IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos

Agosto de 2010

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Colaboradores

Colaboradores
A produo do Relatrio Semestral de Tendncias e Riscos X-Force uma iniciativa conjunta de toda a IBM. Gostaramos de agradecer aos seguintes indivduos pela sua ateno e dedicao publicao deste relatrio.
Colaborador Bryan Williams Carsten Hagemann Dr. Jens Thamm Frank (Jamie) Licitra Harold Moss Jon Larimer Leslie Horacek Marc Noske Mark E. Wallis Michael Waidner Michelle Alvarez Mike Warfield Ralf Iffert Ravi Srinivasan Robert Freeman Ryan McNulty Scott Moore Tom Cross Wangui McKelvey Cargo Pesquisa e Desenvolvimento X-Force, Tecnologias de Proteo Engenheiro de Software X-Force, Segurana de Contedo Gerenciamento de Banco de Dados, Segurana de Contedo Gerente de Produto X-Force
Estratgia de Segurana - Arquiteto Tcnico de Computao em Nuvem & Tecnologia Emergente

Sobre o X-Force As equipes de pesquisa e desenvolvimento da IBM X-Force estudam e monitoram as ltimas tendncias em ameaas, incluindo vulnerabilidades, exploits, vrus e ataques ativos e outros malwares, spam, phishing e contedos maliciosos da Web. Alm de aconselhar os clientes e o pblico em geral sobre como responder s ameaas crticas e emergentes, o X-Force tambm fornece contedo de segurana para proteger os clientes da IBM dessas ameaas.

Pesquisa Avanada X-Force, Malware Gerente de Resposta de Ameaas X-Force Administrao de Banco de Dados, Segurana de Contedo Desenvolvedor Snior de Informao, Equipe de Banco de Dados X-Force CTO de Segurana, Estratgia de Segurana da IBM Liderana de Equipe, Centro de Inteligncia do MSS (pseudnimo Eagle Assistente Snior, X-Force Gerente, Segurana de Contedo X-Force Grupo de Software da IBM, Gerente de Produto Snior Tivoli Tecnlogo Snior & Watchman de Explorao da Web Servios de Segurana Gerenciados pela IBM & Consultor Extraordinrio de SQL
Desenvolvedor de Software X-Force & Liderana de Equipe de Banco de Dados X-Force

Gerente, Pesquisa Avanada X-Force Gerente de Marketing de Produto X-Force

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos ndice > Seo I

ndice Seo I
Viso Geral Destaques do primeiro semestre de 2010 Vulnerabilidades e explorao Malware e a Web maliciosa Spam e phishing Futuros tpicos depois de 2010 Colaborao da Segurana IBM Tendncias atuais para entender em 2010 Ameaas escondidas da empresa Ameaa avanada persistente (APT) Atacantes so sticados Ataques com motivao nanceira Ofuscao de JavaScript uma tcnica evasiva popular Combatendo a APT A explorao de PDF ATUAL! Proteo contra ataques baseados em PDF Atividade de ataque de explorao de PDF Tendncias de ofuscao de cdigos maliciosos Atividade de ataques ofuscados O cenrio de ameaas em constante mudana Divulgaes de vulnerabilidade Relatrios do primeiro semestre de 2010 bem frente dos nmeros de 2009 5 6 6 6 6 7 7 8 8 8 9 10 11 11 12 13 14 16 17 18 18
Matriz de recompensa potencial versus esforo de explorao 21

Spampersoni cadores da Internet Os domnios dos spammers mudam de .cn para .ru A largura da banda irrelevante: o tamanho do spam em byte aumentou signi cativamente Phishingo usurio est caindo nessa? Um novo foco sobre as tcnicas de phishing
Phishing nanceiro tendo os bancos localizados nos EUA como alvo

38 38 41 43 43 45 47 47 47 49 49 50 51 52 53 56 56 57

Divulgaes pblicas que causaram impacto Atualizao do Con cker o que aconteceu desde o nal de 2009? A resposta do X-Force para o Con cker Qual o futuro do Con cker? Estabelecendo tendncias no escuro
qual a aparncia do movimento de informaes malicioso?

24 25 26 28 29 29 31 33 33 33 33 33 33 34 34 36 36 36 36 37 37

Tpicos futuros2010 e alm Implantao do IPv6logo caremos sem endereos IPv4; estamos preparados? Expanso e implantao do IPv6 Virtualizaoconsolidando nos espaos virtuais e o que isso signi ca para nossa segurana Tendncia de divulgao da vulnerabilidade da virtualizao Vulnerabilidades de virtualizao por severidade Vulnerabilidades de virtualizao por local Vulnerabilidades de virtualizao por tipo de produto Vulnerabilidades de virtualizao por tipo de vulnerabilidade Vulnerabilidades de virtualizao por fornecedor Disponibilidade de exploits A nuvem emergente: adoo de servios da tecnologia de nuvem para o futuro

Ataques clonados de negao de servio Ataques de fora bruta Crime Cibernticoquem est enganando quem? Botnet Zeusfatos, mitos e entendendo como esses botnets operam Mitos sobre Zeus H somente um Botnet Zeus Zeus um vrus ou worm? Zeus usa as vulnerabilidades e explora para instalar-se Nova verso do kit de ferramentas Botnet Zeus Mudanas no Zeus 2 Protegendo-se do Zeus Segurana para PC Segurana para e-mail e mensagem Indicadores de infeces Envenenamento do mecanismo de busca BlackHat Software antivrus Rogue

Contagem da divulgao de vulnerabilidade do primeiro semestre de 2010 18

Taxa de correo Disponibilidade de patches e correes de vulnerabilidades Melhores e piores patchers

19 19 20

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos ndice > Seo II

ndice Seo II
Viso geral Destaques do primeiro semestre de 2010 Vulnerabilidades Explorao Vulnerabilidades
Contagem de divulgaes de vulnerabilidade no primeiro semestre de 2010

58 58 58 58 59 59 59 60 62 63

Vulnerabilidades e exploits de navegador e outros tipos de vulnerabilidades e exploits do cliente Software predominante do cliente porcentagem das divulgaes de vulnerabilidades altas e crticas Vulnerabilidades de navegador Internet Explorer dispara na frente em 2010 Vulnerabilidades de formato do documento Tendncias de explorao do cliente Tendncias de explorao de navegador da Web Exploits mais populares (primeiro semestre de 2010)

Spam 77 Volume de spam 77 78 79 80 80 81 Tipos de spam Domnios comuns de spam de URL Porcentagem de URLs aleatrias por Domnios de Nvel Superior Reputao das URLs de spam: elas so ligadas internet? Tipos de sites ligados s URLs de spam URLs de spampas de origem Crescimento nos pases do BRIC URLs de spampas de origem URLs de spamtendncias do pas de origem Globalizao em termos de spam Spamttulos mais populares Phishing Volume de phishing Phishingpas de origem URLs de phishingpas de origem Phishingttulos mais populares

92 92 93 94 96 97 99 101 103 104 105 106 107 108 108 109 110 111

Divulgaes de vulnerabilidade por severidade Pontuaes com base no CVSS Fornecedores com a maior parte das vulnerabilidades Mudanas na lista dos principais fornecedores

Kits de ferramentas de exploits mais populares (primeiro semestre de 2010) 81

Disponibilidade de correes e patches de vulnerabilidade 64 Vulnerabilidades exploradas remotamente Consequncias da explorao Sistemas operacionais que apresentam as maiores divulgaes de vulnerabilidade Todas as vulnerabilidades dos sistemas operacionais Vulnerabilidades altas e crticas dos sistemas operacionais
Por que no utilizamos CPE para contar os sistemas operacionais?

Tendncias de contedo da Web Metodologia de anlise Porcentagem de contedo indesejado da Internet Aumento de proxies annimos

82 82 83 84 85 86 88

64 65 67 67 68 69

Domnios superiores dos proxies annimos Pases hospedeiros de sites da Web com proxies annimos Bons sites da Web com links ruins

Mantendo as vulnerabilidades do sistema operacional em perspectiva 69

Ameaas de vulnerabilidades dos aplicativos da Web Divulgaes de vulnerabilidades de aplicativos da Web por categorias de ataque Ataques de Cross-Site Scripting em aplicativos da Web As 10 principais ameaas do OWASP Plataformas e vulnerabilidades dos aplicativos da Web O que podemos aprender com isso?

70 71 72 74 75 76

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Viso Geral

Viso Geral
Conforme avanamos para o segundo semestre de 2010, uma coisa permanece constante neste mundo de grandes transformaes: os atacantes continuam se aproveitando do ritmo rpido da tecnologia para obter ganhos financeiros, incluindo o roubo de propriedade intelectual. No final de 2009, fizemos um resumo da evoluo do cenrio de ameaas para profissionais de segurana e atacantes. Mais tecnologia, melhor automao e uma experincia do usurio melhor gerencivel resumem as ferramentas que cada lado utiliza. Vimos a ascenso do designer de malware com ricos conjuntos de caractersticas que correspondem sofisticao do software comercial. Em vez de focar em um nico ponto de entrada, essas ltimas ameaas visam agressivamente mltiplas fontes dentro de uma empresa para assegurar uma explorao bem-sucedida. Os recursos nicos e de interao pblica no so mais os grandes riscos, mas, em vez disso, todos os funcionrios e terminais tornaram-se um ponto de entrada em potencial. Combinaes sofisticadas de explorao de vulnerabilidade, spam, phishing, URLs maliciosas e engenharia social esto todas mais fceis de ofuscar, automatizar e implantar do que nunca. As empresas e a economia global estiveram em transio. As companhias fundem divises e diminuem a escala do tamanho de suas organizaes conforme novas tecnologias ajudam a simplificar as tarefas. Atravs de todas essas alteraes e mudanas dentro do microclima das organizaes, entendemos a confuso que pode ser causada e as demandas de adaptao que so colocadas fora de trabalho. O que devemos proteger? Conforme crescemos em direo a novos mercados e adotamos novas tecnologias, de que maneira mudou a perspectiva de segurana? Temos visto solues de segurana tradicionais se tornarem totalmente ineficazes contra novos mtodos de ofuscamento e vetores de ataque de baixo volume. Ataques visando servidores da Web via SQL injection e cross-site scripting no so nenhuma novidade, mas continuam a ser criativamente concebidos para driblar muitos produtos de segurana. Funcionrios so visados diretamente atravs dos documentos com os quais trabalham todos os dias sejam eles arquivos em PDF ou documentos office. A dinmica de ameaas continua a evoluir em um passo vertiginoso, fazendo com que se torne ainda mais crucial atentar para as tendncias que esto desabrochando, para que possamos nos preparar melhor para o futuro.
Layout e design novos Elaboramos um novo design para a estrutura e o layout do relatrio semestral deste ano, de modo a conter duas sees principais. A primeira seo cobre tpicos atuais e as mais novas grandes tendncias, enquanto a segunda cobre o nosso contedo mais tradicional dados de ameaa em profundidade junto com a anlise cautelosa que os nossos leitores esto acostumados a esperar das Solues de Segurana da IBM.

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Destaques do primeiro semestre de 2010 > Vulnerabilidades e explorao > Software malicioso e a Web maliciosa > Spam e phishing

Destaques do primeiro semestre de 2010 Vulnerabilidades e explorao

Ameaa avanada persistente O que mais

preocupa o X-Force em relao a esses atacantes sofisticados a capacidade que eles tm para penetrar com sucesso em redes bem-protegidas a despeito dos avanos significativos nas prticas e na tecnologia de segurana. Em particular, estamos preocupados quanto aos crescentes exploits ofuscados e os canais escondidos de comando e controle de malware que operam sob o radar dos modernos sistemas de segurana. Ofuscao, ofuscao, ofuscao Os atacantes continuam a encontrar novas maneiras para disfarar o seu movimento de informaes malicioso atravs da ofuscao de JavaScript e de PDF. A ofuscao uma tcnica utilizada por desenvolvedores de software e atacantes afins para esconder ou mascarar o cdigo utilizado para desenvolver os seus aplicativos. As coisas seriam mais fceis se os produtos de segurana de rede pudessem simplesmente bloquear qualquer JavaScript que foi ofuscado, mas as tcnicas de ofuscao so utilizadas por muitos sites da Web legtimos em uma tentativa de prevenir desenvolvedores no sofisticados da Web de roubarem os seus cdigos. Esses sites da Web legtimos funcionam como uma cobertura para os que so maliciosos, transformando os ataques em uma agulha no palheiro. Ataques de PDF continuam a aumentar conforme os atacantes enganam os usurios de novas maneiras. Para entender por que os PDFs so alvos, considere que terminais so normalmente o elo mais fraco em uma organizao empreendedora. Os atacantes entendem bem esse fato. Por exemplo, embora dados sensveis possam no estar presentes em um terminal em particular, aquele terminal poder ter acesso a

outros que tenham. Ou, aquele terminal pode ser utilizado como um ponto prtico de lanamento para lanar ataques em outros computadores. Vulnerabilidades relatadas nunca estiveram com um ndice to alto 2010 testemunhou um aumento significativo no volume das divulgaes de vulnerabilidade de segurana, devido tanto a aumentos significativos nos informes pblicos de explorao quanto aos esforos positivos de muitas grandes empresas de software para identificar e mitigar as vulnerabilidades de segurana. As vulnerabilidades dos aplicativos da Web avanaram para a marca dos 55 por cento, contabilizando a metade de todas as divulgaes de vulnerabilidade no primeiro semestre do ano de 2010. Recompensa Potencial versus Esforo de Explorao O que os atacantes realmente querem? Com o nmero de anncios de vulnerabilidade aumentando e os fornecedores lutando para propiciar patches e proteo para reas problemticas, como as empresas podem priorizar melhor os esforos dos administradores de TI para fornecer uma cobertura adequada? A Matriz de Esforo de Explorao versus Recompensa Potencial fornece um modelo simples para refletir sobre a triagem de vulnerabilidade a partir da perspectiva dos atacantes.

verso fornecem uma funcionalidade atualizada para os atacantes. Exploits de antivrus Rogue e BlackHat SEO ainda penetram as empresas ao enganar usurios finais. Kits de ferramentas para a Web maliciosa A prevalncia continuada do kit de ferramentas Gumblar est ajudando a assegurar uma posio de explorao entre as primeiras para os produtos Adobe, mas os exploits Flash e PDF tambm so extremamente populares em muitos outros kits de ferramentas. Uma mudana interessante do segundo semestre de 2009 que o ActiveX saiu da lista dos cinco melhores, pelo menos por enquanto.

Spam e phishing
Os principais domnios de spam mudaram da China

(.cn) para a Rssia (.ru).

Desde o meio de maro de 2010, o tamanho mdio

Malware e a Web maliciosa

O worm Conficker foi um dos maiores acontecimentos

na segurana de computador dos ltimos anos, portanto, uma atualizao para este relatrio de tendncia precisa obviamente ser feita. O que aconteceu com o worm Conficker desde 2009? O kit de ferramentas do botnet Zeus continua a causar uma grande confuso nas organizaes. O comeo de 2010 viu o lanamento de uma verso atualizada do kit de ferramentas botnet Zeus, intitulado Zeus 2.0. Muitas das novas caractersticas includas nesta

de spams dobrou sem quaisquer mudanas na porcentagem de spams baseados em imagem. Nas semanas seguintes, o tamanho mdio em bytes do spam continuou a aumentar at o comeo de junho, atingindo um tamanho mdio de aproximadamente 10 KB. No primeiro semestre de 2010, as instituies financeiras permaneceram como o alvo nmero um, mas agora representam apenas cerca de 49 por cento de todos os alvos de e-mails de phishing. Mais de dois teros de todos os alvos financeiros de phishing nos primeiros seis meses de 2010 esto localizados na Amrica do Norte; os outros 32 por cento restantes esto localizados na Europa. O Brasil permanece como o principal remetente em termos de volume de phishing, enquanto a ndia est no segundo lugar e a Coreia do Sul ocupa o terceiro lugar.

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Destaques do primeiro semestre de 2010 > Vulnerabilidades e explorao > Futuros tpicos depois de 2010 > Colaborao da Segurana IBM

Futuros tpicos depois de 2010

Virtualizao As organizaes esto sob uma

Colaborao da Segurana IBM A Segurana IBM representa vrias marcas que fornecem um amplo espectro da competncia em segurana. Enquanto as equipes de desenvolvimento e pesquisa do X-Force esto ocupadas trabalhando na anlise das ltimas tendncias e mtodos utilizados pelos atacantes, outros grupos dentro da IBM trabalham para suportar esses ricos dados em tcnicas de proteo para nossos clientes.
A equipe IBM X-Force de desenvolvimento e pesquisa descobre, analisa, monitora e registra uma

presso crescente para ofertar mais funcionalidade para os seus negcios e clientes. No corao dessa transformao est a virtualizao. No entanto, o sucesso final da virtualizao no depende s de eficincia de energia, desempenho, e facilidade de uso, mas tambm da capacidade para fornecer esses benefcios sem comprometer a disponibilidade, a confiabilidade e a segurana globais da infraestrutura de TI. Implantaes do IPv6 O que est acelerando a tendncia para adotar essas novas redes? A computao em nuvem uma tecnologia emergente na qual as vulnerabilidades de hoje so idnticas quelas encontradas na tecnologia emergente tradicional, composta pelos desafios das atividades dirias de gerenciamento remoto. A computao em nuvem est relativamente na sua infncia e multifacetada j que ela se relaciona implantao e ao escopo baseado no design e na utilizao.

vasta faixa de ameaas e vulnerabilidades da segurana de computador.

Os Servios de Segurana Gerenciados pela IBM (MSS) so responsveis por monitorar os exploits

relacionadas aos terminais, aos servidores (incluindo servidores da Web) e infraestrutura geral de rede. O MSS rastreia os exploits fornecidas por toda a Web, assim como outros vetores, tais como e-mail e mensagem instantnea. Os Servios Profissionais de Segurana (PSS) fornecem servios corporativos abrangentes de avaliao, design e implantao para ajudar a construir solues efetivas de segurana da informao. Nossos crawlers Whiro combinam dados de alerta do MSS, nossa equipe de Segurana de Contedo e uma anlise independente para monitorar as exploits de fontes baseadas na Web. O Whiro utiliza uma tecnologia especializada para identificar exploits utilizadas at mesmo nos casos mais ofuscados, incluindo aqueles casos em que os kits de ferramentas tentam mltiplos exploits. Nossa equipe de Segurana de Contedo percorre e categoriza independentemente a Web atravs de crawling, descobertas independentes e atravs dos feeds fornecidos pelo MSS e o Whiro. A IBM conferiu os dados de vulnerabilidade do mundo real de testes de segurana ao longo dos ltimos trs anos do servio IBM Rational AppScan onDemand Premium . Esse servio combina os resultados da avaliao da segurana de aplicativos obtidos a partir do IBM Rational AppScan com verificao e teste manuais. Os Servios de Segurana em Nuvem da IBM permitem que os clientes consumam as caractersticas do software de segurana atravs de um modelo hospedado de assinaturas que ajuda a reduzir custos, melhorar a prestao de servios e melhorar a segurana. As solues de gerenciamento de acesso e identidade fornecem gerenciamento de identidade, gerenciamento de acesso e auditoria em conformidade com o usurio, todos completos. Essas solues centralizam e automatizam o gerenciamento de usurios, autenticaes, acessos, a poltica de auditoria e o fornecimento de servios para o usurio.

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Destaques do primeiro semestre de 2010 > Ameaas escondidas da empresa > Ameaa avanada persistente

Tendncias atuais para entender em 2010

Ameaas escondidas da empresa
A prtica da segurana em computador foi marcada no primeiro semestre de 2010 pela presena de um novo termo em quase todas as conversas: Ameaa Avanada Persistente. Apenas recentemente, o dilogo sobre a natureza da ameaa s nossas redes passou de grupos de hackers adolescentes entediados aos grupos profissionais de criminosos que esto atrs de dinheiro. Agora, parece haver uma ameaa ainda mais insidiosa no horizonte organizaes de inteligncia consolidadas e patrocinadas pelo estado. A Ameaa Avanada Persistente no nova esses tipos de ataques esto em voga h anos. O que novo a extensa variedade de diferentes tipos de organizaes que esto discutindo essa ameaa e lutando contra ela nas suas redes. O que mais preocupa o X-Force em relao a esses atacantes sofisticados a capacidade que eles tm para penetrar com sucesso redes bem-protegidas a despeito dos avanos significativos nas prticas e nas tecnologias de segurana. Estamos especificamente preocupados quanto aos crescentes exploits ofuscadas e aos canais de comando e controle de um malware escondido que operam sob o radar dos modernos sistemas de segurana. Combater essas ameaas requer o desenvolvimento de novos processos e principalmente a adoo de tecnologias de segurana de rede completamente novas.

Ameaa avanada persistente (APT)

O termo Ameaa Avanada Persistente (APT) foi originado nos crculos do Governo dos EUA. Ele se refere a uma variedade de diferentes grupos de diferentes naes que ataca redes de computadores a fim de roubar informaes de inteligncia, de maneira distinta de grupos que possuem uma motivao mais financeira, como aqueles que visam caches de nmeros de cartes de crdito. A palavra persistente utilizada para caracterizar a capacidade que os grupos de

APTs tm para manter acesso e controle de redes de computadores at mesmo quando os operadores de rede esto cientes de sua presena, tomando medidas ativas para combat-los. Os grupos de APTs so pacientes eles desenvolvem vagarosamente o acesso para as informaes que eles querem enquanto permanecem abaixo do limite de atividade que poderia atrair ateno.

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Destaques do primeiro semestre de 2010 > Ameaas escondidas da empresa > Atacantes sofisticados

O nvel de sofisticao das tcnicas de ataque visto nos casos das APTs , com frequncia, diretamente proporcional ao nvel de sofisticao das capacidades das pessoas que defende uma rede particular. Os grupos de APTs parecem possuir uma biblioteca de diferentes ferramentas e capacidades das quais eles selecionam a capacidade menos sofisticada exigida para finalizar um determinado trabalho. Tcnicas e ferramentas mais sofisticadas aparecem conforme os defensores de rede descobrem e reagem a intruses. O que todos os ataques sofisticados e direcionados tm em comum que o primeiro passo para o atacante o reconhecimento. Embora isso possa incluir as atividades tradicionais de varredura e teste da rede que associamos com as intruses de computador, os atacantes sofisticados pensam alm disso. Atualmente h uma profuso de informaes disponveis na Internet a respeito de muitas pessoas que esto trabalhando no mundo dos negcios. Ns publicamos perfis em sites de redes sociais profissionais e pessoais, enviamos atualizaes de status que indicam que estamos viajando, participamos de fruns on-line que so relevantes para o nosso trabalho, damos palestras em conferncias pblicas, escrevemos artigos e relatrios, damos entrevistas em meios de comunicao e notcia, e, ao fazer todas essas coisas, deixamos um grande nmero de migalhas que pessoas maliciosas podem utilizar para reconstruir no apenas um retrato de nossas vidas pessoais, mas das organizaes para as quais trabalhamos e como nos encaixamos nelas.

