Em janeiro de 2015, o chef-celebridade Jamie Oliver anunciou que seu website, que atrai 10 milhões de visitantes por mês, tinha sido comprometido. Isto seguiu-se um anúncio feito pela revista Forbes que um mês antes, em dezembro de 2014, o “Pensamento do Dia” altamente visível widget de flash haviam sido adulterados também. Em ambos, o site hackeado foi simplesmente o primeiro passo de um processo complexo, que é cuidadosamente projetado para fazer o dinheiro fora de usuários de internet desavisados.
A maioria das pessoas ficam surpresas ao saber que o estereótipo Hollywood perpetuada do cyber-criminoso é um mito. Imaginamos um gênio do mal sentado em uma sala escura, digitando febrilmente para invadir redes, em tempo real, adivinhando senhas e evitar a aplicação da lei através de seqüências de teclas no momento certo. A realidade é muito menos intrigante. As ferramentas que são usadas para estes exploits são muitas vezes software off-the-shelf genérico desenvolvido por desenvolvedores de terceiros e depois vendidos no mercado negro. A venda de ferramentas criminosas – exploit kits, conta-gotas de malware, em si e mais malware – tornou-se um grande negócio em si. Na verdade, de acordo com pesquisadores, no caso do site do Jamie Oliver, uma ferramenta de hacking popular e amplamente disponível chamado Fiesta foi utilizado para digitalizar computadores dos visitantes e procurar vulnerabilidades que podem ser exploradas para entregar o malware. A nossa própria pesquisa de ameaças Dell SonicWALL mostra que Angler foi o mais comumente usado kit de exploração em 2014, resultando em mais de 60 por cento dos exploits que vimos no ano passado.
Para aumentar o problema, laboratórios NSS estima que 75 por cento dos computadores do mundo e 85 por cento dos computadores na América do Norte não são protegidos adequadamente contra estas ameaças. Software é ainda pior, apenas na melhor das hipóteses os antivírus estão atualizados.
Como os sites estão sendo atacados?
O atacante geralmente busca por sites com vulnerabilidades que lhes permitem modificar o HTML na página web. Um dos principais alvos dos cibercriminosos é um site que seja altamente confiável e de alto volume como no caso de Forbes.com. Em muitos casos, os atacantes vão olhar para comprometer servidores de anúncios que geram uma enorme quantidade de visualizações. Depois de uma página da web com uma vulnerabilidade é identificada, os usuários podem ser enganados e clicar em links para uma página de destino separado em um servidor web infectado que hospeda o kit exploit. No caso mais preocupante de uma chamada drive-by download, um exploit kit carrega automaticamente o conteúdo do servidor de malware com a interação do usuário final zero necessária.
O kit exploit então tenta verificar o computador do usuário em busca de vulnerabilidades em aplicações comuns. Sabemos que a maioria das pessoas ignora os patches do sistema operacional, e ainda mais pessoas ignoram os patches de browser, Java e Flash. Um atacante sofisticado pode encontrar de forma independente uma vulnerabilidade, mas ele mais provável ou ela vai usar as vulnerabilidades publicadas. O nível de sofisticação destes exploit kit varia, mas alguns vão mesmo verificar os endereços IP para garantir que o computador de destino corresponda ao perfil desejado, por exemplo, um PC residencial.
Uma vez que uma aplicação vulnerável é descoberta, o exploit é lançado e se for bem sucedido a carga de malwares escolhido é finalmente transferido para o computador da vítima. Enquanto uma carga comum proporciona malware que assume o controle de computadores da vítima (isso é chamado de um bot como no robô ou zumbi), outros tipos de malware pode ser usado para roubar dados, combinações de teclas de registro, ou lançar ataques DoS distribuídos em outros sites. Outra carga comum é chamado ransomware porque ele criptografa todos os dados no computador da vítima e prende-lo até que o proprietário de dados fornece um número de cartão de crédito válido e paga para desbloquear os dados. A realidade com estes ataques é que todos são um alvo – a mãe, um astro pop, o empresário, frentista, vovó e vovô, executivo de negócios ou professor da escola – todos são uma vítima em potencial.
