notificações sobre ataques a servidores Web cresceram 11% em relação ao trimestre anterior e 176% em relação ao mesmo período de 2011;
  • Os atacantes exploram vulnerabilidades em aplicações Web para, então, hospedar nesses sites páginas falsas de instituições financeiras, cavalos de Troia, ferramentas utilizadas em ataques a outros servidores Web e scripts para envio de spam ou scam.

Análise do Coruja — Vejo que temos dois problemas. O primeiro deles é que a maioria das empresas não se dão o trabalho de passarem simples scanners que procuram por vulnerabilidades em suas aplicações e servidores Web antes de colocá-los em produção, no ar e acessível para toda a Internet. O segundo ponto é quanto a monitoração das vulnerabilidades e suas correções – não podemos negar que há 0-days por aí, mas boa parte da exploração de vulnerabilidades que ocorre no dia a dia, tem haver com a não atualização de produtos ou correção de um techo de código bugado. A instalação e configuração de camadas de cache, como o Varnish, de plugins de segurança, como o noloris e modsecurity no Apache, o hardening de servidores e até mesmo a utilização de web servers mais robustos, como o Nginx, podem sim aumentar a segurança das empresas. Cansei de ver startups que acham que a amazon é a solução de todos os seus problemas devido a facilidade em criar uma infra adequada para o seu negócio, instalaram o seus servidores em menos de 24 horas, mas esqueceram de verificar se o mínimo de segurança tinha sido implementado. Resultado – Tango Down..

E por último, este crescimento ocorreu devido ao aumento de ferramentas que automatizam todo o processo de análise e exploração de vulnerabilidades, além da quantidade de treinamentos  focados neste tema. Infelizmente não são todos que pensam de forma produtiva.

Computadores comprometidos

  • No segundo trimestre de 2012 recebemos mais de 1.000 notificações de máquinas comprometidas. Este total foi quase 30% menor do que o número de notificações recebidas no primeiro trimestre de 2012 e quase 60 vezes maior que o número de notificações recebidas no segundo trimestre de 2011.
  • A grande maioria das notificações de computadores comprometidos foi referente a servidores Web que tiveram suas páginas desfiguradas (defacement).

Análise do Coruja — um dado tanto que contraditório se formos analisar os ataques a servidores web. A minha visão é a seguinte: Será que o pessoal está atacando, mas a(s) vulnerabilidade(s) em questão não permite(m) o defacement ? ou os administradores ficaram mais espertos e estão implementado melhores configurações em seus ambientes, não permitindo assim a pós-exploração ?

Todas as leis que estão sendo discutidas quanto aos crimes gerados por meios digitais devem ter como base relatórios como este gerado pelo Cert.BR. Ele é uma bússola que orienta o mercado quanto as maiores e mais nocivas pragas virtuais e compete à nós, pesquisadores, analistas e administradores, nutrir dados ao Cert para que ele possa compila-los e apresenta-los a sociedade.

E tenho a repetir, a real quantidade dos números reportado pelo Cert.BR depende da nossa colaboração.

Compartilhar:

Este post tem um comentário

  1. Este orgão realmente funciona.. para os dois lados.

Deixe uma resposta

Fechar Menu