Atacantes sofisticados
Os atacantes sofisticados utilizam essas informaes pblicas para desenvolver um quadro completo de uma organizao visada; quem trabalha l, o que eles fazem e para quem eles emitem relatrios dentro da organizao. Esse quadro permite que eles identifiquem os indivduos particulares que possam ter acesso ao tipo de informao que eles procuram. Esses indivduos so focalizados com vrios tipos de ataques de engenharia social com a inteno de engan-los na execuo de uma explorao maliciosa. O objetivo inicial dos atacantes ganhar o controle da estao de trabalho da vtima. Desse ponto, todo o trabalho e a comunicao da vtima tornam-se um livro aberto. Esses ataques frequentemente envolvem documentos mal formados ou pginas da Web que visam vulnerabilidades de dia zero com exploits ofuscadas. O ataque poderia vir como um e-mail, com o endereo de um parceiro de negcios ou um colega de negcios, com um anexo malicioso que parece diretamente relevante para a funo da tarefa da vtima. Pode ser um link para um documento interessante que est hospedado em um site de um concorrente, ou talvez um presente, como um drive USB entregue vtima em uma exposio comercial com uma apresentao interessante.

O malware customizado que instalado pela explorao utiliza canais escondidos para se comunicar atravs da rede sem ser notado. Uma vez que os atacantes estejam com o seu malware em execuo na mquina de uma vtima, eles frequentemente tentam espalhar o seu controle para outros sistemas da rede visada. Eles tambm tentaro explorar relaes de negcios a fim de aproveitar o seu controle sobre a rede de uma companhia para invadir outras. Para os profissionais de segurana de rede do setor privado, a linha entre a atividade da APT relacionada inteligncia e os Ataques com motivao financeira extremamente tnue. Instalaes de fora foram atacadas por guerreiros cibernticos patrocinados pelo estado assim como grupos criminosos que esto simplesmente interessados em chantagem. Os mesmos ataques sofisticados de spear phishing que foram utilizados para focalizar estrategistas do governo tambm foram direcionados a executivos em instituies financeiras que possuem acesso a sistemas de transferncia de fundos.

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Destaques do primeiro semestre de 2010 > Ameaas escondidas da empresa > Ataques com motivao financeira

Em alguns aspectos, isso torna os nossos trabalhos mais fceis as tcnicas que desenvolvemos para combater esses tipos de ataques podem aplicar-se a uma extensa variedade de contextos. No entanto, importante reconhecer o termo APT no abarca todo o espectro de ataques sofisticados e direcionados que as empresas esto enfrentando. Enquanto todas as discusses recentes sobre APT ajudaram a levantar o conhecimento acerca desses tipos de tcnicas de ataque, esperamos que elas no levem a uma reao que seja focada de modo muito estreito nas atividades relacionadas inteligncia. responsabilidade dos praticantes em segurana de rede encontrar maneiras de proteger as suas redes contra esses tipos de ataques independentemente de qual possa ser a motivao dos atacantes.

explorao muito espalhada na Internet tendem a se encaixar em um ponto favorvelfcil de explorar e uma grande oportunidade para os viles. Esses tipos de vulnerabilidades so frequentemente as favoritas de grupos criminosos organizados que esto envolvidos em explorao em massa de grandes nmeros de sistemas de terminais. No entanto, algumas das vulnerabilidades sobre as quais o X-Force publica alertas e conselhos so relativamente caras para explorar. Atacantes sofisticados que tm a capacidade de desenvolver ferramentas de ataque customizadas podero tomar vantagem desses tipos de vulnerabilidades a despeito do custo. Alm disso, vulnerabilidades especficas tendem a se tornar menos caras de se explorar com o tempo. Em muitos casos, as vulnerabilidades so descobertas primeiramente pelos atacantes sofisticados e utilizadas em ataques direcionados. Por fim, a atividade de ataque descoberta por profissionais de segurana e a vulnerabilidade publicamente revelada e corrigida. Conforme mais informaes sobre a vulnerabilidade emergem publicamente, principalmente incluindo o cdigo de explorao, o padro da atividade de ataque associada com essa vulnerabilidade se desloca dos ataques direcionados para uma explorao muito espalhada.

Ataques com motivao financeira

No Relatrio Anual de Tendncias e Riscos X-Force de 2008, introduzimos um modelo simples para refletir sobre a triagem de vulnerabilidades da perspectiva dos atacantes financeiramente motivados, a partir do qual produzimos a Matriz de Esforo de Explorao versus Recompensa Potencial (anteriormente, Matriz de Probabilidade de Explorao). Esse grfico delineia as vulnerabilidades de segurana em termos da oportunidade que elas representam para os criminosos de computador assim como o esforo associado com a explorao delas. O grfico, que atualizado na pgina 21 deste relatrio, ajuda a ilustrar o fato de que as vulnerabilidades que esto alcanando uma

Quanto a isso, h uma relao direta entre os ataques direcionados de estilo APT e a atividade muito espalhada de botnet, na qual tcnicas de ofuscao e vulnerabilidades que so desenvolvidas por equipes sofisticadas para uso em ataques direcionados eventualmente escoam para os kits de ferramentas de explorao em massa empregados por grupos criminosos organizados. O resultado que os atacantes, em todos os nveis da cadeia alimentar, esto ficando mais sofisticados com o passar do tempo. O mais problemtico em relao a essa evoluo a capacidade crescente que os atacantes de qualquer nvel tm para evadir a proteo oferecida por vrias solues de segurana de rede imediatas e comerciais e para operar sob o radar dos gerenciadores de rede. Esses desenvolvimentos colocaram uma presso maior no setor de segurana para se tornar mais efetivo na deteco de ameaas no mundo real e no apenas no laboratrio.

10

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Destaques do primeiro semestre de 2010 > Ameaas escondidas da empresa > Ofuscao de JavaScript uma tcnica evasiva popular > Combatendo a APT

Ofuscao de JavaScript uma tcnica evasiva popular

O exemplo mais importante dessa espcie de tcnica evasiva a ofuscao de JavaScript. JavaScript uma linguagem flexvel. Ela permite ser executada como um cdigo, e os dados podem ser manipulados. Ela pode ser criptografada. No mundo real dos ataques, as cargas teis de explorao so frequentemente feitas por meio de JavaScript, e essas cargas teis de explorao esto escondidas dentro de pores de dados pesadamente codificados, que so muito caros para inspecionar na rede, mas so desemaranhados por navegadores e visualizadores de documento quando eles atingem o terminal. As coisas seriam mais fceis se os produtos de segurana de rede pudessem simplesmente bloquear qualquer JavaScript que foi ofuscado, mas, infelizmente, as tcnicas de ofuscao so utilizadas por muitos sites da Web legtimos em uma tentativa de evitar que desenvolvedores no sofisticados da Web roubem os seus cdigos. Esses sites da Web legtimos funcionam como uma cobertura para os que so maliciosos, transformando os ataques em uma agulha no palheiro.

No h nenhuma bala de prata que enderece a APT. As solues imediatas de segurana podem fornecer algumas ferramentas que ajudam, mas no h nenhum produto disponvel que resolva esse problema magicamente. Muitas organizaes esto avaliando novas tecnologias e novos processos, como o uso mais extensivo de segmentao fsica de rede, a assinatura universal de e-mail e a lista branca de aplicativos. Todas essas abordagens aumentam a barreira, mas elas no a tornam intransponvel. Problemas fundamentais, como a ofuscao, requerem novas solues tcnicas. O nus cabe ao setor de segurana para conduzir inovaes nessa rea para ajudar a armar os administradores de rede para que eles possam responder.

Combatendo a APT Na nossa experincia, uma das medidas mais efetivas para combater essa espcie de ameaa na sua rede alistar o seu pessoal. Rejeitamos a ideia de que impossvel treinar os usurios para estarem em guarda contra ataques sofisticados de spear phishing, porque j vimos isso funcionar. Se for possvel identificar as pessoas que trabalham na sua organizao e que mais esto sob o risco desse tipo de ataque, e sentar-se com elas e explicar a natureza da ameaa e como ela funciona, elas podem se tornar a sua primeira linha de defesa. Elas podem relatar e-mails suspeitos. Com uma amostra de explorao sendo utilizada por esses atacantes, h um ponto de apoio no problema. Ser possvel identificar outras vtimas visadas, identificar padres de controle e comando de malware e comear a desemaranhar a infestao.

11

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tendncias atuais para entender em 2010 > Explorao de PDF ATUAL!

A explorao de PDF ATUAL!

O X-Force comeou a observar o uso generalizado de exploits baseadas em PDF durante o primeiro semestre de 2009. Desde ento, baseados em nossos dados, ele capturou trs dos cinco principais slots para exploits de navegadores utilizadas a esmo. Para entender por que os PDFs so visados, considere que os terminais so geralmente o elo mais fraco em uma organizao empreendedora, e os atacantes entendem bem esse fato. Por exemplo, embora dados sensveis possam no estar presente em um terminal especfico, esse terminal poder ter acesso a outros e/ou pode ser utilizado como um lanamento prtico para lanar ataques em outros computadores. Isso ainda no explica totalmente por que os PDFs so to frequentemente utilizados, especialmente quando os ataques baseados no ActiveX e no Internet Explorer tm sido to predominantes h anos. Podemos oferecer algumas especulaes teis aqui. Primeiramente, as mudanas das fatias de mercado dos navegadores so inconvenientes para os atacantes que esto fazendo investimentos especficos em comparao aos softwares que esto virtualmente onipresentes em todos os navegadores, como os plugins do Adobe, feito o PDF e o Flash. Segundo, a complexidade de vulnerabilidades envolvidas nos exploits que so especficos para cada navegador pode estar relegando-os para ataques direcionados. Em outras palavras, bem improvvel que algum que tenha investido o seu tempo em encontrar um bug explorvel e confivel do IE ou do Firefox (ou outro navegador) venda os detalhes da vulnerabilidade e a prova de conceito armada pelo mesmo preo de outras vulnerabilidades que so mais fceis de encontrar. As vulnerabilidades do PDF so mais fceis de encontrar? Em comparao aos bugs do ActiveX, no h nenhuma evidncia disso. No entanto, a Microsoft tem sido bem diligente em relao a fazer uma lista negra das interfaces vulnerveis do ActiveX, incluindo aquelas de fornecedores terceiros, por meio de kill bits. Ao considerar a complexidade dos bugs de ponteiros oscilantes divulgados para o IE neste ano, as vulnerabilidades de PDF estiveram menos envolvidas.

Outra vantagem da explorao de PDF sobre os ataques a navegadores especficos que a especificao de documento para o PDF complexa, e os atacantes podem facilmente empacotar os dados para outro lugar no documento PDF para que depois eles possam ser recuperados programaticamente e colocados atravs de um algoritmo decifrador para devolver um script malicioso. Essa abordagem de ofuscao derivou de tcnicas anteriores que eram mais ou menos tradues 1:1 de rotinas comuns de codificao de JavaScript utilizadas por kits de ferramentas de explorao. Discutimos a evoluo da ofuscao ao longo do tempo na seo Tendncias de Explorao de Navegadores da Web. Se por um lado o ato de recuperar dados empacotados em outros objetos dentro do PDF possa ser suspeito s vezes, tecnologias avanadas para prevenir a explorao de PDF no deveriam confiar cegamente nos artefatos para a deteco, j que eles levam a positividades falsas.

12

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tendncias atuais para entender em 2010 > Explorao de PDF ATUAL! Proteo contra ataques baseados em PDF

Ataques de dia zero a PDFs aproveitam um tempo de avano antes que os patches estejam disponveis, criando um valor aprimorado para os ataques a PDFs do ponto de vista dos atacantes. A Adobe est tendo um papel agressivo e pr-ativo nos ltimos dias no modo de lidar com os ataques, e o X-Force espera que essa tendncia continue. Alm disso, h um rumor de que a prxima grande verso do Acrobat Reader conter uma tecnologia sandbox para reduzir a explorao de bugs remanescentes. Veremos como isso vai afetar os ataques baseados em PDF em breve. O X-Force acredita que isso depende de como a tecnologia afeta a taxa de custo/benefcio em comparao a outros plugins de navegadores e documentos onipresentes e formatos multimdia. Visualizadores alternativos de PDF no esto imunes a bugs e embora raramente sejam visados por atacantes diferenas de implantao podero conduzir a notrios riscos de segurana. Para dar um exemplo, a caracterstica muito discutida de lanamento do PDF no produziu nenhum prompt com o Foxit Reader alternativo. Concedida, a implantao da Adobe ainda poderia fazer o spoof dos campos de prompt. No entanto, assim como com a Adobe, o Foxit est adicionando caractersticas incrementadas de segurana aos seus produtos, como um safe mode.

Proteo contra ataques baseados em PDF Existem algumas coisas que os usurios podem fazer para ajudar na sua prpria proteo contra ataques baseados em PDF. No Acrobat Reader, possvel desativar o ActionScript (a verso estendida da Adobe para o JavaScript) e, embora alguns ataques baseados em PDF no possam ser evitados dessa maneira, ainda vale a pena. Embora existam mltiplos visualizadores de PDF alm do citado Acrobat Reader, a maioria das opes ou preferncias de aplicativos deve expor opes similares. Alm disso, interessante considerar que outros formatos de multimdia podem ser integrados em documentos PDF, como vdeos e filmes em Flash. H uma opo nas preferncias do Acrobat para desativar essa caracterstica. O X-Force no acha que a maioria das empresas exija essa caracterstica. Na maioria dos casos, os usurios finais tambm no iro exigi-la. Olhando em direo ao segundo semestre de 2010 e 2011, difcil imaginar o PDF perdendo trao com os atacantes. O X-Force espera que isso seja verdade independentemente do nmero de vulnerabilidades de PDF divulgado. Por um perodo de anos aps o lanamento, uma edio do ActiveX corrigida em 2006 continuou a ser utilizada frequentemente por atacantes de navegadores da Web. Uma chave desconhecida como a vindoura tecnologia sandbox do Acrobat poder afetar exploits desconhecidas e conhecidas.

13

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tendncias atuais para entender em 2010 > Explorao de PDF ATUAL! > Atividade de ataque de explorao de PDF

Atividade de ataque de explorao de PDF

Conforme assinalado anteriormente, a explorao de PDF atual. Os dados dos Servios de Segurana Gerenciados pela IBM (MSS) concordam. Continuamos a ver essa tcnica de explorao dominar o cenrio de ameaas. O salto mais significante na atividade de eventos associada com os ataques de PDF ocorreu em abril deste ano (conferir Figura 1). A atividade de eventos para esse ms foi quase 37 por cento maior do que a mdia para o primeiro semestre de 2010.

Esse pico pode ser atribudo larga onda de e-mails maliciosos de spam em circulao durante esse ms. As vtimas receberam um e-mail contendo um arquivo especialmente confeccionado do Adobe Acrobat (PDF) explorando o comando /Lanamento.

Os Servios de Segurana Gerenciados pela IBM (MSS) fornecem uma viso dos tipos de ataques vistos com mais frequncia que aproveitam as vulnerabilidades do cliente. O MSS oferece abrangentes solues terceirizadas para o gerenciamento de segurana em tempo real, incluindo o monitoramento de sistema, resposta emergencial e proteo 24h todos os anos. Esses servios cobrem uma variedade de plataformas e sistemas operacionais para redes, servidores, terminais e aplicativos sem fio e fornecem monitoramento de evento. O MSS fornece um olhar balanceado sobre a atividade global de ataques por toda a Internet. Um subconjunto dos dados do MSS utilizado neste relatrio para identificar tendncias de ataque.

Atividade de Ataque de Explorao de PDF, Servios de Segurana Gerenciados pela IBM 1 Trimestre 2009 - 2 Trimestre 2010

Atividade de Eventos

Figura 1: Atividade de ataque de explorao de PDF, Servios de Segurana Gerenciados pela IBM, 1 trimestre de 2009-2 trimestre de 2010

14

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tendncias atuais para entender em 2010 > Explorao de PDF ATUAL! > Atividade de ataque de explorao de PDF

E enquanto estamos no tpico do Pushdo, a IBM X-Force e o MSS observaram esse botnet ativando ataques de Negao de Servio Distribuda (DDoS) contra certos sites da Web ativados por SSL anteriormente neste ano. Desde ento, houve um aumento notvel na deteco de mensagens especialmente confeccionadas que poderiam fazer o DoS de um servidor SSL. Suspeitamos que a maioria dessa atividade possa ser atribuda ao Pushdo, que na verdade est por perto desde 2007. Trataremos com profundidade dos mitos e dos fatos sobre o botnet Zeus mais frente neste relatrio.

Atividade de Eventos

Os botnets Pushdo, tambm conhecidos como Cutwail, e Zeus tiveram uma mozinha na propagao desse malware de PDF. Os eventos indicando a transferncia de rede de arquivos PDF contendo uma ao integrada para ativar um programa executvel aumentaram durante abril de 2010. Deteces de mensagens HTTP contendo padres exibidos pelo Trojan Pushdo tambm aumentaram significativamente durante esse ms.

Atividade de Botnets Pushdo/Zeus, Servios de Segurana Gerenciados pela IBM 1 Semestre 2010

Jan

Fev

Mar

Abr

Mai

Jun

Figura 2: Atividade do botnet Pushdo/Zeus, Servios de Segurana Gerenciados pela IBM, 1 semestre de 2010

15

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tendncias atuais para entender em 2010 > Tendncias de ofuscao de cdigos maliciosos

Tendncias de ofuscao de cdigos maliciosos

O primeiro semestre de 2010 viu uma continuao nos altos nveis de ofuscao de cdigos maliciosos que j existiam em 2009. Em 2009, a maioria das ofuscaes relacionadas ao JavaScript envolvia a derivao da chave de codificao do script malicioso do prprio script, portanto quaisquer modificaes feitas para anlise produziram bobagens. Em termos de ofuscao de JavaScript, temos visto algumas trapaas interessantes. Um delas envolve derrotar as ferramentas de anlise com diferentes escopos de objetos ao colocar um ponteiro de funo em um objeto e recuper-lo de uma maneira diferente. Outra trapaa interessante envolve o bit de um cdigo de script que verifica o estado de um objeto ou de uma imagem antes de executar cdigos adicionais. Pacotes de kits de ferramentas de explorao, discutidos em mais detalhes mais tarde, continuam a favorecer PDF e Adobe Flash maliciosos, junto com arquivos Java. As ofuscaes so especificamente desenvolvidas para esses formatos. Historicamente, o cdigo de ofuscao emprestado de implantaes anteriores baseadas em JavaScript. Em 2010, est se tornando cada vez mais comum utilizar as facilidades especficas aos formatos envolvidos a fim de obstruir a anlise. No caso dos documentos em PDF, por exemplo, h muitos objetos que podem conter texto e serem acessados programaticamente mais tarde por meio de ActionScript (basicamente JavaScript). Normalmente os atacantes no empacotam o seu script malicioso em outros objetos em texto simples, ento, quando eles utilizam essa abordagem de ofuscao, quase sempre eles utilizam-na em conjunto com um algoritmo codificador talvez um deles seja visto em kits de ferramentas mais antigos.

A utilizao de Visual Basic Script (VBS) como uma abordagem de ofuscao continua a declinar. Os nossos dados indicaram a predominncia de 3,6 por cento em 2009. Para o primeiro semestre de 2010, observamos uma queda para apenas dois por cento. Temos discutido o uso do VBS ao longo dos ltimos anos, j que ele uma linguagem proprietria apenas suportada pelo Internet Explorer, e, portanto, tem sido historicamente uma abordagem de ofuscao vlida, em grande parte devido falta de projetos de processamento de VBS de fonte aberta. No entanto, enquanto ainda no claro o porqu de continuar havendo uma queda no uso do VBS, essa pode ser uma tendncia permanente. Durante o segundo semestre de 2009, observamos uma tendncia potencialmente emergente da utilizao de comentrios de cdigo para estragar a heurstica de deteco e para obscurecer visualmente o cdigo subjacente. Quando essa tcnica utilizada, vemos frequentemente uma cadeia de comentrios dentro dos parmetros de uma chamada de funo. Durante o primeiro semestre de 2010, essa tcnica no vem aparecendo regularmente. O X-Force espera que essa abordagem de ofuscao seja uma moda passageira cclica.

O que ofuscao? O significado do dicionrio para a palavra ofuscar tornar obscuro ou pouco ntido. Anuviar as coisas, se preferir. Dentro da linguagem de programao, tanto as empresas de software quanto os atacantes tentam esconder o seu trabalho. Por que as empresas de software escondem ou ofuscam os cdigos? Para proteger o capital intelectual ou proteger a lgica do programa da engenharia reversa ou para evitar adulterao. Em ltima instncia, isso similar ao modo como algum poderia utilizar um cdigo secreto para evitar que outros vissem uma mensagem particular. O motivo pelo qual os atacantes podem empregar com sucesso esses padres bem conhecidos para esconder as suas atividades porque muitos produtos de segurana no podem interpretar todas as combinaes possveis de codificao/decodificao e no detectaro o ataque. Isso d permisso para novos mtodos de ataque que devem ser constantemente revistos para fornecer deteco.

16

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tendncias atuais para entender em 2010 > Tendncias de ofuscao de cdigos maliciosos > Atividade ofuscada de ataques

Atividade ofuscada de ataques

Os altos nveis de ofuscao observados em 2009 continuam no primeiro semestre de 2010. Enquanto a atividade de ataques ofuscados para os quatro primeiros meses deste ano foi relativamente plana, houve um salto significativo em junho de 2010. O volume de eventos durante esse ms aumentou quase 1,4 vezes mais do que a mdia para o primeiro semestre de 2010.