A abordagem em camadas para proteção contra exploits
Nenhuma ferramenta ou técnica é garantia total para parar esses ataques, mas há uma variedade de táticas que podem ser utilizadas para minimizar a possibilidade de um ataque bem-sucedido.
- Gateway de proteção contra malware: firewalls modernos, também conhecido como Next Generation Firewalls, proporcionam muito melhor escaneamento de pacotes do que os firewalls legados. Inspeção profunda de pacotes é usado para inspecionar não só a parte do cabeçalho do pacote, mas também a carga útil, em busca de vírus, Trojans e tentativas de invasão. Este nível de inspeção, muitas vezes, é capaz de bloquear o download da carga útil do malware.
- O gerenciamento de patches: Como a maioria dos exploits conhecidos tirar proveito de versões vulneráveis do aplicações, é fundamental que você aplicar continuamente as últimas versões de software para todos os seus servidores, PCs, Macs, Chromebooks, smartphones, tablets, impressoras, equipamentos de rede e outros dispositivos não-computação conectados. Ufa! Soluções de gerenciamento de sistemas automatizar esse patch para organizações maiores.
- Atualização automática dos antivírus de Desktop: anti-vírus desktop padrão fornecem um nível de proteção contra as cargas de malware que são utilizados nestes ataques, mas é fundamental que o cliente de desktop é mantido atualizado. Idealmente, se você é responsável pela segurança, você teria uma forma de impor o uso dos clientes, pois os usuários gostam de desativar antivírus quando percebem que ele torna o seu computador mais lento. E, infelizmente, em alguns casos, o malware desativa o antivírus ou utiliza métodos avançados para evitar a detecção por isso esta é apenas mais uma camada na estratégia global de segurança.
- Conteúdo web Internet filtragem: Há uma grande variedade de soluções no mercado que permitem que uma organização para filtrar os URLs que podem ser acessados por usuários dentro da rede.Filtragem em muitos casos, irá bloquear o redirecionamento para o servidor de malware, está é uma característica padrão na maioria dos next generation firewalls.
- Filtragem Botnet: inspeção profunda de pacotes também fornece a capacidade de determinar se as conexões estão sendo feitas para ou a partir de servidores de comando e controle botnet. Muitos firewalls de próxima geração têm continuamente atualizado listas desses servidores. Filtragem Botnet é uma camada de segurança que irá bloquear as comunicações de e para computadores já comprometidos participantes em botnets por trás do firewall.
- Filtragem GeoIP: Outra característica dos next gerenation firewalls que podem ser úteis na prevenção de bots de se comunicar com o seu servidor de comando e controle é o de restringir as comunicações com base na geografia. Dados GeoIP inclui o país, cidade, código de área e muito mais. Isso é útil se uma organização pode excluir regiões que são conhecidos por seus riscos de cibernérticos, tais como a Rússia ou a China.
- Proteção de saída de email: Os invasores, muitas vezes, usam computadores que eles são capazes de explorar como spambots que enviem spam como parte de uma campanha de spam maior. Estes computadores são freqüentemente chamados de zumbis, porque eles são controlados remotamente por outra pessoa, neste caso, o botmaster spam. As soluções de segurança de e-mail pode escanear a saída de correio e identificar sinais de que o computador foi comprometida e determinar que um sistema foi comprometido.
Os profissionais de segurança percebem a complexidade dos riscos decorrentes de sites comprometidos. Infelizmente, não existe uma fórmula mágica para bloqueio de exploits, mas uma abordagem em camadas de a segurança pode minimizar o risco para a sua organização.
Para saber mais sobre como proteger sua rede contra estes tipos de exploits, leia o novo Dell Segurança eBook, “Tipos de ciberataques e como evitá-los.” Siga-me no Twitter johngord .
Quer saber como proteger a rede de sua empresa utilizando camadas de segurança, entre em contato conosco pelo telefone 62 39457955 ou clique aqui
John Gordineer
Este artigo foi escrito por John Gordineer com título em inglês Seven Layers of Protection from Hacked Websites e traduzido com ajuda do Google Tradutor. Você pode acessar o artigo original em http://en.community.dell.com/dell-blogs