Arquivos e Pginas da Web Ofuscados, Servios de Segurana Gerenciados pela IBM 1 Trimestre 2009 - 2 Trimestre 2010

Figura 3: Arquivos e pginas da Web ofuscados, Servios de Segurana Gerenciados pela IBM, 1 trimestre de 2009-2 trimestre de 2010

Atividade de Eventos

17

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > O cenrio de ameaas em constante mudana > Divulgaes de vulnerabilidade Relatrios do primeiro semestre de 2010 bem frente dos nmeros de 2009 > Contagem da descoberta de vulnerabilidade do primeiro semestre de 2010

O cenrio de ameaas em constante mudana

Divulgaes de vulnerabilidade Relatrios do primeiro semestre de 2010 bem frente dos nmeros de 2009 Contagem da descoberta de vulnerabilidade do primeiro semestre de 2010
O X-Force analisou e documentou 4.396 vulnerabilidades novas no primeiro semestre de 2010, um aumento de 36 por cento, em comparao ao primeiro semestre de 2009 e a contagem mais alta de novas descobertas de um primeiro semestre de ano. Em 2007, a contagem de vulnerabilidades caiu pela primeira vez, mas em 2008 houve uma nova alta de registro recorde. Embora a baixa taxa de 2009 de descobertas de vulnerabilidades tenha aparentado a indicao de uma estabilidade, o aumento dramtico no primeiro semestre deste ano coloca essa tendncia em questo. Agora parece que 2009 no foi nada mais do que uma curta calmaria na saga contnua de descobertas crescentes de vulnerabilidades. Se a tendncia do primeiro semestre do ano continuar, 2010 trar uma nova alta de registro recorde. O que significa esse aumento gigantesco das descobertas de vulnerabilidades? Uma coisa ns sabemos com certeza todos os fornecedores e outras fontes esto relatando mais vulnerabilidades do que nunca. Por exemplo, em 2009 o milw0rm divulgou mais de 2000 exploits. Eles encerraram tarde naquele ano quando o Offensive Security Exploit Database tomou o poder. At o fim de 2010, a Offensive Security divulgou mais de 2000 exploits. Essa fonte sozinha est tendendo a liberar 60 por cento a mais de exploits para o ano de 2010 do que em anos anteriores. A taxa anual de descobertas de vulnerabilidades parece agora estar flutuando entre 6.000 e 8.000 novas descobertas a cada ano. Para evitar qualquer ambiguidade em relao caracterizao de vulnerabilidades, este relatrio utiliza a seguinte definio dos Servios de Segurana da IBM:

Descobertas de Vulnerabilidades no Primeiro Semestre de Cada Ano 2000-2010

Figura 4: Descobertas de vulnerabilidades no primeiro semestre de cada ano, 2000-2010

Vulnerabilidade definida como um conjunto de condies que levam ou podem levar a uma falha explcita ou implcita da confidencialidade, integridade ou disponibilidade de um sistema de informao.

18

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > O cenrio de ameaas em constante mudana > Taxa de correo > Disponibilidade de patches e correes de vulnerabilidades

Taxa de correo
Mais da metade (55 por cento) de todas as vulnerabilidades divulgadas no primeiro semestre de 2010 no possui nenhuma correo suprida por um fornecedor ao final do perodo. Isso levemente mais alto do que os 52 por cento que foram aplicados em todo o ano de 2009.
Top 10 das Taxas de Correo e dos Fornecedores Vulnerveis no 1 semestre de 2010 Fornecedor Sun Microsoft Mozilla Apple IBM Google Linux Oracle Cisco Adobe % no corrigida 24.0% 23.2% 21.3% 12.9% 10.3% 8.6% 8.2% 6.8% 6.0% 2.9% Top 10 das Taxas de Correo e dos Fornecedores Vulnerveis em 2009 Fornecedor Microsoft HP Mozilla Apple Cisco Linux IBM Oracle Sun Adobe % no corrigida 15.8% 14.5% 12.1% 9.7% 8.9% 5.0% 4.3% 3.3% 2.6% 2.0%

Disponibilidade de patches e correes de vulnerabilidades

Os 10 principais fornecedores com a maior parte das descobertas de vulnerabilidades fizeram significativamente melhor do que essa taxa de 55 por cento, variando entre trs e 24 por cento das descobertas que no foram corrigidas. A Tabela 1 lista os 10 principais fornecedores com a maior parte das descobertas de vulnerabilidades junto com as suas taxas de correo para o primeiro semestre de 2010 e para todo o ano de 2009. O X-Force descobriu problemas com a metodologia utilizada no relatrio de final de ano de 2009, o qual resultou em descobertas falhas. No relatrio semestral de 2010, corrigimos essa metodologia, ento as frmulas que estamos utilizando agora so mais precisas. Aqui aplicamos essa nova metodologia para os nossos dados de 2009 para obter uma preciso melhorada. Essa comparao fornece alguns resultados interessantes. Embora a Sun tenha tido uma excelente taxa de correo de 2,6 por cento em 2009, durante o primeiro semestre de 2010 ela aparece no topo da taxa de no correo, com 24 por cento. A Microsoft chega em segundo lugar com 23,2 por cento de vulnerabilidades descobertas no corrigidas.

Tabela 1: Porcentagem de vulnerabilidades no corrigidas para os fornecedores com a maior parte das descobertas de 2010

Em geral, a porcentagem das vulnerabilidades no corrigidas no primeiro semestre de 2010 muito mais alta que aquelas taxas para o ano todo de 2009. Isso pode indicar uma tendncia de taxas mais baixas de correo ou pode ser apenas que as datas de corte dos nossos dados ao final de junho no reflitam a tendncia para o ano inteiro. O tempo dir.

Atualmente, a Adobe o nico fornecedor, entre os dez principais, que invadiu a categoria de menos de cinco por cento para o primeiro semestre de 2010 com uma taxa impressionante de apenas 2,9 por cento de vulnerabilidades descobertas no sendo corrigidas.

19

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > O cenrio de ameaas em constante mudana > Taxa de correo > Melhores e piores patchers

Melhores e piores patchers

A Tabela 2 mostra a porcentagem de descobertas sem patches no primeiro semestre de 2010, junto com a porcentagem de descobertas altas e crticas sem patches. Plataformas de aplicativos da Web (como WordPress e Joomla!) so excludas dessa anlise. Essa tabela classificada com aqueles fornecedores com as porcentagens mais altas de descobertas de vulnerabilidades sem patches.

Fornecedor
Todos os Fornecedores Mdia do 1 Semestre de 2010

Porcentagem de Descoberas sem Correo do 1 semestre de 2010

Porcentagem de Descobertas Altas & Crticas sem Correo no 1 Semestre de 2010

55%

71%

Sun Microsoft Mozilla Apple IBM Google Linux Oracle HP Cisco Novell Adobe

24% 23% 21% 13% 10% 9% 8% 7% 7% 6% 5% 3%

9% 11% 4% 0% 29% 33% 20% 22% 5% 2% 10% 2%

Tabela 2: Melhores e piores patchers, 1 semestre de 2010

20

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > O cenrio de ameaas em constante mudana > Matriz de recompensa potencial versus esforo de explorao

Recompensa Potencial

Com o nmero de anncios de vulnerabilidades aumentando e os fornecedores dando o seu melhor para fornecer patches e proteo para as reas problemticas, como as empresas podem priorizar os esforos dos administradores de TI para que uma cobertura adequada seja fornecida? A Matriz de Esforo de Explorao versus Recompensa Potencial fornece um modelo simples para refletir sobre a triagem de vulnerabilidade a partir da perspectiva dos attackers. No primeiro semestre de 2010, o X-Force liberou alertas e consultoria sobre as vulnerabilidades listadas na Tabela 3 que so traadas em um grfico de duas dimenses. O eixo horizontal (Esforo de Explorao a Atingir) representa o esforo por parte do attacker para implantar um ataque utilizando a vulnerabilidade em questo. O eixo vertical (Recompensa Potencial) representa o potencial de ganho que um attacker poderia atingir. Muitas das vulnerabilidades representadas pelas consultorias e alertas do X-Force agrupam-se em direo ao quadrante superior direita (sombreado em vermelho). Esse quadrante representa problemas que fornecem altas compensaes para os attackers enquanto sendo relativamente fceis de implantar. Essas vulnerabilidades tendem a receber uma grande quantia de atividade de explorao na Internet. Em contraste, a nica vulnerabilidade representada no quadrante inferior esquerda (sombreado em amarelo) atesta que essa vulnerabilidade relativamente difcil para o attacker explorar enquanto fornecendo uma recompensa potencial mnima.

BAIXO

Matriz de recompensa potencial versus esforo de explorao

Matriz de Recompensa Potencial versus Esforo de Explorao

Validao Inadequada de Objetos COM no MS Office

Centro de Apoio e Ajuda MS Help RCE

Cliente SMB RCE

Execuo de Cdigo XLSX Excel IE Uso aps Execuo de Cdigo livre

IE Execuo de Cdigo Objeto Livre

Recusa de Servio (MS-SMTP)

ALTO

DIFCIL

Esforo de Explorao a Atingir

FCIL

Figura 5: Matriz de recompensa potencial versus esforo de explorao

21

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > O cenrio de ameaas em constante mudana > Matriz de recompensa potencial versus esforo de explorao

Mais frente, na pgina 24 deste relatrio, ns discutimos como um divulgao prvia de vulnerabilidades crticas antes de o fornecedor ter fornecido uma correo pode ter um impacto na atividade do cliente e transformar-se rapidamente em problemas reais para se lidar. Discutimos com mais detalhes duas das vulnerabilidades que so listadas no quadrante superior direita dessa matriz que causaram preocupaes. Do outro lado do espectro h um problema de DDOS (Denial of Service) que causa impacto nos servios SMTP da Microsoft. Embora
Data Alerta/Aconselhamento

a ameaa de um DDOS de servios de e-mail seja significante para os operadores de rede, esse tipo de ataque fornece pouca oportunidade econmica para os attackers. Ningum nunca liberou uma explorao pblica para essa vulnerabilidade especfica, portanto ela permanece relativamente difcil de focar. A vulnerabilidade Internet Explorer Freed Object Code Execution fornece um exemplo da maneira como as vulnerabilidades podem se mover atravs da matriz, da esquerda para a direita, conforme mais informaes so

divulgadas sobre elas. Esse problema foi inicialmente descoberto pelos attackers e utilizado em ataques direcionados. O esforo para encontrar e explorar uma vulnerabilidade no corrigida, no descoberta e nica relativamente alto. Mas uma vez que o problema tenha sido divulgado publicamente, os exploits tenham sido publicamente disseminados, o problema fica absolutamente barato para que os viles consigam focar.

Nome da Vulnerabilidade Microsoft Windows Help and Support Center Could Allow Remote Code Execution A vulnerabilidade no Centro de Ajuda da Microsoft devida injeo de caracteres unicodes invlidos em um request hcp especialmente customizado. Java Web Start Uma caracterstica Java para ativar e instalar aplicativos tem uma falha de design permitindo que comandos arbitrrios possam ser passados diretamente para a Mquina Virtual Java (JVM). Improper Validation of COM Objects in Microsoft Of ce

14 de junho de 2010

Alerta 370

20 de abril de 2010

Alerta 367

08 de junho de 2010

Alerta 368

Os aplicativos do Microsoft Of ce falham em validar apropriadamente objetos COM integrados em documentos compostos. Isso permite que os attackers passem por cima das con guraes de segurana do Of ce e introduzam objetos maliciosos em arquivos do Of ce. Mediante a explorao das falhas pr-existentes nesses controles, os attackers conseguem atingir uma execuo de um cdigo arbitrrio.

09 de maro de 2010

Alerta 364

Microsoft Internet Explorer Use-after-free Code Execution O Microsoft Internet Explorer poderia permitir que um attacker remoto pudesse executar um cdigo no sistema, causado por um erro de referncia por um ponteiro invlido. Flash Player, Adobe Acrobat and Acrobat Reader Remote Code Execution Essa vulnerabilidade poderia resultar em uma execuo de um cdigo remoto se uma vtima abrir um arquivo PDF (portable document format) ou um arquivo SWF.

07 de junho de 2010

Alerta 369

Continuao da tabela na pgina 23

22

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > O cenrio de ameaas em constante mudana > Matriz de recompensa potencial versus esforo de explorao

Data

Alerta/Aconselhamento

Nome da Vulnerabilidade Microsoft Internet Explorer Freed Object Code Execution Os kits de ferramentas de explorao Web so notrios por visarem exploits de navegadores e exploits relacionadas aos navegadores, assim como essa vulnerabilidade. Essa vulnerabilidade foi relatada por ter estado envolvida nos ataques ao Google, que cou conhecido mundialmente e em pelo menos outras 20 grandes companhias. Microsoft DirectShow Remote Code Execution Essa vulnerabilidade est presente em todos os sistemas operacionais Microsoft Windows mais modernos. A explorao bem-sucedida desse problema poderia fornecer para um attacker um controle completo sobre o alvo terminal. O uso de arquivos de mdia maliciosos, como imagens e lmes, tem sido predominante nos ltimos anos. Microsoft Excel XLSX Code Execution O Microsoft Excel poderia permitir que um attacker remoto pudesse executar um cdigo arbitrrio no sistema, causado pela parsing imprprio do formato de arquivo da planilha do Excel. Microsoft Windows SMB Client Remote Code Execution

15 de janeiro de 2010

Alerta 359

13 de abril de 2010

Alerta 366

09 de maro de 2010

Alerta 363

09 de fevereiro de 2010

Alerta 360

Essa vulnerabilidade est presente em um componente principal da maioria dos sistemas operacionais Microsoft Windows mais modernos, incluindo o Windows 7. O vetor de ataque mais fcil requer que um attacker con gure um servidor SMB e incite um usurio a clicar em um link para o servidor. A explorao bem-sucedida fornece para o attacker um controle completo do sistema do usurio nal.

09 de maro de 2010

Alerta 362

Microsoft Movie Maker Buffer Over ow O Microsoft Movie Maker est vulnervel a um problema de Buffer Over ow, causado por uma veri cao imprpria ao realizar um parsing em arquivos maliciosos do tipo Movie Maker (.mswmmm). Microsoft Windows SMB Server Remote Code Execution Essa vulnerabilidade est presente em um componente principal da maioria dos sistemas operacionais Microsoft Windows mais modernos, incluindo as edies para servidores. Se customizado apropriadamente, o ataque forneceria uma execuo completa de cdigo remoto sem qualquer interao do usurio nal, embora uma negao de servio seja mais provvel de ocorrer. No entanto, primeiro o attacker deve ter os direitos de autenticao do sistema, e a conta guest no funcionaria neste cenrio. Denial of Service Conditions in Microsoft Exchange and Microsoft SMTP Service Uma exploit bem sucedida poderia resultar em um reincio do SMTP Service, e ataques repetidos poderiam interromper completamente os servios do Microsoft Exchange. Como os servios SMTP esto frequentemente expostos Internet e o e-mail geralmente considerado como uma funo crucial para os negcios, o impacto nos negcios dessa vulnerabilidade mais signi cante do que os problemas comuns de Negao de Servio (DDOS).

09 de fevereiro de 2010

Alerta 361

13 de abril de 2010

Alerta 365

Tabela 3: Alertas e recomendaes do X-Force, 1 semestre de 2010

23

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > O cenrio de ameaas em constante mudana > Matriz de recompensa potencial versus esforo de explorao > Divulgaes pblicas que causaram impacto

Divulgaes pblicas que causaram impacto

As duas vulnerabilidades mais crticas divulgadas no primeiro semestre de 2010 foram as vulnerabilidades de execuo de cdigo remoto no Java Web Start e no Centro de Ajuda e Suporte do Microsoft Windows. Ambas as vulnerabilidades foram publicamente divulgadas pelo pesquisador Tavis Ormandy antes de patches serem disponibilizados pelos respectivos fornecedores. A divulgao pblica de detalhes de exploits antes de uma correo proporciona uma oportunidade mxima para os attackers com esforo mnimo, e a rpida atividade de explorao do mundo real relacionada a essas vulnerabilidades est de acordo com a previso do nosso modelo, conforme mostrado na Figura 6. Tomando a vulnerabilidade do Java Web Start como um exemplo, em 20 de abril de 2010 a IBM Security liberou novas assinaturas para proteger os nossos clientes e anunciou essa ameaa no nosso site. Conforme os dados direita representam, vimos um efeito imediato dos clientes que implantaram essas novas assinaturas a partir de 21 de abril de 2010. No primeiro dia mais de 100 eventos de segurana foram vistos atravs do banco de dados de clientes e esses nmeros continuaram a subir no final de junho antes de comearmos a ver um lento declnio no ms de julho.

Atividade de Evento de Clientes, Servios de Segurana Gerenciados pela IBM Aps o Anncio da Vulnerabilidade do Java Web Start abril a junho do 1 semestre de 2010

Abr

Mai

Jun

Jul

Figura 6: Atividade de evento de clientes do MSS aps o anncio da vulnerabilidade do Java Web Start, abril a julho do 1 semestre de 2010

24

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > O cenrio de ameaas em constante mudana > Atualizao do Conficker o que aconteceu desde o final de 2009?

Atualizao do Conficker o que aconteceu desde o final de 2009?

O worm Conficker foi uma das maiores histrias em segurana de computadores dos ltimos anos. Decidimos que uma atualizao para este relatrio de tendncias viria a calhar, mas primeiramente vamos comear com uma pequena histria. O Conficker comeou a se espalhar pela primeira vez durante o outono de 2008. A variante inicial (denominada Conficker.A) visava uma vulnerabilidade de execuo de cdigo remoto recentemente corrigida na pilha RPC da Microsoft. O Conficker.A no era excepcionalmente bem-sucedido em relao aos surgimentos histricos de worms que visavam vulnerabilidades similares, como o worm Blaster de 2003. Isso se deve principalmente a melhorias em quo rapidamente a Internet responde s descobertas de vulnerabilidade. Perto do final de 2008, o Conficker tinha infectado apenas cem mil hosts.

No final de dezembro de 2008, uma nova verso do Conficker entrou em cena, o Conficker.B. O Conficker.B adicionou um host de vetores alternativos de propagao ao arsenal do Conficker. O Conficker.B poderia se espalhar atravs de chaves USB, compartilhamentos de arquivos e ao fazer o cracking de senhas fracas nos domnios do Windows. Esses vetores alternativos tornaram o conficker mais esperto. Ele poderia utilizar diferentes vetores para estabelecer pontos de apoio em vrias redes. A consequncia foi uma expanso massiva no nmero de hosts infectados. No segundo semestre de 2009, foi formado um grupo organizado chamado Conficker Working Group (Grupo de Trabalho do Conficker) para lidar com o Conficker. Os ns do Conficker.A e B tentam contatar 500 nomes de domnios gerados aleatoriamente todos os dias em busca de atualizaes. O Conficker Working Group (Grupo de Trabalho do Conficker) foi formado para registrar todos esses nomes de domnios para que os operadores do Conficker no pudessem

atualizar o bot. Infelizmente, uma atualizao para o Conficker conseguiu superar isso. Essa nova variante denominada Conficker.C. O Conficker.C expandiu a lista de domnios de 500 para 50.000, e adicionou um mecanismo de atualizao de P2P criptografado, o qual no confia nos domnios que o Conficker Working Group (Grupo de Trabalho do Conficker) poderia registrar. Essas novas caractersticas tornaram impossvel que o Conficker Working Group (Grupo de Trabalho do Conficker) pudesse evitar que o Conficker.C conseguisse se atualizar. Felizmente, o Conficker.C no incluiu um cdigo de propagao, portanto a infeco no tinha como se espalhar alm dos ns iniciais.

O worm Blaster comeou a se propagar na Internet em agosto de 2003. Ele explorou uma vulnerabilidade (MS03-026) na pilha RPC do Microsoft Windows que era muito parecida com a vulnerabilidade explorada pelo Conficker.A. O Blaster atingiu o pico da propagao dentro de oito horas da sua liberao inicial e infectou totalmente entre oito e dezesseis milhes de hosts na Internet. O Blaster ativou um ataque distribudo de negao de servio contra o WindowsUpdate.com, mas o impacto foi mnimo, porque a Microsoft utilizou, na verdade, um endereo diferente para hospedar as atualizaes.

25

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > O cenrio de ameaas em constante mudana > Atualizao do Conficker o que aconteceu desde o final de 2009? > A resposta do X-Force para o Conficker

A resposta do X-Force para o Conficker

Os pesquisadores do X-Force fizeram a engenharia reversa do cdigo do Conficker e desenvolveram assinaturas em nossos produtos IPS que podem detectar e bloquear o movimento de informaes P2P (peer-to-peer) do Conficker.C. A Figura 7 mostra os nveis desses movimentos de informaes deteriorando-se lentamente com o passar do tempo. No entanto, ao puxarmos os nossos dados mais recentes, notamos um ligeiro aumento na atividade de junho, conforme estvamos nos dirigindo imprensa com este relatrio. Os pesquisadores do X-Force continuaro a investigar a causa desta possvel mudana nessa atividade e mantero os nossos leitores atualizados por meio do blog Frequency X assim que compreendermos mais sobre esta atividade.
1.800.000 1.600.000 1.400.000 1.200.000 Event Activity 1.000.000 800.000 600.000 400.000 200.000 0

Atividade do Conficker, Servios de Segurana Gerenciados pela IBM 1 semestre de 2010

Jan

Fev

Mar 2010

Abr

Mai

Jun

Figure 7: Atividade do Conficker, Servios de Segurana Gerenciados pela IBM, 1 semestre de 2010

26

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > O cenrio de ameaas em constante mudana > Atualizao do Conficker o que aconteceu desde o final de 2009? > A resposta do X-Force para o Conficker

Isso consistente com os dados do Conficker.C da Darknet do X-Force (Figura 8 abaixo).

Assim como com os Sinkholes do Conficker Working Group (Grupo de Trabalho do Conficker) (Figura 9)

Figura 8: Conficker Working Group (Grupo de Trabalho do Conficker) O Conficker.C est desaparecendo lentamente, conforme os ns infectados so limpos com softwares antivrus ou simplesmente so destrudos e removidos da Internet. Como o Conficker.C no tem como infectar novos ns, ele no tem como manter a sua populao na Internet. Isso uma coisa boa, j que o Conficker Working Group (Grupo de Trabalho do Conficker) no pode evitar que os operadores de botnet possam fazer a atualizao dos ns do Conficker.C. Existem quase 200.000 ns do Conficker.C ainda solta na Internet, esperando por uma atualizao. At agora nenhuma atualizao muito difundida foi enviada.

Figura 9: Conficker Working Group (Grupo de Trabalho do Conficker) A botnet Conficker.A/B muito maior, abrangendo entre 5 e 6 milhes de ns, de acordo com o Conficker Working Group (Grupo de Trabalho do Conficker) (Figura 10 acima). Esse botnet atingiu o este limte por volta do ms de novembro de 2009 e conseguiu manter-se firme por aproximadamente nove meses. Supomos que todo dia alguns ns do Conficker.A/B morrem, pelas mesmas razes que os ns do Conficker.C morrem instalaes de antivrus e falhas de sistema. No entanto, os ns do Conficker.A/B ainda se propagam ao invadirem novos sistemas. Com o intuito de manterem as suas populaes, a taxa de infeco de novos ns

Figura 10: Conficker Working Group (Grupo de Trabalho do Conficker) deve ser a mesma que a taxa de morte de ns. interessante que essas taxas tenham se tornado to estveis ao longo de um perodo to longo.

27

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > O cenrio de ameaas em constante mudana > Atualizao do Conficker o que aconteceu desde o final de 2009? > O futuro do Conficker

Qual o futuro do Conficker?

Felizmente, no h nada que os criadores do Conficker possam fazer com a sua botnet Conficker.A/B de cinco a seis milhes de ns, porque o Conficker Working Group (Grupo de Trabalho do Conficker) ainda est registrando os 500 nomes de domnios que esses ns tentam contatar, todos os dias. Se o Conficker Working Group (Grupo de Trabalho do Conficker) abandonasse os seus esforos, os attackers seriam deixados com o controle de uma botnet bastante substancial que apresentaria uma ameaa significativa infraestrutura da Internet. Embora tenha se passado quase dois anos desde que o Conficker comeou a se propagar, ele no est morto. Ele permanece como um par de drages adormecidos, sendo que apenas um deles est contido. A maioria das lies que foram aprendidas com essa experincia no so boas. Obviamente, os worms ainda podem ser utilizados para construir botnets muito grandes na Internet moderna. Obviamente, essas botnets podem persistir por anos com um nmero muito grande de ns que poderiam ser colocados para vrios fins maliciosos. E, no caso do Conficker.C, bvio que possvel construir sistemas de comando e controle de botnets que no podem ser globalmente mitigados.

No entanto, a experincia com o Conficker e a formao do Conficker Working Group (Grupo de Trabalho do Conficker) conectou os operadores de infraestrutura e as companhias de segurana em uma rede unida. Quando o prximo grande surgimento de um worm ocorrer, essa comunidade estar pronta para responder.

28

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > O cenrio de ameaas em constante mudana > Estabelecendo tendncias no escuro qual a aparncia do movimento de informaes malicioso? > Ataques clonados de negao de servio (spoofed deny of services)

Estabelecendo tendncias no escuro qual a aparncia do trfego de informaes maliciosas?

Existem muitos recursos de dados nas pontas dos dedos dos analistas da IBM para serem utilizados com o intuito de estabelecer tendncias. Um desses recursos uma darknet, tambm conhecida como uma rede de buraco negro (black-hole network). Esse espao continuamente monitorado e todo o movimento de informaes recebido capturado em sua totalidade e armazenado para anlise e para arquivamento a longo prazo. Com uma abertura de 25.600 endereos, essa darknet parte de uma rede maior de coleta de informao. Pela prpria natureza de uma darknet, nenhum pacote jamais se origina desses endereos e nenhum trfego de informaes legtimo jamais seria destinado para esses endereos. Alm disso, esses endereos nunca foram alocados para qualquer dispositivo ativo legtimo ou servio na Internet. Elas so, no obstante, anunciadas como uma parte de uma rede /16 legtima e so totalmente passveis de serem roteadas a partir da grande Internet. Todo o movimento de informaes dentro dessa rede pode, portanto, ser presumido como malicioso.

Backscatter Mike Warfield Darknet janeiro de 2007 a maio de 2010

50.000.000 45.000.000 40.000.000 35.000.000 30.000.000 25.000.000 20.000.000 15.000.000 10.000.000 5.000.000 0

Ataques clonados de negao de servio (Spoofed denial of service attacks)

Fazendo-se uma anlise dos dados nos ltimos anos, alguns padres interessantes comeam a surgir. A primeira tendncia o aumento gradual de uma atividade conhecida como backscatter (Figura 11). O backscatter um efeito colateral de uma negao falsa de ataque a um servio. Ao enganar o endereo fonte no Protocolo de Internet (IP), dos pacotes enviados a uma vtima, o sistema da vtima fica incapaz de distinguir entre os pacotes falsos e os legtimos, e acaba respondendo aos pacotes falsos. Essas respostas de pacotes so conhecidas como backscatter.

Jan Mar Mai Jul

Set Nov Jan Mar Mai Jul Set Nov Jan Mar Mai Jul

Set Nov Jan Mar Mai

2007 Linear (Trend Line)

2008

2009

2010

Figura 11: Backscatter, Mike Warfield Darknet, janeiro de 2007 a maio de 2010

29

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > O cenrio de ameaas em constante mudana > Estabelecendo tendncias no escuro qual a aparncia do movimento de informaes malicioso? > Ataques clonados de negao de servio (spoofed deny of services)

Na darknet de Mike Warfield, cada pacote backscatter SYN-ACK recebido um indicador de que um invasor enviou um pacote falso a um porta de servios do tipo well-known na mquina que est sendo atacada, enganada por um dos endereos darknet de Mike Warfield.

Ao mesmo tempo houve um aumento gradual das atividades backscatter desde 2007, houve na verdade um enorme salto anual entre 2008 e 2009. Parte desse aumento devido a um reforo significativo da atividade em 2009o maior dos ltimos trs anos e meio. Essa tendncia maior que a mdia do ano anterior continua em 2010.

Backscatter - Mdia Mike Warfield Darknet janeiro de 2007 a maio de 2010

18.000.000 16.000.000 14.000.000 12.000.000 10.000.000 8.000.000 6.000.000 4.000.000 2.000.000 0 2007 2008 2009 2010 H1

Prximo Q2, a media no primeiro semestre de 2010 apenas um pouco maior que a mdia total de 2009. Ao observar a figura 12, acabamos revendo o aumento do volume ataques do tipo DDOS a servios na Internet de 2007, tambm em 2010. O que podemos deduzir a partir desse aumento gradual dos dados sobre backscatter e, em alguns casos, grandes aumentos das atividades de backscatter? Como a maior parte dos dados de backscatter resulta de ataques falsamente negados, somos capazes de especular que tem havido um forte aumento destes tipos de ataque desde 2007. No entanto, o backscatter est sujeito a alguns altos graus de variabilidade devido natureza do que est sendo acumulado e o que est ocorrendo. Alguns perodos intensos de backscatter so resultado de batalhas dentro e dentre os vrios campos de invasores. Durante essas batalhas, um grupo tenta bloquear ou dominar os recursos de outro. Esse bombardeio entre campos de batalha pode resultar em um aumento repentino na movimentao de backscatter e nos endereos fonte de backscatter. Isso geralmente cessa to rpido quanto inicia. Esse tipo de atividade deve ter provavelmente contribudo mais para o aumento dramtico em fevereiro de 2007 e dezembro de 2009, como visto na Figura 11.

Figure 12: Backscatter, Mike Warfield Darknet, janeiro de 2007 a maio de 2010 30

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > O cenrio de ameaas em constante mudana > Estabelecendo tendncias no escuro qual a aparncia do movimento de informaes malicioso? > Ataques de fora bruta

Ataques de fora bruta

A darknet de Mike Warfield ns d uma ideia do mundo de ataques de fora bruta. Um ataque de fora bruta, na lgica de segurana dos computadores, envolve um invasor tentando conseguir acesso autorizado a um sistema usando um grande nmero de possibilidades de senha. Alguns dos servios que so muitas vezes alvo de tentativas de ataques de fora bruta so: SSH (porta TCP 22), Telnet (porta TCP 23), RealVNC (porta TCP 5900), e Microsoft Remote Desktop (porta TCP 3389). A Figura 13 compara a mdia das atividades dessas portas desde 2008. As atividades tanto das portas RealVNC quanto das portas Microsoft Remote Desktop demonstram um lento crescimento da tendncia. Por outro lado, a SSH demonstra um lento e forte declnio, e a Telnet tem tido um forte declnio desde 2009.

2.500.000

Ataques de Fora Bruta Portas utilizadas Mdia Mike Warfield Darknet 2008-2010 H1

2.000.000

1.500.000

1.000.000

500.000

2008

2009

2010 H1

SSH

RealVNC

Telnet

MSRD

Figure 13: Ataques de Fora Bruta Portas utilizadas Mdia, Mike Warfield Darknet, 2008-2010 H1 31

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > O cenrio de ameaas em constante mudana > Estabelecendo tendncias no escuro qual a aparncia do movimento de informaes malicioso? > Ataques de fora bruta

Esses dados indicam que pode ter havido menos interesse em atingir as portas SSH e Telnet no ltimo ano e meio, ao passo que as portas RealVNC e MS Remote Desktop esto aumentando em popularidade. Isso est de alguma forma relacionado a quando as vulnerabilidades que tm esses protocolos como alvo so divulgadas? A Figura 14 mostra a atividade total de darknet com essas quatro portas nos ltimos dois anos e meio. Alguns dos aumentos podem estar relacionados divulgao de vulnerabilidades. Por exemplo, uma vulnerabilidade que tinha como alvo uma porta RealVNC no incio de maio desse ano, pode ter contribudo para o aumento visto no final do segundo trimestre. Seis vulnerabilidades que tinham como alvo a porta SSH foram descobertas em maio de 2008, e um aumento significativo observado durante esse ms no grfico de darknet. Um maior aumento das atividades SSH ocorreu em dezembro de 2008, no mesmo ms em que foi descoberta uma vulnerabilidade que tinha como alvo uma porta FreeSSHd. No entanto, todos os picos significativos nos dados podem ser explicados por uma descoberta de vulnerabilidade ocorrendo no mesmo perodo de tempo. De fato, a ltima vulnerabilidade descoberta publicamente afetando a porta Telnet foi em maro de 2005. Alm disso, um dos aumentos mais significativos da atividade, como o reforo da porta RealVNC em agosto de 2009, no ocorreu nem perto do mesmo tempo que a descoberta de uma vulnerabilidade. Essa uma indicao de que os invasores nem sempre esto usando a vulnerabilidade mais recente, ao invs disso, eles muitas vezes confiam em vulnerabilidades mais antigas para fazer suas exploits.

Ataques de Fora Bruta Contagem total Mike Warfield Darknet

de janeiro de 2008 a maio de 2010
7.500.000

6.000.000

5.000.000

4.000.000

3.000.000

2.000.000

1.000.000

Jan

Mar

Mai

Jul

Set

Nov

Jan

Mar

Mai

Jul

Set

Nov

Jan

Mar

Mai

2008 RealVNC SSH

2009 Telnet

2010 MSRD

Figure 14: Atividade de fora bruta por porta contagem total, Mike Warfield Darknet, de janeiro de 2008 a maio de 2010

32

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Crime Cibernticoquem est enganando quem? > Botnet Zeusfatos, mitos e entendendo como esses botnets operam > Mitos sobre Zeus > H somente um Botnet Zeus > Zeus um vrus ou worm > Zeus usa vulnerabilidades e exploraes para instalar-se

Crime Cibernticoquem est enganando quem?

Botnet Zeusfatos, mitos e entendendo como esses botnets operam
A famlia de botnets Zeus/Zbot tem atormentado a Internet h anos. A ameaa tem evoludo e novas verses e capacidades esto sempre sendo descobertas. De acordo com reportagens, Zeus tem sido responsvel por milhes de dlares em perdas de empresas e pessoas devido ao furto de informaes pessoais. Os operadores de Botnet Zeus geralmente infectam novos PCs fazendo o envio em massa de e-mails com documentos maliciosos s vitimas, ou direcionando as vtimas a sites dotados de contedo malicioso que instalam um Zeus bot. Uma vez instalado, Zeus ir monitorar a movimentao da Internet do PC infectado e relatar as informaes para um servidor central de Comando e Controle (C&C). As informaes coletadas dependem de como o operador configura o bot, mas em muitos casos ele coleta informaes sobre contas bancrias. Essas informaes so coletadas indiferentemente das configuraes de segurana e criptografia do PCZeus pode injetar cdigos diretamente no navegador para coletar informaes pessoais. Uma vez que as informaes da vtima forem coletadas, elas so usadas diretamente pelo operador do botnet ou vendidas a outros grupos criminosos on-line.

Mitos sobre Zeus

H muitos mitos sobre Zeus e como ele opera. Alguns deles se espalham por intermdio da mdia de massa e at mesmo atravs de mdias de TI de alto padro de conhecimento tecnolgico. Muitas vezes esses mitos e concepes erradas so fruto do mau uso da terminologia, e algumas pessoas alegam que a semntica no importa, mas ns da X-Force acreditamos que importante se apegar s definies rgidas dos termos sobre os malwares para que possamos descrever as ameaas de forma precisa.

que se espalha sem interao do usurio os worms comumente exploram vulnerabilidades de segurana para isso. O Zeus no se encaixa em nenhuma dessas definies. Ele no tem capacidade de se autoespalhar. Ele mais precisamente definido como uma porta dos fundos (d acesso ao computador de um usurio), ou cavalo de Tria (algo que no aquilo que diz ser). Quando as pessoas dizem coisas do tipo: Zeus est se espalhando, isso pode levar uma pessoa a acreditar que Zeus tem a habilidade de se auto-espalhar, mas esse no o caso.

H somente um Botnet Zeus

Isso falso. O kit de ferramentas Zeus Builder vendido on-line permite que qualquer um crie e gerencie seu prprio botnet com base em Zeus. H centenas, ou milhares de Botnets Zeus independetes e ativos a qualquer hora. O Zeus Tracker (https://zeustracker.abuse.ch/), um servio do blog Suo de segurana abuse.ch, monitora servidores ativos de comando e controle de Zeus. Enquanto este artigo era escrito, havia 644 servidores ativos de C&C de Zeus sendo rastreados, cada um possivelmente executado por diferentes grupos ou pessoas.

Zeus usa vulnerabilidades e exploraes para instalar-se

Zeus um vrus ou worm

Falso. A definio tradicional de vrus um programa que espalha e infecta mquinas de uma forma que requer algum tipo de interao do usurio: inserindo um disquete ou dispositivo USB, rodando um programa, abrindo o anexo de um e-mail, etc. Um worm como um vrus, mas

Isso tambm falso. O Zeus em si apenas uma porta dos fundos ou cavalo de Tria. No entanto, muitos grupos e pessoas que usam o Zeus para furtar informaes iro entregar o mesmo usando uma explorao. Nesse caso, o Zeus torna-se a capacidade destrutiva da explorao, mas a capacidade destrutiva em si no tem nada a ver com a explorao. Temos visto muitas vulnerabilidades usadas para entregar o Zeusexploraes em PDF, uma variedade de exploraes de controles ActiveX baseadas em Web, etc. Toda vez que uma nova vulnerabilidade for divulgada publicamente, algum ir us-la para entregar o Zeus. Isso no tem nada a ver com o Zeus em si ou com os criadores do Zeus Buildero Zeus apenas uma capacidade destrutiva muito eficaz se o objetivo for furtar informaes financeiras das vtimas. 33

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Crime Cibernticoquem est enganando quem? > Nova verso do kit de ferramentas Botnet Zeus > Mudanas no Zeus 2

Nova verso do kit de ferramentas Botnet Zeus

No incio de 2010 foi liberada uma verso atualizada do kit Botnet Zeus, chamada Zeus 2.0. A principal nova funcionalidade inclusa na nova verso foi o suporte para a interceptao de dados pessoais do Firefoxas verses mais antigas do Zeus incluam apenas a habilidade de interceptar dados do Internet Explorer. H muitas outras mudanas das verses anteriores do Zeus.

quando a chave Winlogon era usada. Na nova verso do Zeus, a chave HKCU\Software\ Microsoft\Windows\CurrentVersion\Run usada para fazer o Zeus auto-iniciar, indiferentemente do nvel de privilgio do usurio. mais fcil detectar e remover essa entrada do registro. Isso tambm faz o Zeus somente rodar para o usurio que foi inicialmente infectado. Localizao do arquivo A verso antiga do Zeus faz uma cpia de si mesma, inalterada, no diretrio Windows\System32, se o usurio tiver direitos de Administrador, ou no diretrio Application Data do usurio, caso contrrio. O arquivo geralmente era nomeado como sdra64.exe. A nova verso faz uma cpia de si mesma em um subdiretrio que recebe uma nomenclatura aleatria no diretrio Application Settings do usurio com um nome aleatrio. Movimentao de rede O protocolo usado para se comunicar com o servidor de Comando e Controle (C&C) o mesmo no nvel de rede. Os dados HTTP POST so criptografados com RC4. Uma mudana visvel na solicitao HTTP do Zeus que agora ele usa a diretriz Cache-control: no-cache no cabealho da solicitao HTTP ao invs do antigo estilo de cabealho HTTP-1.0, que continha Pragma:no-cache.

Binrios de infeco nicos o Zeus faz modificaes pequenas e aleatrias em sua cpia que caem no diretrio Application Settings do usurio. Isso significa que se apenas um instalador de Zeus for enviado a muitas pessoas, cada infeco resultante ir conter um executvel um pouco diferente. Somente um pequeno nmero de bytes modificado, mas isso suficiente para dar ao arquivo um hash SHA ou MD5 diferente. O tamanho do arquivo tambm pode ser diferente. Binrios atrelados a uma mquina especfica o Zeus agora usa uma tcnica similar de proteo contra cpia dos softwares comercias para fazer anlises do executvel instalado. Quando uma mquina infectada, o executvel removido e o arquivo armazenado no disco no ir rodar em um computador diferente. Ele faz isso verificando o volume do drive de boot GUID e o diretrio que o executvel armazenado. Se essa informao no combinar com a que est armazenada no EXE, o Zeus no roda. Isso significa que as tcnicas comuns de auto-anlise no iro funcionar.

Mudanas no Zeus 2

Estas so somente algumas mudanas que foram feitas no Zeus 2. Muitas das mudanas foram feitas para permitir que o Zeus infectasse as mquinas de forma mais eficiente em um ambiente corporativo onde os usurios no podem ter acesso Administrativo a seus computadores. Tcnica de auto-iniciar A verso antiga do Zeus se instalaria para rodar automaticamente na inicializao do sistema usando a chave de registro HKLM\Microsoft\WindowsNT\CurrentVersion\ Winlogon quando o usurio infectado tivesse privilgios de Administrador, e HKCU\Microsoft\ Windows\CurrentVersion\Run quando executado sem privilgios de Administrador. A remoo era difcil porque o Botnet Zeus monitorava continuamente a chave e prevenia qualquer modificao. Iniciar o Windows no Modo de Segurana ainda permitiria que o Zeus carregasse

34

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Crime Cibernticoquem est enganando quem? > Nova verso do kit de ferramentas Botnet Zeus > Mudanas no Zeus 2

Localizao de arquivo de configurao No Zeus 1.3 e verses anteriores, o arquivo de configurao era baixado de um servidor e armazenado como local.ds em um diretrio escondido dentro de Windows\System32 (ou no diretrio Application Data quando o usurio no tinha direitos de Administrador). O Zeus agora baixa o arquivo e armazena com um nome aleatrio no diretrio Application Settings do usurio. Como o arquivo tem um nome aleatrio, mais difcil detectar que o nome esttico usado nas verses mais antigas. Suporte SO O Zeus 2.0 agora roda no Vista e Windows 7. Verses antigas iriam simplesmente travar ao tentar rodar, mas as novas verses conseguem operar bem nos desktops de SO mais recentes da Microsoft. O Zeus 2.0 funciona tambm com as verses de 64-bits desses SOs.

Vetor de infeco inicial H pouca diferena entre as formas que as verses antigas e novas do Zeus so distribudas. Os mtodos de infeco so oportunistasquando uma nova vulnerabilidade descoberta, os criminosos cibernticos tentaro us-la para expandir seus botnets existentes do Zeus com novas infeces. Como o Zeus vendido como um kit para criao de botnet em fruns clandestinos, ele usado pelos mais diferentes grupos e indivduos e cada um pode usar um mtodo diferente para distribu-lo. Alguns dos mtodos que vimos esse ano foram e-mails com arquivos de extenso .zip contendo um botnet Zeus, e-mails com links para arquivos .zip ou .exe, e-mails com links para sites contendo pacotes de explorao que instalam o Zeus, e extenses .pdf usando o Exploit /Launch e outras vulnerabilidades. Essa no de forma alguma uma lista definitivaas pessoas sempre tero outros mtodos criativos a fim de conseguir qualquer malware , inclusive o Zeus, instalado no maior nmero possvel de mquinas com o intuito de ganhar dinheiro.

35

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Crime Cibernticoquem est enganando quem? > Protegendo-se do Zeus > Segurana para PC > Segurana para e-mail e mensagens > Indicadores de infeces

Protegendo-se do Zeus

No h nenhum passo importante a ser dado especificamente para proteger-se do Zeus. Hbitos seguros de Internet iro proteger os usurios de computadores contra infeces de qualquer malware.

Indicadores de infeces

H poucos indicadores que podem ser procurados quando se suspeita de uma infeco causada pelo Zeus: Uma entrada na chave de registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run com um nome em formato GUID que aponta a um arquivo no diretrio Application Data do usurio. Eis um exemplo de sua aparncia:

Segurana para PC

Rodar como um usurio no administrador. Embora o Zeus ainda possa infectar seu PC, o dano que pode ser causado ser minimizado e ser mais fcil limpar a infeco. Manter seu computador atualizado com as correes mais recentes. Dessa forma ser possvel limitar o nmero de malwares que podem vir a rodar no seu PC, bem como limitar os vetores de ataque disponveis. Prestar bastante ateno s atualizaes para o seu sistema operacional, softwares de escritrio e documentos, e navegadores e plugins. Instalar um antivrus e mant-lo atualizado. Embora o antivrus no proteja contra todas as ameaas de malwares, ele de grande ajuda.

Essa chave de registro est constantemente sendo escrita para cancelar qualquer tentativa de anulao. Remover a chave resulta em sua substituio imediata. possvel usar a ferramenta Process Monitor da Microsoft para identificar esse comportamento. Nesse exemplo, o processo Explorer.exe fica constantemente reescrevendo esse valor de registro:

Segurana para e-mail e mensagem

Seja bastante cauteloso quanto aos anexos de e-mails. Se o anexo for de algum conhecido, confirme se foi mesmo essa pessoa quem enviou. Verifique se o e-mail veio do endereo habitual dessa pessoa. Seja tambm bastante cauteloso com links de e-mails. Muitos ataques de phishing usam e-mails com aparncia verdadeira que contm links para sites maliciosos. Ao receber um e-mail do seu banco, use um bookmark do navegador para ir direto para o site do banco para fazer o log-in. Esse mesmo conselho relevante para mensagens recebidas de servios de Mensagem Instantnea e sites de rede social.

Fazer a reinicializao do computador no Modo de Segurana e depois apagar tanto a entrada do registro quanto o prprio arquivo EXE, apagar o Zeus, mas ainda recomendam-se reinstalar ou carregar uma nova imagem nas mquinas que foram comprometidas pelo vrus. No h como dizer o que outro malware poderia estar observando no computador, e remover o Zeus poderia somente eliminar uma parte de um sistema de malware instalado. 36

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Crime Cibernticoquem est enganando quem? > Envenenamento de ferramenta de busca BlackHat > Software de antivrus falso

Envenenamento de ferramenta de busca BlackHat

O envenenamento da ferramenta de busca BlackHat uma tcnica originalmente usada por spammers a fim de obter seus resultados de busca perto do topo das ferramentas de busca para que possam ganhar com os anncios. Ultimamente, outros criminosos cibernticos tm usado essas tcnicas a fim de espalhar infeces de malwares. Eles so muitas vezes capazes de explorar grandes eventos de notcias para levar links maliciosos ao topo das pginas dos resultados de busca em muitas ferramentas de busca. Para conseguir isso, os criminosos cibernticos monitoram tpicos de tendncias nas ferramentas de busca e sites de redes sociais. Quando um novo tpico est subindo rapidamentecomo, por exemplo, durante um grande evento de notcia, os invasores usam a tcnica do padro SEO (Search Engine Optimization), ou Otimizao para Ferramentas de Busca, para colocar os seus links para aquelas pesquisas no topo da pgina de resultados. Como esse processo bastante automatizado, s vezes esses links maliciosos aparecem no topo dos resultados da ferramenta de busca antes que haja muitas notcias verdadeiras sobre o evento principal. Os links maliciosos em si geralmente vm disfarados em algumas sries de ofuscao. Muitas vezes os links so para pginas PHP que contm os termos de busca no ttulo (uma tcnica SEO), e o cdigo que produz a pgina verifica o HTTP Referente para assegurar que tenha vindo de uma ferramenta de busca vlida. Isso feito para deter os verificadores

da Web e os analistas de malware. Uma vez verificado que o navegador veio da ferramenta de busca, outras tcnicas de redirecionamento so usadas. Pode haver cdigos JavaScript ofuscados e desordenados, arquivos Adobe Flash embutidos, ou at mesmo documentos PDF com links para outras pginas. Isso feito para que os links sejam difceis de ser seguidos usando-se ferramentas automatizadas como os verificadores de malware que tantas empresas de antivrus usam. Aps cinco ou mais nveis de redirecionamento, o navegador do usurio acaba em uma pgina que contm um kit de explorao que verifica a verso do navegador e os plugins disponveis e ento entrega uma contedo malicioso. Outras vezes, a pgina Web contm um aviso falso sobre falsos vrus descobertos no PC do usurio, implorando que o mesmo instale um antivrus falso e nocivo. Para se proteger desses tipos de ameaas, os internautas devem prestar ateno nos links que eles clicam em resultados de busca. Se o cliente estiver procurando algo especfico e acabar em uma pgina de antivrus nocivo, ele no deve instalar o software. Se o nome do domnio do link estiver totalmente fora do que se est procurando, no clique nele. Temos visto muitos sites legtimos comprometidos por hackers e depois usados em campanhas de BlackHat SEO.

Software de antivrus falso

Rogue AV, AV Falso e fraudware. H muitos nomes diferentes que se referem ao mesmo softwarealgo que tem o objetivo de ser uma soluo de antivrus, mas que na verdade no serve para nada. Esses produtos fingem fazer uma varredura no seu disco rgido e fingem descobrir um vrus, e pedem suas informaes do carto de crdito para que o cliente pague $60 ou mais para remover o vrus descoberto. claro que assim que o valor pago, a nica coisa que acontece que o AV nocivo para de relatar os vrus falsos. O AV Nocivo j existe h muitos anos. O que houve de novo em 2009 e 2010 que eles esto usando tcnicas BlackHat SEO para distribu-los. fcil fazer uma busca na Web para qualquer coisa, clicar em um link, e ir parar em uma pgina informando que h um vrus no seu PC. Ao escolher fazer o download e executar o software, seu PC fica inutilizvel. A cada segundo, outro aviso falso aparece sobre um vrus falso. Aparecem popups na sua barra de tarefas. Fica impossvel navegar at que o AV nocivo seja removido ou a taxa seja paga.

37

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Crime Cibernticoquem est enganando quem? > Spampersonificadores da Internet > Os domnios dos spammers mudam de .cn para .ru

Spampersonificadores da Internet Os domnios dos spammers mudam de .cn para .ru

A tabela seguinte mostra os cinco principais domnios mais frequentemente usados em spam por ms. Nessa tabela ns somente consideramos as URLs que de fato hospedam spam.

Posio 1. 2. 3. 4. 5.

Janeiro de 2010 com cn (China) net ru (Rssia) info

Fevereiro de 2010 ru (Rssia) com net cn (China) info

Maro de 2010 ru (Rssia) com net cn (China) biz

Abril de 2010 com ru (Rssia) net de (Alemanha) cn (China)

Maio de 2010 ru (Rssia) com de (Alemanha) net org

Junho de 2010 ru (Rssia) com de (Alemanha) net org

Tabela 4: Domnios mais comuns contendo spam, primeiro semestre de 2010 A questo que talvez seja uma surpresa : O que aconteceu com a China (.cn)? Comeando como nmero 2 no ranking em janeiro, caiu de ms a ms. Em junho de 2010 a China era a nmero 75 do ranking. Isso fica ainda mais intrigante ao se verificar os dados dos anos anteriores

38

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Crime Cibernticoquem est enganando quem? > Spampersonificadores da Internet > Os domnios dos spammers mudam de .cn para .ru

Nos ltimos anos, os domnios chineses (.cn) foram os favoritos dos spammers. No entanto, como a China deixou as regras para o registro de um domnio .cn mais difceis, (veja http://www.cnnic. net.cn/html/Dir/2009/12/12/5750.htm), a partir de meados de dezembro de 2009, isso parece ter detido os spammers, o que fez os mesmos tomar novos rumos. Antes de a NIC Chinesa fechar as portas, parecia que os spammers continuavam a usar os domnios j registrados. Aps seis semanas, a fonte parecia ter secado. Ento as atividades moveram da China para Rssia. O grfico seguinte mostra os Principais Domnios mensalmente usados pelos spammers nos ltimos 18 meses.

do primeiro trimestre de 2009 ao segundo trimestre de 2010.

2009 1 Q1 Q2 Q3 Q4 Q1 2010 Q2

Principais domnios URL de spam usados

11

16

21

26

Figura 15: Principais domnios URL de spam usados do primeiro trimestre de 2009 ao segundo trimestre de 2010. 39

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Crime Cibernticoquem est enganando quem? > Spampersonificadores da Internet > Os domnios dos spammers mudam de .cn para .ru

Em primeiro de abril de 2010, a NIC Russa tambm deixou mais difceis suas regras para o registro de novos domnios, (veja http://www.nic.ru/dns/ service/en/faq_identification.html#q9 para maiores detalhes). No entanto, os spammers continuam a escolher domnios .ru para fazer suas ofertas. Em junho de 2010, o .ru ainda era o domnio mais usado para spam. Ser interessante ver por quanto tempo isso acontece. Mas o que vir ento? Os spammers escolhero outros pases cujas reas de domnio sejam fceis de registrar? Ou eles vo preferir fornecer seus malwares por meio dos servios Web de hospedagem, sem a necessidade de registrar seus prprios domnios como outros spammers j fazem?

O que podemos fazer para melhorar esses registros de domnios? Uma boa forma de prevenir o registro de domnios em massa para hospedar spam pedir um certificado de registro das empresas ou a identidade das pessoas (incluindo as verificaes de documentos). Assim, as pessoas que tiram proveito dos domnios para spam, podem ser identificadas. A China tem pedido esse tipo de certificado desde dezembro de 2009, e isso tem dado muito certo. Na Rssia, uma nova exigncia parecida (em uso desde primeiro de abril,) parece no ter sido aplicada com tanto cuidado at o momento. O registro uma questo legal que cada pas controla de forma diferente. provvel que sempre haja algum registrador negligente que deixar as portas abertas para os spammers. Da mesma forma, o registro de domnios apenas uma forma para hospedar spam, outra forma usar hospedores de imagem ou outros hospedadores de contedos, incluindo os grandes participantes de mercado como o Google (googlegroups.com), ou a Microsoft (livefilestore.com). Veja a seo Domnios Comuns em spam de URL.

40

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Crime Cibernticoquem est enganando quem? > Spampersonificadores da Internet > A largura da banda irrelevante: o tamanho do spam em bytes aumentou significativamente

A largura da banda irrelevante: o tamanho do spam em bytes aumentou significativamente

Mdia do tamanho em bytes de spam versus a porcentagem de spam de imagem

terceiro trimestre de 2006 e quarto trimestre de 2009

A mudana mais significativa no tamanho mdio em bytes do spam aconteceu no final de 2007 e correspondeu com o declnio do spam de imagem. Em 2008, o tamanho do byte comeou a subir devagar at que a queda do McColo no final do ano. Com o reaparecimento do spam de imagem no vero de 2009, o tamanho mdio excedeu cinco quilos bytes (KB) pela primeira vez em um ano e meio. No quarto trimestre de 2009, ele declinou para menos de quatro KB. O grfico seguinte contrasta o tamanho mdio em bytes do spam com a porcentagem de spam de imagem no final de 2009.

Fechamento do McColo Aps a queda do site de hospedagem da Califrnia, McColo, em novembro de 2008, o volume de spam caiu para cerca de 25 por cento dos nveis anteriores. As mudanas de volume repentino e extremo e as mudanas de distribuio do pas observadas aps o fechamento demonstraram que o McColo era o operador base dos botnets de spam em todo o mundo. Maiores detalhes sobre a queda do McColo e suas consequncias podem ser encontrados no Relatrio de Tendncias e Riscos X-Force da Segurana da IBM de 2008 e 2009.

Figura 16: Mdia do tamanho em bytes de spam versus a porcentagem de spam de imagem, terceiro trimestre de 2006 e quarto trimestre de 2009 41

Kilobyte

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Crime Cibernticoquem est enganando quem? > Spampersonificadores da Internet > A largura da banda irrelevante: o tamanho do spam em bytes aumentou significativamente

Mdia do tamanho em bytes de spam versus a porcentagem de spam de imagem

primeiro semestre de 2010

Kilobyte

Ambos os grficos correm estritamente em paralelo. Mas isso mudou dramaticamente desde meados de maro. Dentro de poucos dias o tamanho mdio do spam dobrou sem nenhuma mudana na porcentagem de spam de imagem. Nas semanas seguintes, o tamanho mdio do byte continuou a aumentar at o incio de junho, chegando a uma mdia de tamanho de quase 10 KB. Durante junho, o tamanho declinou para cerca de 6.5 KB, ainda mais de duas vezes desde o incio desse ataque de spam de texto aleatrio. A porcentagem de spam de imagem permaneceu igual durante todo o perodo. Ao verificar o spam, podemos ver grandes fragmentos de texto escolhidos aleatoriamente da Internet. O texto aleatrio uma antiga tcnica que os spammers usam para deixar o spam com uma aparncia mais legtima principalmente para os mdulos de anlise de spam de texto. No entanto, as tcnicas recentes de antispam no tm nenhum problema com isso. Ento porque os spammers reativaram essa velha tcnica? Talvez eles esperem que as massas de textos aleatrios possam confundir os classificadores Bayesianos. Principalmente os auto treinados usados em um contexto no corporativo, assim, esses ataques de spam podem ser direcionados a esses usurios no corporativos. Mais histrias e tcnicas sobre spam esto disponveis na seo de tendncias atuais.

Figura 17: Mdia do tamanho em bytes de spam versus a porcentagem de spam de imagem, primeiro semestre de 2010

42

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Crime Cibernticoquem est enganando quem? > Phishingo usurio est caindo nessa? > Um novo foco sobre as tcnicas de phishing

Phishingo usurio est caindo nessa?

Em 2009, as instituies financeiras eram inquestionavelmente o principal alvo dos e-mails de phishing. Mais de 60 por cento dos e-mails de phishing tinham essas instituies como alvo. Nos primeiros seis meses de 2010, as instituies financeiras representavam cerca de 49,1 por cento desses alvos. Os cartes de crdito representam 27,9 por cento, os rgos de governo representam 11,2 por cento, as instituies de pagamento on-line representam 5,5 por cento, e os leiles representam 4,6 por cento de todos os e-mails de phishing. Os 1,7 por cento restantes dos alvos de phishing consistem de outras indstrias, como servios de comunicao e lojas on-line.

Alvos de phishing por indstria

primeiro semestre de 2010

Um novo foco sobre as tcnicas de phishing

As porcentagens, conforme descritas em Ameaas e Vulnerabilidades das Aplicaes Web na pgina 71, representam as maiores mudanas na distribuio dos alvos dentro do ano, e em Domnios Comuns em Spam de URL, na pgina 94, os invasores tm como foco cada vez mais o uso do bom nome de sites de confiana para baixar a guarda dos usurios finais e tentar assim ocultar das tecnologias de proteo suas tentativas.

Figura 18: Alvos de phishing por indstria, primeiro semestre de 2010

43

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Crime Cibernticoquem est enganando quem? > Phishingo usurio est caindo nessa? > Um novo foco sobre as tcnicas de phishing

Nos ltimos 18 meses, as instituies financeiras foram o alvo predominante dos e-mails de phishing. No primeiro semestre de 2009, os pagamentos on-line representaram uma poro significativa dos e-mails de phishing. No entanto, no segundo semestre do ano, vimos mais e-mails de phishing tendo como alvo os rgos de governo (principalmente um site tributrio dos EUA), cartes de crdito e leiles. Ao mesmo

primeiro trimestre de 2009 ao segundo trimestre de 2010

100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0

Alvos de phishing por indstria

tempo, a porcentagem de phishing que tinha como alvo as empresas de pagamento on-line, declinou. No primeiro trimestre de 2010, as instituies financeiras e os cartes de crdito declinaram mais uma vez, enquanto os leiles subiram. Quando atingimos o segundo trimestre de 2010, comeamos a ver todas as indstrias declinando e os phishers mais uma vez tinham como foco as instituies financeiras e os cartes de crdito, agora representando mais de 96 por cento de todos os e-mails de phishing. Por que os phishers pararam de ter os rgos de governo como alvo (nesse caso, um site tributrio dos EUA), e agora preferem os bancos e cartes de crditos? Uma razo pode ser que, aps nove meses atacando esse site tributrio, o lucro diminuiu e os phishers esto preferindo sua atividade tradicional e comprovada dos cartes de crdito e bancos.

Figura 19: Alvos de phishing por indstria, do primeiro trimestre de 2009 ao segundo trimestre de 2010 44

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Crime Cibernticoquem est enganando quem? > Phishingo usurio est caindo nessa? > Phishing financeiro tendo os bancos localizados nos EUA como alvo

Phishing financeiro tendo os bancos localizados nos EUA como alvo

Phishing financeiro por localizao geogrfica

primeiro semestre de 2010

Como as instituies financeiras continuam a ser o foco principal dos phishers, vale a pena olhar mais de perto as geografias onde essa atividade proeminente. Mais de dois teros de todos os alvos financeiros de phishing nos primeiros seis meses de 2010 esto localizados na Amrica do Norte. Os outros 32 por cento ficam na Europa.

Figura 20: Phishing financeiro por localizao geogrfica, primeiro semestre de 2010

45

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Crime Cibernticoquem est enganando quem? > Phishingo usurio est caindo nessa? > Phishing financeiro tendo os bancos localizados nos EUA como alvo

primeiro trimestre de 2009 ao segundo trimestre de 2010

Phishing financeiro por localizao geogrfica

No entanto, aps olhar de perto usando espaos de tempo menores, mais mudanas tornaram-se aparentes. O grfico seguinte mostra a mudana da localizao geogrfica que aconteceu durante 2009 e o primeiro semestre de 2010. Enquanto os trs ltimos trimestres de 2009 foram dominados por e-mails de phishing financeiro tendo como alvo bancos dos EUA (mais de 95 por cento), no primeiro trimestre de 2010 houve quase 45 por cento de e-mails de phishing financeiro tendo a Europa como alvo. No segundo trimestre a Europa declinou para 24 por cento. Ento por que os phishers financeiros se viraram para a Europa no primeiro trimestre de 2010 e depois voltaram mais uma vez para os EUA? No primeiro trimestre, a recuperao da crise financeira na Europa foi notvel. Enquanto que, no segundo trimestre, a crise oramentria na Grcia e alguns outros pases Europeus levaram crise financeira europeia. Continuaremos a discutir as tendncias mais recentes de phishing em uma seo posterior desse relatrio.

Figura 21: Phishing financeiro por localizao geogrfica, do primeiro trimestre de 2009 ao segundo trimestre de 2010

46

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tpicos futuros2010 e alm > Posicionamento do IPv6logo ficaremos sem endereos IPv4; estamos preparados? > Expanso e posicionamento do IPv6

Tpicos futuros2010 e alm

Implantao do IPv6logo ficaremos sem endereos IPv4; estamos preparados?
A Internet da antiga gerao, IPv4, continua explodindo em termos de endereos e tabelas de rotas. Agora os endereos esto indo de encontro ao limite do que est disponvel e projetado para acabar em algum momento de 2011 na autoridade para a designao de nmeros na Internet (IANA), e depois nos Registros Regionais de Internet (RIR). O fim desses endereos, no entanto, no uma parada brusca, mas sim uma aterrissagem leve com receios de comercializao de endereos como commodity e mercados negros. A recuperao dos espaos no usados tambm no a resposta, j que a fragmentao de rotas causou uma exploso das tabelas de roteadores, atingindo o limite da capacidade dos roteadores. A recuperao e realocao de endereos s agravam o congestionamento das tabelas de rotas, no proporcionando nenhum alvio significativo para o problema da exausto de endereo. Roteadores esto estourando por todos os lados. Esses dados sobre os anncios BGP de IPv4 e IPv6, de janeiro de 2007 a maio de 2010, derivam dos dados coletados do Centro de Informao de Rede do Pacfico Asitico, APNIC, e gerados pelo gerador de grficos customizados do projeto CIDR-Report, www. cider-report.org. O APNIC tem dados sobre as estatsticas do IPv6 de 2003 e dados das estatsticas do IPv4 de 1998 at a data de escrita deste documento.

Expanso e implantao do IPv6

A nova gerao de Internet, IPv6, existe h muitos anos e tem passado por uma expanso contnua no somente na Europa e sia, mas tambm nos EUA e em outros lugares. H muitos anos atrs, o nmero de redes roteveis por IPv6 passava dos nmeros dos endereos IPv4, mas com uma frao da carga do na tabela de rota. 2009 viu um maior posicionamento do IPv6 no governo e na defesa. Nas capacidades atuais, o IPv6 tem a capacidade de lidar com todos os endereos de Internet IPv4 por vrias vezes e no est indo de encontro a esses limites.

Os dois grficos seguintesIPv4 esquerda e IPv6 direitamostram o nmero de rotas anunciadas no core da Internet por meio do Border Gateway Protocol (BGP). Esses dados confirmam que o nmero de rotas para cada protocolo continua expandindo.

Figura 22: Anncios BGP de IPv4 de janeiro de 2007 a maio de 2010. Fonte: Centro de Informaes de Rede do Pacfico Asitico/projeto CIDR-Report

Figura 23: Anncios BGP de IPv6 de janeiro de 2007 a maio de 2010. Fonte: Centro de Informaes de Rede do Pacfico Asitico/projeto CIDR-Report 47

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tpicos futuros2010 e alm > Posicionamento do IPv6logo ficaremos sem endereos IPv4; estamos preparados? > Expanso e posicionamento do IPv6

No entanto, observe a classificao do eixo vertical. H atualmente mais de 300.000 rotas de IPv4 anunciadas no core da Internet, ao passo que, de alguma forma, menos de 3.000 rotas de IPv6 so anunciadas. Enquanto requerem menos de 1/100 do nmero de rotas, esses anncios esto encaminhando quase o mesmo nmero de todos endereos de rede /48 do IPv6, j que h endereos de IPv4 para nicos hosts. Todo e qualquer endereo de IPv4 anunciado poderia ter toda uma rede de IPv6 a um custo menor que 1/100 o nmero de rotas nos roteadores. Devido capacidade de cada rede IPv6, no faz nenhum sentido comparar o nmero de endereos de IPv4 mesmo com uma nica rede /48 de IPv6. Enquanto a expanso do nmero de rotas IPv4 pode parecer estar diminuindo um pouco, a expanso das rotas IPv6 e o nmero de redes anunciadas parece estar acelerando. Todos os sistemas operacionais modernos suportam IPv6 e a maioria das redes j tm IPv6, principalmente com Windows Vista, Windows 7, Mac OS/X e Linux. Infelizmente, as pessoas ainda ignoram e acham que isso algo para o futuro. Involuntariamente, a maioria das redes j implantou o IPv6 por padro. Essa uma tendncia que tem aumentado com o Vista e Windows 7 no ltimo ano, e que deve continuar. Os operadores que no sabem disso ou escolhem ignorar, correm riscos, ao passo que os mesmos esto implantados em suas infra-estruturas.

O provedor a cabo e de banda larga, Comcast, usa o IPv6 h anos para gerenciar dispositivos internamente, tendo ficado completamente sem endereos no espao de endereos privados 10.*.*.* para gerenciar seus dispositivos. Agora eles abriram um programa de teste beta, oferecendo IPv6 aos seus usurios e clientes finais. A Comcast tambm tem IPv6 Adoption Monitor para rastrear os encaminhamentos IPv6. Saiba mais no seguinte link: http://ipv6monitor.comcast.net/ A Hurricane Electric, um famoso provedor de servios de internet com conexes na Europa, sia e Austrlia, oferece uma srie de facilitadores para expanso do IPv6, bem como um servio grtis de tnel broker, www.tunnelbroker.net, oferecendo conectividade IPv6 grtis. No seu site h um relgio do fim dos dias que conta exaustivamente o espao do endereo IPv4 e o nmero de dias que restam (juntamente com outras vrias estatsticas IPv4 e IPv6). Eles tambm tm uma certificao grtis para pessoas e empresas treinar e testar seus conhecimentos e rede em IPv6. Um nmero proeminente de sites, como o Google e o YouTube, agora usa o IPv6. O Google recentemente informou que os Estados Unidos so o quinto no mundo em implantao de IPv6, muito disso o resultado dos pontos de acesso sem fio da Apple Macs, que j usam IPv6 e que conectam automaticamente atravs de um dos tneis de

transio automtica existente. O Windows Vista e o Windows 7 tambm conectam automaticamente ao mecanismo de transio Teredo quando no h um IPv6 disponvel. Enquanto as porcentagens de sistemas de cliente que preferem IPv6, quando ele est disponvel, ainda so baixas, eles continuam se expandindo. Tudo isso aponta para uma expanso continua do IPv6 nos prximos anos e essa tendncia no ir diminuir. H algum tempo atrs, o IPv6 era tido como a Prxima Gerao do protocolo IP. Poderia ser argumentado que o IPv6 agora a Gerao Atual do protocolo IP e que o IPv4 est se tornando ultrapassado.

48

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tpicos futuros2010 e alm > Virtualizaoconsolidando nos espaos virtuais e o que eles significam para nossa segurana > Tendncia de divulgao da vulnerabilidade da virtualizao

Virtualizaoconsolidando nos espaos virtuais e o que isso significa para nossa segurana

Tendncia de divulgao da vulnerabilidade da virtualizao

A tecnologia de virtualizao est crescendo em importncia. De acordo com um recente informe do IDC, 18,2 por cento de todos os novos servidores que surgiram no quarto trimestre de 2009 eram virtualizados, representando um aumento de 20 por cento sobre os 15,2 por cento que surgiram no quarto trimestre de 2008. O tamanho do mercado de virtualizao em 2009 era de US$15,2 bilhes. O aumento de interesse no tema Cloud Computing aumentou a demanda por solues de virtualizao. Por isso, cada vez mais importante entender as implicaes de segurana da tecnologia de virtualizao. Essa seo apresenta uma anlise das divulgaes de vulnerabilidade na ltima dcada para os produtos de virtualizao fornecidos pelos seguintes fornecedores: Citrix IBM Linux VServer LxCenter Microsoft Oracle Parallels RedHat VMware

De 1999 at o final de 2009, 373 vulnerabilidades que afetavam as solues de virtualizao foram divulgadas. A tendncia do nmero de divulgaes de vulnerabilidades de virtualizao vista na Figura 24. Essas divulgaes representam uma pequena frao de todas as divulgaes, tendo excedido o nvel de 1 por cento somente de 2007 a 2009.

Divulgaes de vulnerabilidade de virtualizao por relatrio anual

1999-2009

http://www.idc.com/getdoc.jsp?containerId=prUS22316610

Figura 24: Divulgaes de vulnerabilidade de virtualizao por relatrio anual, 1999-2009 49

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tpicos futuros2010 e alm > Virtualizaoconsolidando nos espaos virtuais e o que eles significam para nossa segurana > Vulnerabilidades de virtualizao por severidade

Era natural esperar que o nmero de divulgaes de vulnerabilidade aumentasse a cada ano desde que os produtos de virtualizao surgiram no mercado. Enquanto isso era verdade de 2002 a 2008, o nmero de divulgaes chegou a 100 em 2008, caiu 12 por cento para 88 vulnerabilidades em 2009, e parece estar a caminho de cair um pouco mais em 2010 (39 vulnerabilidades de virtualizao foram divulgadas no primeiro semestre de 2010). Essa tendncia de divulgao das vulnerabilidades de virtualizao sugere que os fornecedores de virtualizao tm prestado mais ateno segurana desde 2008 e/ou os pesquisadores de segurana tm colocado seus esforos em alvos mais fceis.

Severidade da vulnerabilidade de virtualizao relatada anualmente

1999-2009

Vulnerabilidades de virtualizao por severidade

Conforme ilustrado na Figura 25, as vulnerabilidades de severidade alta e mdia tm respondido por mais da metade das vulnerabilidades de virtualizao no periodo da anlises. As vulnerabilidades de alta severidade tm respondido por mais de um tero de todas as vulnerabilidades do perodo, exceto em 2006. Essas distines foram tambm verdadeiras no primeiro semestre de 2010. No total, 40 por cento das vulnerabilidades informadas so de alta severidade, 26 por cento de mdia e 34 por cento de baixa. Como as vulnerabilidades de alta severidade tendem a ser mais fceis de ser exploradas e do total controle sobre o sistema atacado, as vulnerabilidades de virtualizao representam uma ameaa significativa segurana. Isso especialmente verdade considerando-se que algumas dessas vulnerabilidades negam o isolamento normalmente provido pela virtualizao, possibilitando o acesso aos dados fora do escopo de uma mquina virtual explorada.

Figura 25: Severidade da vulnerabilidade de virtualizao relatada anualmente, 1999-2009 50

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tpicos futuros2010 e alm > Virtualizaoconsolidando nos espaos virtuais e o que eles significam para nossa segurana > Vulnerabilidades de virtualizao por local

Vulnerabilidades de virtualizao por local

importante entender qual o local das vulnerabilidades de virtualizao (ou seja, onde elas ocorrem no cdigo), como isso afeta o quo facilmente elas podem ser remediadas pelos fornecedores. A Figura 26 compara o nmero de vulnerabilidades no cdigo do fornecedor do produto de virtualizao com o nmero de vulnerabilidades nos componentes de terceiros usados nos produtos de virtualizao. Em todos os anos desde 2005 (com exceo de 2007), o nmero de vulnerabilidades nos componentes de terceiros excedeu os nmeros no cdigo do fornecedor. Essa distino tambm foi quase verdade no primeiro semestre de 2010, quando houve 20 vulnerabilidades no cdigo do fornecedor e 19 em componentes de terceiros. Isso sugere que os fornecedores de virtualizao precisam ser cautelosos ao escolher componentes de terceiros, e deveriam ter mecanismos para rapidamente atualizar esses componentes quando as vulnerabilidades forem descobertas nos mesmos. Essas estatsticas se dividem de forma diferente dos produtos de estaes de trabalho e servidores. As estaes de trabalho incluem aquelas executadas no topo de um sistema operacional host, e os produtos de servidores incluem aqueles executados no metal puro (ou seja, as funes do prprio hipervisor como um sistema operacional). As vulnerabilidades dos produtos das estaes de trabalho mostram uma tendncia oposta indicada no grfico somente 24 por cento ocorrem em componentes de terceiros. As vulnerabilidades nos produtos do servidor exibem essa tendncia a um grau extremo, nos quais 70 por cento dessas vulnerabilidades ocorrem em componentes de terceiros.

Localizao de vulnerabilidade de virtualizao relatado anualmente

1999-2009

Figura 26: Localizao de vulnerabilidade de virtualizao relatado anualmente, 1999-2009 51

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tpicos futuros2010 e alm > Virtualizaoconsolidando nos espaos virtuais e o que eles significam para nossa segurana > Vulnerabilidades de virtualizao por tipo de produto

Vulnerabilidades de virtualizao por tipo de produto

Tipo de produto de vulnerabilidade de virtualizao relatado anualmente

1999-2009

A Figura 27 mostra a tendncia das vulnerabilidades dos produtos de estaes de trabalho comparadas s vulnerabilidades dos produtos de servidor. Conforme mencionado acima, os produtos das estaes de trabalho incluem aquelas executadas no topo de um sistema operacional host, e os produtos de servidor incluem aqueles executados no metal puro (ou seja, as funes do prprio hipervisor como um sistema operacional). Todos os anos desde 2005, as vulnerabilidades nos produto de servidor de virtualizao ofuscaram as dos produtos de estaes de trabalho. Isso provavelmente reflete a maior complexidade dos produtos de servidor, bem como um foco mais forte na identificao das vulnerabilidades dos produtos de servidor.

Figura 27: Tipo de produto de vulnerabilidade de virtualizao relatado anualmente, 1999-2009

52

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tpicos futuros2010 e alm > Virtualizaoconsolidando nos espaos virtuais e o que eles significam para nossa segurana > Vulnerabilidades de virtualizao por tipo de vulnerabilidade

Vulnerabilidades de virtualizao por tipo de vulnerabilidade

Tipo

Descrio Vulnerabilidades que afetam o sistema operacional do host no qual o sistema de virtualizao est instalado sem a execuo de quaisquer mquinas virtuais. Vulnerabilidades que afetam uma mquina guest virtual sem afetar o hipervisor ou o sistema operacional host. Vulnerabilidades que permitem que um invasor escape de uma mquina guest virtual para afetar o sistema operacional host no qual o sistema de virtualizao est sendo executado. Vulnerabilidades nas aplicaes Web (aplicaes de gerenciamento tipicamente), que afetam o sistema no qual o navegador do cliente est sendo executado. Vulnerabilidades que afetam o prprio sistema de virtualizao, ou seja, todo o ambiente virtualizado, mas no oriundos das mquinas guest virtuais. Vulnerabilidades que permitem que um invasor escape de uma mquina guest virtual para afetar outras mquinas virtuais, ou o prprio hipervisor. No caso dos produtos de estao de trabalho, essas vulnerabilidades no afetam o sistema operacional host. Vulnerabilidades que afetam os consoles de gerenciamento. Vulnerabilidades que afetam um servidor Web que implementa uma aplicao Web usada pelo sistema de virtualizao.

Porcentagem de Estao de Trabalho

Porcentagem de Servidor

Respectivamente, as Figuras 28 e 29 mostram a distribuio das vulnerabilidades por tipo de vulnerabilidade para estaes de trabalho e produtos de servidor. Essa anlise inclui somente aquelas vulnerabilidades que existem no cdigo do sistema de virtualizao (as vulnerabilidades nos componentes de terceiros esto excludas). Os tipos definidos de vulnerabilidade, e a porcentagem de cada uma so somados estao de trabalho e aos produtos de servidor, conforme a Tabela 5.

Host

30,8%

0%

Guest

26,3%

15,0%

Escapar para o host

24,1%

0%

Aplicao Web

9,8%

10%

Sistema de virtualizao Escapar para o hipervisor

4,5%

37,5%

3,8%

35,0%

Console

0,8% 0%

0% 2,5%

Servidor Web

Tabela 5: Vulnerabilidades de virtualizao por tipo de vulnerabilidade para estaes de trabalho e produtos de servidor 53

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tpicos futuros2010 e alm > Virtualizaoconsolidando nos espaos virtuais e o que eles significam para nossa segurana > Vulnerabilidades de virtualizao por tipo de vulnerabilidade

Impactos dos tipos de vulnerabilidade As vulnerabilidades dos hosts, as vulnerabilidades das aplicaes Web, as vulnerabilidades dos servidores Web, e as vulnerabilidades do console no so nicas para os sistemas de virtualizao; elas so anlogas s vulnerabilidades similares nas aplicaes tradicionais. As vulnerabilidades que afetam somente os componentes remotos (aplicaes Web e vulnerabilidades de console), no impem risco maior do que nas aplicaes tradicionais. As vulnerabilidades do host e do servidor Web impem riscos para o lado do servidor que so iguais quelas impostas pelas aplicaes tradicionais, mas tambm tm o potencial de afetar mltiplas mquinas virtuais sendo executadas sob o sistema de virtualizao. As vulnerabilidades das mquinas guest, as vulnerabilidades de escapar para o hipervisor, as vulnerabilidades de escapar para o host e as vulnerabilidades do sistema de virtualizao so nicas para os sistemas de virtualizao e requerem uma anlise adicional para se entender os riscos que elas impem. Vulnerabilidades de mquinas guest As vulnerabilidades das mquinas guest so anlogas s vulnerabilidades do host em sistemas no virtualizados, porque elas afetam somente as aplicaes sendo executadas na mquina guest afetada. Nesse sentido, elas no impem um novo tipo de risco ou vulnerabilidades em um sistema que afeta somente aquele sistema. Vulnerabilidades de escapar para o host As vulnerabilidades de escape para o host impem um novo tipo de risco no sentido de que a vulnerabilidade em um sistema (uma mquina virtual guest), pode afetar a segurana de outro sistema (o host do sistema de virtualizao), sem se propagar

por uma rede. As avaliaes de vulnerabilidade executadas contra o sistema operacional host no conseguiro revelar todas as vulnerabilidades do host. Se houver uma vulnerabilidade de escape para o host, ento o perfil do risco do host inclui riscos adicionais associados s mquinas virtuais sendo executadas naquele host. Esse risco pode variar com o passar do tempo quando as imagens das mquinas virtuais esto iniciadas ou paradas. Vulnerabilidade de escapar para hypervisor As vulnerabilidades de scape-to-hypervisor, assim como as vulnerabilidades de escape para o host, envolvem o potencial de um sistema (uma mquina virtual guest), para afetar outras sem se propagar por uma rede. Nesse caso, os riscos das mquinas virtuais sendo executadas sob o mesmo hipervisor dependem das vulnerabilidades que existem em outras mquinas virtuais sob o mesmo hipervisor.

Vulnerabilidades do sistema de virtualizao Finalmente, as vulnerabilidades do sistema de virtualizao impem um tipo de risco parecido com aquele das vulnerabilidades do host seu potencial impacto estende-se alm do sistema de virtualizao em si at as mquinas guest sendo executadas sob o sistema de virtualizao. Vulnerabilidades dos produtos de estao de trabalho Considerando-se a Figura 28, que apresenta vulnerabilidades do cdigo do fornecedor de produtos de estao de trabalho, vemos que mais da metade dessas vulnerabilidades se encontram nas duas primeiras categorias, host e guest. Essas so de certa forma vulnerabilidades tradicionais j que elas no envolvem a propagao de ameaas a partir de mquinas virtuais. O que deve ser uma surpresa que mais de 25 por cento das vulnerabilidades do cdigo do fornecedor de produtos de estao de trabalho envolvem um escape de uma mquina virtual. Nesta classe de produto, escape para host seis vezes mais comum que nas vulnerabilidades de escapar para hypervisor.

Vulnerabilidade do produto de estao de trabalho por tipo de vulnerabilidade

1999-2009

Figura 28: Vulnerabilidade do produto de estao de trabalho por tipo de vulnerabilidade, 1999-2009 54

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tpicos futuros2010 e alm > Virtualizaoconsolidando nos espaos virtuais e o que eles significam para nossa segurana > Vulnerabilidades de virtualizao por tipo de vulnerabilidade

Vulnerabilidades do produto de servidor Considerando a Figura 29, vemos que a maior classe de vulnerabilidades de cdigo de fornecedor dos produtos de servidor a de vulnerabilidades do sistema de virtualizao, que soma 38 por cento. Vulnerabilidade do tipo escapar para hypervisor esto bem prximos dos 35 por cento. Estas vulnerabilidades somam mais de um tero das vulnerabilidades do cdigo do fornecedor de produtos de servidor. As vulnerabilidades do cdigo de fornecedor da classe de servidor de escapar para hypervisor tm afetado os produtos da Citrix, Parallels, RedHat e VMware. Cinco delas so vulnerabilidades de recusa de servio, e uma delas envolve a execuo de cdigo remoto.

O fato da existncia da classe de servidor de escapar para hypervisor tem implicaes sobre o posicionamento dos servidores virtuais. Dentro do mercado, tem havido especulaes de que no h vulnerabilidades do tipo escapar para hypervisor afetando os sistemas de classe de servidor, e por isso seria aceitvel executar servidores virtuais com diferentes sensibilidades de segurana no mesmo hardware fsico. Os resultados apresentados aqui mostram que este tipo de vulnerabilidade para os sistemas de classe de servidor existem de fato, levantando a questo se os servidores virtuais com diferentes nveis de sensibilidade de segurana deveriam ser executados na mesma mquina fsica. Essa observao enfatiza a importncia de assegurar que os servidores virtuais no sejam comprometidos, ressaltando a importncia do gerenciamento de correes na hora certa para os sistemas de virtualizao.

Vulnerabilidades do produto de servidor por tipo de vulnerabilidade

1999-2009

Figura 29: Vulnerabilidades do produto de servidor por tipo de vulnerabilidade, 1999-2009

55

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tpicos futuros2010 e alm > Virtualizaoconsolidando nos espaos virtuais e o que eles significam para nossa segurana > Vulnerabilidades de virtualizao por tipo de vulnerabilidade

Vulnerabilidades de virtualizao por fornecedor

A Figura 30 mostra a contribuio das divulgaes das vulnerabilidades de virtualizao por cada fornecedor, inclusas nesta anlise. No de surpreender que a maioria das vulnerabilidades tenha sido informada nos produtos VMware, dada a posio da VMware como lder de mercado. Os produtos da VMware foram responsveis por mais

de 80 por cento das vulnerabilidades informadas, enquanto os mais prximos, RedHat e Citrix, somaram cerca de 7 e 6 por cento, respectivamente. Todos os demais fornecedores (incluindo a IBM, a Microsoft e a Oracle/Sun), ficaram bem longe, somando somente cerca de 1 por cento de vulnerabilidades informadas, cada uma. Ou esses fornecedores fizeram um excelente trabalho de abordagem de segurana em seus produtos, ou suas ofertas ainda no passaram pelas verificaes minuciosas dos pesquisadores de vulnerabilidades.

Disponibilidade de exploits

Vulnerabilidades de virtualizao por fornecedor

1999-2009

O nmero de exploits contra uma classe de vulnerabilidades d uma medida da probabilidade de como essas vulnerabilidades so exploradas. Das 373 vulnerabilidades de virtualizao informadas desde 1999, 51 (14 por cento), tem exploits conhecidos. Isso comparado aos 25 por cento de vulnerabilidades em todo o banco de dados da X-Force, para a qual as exploits so conhecidas. Por isso, a incidncia de disponibilidade de exploits para as vulnerabilidades de virtualizao de cerca de metade das vulnerabilidades em geral. Isso reflete em uma maior dificuldade inerente em explorar as vulnerabilidades de explorao e/ou em um foco menor nos produtos de virtualizao por desenvolvedores de exploits. Uma classe de vulnerabilidades de particular interesse a de vulnerabilidades do tipo escapar para hypervisor em produtos de servidor, uma vez que esses tm riscos extremamente altos. Das 28 vulnerabilidades desse tipo, somente 2 tm exploits conhecidos. Enquanto isso representa uma frao muito pequena, o fato de que as exploits existem para essa classe de vulnerabilidades, motivo de preocupao.

Figura 30: Vulnerabilidades de virtualizao por fornecedor, 1999-2009

56

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo I > Tpicos futuros2010 e alm > A nuvem emergente: adoo de servios da tecnologia de nuvem para o futuro

A nuvem emergente: adoo de servios da tecnologia de nuvem para o futuro

Cloud computing representa a mais recente tecnologia dividida a chegar ao mercado, amplamente motivada pelo custo benefcio e eficincia que as empresas podem obter. Assim como em toda tecnologia emergente, a animao apresentada mostra as necessidades de ser gerenciada para assegurar que a tecnologia no apresente novos riscos e implicaes empresa. No de surpreender que muitas empresas estejam adiando a migrao para a Cloud e estejam apenas testando as guas da chamada Cloud computing. Estudos recentes mostram que as empresas que estejam procurando adotar a tecnologia acreditam que a segurana representa o maior impedimento para a Cloud , seguida de perto pela disponibilidade. Na realidade, poucas empresas adotaram totalmente o paradigma da Cloud, e a maior parte dos negcios esto hoje em transio somente naqueles elementos que oferecem pouco risco aos seus negcios. Inversamente, vemos um nmero de pequenos e mdios negcios que esto se beneficiando da Cloud, com a expectativa de que possam aumentar sua segurana como um subproduto das capacidades oferecidas pelas empresas hosts. A hesitao pela ampla adoo das tecnologias que tm a tecnologia de Cloud como base est profundamente arraigada na complexidade e variabilidade das ofertas de Cloud e suas capacidades. As empresas frequentemente comeam suas avaliaes da tecnologia de nuvem verificando os fornecedores e capacidades indi-

Aps a categorizao dos dados em termos de segurana e parmetros normativos, as empresas podem aproveitar essas informaes para determinar os atributos essenciais para a proteo de seus dados na Cloud, e podem formular critrios para a avaliao de vrios provedores de posicionamento. Um exemplo de um atributo que pode ser aplicado seria onde a empresa tem parmetros especficos de eDiscovery ou obrigaes de acordo com as quais certos dados devem ser preservados e disponibilizados por razes legais. Outras preocupaes no posicionamento de Cloud pblica so fatores tais como a estabilidade financeira das empresas hosts e as polticas de posicionamento das mesmas. Por exemplo, um cliente pode querer evitar algum fornecedor que junta os clientes em grupos, assim como questes legais que afetam um locatrio poderiam impactar outros co-locatrios. Em suma, importante que as empresas faam uma abordagem estratgica para adotar servios de Cloud. Isso significa desenvolver um forte entendimento das oportunidades e parmetros antes de iniciar a busca por um fornecedor. Se a tarefa de casa for feita antes, o cliente ficar mais bem preparado para identificar os parceiros certos para o seu negcio.

viduais. No entanto, na IBM ns insistimos que as empresas deveriam iniciar a adoo de Cloud levando em conta a carga de trabalho pretendida para a tecnologia. Avaliando Cloud com base em sua carga de trabalho, as empresas podem entender melhor os fatores necessrios para a escolha de um cenrio de posicionamento adequado da tecnologia. Por exemplo, as empresas que vem na carga de trabalho que contm dados de cuidados com a sade a possibilidade de definir suas necessidades de segurana e auditoria e traar quaisquer parmetros de comprometimento conjunto com relao s restries normativas. Esse tipo de considerao traz outros benefcios para as empresas, tais como um maior entendimento dos dados dentro de suas empresas e sua relevncia para os negcios.

57

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Viso geral > Destaques do primeiro semestre de 2010 > Vulnerabilidades > Explorao

Seo II Viso geral

A equipe de pesquisa e desenvolvimento IBM X-Force descobre, analisa, monitora e registra uma vasta gama de ameaas segurana dos computadores e suas vulnerabilidades. De acordo com as observaes da X-Force, algumas novas tendncias surgiram no primeiro semestre de 2010. Esperamos que as informaes apresentadas nesse relatrio sobre essas tendncias proporcionem fundamentos teis para o planejamento de seus esforos de segurana da informao para o restante de 2010 e alm.

Destaques do primeiro semestre de 2010 Vulnerabilidades

O nmero de novas divulgaes de vulnerabilidades no primeiro semestre do ano est no seu mais alto nvel j registrado. Isso contrasta bastante com o relatrio semestral de 2009, quando novas divulgaes de vulnerabilidades estavam no nvel mais baixo nos quatro anos anteriores. As vulnerabilidades de aplicaes Webprincipalmente cross-site scripting e injeo de SQLcontinuam a dominar o cenrio de ameaas. A Apple est mantendo os principais produtos do fornecedor com a maioria das apresentaes de divulgaes de vulnerabilidade em um total de quatro por cento de todas as divulgaes. Aps trs anos segurando os nmeros em uma posio de fornecedor com a maior parte das divulgaes de vulnerabilidade, a Microsoft caiu para o segundo lugar. A Adobe est em terceiro, devido ao aumento notvel das divulgaes de vulnerabilidades em PDF e Flash. Quanto aos sistemas operacionais, a Linux subiu para o primeiro lugar no primeiro semestre deste ano com as novas divulgaes de sistemas operacionais, seguida pela Apple em segundo lugar. Se considerarmos somente as divulgaes crticas e de sistemas operacionais maiores, a Microsoft, com 73 por cento, deixa todas as outras para trs.

Explorao
As aplicaes Web continuam a responder por 55 por cento de todas as divulgaes de vulnerabilidades. A explorao de PDF prevaleceu em 2010, com os invasores usando vrios truques de spam, phishing, e ofuscao, todos disfarados par confundir o usurio final. O Internet Explorer foi o primeiro a liderar as divulgaes de vulnerabilidade e invasores ativamente buscando mtodos para explorar essas novas vulnerabilidades.

58

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Vulnerabilidades > Contagem de divulgaes de vulnerabilidade no primeiro semestre de 2010 > Divulgaes de vulnerabilidade por severidade

Vulnerabilidades
Contagem de divulgaes de vulnerabilidade no primeiro semestre de 2010
Na Seo I Anterior deste relatrio, ns discutimos o incrvel nmero de vulnerabilidades j divulgadas no primeiro semestre de 2010. Esperamos que 2010 supere os recordes de altos nmeros de divulgao. Na seo Web do relatrio, discutimos as vulnerabilidades que afetam as aplicaes Web, que representam a metade de todas as divulgaes informadas. Logo atrs das aplicaes Web esto as aplicaes desenvolvidas para o cliente, navegadores e PDFstodas as quais continuam a demonstrar relatos recordes no primeiro semestre de 2010. Figura 31: Divulgaes de vulnerabilidades no primeiro semestre de cada ano, 2000-2010 A fim de evitar qualquer ambiguidade quanto caracterizao das vulnerabilidades, esse relatrio usa a seguinte definio de Servios de Segurana da IBM.

Divulgaes de Vulnerabilidades no Primeiro Semestre de Cada Ano 2000-2010

Divulgaes de vulnerabilidade por severidade

A vulnerabilidade definida como um conjunto de condies que levam a uma falha implcita ou explcita da confidencialidade, integridade, ou disponibilidade de um sistema de informao.

O Sistema de Pontuao de Vulnerabilidade Comum (CVSS) o padro industrial para medir a severidade e o risco da vulnerabilidade com base em frmulas, bem como nas mtricas bsicas e temporais. As mtricas bsicas so caractersticas que geralmente no se modificam com o passar do tempo como o vetor de acesso, a complexidade, a autenticao e a tendncia do impacto. As mtricas temporais so as caractersticas de certa vulnerabilidade que podem, e frequentemente se modificam, com o passar do tempo, e incluem a explorabilidade, o nvel de remediao e os relatos de confiana. As vulnerabilidades identificadas como Crticas pelas

mtricas CVSS, so vulnerabilidades que so instaladas por padro, so condutveis pela rede, no precisam de autenticao para ser acessadas, e permitem que um invasor tenha acesso ao nvel estrutural do sistema.

59

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Vulnerabilidades > Divulgaes de vulnerabilidade por severidade > Pontuaes com base no CVSS

A Tabela 6 representa o nvel de severidade associado tanto s pontuaes bsicas quanto temporais do CVSS.

Pontuaes com base no CVSS

Conforme indica a Figura 32, as vulnerabilidades Crticas mantiveram sua posio em um por cento, igual s porcentagens vistas tanto em 2008 quanto em 2009.

Pontuao CVSS

Nvel de Severidade

10 7.0-9.9 4.0-6.9 0.0-3.9

Crtico Alto Mdio Baixo

Pontuao CVSS Primeiro Semestre 2010 Crtico: 1% Baixo: 5% Mdio: 61% Alto: 33%

Tabela 6: Pontuao CVSS e Nvel de Severidade Correspondente Para maiores informaes sobre o CVSS, incluindo uma explicao completa sobre o mesmo e suas mtricas, veja o site First.org, em http://www.first.org/cvss/

Figura 32: Pontuao CVSS, primeiro semestre de 2010

60

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos

Seo II > Vulnerabilidades > Divulgaes de vulnerabilidade por severidade > Pontuaes com base no CVSS

As porcentagens relativas so bastante consistentes com os dados de 2009. Houve uma pequena queda nas vulnerabilidades baixas e mdias, com um pequeno aumento correspondente nas vulnerabilidades altas. As vulnerabilidades mdias contm as duas divulgaes mais comuns de vulnerabilidade: a injeo SQL e o cross-site scripting. As altas vulnerabilidades aumentaram para 33 por cento, comparando com os 30 por cento do primeiro semestre de 2009, e 36 por cento em 2008, como se v na Figura 33.

Pontuao CVSS, Divulgaes de Vulnerabilidade por Severidade Primeiro Semestre de 2007-2010

Mdio

Alto

Baixo

Crtico

Figura 33: Pontuao CVSS, divulgaes de vulnerabilidade por severidade, primeiro semestre de 2007-2010

61

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Vulnerabilidades > Fornecedores com a maior parte das divulgaes de vulnerabilidade

Fornecedores com a maior parte das vulnerabilidades

As divulgaes de vulnerabilidade para os top dez fornecedores no primeiro semestre de 2010 responderam por um quinto de todas as vulnerabilidades divulgadas, um pouco abaixo de 2009 (23 por cento), e uma frao acima de 2008 (19 por cento) e 2007 (18 por cento).

Porcentagem de Divulgaes de Vulnerabilidade Atribuda aos Dez Maiores Fornecedores 2009

Dez Maiores Fornecedores

Porcentagem de Divulgaes de Vulnerabilidade Atribuda aos Dez Maiores Fornecedores Primeiro Semestre 2010
Dez Maiores Fornecedores

Outros

Outros

Figura 34: Porcentagem de divulgaes de vulnerabilidade atribuda aos dez maiores fornecedores, 2009

Figura 35: Porcentagem de divulgaes de vulnerabilidade atribuda aos dez maiores fornecedores, primeiro semestre de 2010

62

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Vulnerabilidades > Fornecedores com mais divulgaes de vulnerabilidade > Mudanas na lista dos principais fornecedores

Mudanas na lista dos principais fornecedores

A equipe de banco de dados do X-Force utiliza um padro da indstria chamado CPE (Common Platform Enumeration) para designar vulnerabilidades aos fornecedores e aos produtos de fornecedores. Consulte o link http://cpe.mitre.org/ para obter mais informaes. A Tabela 7 revela os dez maiores fornecedores e suas porcentagens de vulnerabilidade referentes ao primeiro semestre de 2010, em comparao com 2009. Observe que estas estatsticas no relacionam as divulgaes de vulnerabilidade fatia de mercado, quantidade de produtos ou as linhas de cdigo que cada fornecedor produz. De forma geral, provvel que os softwares de alta distribuio e alta disponibilidade, produzidos em massa, apresentem mais divulgaes de vulnerabilidades. Algumas observaes: A Apple ocupou a primeira posio pelo segundo ano consecutivo com 4% de todas as divulgaes de vulnerabilidade. A Sun saiu da segunda posio e foi para o final da lista no ano passado uma mudana significativa durante o ano de 2009. Embora a Oracle tenha comprado a Sun em abril de 2009, suas linhas de produtos permaneceram independentes em nosso banco de dados; por isso, continuamos a list-las separadamente. A Microsoft saiu do terceiro lugar e subiu para o segundo, depois de ter permanecido no primeiro lugar no perodo de 2006 a 2008.
Posio

Primeiro Semestre de 2010

Fornecedor Frequncia de Divulgao Posio

Primeiro Semestre de 2010

Fornecedor Frequncia de Divulgao

1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Apple

4.0% 3.4%

1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Apple Sun

3.8% 3.3% 3.2%

Adobe Cisco Oracle Google IBM Mozilla Linux Sun

2.4% 1.9% 1.7% 1.6% 1.5% 1.4% 1.4% 1.1%

IBM Oracle Mozilla Linux Cisco Adobe HP

2.7% 2.2% 2.0% 1.7% 1.5% 1.4% 1.2%

Tabela 7: Fornecedores com as maiores divulgaes de vulnerabilidade A Adobe saiu da nona posio e foi para a terceira, provavelmente devido ao importante aumento nas vulnerabilidades relatadas para as bases PDF e Flash, durante o primeiro semestre de 2010. A HP saiu da lista, dando lugar para o Google, que entrou na sexta posio. 63

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Vulnerabilidades > Disponibilidade de correes e patches de vulnerabilidade > Vulnerabilidades exploradas remotamente

Disponibilidade de correes e patches de vulnerabilidade

Na seo I, discutimos sobre a disponibilidade das taxas de correo e de vulnerabilidade. Demonstramos que os maiores fornecedores esto desempenhando um trabalho slido na identificao e na correo de vulnerabilidades conhecidas; listamos tambm os melhores e os piores patchers dentre os principais fornecedores. Em seguida, abordaremos as vulnerabilidades exploradas remotamente.

Porcentagem de Vulnerabilidades Exploradas Remotamente

Vulnerabilidades exploradas remotamente

As vulnerabilidades mais importantes so aquelas que podem ser exploradas remotamente, porque no necessitam de acesso fsico a um sistema vulnervel. As vulnerabilidades remotas podem ser exploradas por meio da rede e da Internet, ao passo que as vulnerabilidades locais necessitam de acesso direto ao sistema. As vulnerabilidades que se enquadram tanto na categoria remota quanto na local podem ser exploradas por ambos os vetores. Nos ltimos quatro anos e meio, as vulnerabilidades exploradas de forma remota passaram de 85% a 94% de todas as divulgaes de vulnerabilidades. As vulnerabilidades remotas de 2009 ocupavam a marca de 92%, valor que subiu para 94% no primeiro semestre de 2010. A figura 36 mostra o slido crescimento das vulnerabilidades exploradas remotamente no decorrer dos anos da ltima dcada. Figura 36: Porcentagem de vulnerabilidades exploradas remotamente, de 2000-a primeiro semestre de 2010

64

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Vulnerabilidades > Consequncias da explorao

Consequncias da explorao
O IBM X-Force categoriza as vulnerabilidades de acordo com a consequncia da explorao. Esta consequncia essencialmente o benefcio que a explorao da vulnerabilidade oferece ao attacker. A tabela 8 descreve cada uma das consequncias

Consequncia Bypass de Segurana Manipulao de Dados Negao de Servio Manipulao de Arquivo Ganho de Acesso Ganho de Privilgios Obteno de Informaes Outros Quebrar ou interromper um servio ou sistema, de modo a derrubar uma rede

Tabela 8: Definies das consequncias de vulnerabilidades

65

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Vulnerabilidades > Consequncias da explorao

A maior consequncia da explorao vulnerabilidade continua a ser o Ganho de Acesso, que representa 52% de todas as consequncias de vulnerabilidades. Aps uma queda em 2008, o ganho de acesso volta marca de 50% em que estava em 2006 e 2007. Ganhar acesso a um sistema proporciona ao attacker o controle total do sistema afetado, o que pode permitir que ele roube dados, manipule o sistema ou execute outros ataques a partir daquele sistema. Aps alcanarem um pico de 22% em 2008, as vulnerabilidades que permitem que um attacker manipule dados representam agora 21%, o que reflete uma significativa atividade de injeo de SQL. Em termos de porcentagem, a maioria dos outros vetores de ataque permanece semelhante aos anos anteriores.

Consequncias das Vulnerabilidades em Porcentagem das Divulgaes Gerais

Obteno de Acesso Manipulao de Dados

Recusa de Servio Obter Informaes

Desvio da Segurana Obteno de Privilgios

Outros Manipulao de Arquivos

Figura 37: Consequncias das vulnerabilidades em porcentagem das divulgaes gerais, 2006-primeiro semestre de 2010

66

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Sistemas operacionais que apresentam as maiores divulgaes de vulnerabilidade > Todas as vulnerabilidades dos sistemas operacionais

Sistemas operacionais que apresentam as maiores divulgaes de vulnerabilidade

A seguinte anlise dos sistemas operacionais faz a contagem das vulnerabilidades individuais relatadas para um nico tipo de sistema operacional. Por exemplo, esta anlise compara todas as vulnerabilidades relatadas para os sistemas operacionais da Microsoft com todas as vulnerabilidades relatadas para os sistemas operacionais da Apple no mesmo perodo. Se uma mesma vulnerabilidade se aplica a vrias verses do mesmo sistema operacional naquele tipo, ela contada apenas uma vez. Por exemplo, se uma determinada CVE se aplica tanto ao Apple Mac OS X e ao Apple Mac OS X Server, ela ser contada apenas uma vez para o tipo Apple.

Pontuao CVSS, Divulgaes de Vulnerabilidade por Severidade

No primeiro semestre de 2010, o Linux apresentou a maior porcentagem de divulgaes de vulnerabilidades de sistema operacional, seguida de perto pela Apple, em segundo lugar. A Microsoft passou por uma situao saudvel em 2009 e passou para o terceiro lugar. O Sun Solaris foi para o quarto lugar com uma queda significativa em divulgaes de vulnerabilidade. O BSD manteve sua quinta posio e o IBM AIX, que era o quinto colocado em 2005, permanece fora da lista pelo segundo ano consecutivo.

Todas as vulnerabilidades dos sistemas operacionais

Figura 38: Divulgaes de vulnerabilidades que afetam sistemas operacionais, 2005-primeiro semestre de 2010

67

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Sistemas operacion ais que apresentam as maiores divulgaes de vulnerabilidade > Todas as vulnerabilidades dos sistemas operacionais > Vulnerabilidade altas e crticas dos sistemas operacionais

Vulnerabilidades altas e crticas dos sistemas operacionais

Focar em vulnerabilidades altas e crticas uma outra maneira de analisar as vulnerabilidades dos sistemas operacionais. No que concerne proteo, essas vulnerabilidades de alta severidade so normalmente as mais preocupantes, j que, com frequncia, levam a um total comprometimento remoto, que o objetivo final dos attackers. Desconsiderando-se as vulnerabilidades medianas e baixas, a maioria dos sistemas operacionais da Microsoft ocupou o primeiro lugar em 2008, 2009 e no primeiro semestre de 2010. O Linux est atualmente em segundo lugar e a Apple, em terceiro. O HP-UX fica em quarto lugar e o Sun Solaris, por pouca diferena, na quinta posio. O IBM AIX saiu da lista aps ter ocupado o quinto lugar no primeiro semestre de 2009.

Divulgaes de Vulnerabilidades Altas e Crticas que Afetam Sistemas Operacionais

Figura 39: Divulgaes de vulnerabilidades altas e crticas que afetam sistemas operacionais, 2005-primeiro semestre de 2010 68

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Sistemas operacionais que apresentam as maiores divulgaes de vulnerabilidade > Todas as vulnerabilidades dos sistemas operacionais > Vulnerabilidade altas e crticas dos sistemas operacionais > Por que no utilizamos CPE para contar os sistemas operacionais? > Mantendo as vulnerabilidades do sistema operacional em perspectiva

Os cinco primeiros sistemas operacionais listados na tabela 9 representam 98% de todas as divulgaes de vulnerabilidade de sistemas operacionais, no primeiro semestre de 2010, em comparao com os 93% referentes ao mesmo perodo do ano anterior. Os cinco primeiros sistemas operacionais representam 95% de todas as divulgaes de vulnerabilidade de sistemas operacionais no primeiro semestre.
Sistema Operacional
Porcentagem de todas as Vulnerabilidades de Sistema Operacional

Por que no utilizamos CPE para contar os sistemas operacionais?

No nosso relatrio de 2008, o X-Force apresentou uma anlise dos sistemas operacionais que possuem as maiores vulnerabilidades. Essas vulnerabilidades foram contadas de acordo com a forma com que cada fornecedor descreve sua plataforma no Common Platform Enumeration (ou CPE). Existem poucas diferenas na forma como alguns fornecedores classificam suas plataformas. Por exemplo, as vulnerabilidades do Linux que so oficialmente relatadas para a plataforma Linux (kernel) tambm podem afetar outras verses Linux, embora no sejam descritas oficialmente para essa plataforma da mesma maneira como descrita no CPE. Outras diferenas incluem a forma como os fornecedores classificam uma plataforma. A Apple, por exemplo, combina todas as verses do seu software Apple Mac OS X em uma nica plataforma e somente estabelece diferenas entre as verses do software para servidor e para desktop. A Microsoft chama cada um de seus principais sistemas operacionais de plataformas, embora algumas dessas plataformas sejam consideradas por outros indivduos como sendo verses do Windows. Ento, em vez de contar as vulnerabilidades de acordo com as chamadas plataformas no CPE, este relatrio consolida plataformas similares (todas do Windows, todas da Apple) e somente contabiliza uma vulnerabilidade uma nica vez, mesmo se ela afetar vrias verses de um mesmo tipo de sistema operacional.

Mantendo as vulnerabilidades do sistema operacional em perspectiva

As vulnerabilidades dos sistemas operacionais sempre geram grandes preocupaes. Porm, a diversa disposio dos aplicativos que rodam nos sistemas operacionais que representam o real problema, conforme deixam claro muitas estatsticas centrais deste relatrio. As divulgaes de vulnerabilidades para os sistemas operacionais representam aproximadamente 11% de todas as vulnerabilidades divulgadas para o primeiro semestre de 2010. Durante muitos anos, as empresas tm colocado em prtica operaes de correo para garantir que os sistemas operacionais sejam reparados e protegidos o quanto antes. Desta forma, embora o sistema operacional seja um software onipresente, esses fatores fazem com que ele seja muito mais resistente a um ataque bem sucedido. Outros componentes, como aplicativos da Web, navegadores da Web e documentos maliciosos, incluindo PDFs, tm ocupado a posio dos sistemas operacionais como o vetor de ameaa mais preocupante.

73% Apple Linux HP-UX Sun Solaris BSD IBM AIX Others 9% 16% 2% 0% 0% 0% 2%

27% 29% 31% 1% 4% 4% 2% 4%

Tabela 9: Sistemas operacionais que apresentam as maiores divulgaes de vulnerabilidade, primeiro semestre de 2010.

69

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Ameaas e vulnerabilidades dos aplicativos da Web

Ameaas de vulnerabilidades dos aplicativos da Web

As vulnerabilidades dos aplicativos da Web continuam a ser o tipo mais predominante de vulnerabilidade que atualmente afeta os servidores. Como porcentagem, as vulnerabilidades de aplicativos da Web subiram para a marca de 55%, contabilizando mais do que a metade de todas as divulgaes de vulnerabilidade no primeiro semestre de 2010. A quantidade de vulnerabilidades de aplicativos da Web continua a crescer a uma taxa moderadamente slida de 3.000 a 4.000 divulgaes por ano. Esses nmeros no incluem aplicativos da Web desenvolvidos para o cliente ou verses personalizadas desses pacotes padres, que tambm introduzem vulnerabilidades.

Divulgaes de Vulnerabilidades que Afetam Aplicativos da Web

Aplicativos da Web Outros

Contagem Cumulativa de Divulgaes de Vulnerabilidades de Aplicativos da Web

Figura 41: Porcentagem das divulgaes de vulnerabilidade que afetam os aplicativos da Web, primeiro semestre de 2010 Portanto, essas vulnerabilidades podem representar a ponta do iceberg da quantidade total de vulnerabilidades de aplicativo que existem na Internet.

Figura 40: Contagem cumulativa de divulgaes de vulnerabilidades de aplicativos da Web, 1998-primeiro semestre de 2010

70

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Ameaas e vulnerabilidades dos aplicativos da Web > Divulgaes de vulnerabilidades de aplicativos da Web por categorias de ataque

Divulgaes de vulnerabilidades de aplicativos da Web por categorias de ataque

As vulnerabilidades de Cross-site scripting (XSS) e de Injeo de SQL so os tipos predominantes de vulnerabilidades de segurana a afetar os aplicativos da Web no primeiro semestre de 2010. A Figura 42 ilustra o predomnio de cross-site scripting, injeo de SQL e incluso de arquivo, alm de outras divulgaes de vulnerabilidade, no decorrer do tempo; ao passo que a Tabela 10 descreve cada categoria e o impacto que elas podem causar sobre as empresas e os clientes aos quais servem. O relatrio anterior de tendncia de X-Force, publicado no final de 2009, apresentou um declnio significativo na divulgao de vulnerabilidades de Injeo de SQL, ano aps ano. poca, essa situao foi considerada como um sinal de progresso. As vulnerabilidades de Injeo de SQL tm sido o alvo de uma grande quantidade de atividade de explorao na Internet, no decorrer dos ltimos anos, e um declnio de sua divulgao pode indicar que essas vulnerabilidades esto se tornando mais difceis de encontrar que alguns dos problemas mais simples foram solucionados. Infelizmente, parece que a quantidade de divulgaes de Injeo de SQL aumentou novamente durante o primeiro semestre de 2010. Obviamente, ainda precisamos superar a questo das vulnerabilidades de aplicativos da Web.

Vulnerabilidades de Aplicativos da Web por Tcnica de Ataque

Scripting Entre Sites

Injeo SQL

Outros

Arquivo Incluso

Figura 42: Vulnerabilidades de aplicativos da Web por tcnica de ataque, 2004-primeiro semestre de 2010

71

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Ameaas e vulnerabilidades dos aplicativos da Web > Divulgaes de vulnerabilidades de aplicativos da Web por categorias de ataque > Ataques de Cross-Site Scripting em aplicativos da Web

Ataques de Cross-Site Scripting em aplicativos da Web

A seo intitulada Divulgaes de Vulnerabilidade de Aplicativos da Web por Categorias de Ataque observa que as divulgaes de vulnerabilidade de Cross-Site Scripting (XSS) foram bastante predominantes no primeiro semestre de 2010. Dados reais de MSS revelam que este tipo de vulnerabilidade de Aplicativo da Web tambm representa um mtodo favorito de explorao entre os attackers.

Ataques de Cross-Site Scripting (XSS), Servios de Segurana Gerenciados pela IBM

Figura 43: Ataques de Cross-Site Scripting (XSS), Servios de Segurana Gerenciados pela IBM, Primeiro trimestre de 2009 Segundo trimestre de 2010

Atividade de Eventos

72

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Ameaas e vulnerabilidades dos aplicativos da Web > Divulgaes de vulnerabilidades de aplicativos da Web por categorias de ataque > Ataques de Cross-Site Scripting em aplicativos da Web

Tcnica de Ataque

Descrio As vulnerabilidades de Cross-Site Scripting ocorrem quando os aplicativos da Web no validamcorretamente as informaes inseridas pelo usurio nos campos de formulrios, a sintaxe das URLs, etc. Essas vulnerabilidades permitem que os attackers insiram seus prprios scripts em uma pgina que o usurio esteja visitando, manipulando, assim, o comportamento ou a aparncia da pgina. Essas modificaes de pginas podem ser utilizadas para roubar informaes importantes, manipular o aplicativo Web de forma maliciosa ou inserir mais contedo na pgina para explorar outras vulnerabilidades. Primeiramente, o attacker precisa criar um link Web especialmente projetado e, em seguida, induzir a vtima a clicar nele (por meio de spams, fruns de usurio etc.). O usurio apresenta maior probabilidade de ser induzido a clicar no link porque o nome de domnio da URL de uma empresa conhecida ou confivel. A tentativa de ataque passa a impresso de ter sido originada em uma empresa confivel e no em um attacker que tenha comprometido a vulnerabilidade da empresa. As vulnerabilidades de Injees de SQL tambm so relacionadas validao de dados inseridos pelo usurioe elas ocorrem quando essas inseres em um campo de formulrio, por exemplo tm permisso paraincluir dinamicamente declaraes SQL que, em seguida, so executados por um banco de dados. O acessoa um banco de dados de back-end pode possibilitar que os attackers leiam, excluam e modifiquem informaes sensveis e, em alguns casos, executem cdigos arbitrrios. Alm de expor informaes confidenciais do cliente (tais como dados do carto de crdito), as vulnerabilidades de Injeo de SQL tambm podem permitir aos attackers inserir outros ataques dentro do banco de dados que podero, ento, ser utilizados para prejudicar visitantes do site. As vulnerabilidades de incluso de arquivo (tipicamente encontradas em aplicativos PHP) ocorrem quando o aplicativo recupera cdigos de uma fonte remota para serem utilizados no aplicativo local. Com frequncia, a fonte remota no tem sua autenticidade validada, o que permite que um attacker utilize o aplicativo da Web para executar cdigos maliciosos remotamente. Esta categoria inclui alguns ataques e tcnicas diversas de negao de servio, tais como passagensde diretrios, entre outros, que permitem aos attackers visualizar ou obter informaes no autorizadas, ou modificar arquivos, diretrios, utilizar informaes ou outros componentes de aplicativos da Web.

Injeo de SQL

Incluso de Arquivo

Outros

Tabela 10: Descrio das categorias mais predominantes de vulnerabilidades de aplicativos da Web

73

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Ameaas e vulnerabilidades dos aplicativos Web > As 10 principais ameaas do OWASP

As 10 principais ameaas do OWASP

Os crescentes ataques a aplicativos, servios e dados da Web esto levando as organizaes a implementar a aplicao de medidas de segurana corporativas. Esses ataques incluem cross-site scripting (XSS), ataques de injeo de SQL, ataques de negao de servio e tcnicas diversas, tais como passagem de diretrio, entre outras. Esses tipos de ataque possibilitam ao attacker visualizar ou obter informaes no autorizadas, ou modificar arquivos, diretrios, utilizar informaes e outros componentes de aplicativos da Web. As 10 principais ameaas do OWASP (Open Web Application Security Project) oferecem um documento de conscientizao no campo da segurana dos aplicativos da Web, e representam um amplo consenso a respeito das falhas mais crticas de segurana dos aplicativos Web. Dentre os membros do projeto encontra-se uma variedade de especialistas em segurana, vindos do mundo todo, que compartilharam seus conhecimentos para produzir esta lista. Vulnerabilidades, como quebra de autenticao e gerenciamento de sesso, permitem aos attackers comprometer senhas, chaves, tokens de sesso ou explorar outras falhas de implementao para assumir a identidade do usurio. A no restrio de acesso a URL, a m configurao de segurana e o redirecionamentos/encaminhamentos no validados expem os dados e informaes sensveis da empresa a usurios no autorizados. Recomendamos que as empresas avaliem os riscos e vulnerabilidades dos aplicativos e servidores externalizados e implementem controles de segurana apropriados para gerenciar a identidade e o acesso do usurio dentro e atravs da empresa.

As 10 principais ameaas do OWASP em 2010

Principais Consideraes
Principais Consideraes Separar dados no confiveis dos comandos e perguntas fornecidos pelo usurio. Quem poder enviar dados para os sistemas? Separar dados no confiveis dos navegadores ativos. Quem poder enviar dados para o sistema? Necessidade de controlar o acesso com a capacidade de invalidar o estado da sesso no momento do log-out. No sero permitidos reutilizao de tokens ou estado SSL.

A1: Falhas de Injeo

A4: Referncia de objeto direto inseguro A5: Cross-site request forgery (CSRF)

Algum usurio possui acesso parcial para modificar dados do sistema? Necessidade de controlar o acesso com a capacidade de negar, step-up ou re-autenticar o usurio. Foi realizado o hardening da segurana em todo o pacote de aplicativos? Criptografar dados sensveis. Utilizar tokens de segurana para proteger os recursos criptogrficos.

A8: Falha em restringir o acesso URL

Necessidade de controlar o acesso a URLs no portal. Algum que tenha acesso rede pode enviar uma solicitao de aplicativo? Algum consegue monitorar o movimento de informaes de rede dos seus usurios? Utilize SSL para proteger todo o movimento de informaes autenticado.

A10: Redirecionamentos e encaminhamentos no validados

Algum consegue induzir os usurios a enviar um pedido para seu site?

Tabela 11: Lista das 10 principais ameaas do OWASP em 2010

74

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Ameaas e vulnerabilidades dos aplicativos da Web > Plataformas e vulnerabilidades dos aplicativos da Web

Plataformas e vulnerabilidades dos aplicativos da Web

Contar as vulnerabilidades das plataformas de aplicativos da Web um pouco mais complexo do que contar as vulnerabilidades de aplicativos normais da Web. Ao analisarmos as plataformas de aplicativo da Web, importante distinguir entre a plataforma base e quaisquer plugins que tal plataforma utilize. Os plugins podem ou no ser fabricados pelos prprios fornecedores de aplicativos da Web. Enquanto os plugins aumentam a funcionalidade de muitas dessas plataformas de aplicativo da Web, eles podem no ser codificados to rigorosamente, ou ser atualizados to rapidamente, quanto as plataformas s quais oferecem suporte. Mais importante, os plugins concentram a vasta maioria de ocorrncia de vulnerabilidades. A Figura 44 mostra as porcentagens de todas as vulnerabilidades divulgadas no primeiro semestre de 2010 para as principais plataformas de aplicativos da Web e seus plugins. Inclumos somente as plataformas de aplicativos da Web e seus respectivos plugins que apresentam 10 ou mais vulnerabilidades divulgadas. Considerados em conjunto, as maiores plataformas de aplicativo da Web e seus plugins somam quase 14% de todas as divulgaes de vulnerabilidades divulgadas no primeiro semestre de 2010. Observe que uma clara maioria das vulnerabilidades divulgadas para plataformas de aplicativos da Web se refere a plugins (88%), em contraste com as prprias plataformas de aplicativo da Web (12%).

Porcentagem de Todas as Divulgaes de Vulnerabilidades que Afetam as Plataformas de Aplicativos da Web e seus Plugins
Plataformas:

Figura 44: Porcentagem de todas as divulgaes de vulnerabilidades que afetam as plataformas de aplicativos da Web e seus PlugIns, primeiro semestre de 2010

75

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Ameaas e vulnerabilidades dos aplicativos da Web > Plataformas e vulnerabilidades dos aplicativos da Web > O que podemos aprender com isso?

O grfico a seguir mostra as contagens relativas de vulnerabilidades divulgadas para os plugins e plataformas de aplicativos da Web.

O que podemos aprender com isso?

Embora os fornecedores de aplicativos Web possuam muito poucas vulnerabilidades atribudas ao cdigo que produzem, caso sua empresa confie profundamente nos muitos plugins fabricados para oferecer suporte a esses aplicativos, dedique algum tempo para investigar e corrigir quaisquer vulnerabilidades divulgadas. Melhor ainda, analise intensamente o produto final com um scanner de aplicativo Web antes de implement-lo, de modo a garantir que no existam vulnerabilidades no divulgadas ou introduzidas durante o processo de desenvolvimento. Garantir a segurana desses aplicativos antes de implement-los ajudar a impedir que seu site se torne um ponto de partida para attackers.

Vulnerabilidades Divulgadas para Plataformas de Aplicativos da Web versus Plugins

Plataformas

Figura 45: Vulnerabilidades divulgadas para plataformas de aplicativos da Web versus Plugins, primeiro semestre de 2010 76

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Vulnerabilidades e exploits de navegador e outros tipos de vulnerabilidades e exploits do cliente > Software predominante do cliente porcentagem das divulgaes de vulnerabilidades altas e crticas

Vulnerabilidades e exploits de navegador e outros tipos de vulnerabilidades e exploits do cliente

Software predominante do cliente porcentagem das divulgaes de vulnerabilidades altas e crticas Consultando nosso relatrio de final de ano de 2009, observamos que as vulnerabilidades do cliente caram 5% em comparao com 2008. Mesmo assim, essas vulnerabilidades, que afetam os computadores pessoais, continuaram a representar a segunda maior categoria de divulgao de vulnerabilidades, depois das vulnerabilidades de aplicativos Web, representando cerca de um quinto de todas as divulgaes de vulnerabilidade. A Figura 46 representa a atual queda das categorias alta e crtica ao analisarmos os vrios aplicativos do cliente. Embora possamos observar, na metade do ano, um declnio no grfico terminando em 2009, recordamos que esses so somente dados referentes a um perodo de seis meses. No primeiro semestre de 2010, verificamos que os leitores e editores de documentos, alm dos aplicativos multimdia, quase ultrapassaram os totais de final de ano de 2009. Os aplicativos de navegador claramente j alcanaram metade da pontuao para este ano e esperase que continuem aumentando. De acordo com a alta quantidade de divulgaes de vulnerabilidades para 2010, esperamos que essas reas alcancem nmeros recordes at o final do ano. Conforme discutido em sees anteriores, esses nmeros recordes de divulgaes esto sendo ativamente utilizados por attackers, representando graves problemas de segurana que continuaremos a observar. Os maiores tipos de vulnerabilidade que afetam os clientes continuam a se enquadrar em uma de quatro categorias principais mostradas na Tabela 12.
Categoria Navegador Editor e Leitor de Documentos Multimdia Sistema Operacional Descrio Software e plugins de navegador da Web para cliente. Software que permite aos usurios criar ou visualizar documentos, planilhas, apresentaes e outros tipos de arquivos que no sejam imagem, msica ou vdeo. Software que permite aos usurios visualizar ou criar msica e vdeo. Sistema operacional base, com exceo dos aplicativos que pertenam s outras trs categorias. Navegador Editor ou Leitor de Documentos Multimdia
Sistema Operacional

Divulgaes de Vulnerabilidades Altas e Crticas que Afetam os Aplicativos do Cliente, por Categoria de Aplicativo

Figura 46: Divulgaes de vulnerabilidades altas e crticas que afetam os aplicativos do cliente, por categoria de aplicativo, 2005-primeiro semestre de 2010 77

Tabela 12: Principais categorias de vulnerabilidades referentes s divulgaes de vulnerabilidades do cliente

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Vulnerabilidades e exploits de navegador e outros tipos de vulnerabilidades e exploits do cliente > Software predominante do cliente porcentagem das divulgaes de vulnerabilidades altas e crticas > Vulnerabilidades de navegador Internet Explorer dispara na frente em 2010 Vulnerabilidades de navegador Internet Explorer dispara na frente em 2010

Vulnerabilidades de navegador Internet Explorer dispara na frente em 2010

A maior categoria de vulnerabilidades do cliente continua sendo a categoria de navegador. Esta categoria inclui no somente os navegadores, mas tambm os muitos plugins que podem ser instalados nos navegadores. Continuamos a observar um declnio nos controles ActiveX afetados. Como seria de se esperar do aumento das divulgaes este ano, tanto o Mozilla Firefox quanto o Microsoft Internet Explorer vm apresentando aumento nos nmeros do primeiro semestre de 2010. Neste ponto, ambos os navegadores esto relativamente equiparados no que concerne s divulgaes, embora atualmente parea que o Internet Explorer j tenha facilmente alcanado dois teros dos nmeros totais de 2009 para a categoria navegador.

Divulgaes de vulnerabilidades altas e crticas que afetam softwares relacionados ao navegador, 2005-primeiro semestre de 2010

Figura 47: Divulgaes de vulnerabilidades altas e crticas que afetam softwares relacionados ao navegador, 2005-primeiro semestre de 2010 78

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Vulnerabilidades e exploits de navegador e outros tipos de vulnerabilidades e exploits do cliente > Software predominante do cliente porcentagem das divulgaes de vulnerabilidades altas e crticas > Vulnerabilidades de formato do documento

Vulnerabilidades de formato do documento

Quando se trata das vulnerabilidades de formato do documento, dois tipos predominantes so evidentes: documentos do Office e documentos PDF (Portable Document Format). Os documentos PDF, agora neste ponto da metade do ano, representam aproximadamente 49% dos totais de final de ano de 2009. Podemos observar na Figura 48, abaixo, a tendncia atual na qual as vulnerabilidades de documentos Office esto em declnio e as de documento PDF continuam a crescer.

Divulgaes das vulnerabilidades referentes aos problemas de formato do documento, 2005-primeiro semestre de 2010

Quantia de Divulgaes

Ao analisarmos este cenrio de ameaa, relatamos que o PDF tem se tornado a arma escolhida pelos attackers. Nossos sensores detectaram uma rodada de ataques em fevereiro deste ano envolvendo e-mails do tipo spam, que continham anexos de arquivos PDF disfarados para explorar as vulnerabilidades do Acrobat e instalar malwares. Nossos pesquisadores publicaram no blog informaes sobre os ataques que combinam mtodos diferentes de furar os bloqueios dos programas antivrus e filtros antispam. Em abril, nossos sensores detectaram um outro disparo significativo dos spams com PDFs maliciosos. Desta vez, os ataques utilizaram o comando de iniciao do Javascript para instalar o botnet Zeus nos computadores das vtimas. Ns recordamos aos especialistas em seguranas a necessidade de estar vigilantes sobre esses mtodos e educar seus usurios a respeito das ameaas impostas por esses documentos.

Formato de Documento Porttil (PDF)

Formatos do Office

Figura 48: Divulgaes das vulnerabilidades referentes aos problemas de formato do documento, 2005-primeiro semestre de 2010.

79

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Vulnerabilidades e exploits de navegador e outros tipos de vulnerabilidades e exploits do cliente > Tendncias de explorao do cliente > Tendncias de explorao de navegador da Web

Tendncias de explorao do cliente

O X-Force monitora os exploits de clientes atravs de vrios projetos e servios. Servios de Segurana Gerenciados pela IBM (MSS), responsvel por monitorar exploits relacionados no somente aos terminais, mas tambm aos servidores (incluindo servidores da Web) e infraestrutura geral de rede. Esses dados rastreiam exploits inseridos na Web, alm de outros vetores, como e-mails e mensagens instantneas. Nossos crawlers Whiro, que combinam dados de alerta do MSS, nosso C-Force e anlise independente para monitorar exploits a partir de fontes com base na Web. O Whiro utiliza tecnologia especializada para identificar exploits usados at mesmo nos casos mais disfarados, incluindo onde kits de ferramentas tentam vrios exploits. Nosso time de Contedo busca e categoriza a Web, de forma independente, por meio de crawling, descobertas independentes e feeds fornecidos pelo MSS e Whiro.

Tendncias de explorao de navegador da Web

O X-Force continua a rastrear o aumento de exploits de navegador da Web por meio de seus crawlers Whiro e anlises dos dados de alerta operacional dos Servios de Segurana Gerenciados pela IBM (MSS). Quando decidimos produzir uma estatstica semelhante para a prevalncia de kits de ferramentas de exploits da Web, aprendemos que isso seria ao mesmo tempo possvel e complicado de se executar devido s similaridades dos cdigos e aos roubos de cdigos. Com o passar do tempo, tambm estamos rastreando as tendncias nas tcnicas de disfarce utilizadas pelos exploits individuais e pelos exploit kits de ferramentas para navegador da Web. Continuamos a investir em novas tecnologias para melhorar os resultados neste domnio.

Da mesma forma como sites solitrios de exploits de navegador da Web em circulao esto deixando de existir e os kits de ferramentas e grupos de exploits esto tomando a frente da explorao de navegador da Web, ns estamos enxergando algumas novas possibilidades perturbadoras na antianlise. Os kits de exploits em circulao esto negando servir o contedo mais de uma vez para um determinado endereo de IP. Esse recurso oferece dois benefcios prticos para o attacker: 1) a infeco ocorre apenas uma vez, para evitar uma potencial desestabilizao da vtima e 2) as anlises so dificultadas. Essa abordagem de filtro no exatamente nova, nem tampouco o a verificao do referente, embora esta ltima esteja reaparecendo. Ao bloquear os pedidos sem um referente vlido, tal como a URL de uma pgina da Web comprometida ou um anncio malicioso, somente o compartilhamento de URLs maliciosas no suficiente para se obter amostra(s) maliciosa(s).

80

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Vulnerabilidades e exploits de navegador e outros tipos de vulnerabilidades e exploits do cliente > Tendncias de explorao de navegador da Web > Exploits mais populares (primeiro semestre de 2010) > Kits de ferramentas de exploits mais populares (primeiro semestre de 2010)

Exploits mais populares (primeiro semestre de 2010)

1. CVE-2007-5659, PDF Collab.CollectEmailInfo 2. CVE-2009-0927, PDF getIcon 3. CVE-2008-2992, PDF Util.Printf 4. CVE-2007-0071, SWF Scene Count 5. CVE-2008-5353, Java Object Deserialization

A predominncia continuada do Gumblar o kit de ferramentas/grupo de exploits ainda est ajudando a garantir as primeiras posies para os produtos Adobe, mas os exploits de PDF e Flash tambm so extremamente populares em muitos outros kits de ferramentas de exploits. Uma mudana interessante no segundo semestre de 2009 foi a sada do ActiveX das cinco primeiras posies da lista, pelo menos por enquanto. Em nosso relatrio de final de ano de 2009, projetamos que os produtos Adobe continuariam a ser os maiores participantes dessa lista, sem especificar se a lista seria dominada por PDF ou Flash. A julgar pelo que pudemos observar at agora, em 2010, seguro afirmar que este ano ser dominado pela explorao de PDF. Alm disso, uma antiga vulnerabilidade Java entrou para a lista dos cinco primeiros, ocupando a ltima posio. Considerando-se que Java, PDF e Flash so consistentes entre diferentes ambientes de navegador, fica claro que os attackers esto interessados em atacar usurios

de navegadores que no sejam Internet Explorer, sem precisar investir tempo e dinheiro em ataques a navegadores especficos. Os responsveis pelos ataques aproveitaram ainda mais os ciclos de correo de fornecedores, que haviam diminudo com o passar do tempo, para os principais fornecedores de navegador, mas no necessariamente para fornecedores de plugins para navegador e plugins cross-browser. Em 2010, o X-Force prev que os fornecedores de plugins para navegador comearo a abordar ataques de dia zero muito mais rapidamente do que no passado. Contudo, mesmo com as correes chegando mais rpido ao mercado, de nada adiantaro, se os usurios dos computadores no utilizarem os recursos de atualizao automtica, notificaes ou se no gerenciarem rigorosamente de forma manual o status de seus patches.

predominncia se baseia em investigaes aplicadas em contedo malicioso cujo disfarce foi revelado. Enquanto o X-Force geralmente tem confiana nesses resultados, ns admitimos que nosso crawler apresenta alguma dificuldade com os kits Neosploit mais recentes. Estimamos que o Neosploit deva se localizar entre Eleonore e Phoenix, fazendo com que o JustExploit saia da lista. Ao revermos nossos resultados semestrais e anuais de 2009 para os kits de ferramentas de exploit mais populares, observamos que o Gumblar continua a dominar os resultados. Um novo kit, Fragus, subiu rapidamente para o segundo lugar, enquanto Eleonore subiu do quinto lugar, no segundo semestre de 2009, para o terceiro lugar durante o primeiro semestre de 2010. O Phoenix continua fazendo parte da nossa lista, embora ele venha sendo trazido pelos resultados anuais e no pelos resultados semestrais. Os leitores mais atentos dos nossos relatrios de tendncias podero observar que existe uma considervel rotatividade em termos dos kits de ferramentas preferidos pelos atacantes, no decorrer do tempo. Portanto, tentar fazer uma previso de resultados anuais para 2010 algo complicado. O X-Force acredita que o Gumblar ainda ser o kit de ferramentas nmero um e, conforme mencionado anteriormente, tambm espera que o JustExploit deixe de fazer parte da lista. Entretanto, os outros trs podem continuar com grande fora, ou ento um ou dois deles podero desaparecer, dependendo dos kits de ferramentas que possam surgir. 81

Kits de ferramentas de exploits mais populares (primeiro semestre de 2010)

1. Gumblar 2. Fragus 3. Eleonore 4. Phoenix 5. JustExploit Tabular a predominncia dos kits de exploits envolve muitos desafios. O duradouro problema da similaridade de cdigos e da ramificao de kits com um nico disfarce dificulta essa tarefa. Nossa abordagem na determinao da

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Tendncias de contedo da Web > Metodologia de anlise

Tendncias de contedo da Web

Esta seo resume a quantidade e a distribuio de contedo ruim da Web, que normalmente no bem-vindo pelas empresas, com base em princpios sociais e polticas corporativas. O contedo da Internet indesejado ou ruim associado a trs tipos de sites da Web: as categorias de filtro de Web da IBM que correspondem a esses tipos de sites. As categorias de filtro da Web so definidas em detalhes no endereo: http://www-935.ibm.com/services/us/index.wss/ detail/iss/a1029077?cntxt=a1027244 Esta seo oferece anlises para: A porcentagem e a distribuio do contedo da Web que considerado ruim ou indesejado O aumento na quantidade de proxies annimos As pginas da Web com links para URLs com malwares
Tipo de site Adulto Descrio & Categoria de Filtro da Web Pornografia Ertico / Sexo Radicalismo Poltico / dio / Discriminao Seitas Proxies Annimos Crime Eletrnico / Invases de hacker Atividades Ilegais Drogas Ilcitas Malware Violncia / Radicalismos Warez / Pirataria de Software

Metodologia de anlise
O X-Force captura informaes sobre a distribuio de contedo na Internet, contando os servidores categorizados no banco de dados de filtro da Web das Solues de Segurana da IBM. A contagem de servidores um mtodo aceito para determinar a distribuio do contedo, oferecendo uma avaliao mais realista. Ao utilizarmos outras metodologias como a contagem de pginas e subpginas da Web os resultados podem variar. O centro de dados de Contedo IBM revisa e analisa constantemente os novos dados de contedo da Web. O centro de dados de Contedo IBM analisa 150 milhes de novas pginas da Web a cada ms e j analisou 13 bilhes de pginas e imagens desde 1999. O Banco de Dados IBM de Filtro da Web possui 68 categorias de filtro e 65 milhes de entradas com 150.000 entradas novas ou atualizadas acrescentadas por dia.

Desvios Sociais

Criminoso

Tabela 13: Categorias de filtro da Web associadas a contedo indesejado

82

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Tendncias de contedo da Web > Porcentagem de contedo indesejado da Internet

Porcentagem de contedo indesejado da Internet

Aproximadamente 7,2% da Internet atualmente possui contedo indesejado, tal como pginas pornogrficas ou criminosas.

Distribuio do contedo da Internet primeiro semestre de 2010

Adulto: Outros:

Criminoso:

Desvio Social:

Figura 49: Distribuio do contedo da Internet, primeiro semestre de 2010

83

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Tendncias de contedo da Web > Aumento de proxies annimos

Aumento de proxies annimos

Conforme a Internet se torna uma parte progressivamente mais integrante de nossas vidas, no somente em casa, mas tambm na escola e no trabalho, as empresas responsveis por manter ambientes aceitveis sentem cada vez mais a necessidade de controlar o local onde as pessoas podem navegar nessa rede pblica. Uma dessas formas de controle um sistema de filtragem de contedo que impede o acesso a pginas inaceitveis ou inapropriadas. Algumas pessoas tentam utilizar proxies annimos (tambm chamados de Web proxies) para enganar as tecnologias de filtragem da Web. Os proxies da Web possibilitam que os usurios entrem em uma URL a partir de um formulrio da Web, em vez de visitar diretamente a pgina desejada. A utilizao do proxy esconde a URL desejada do filtro da Web. Caso este filtro no esteja configurado para monitorar ou bloquear os proxies annimos, ento esta atividade (que normalmente teria sido interrompida), ultrapassa o filtro e permite que o usurio acesse a pgina da Web proibida. O aumento da quantidade de sites da Web com proxies annimos, mostrado na Figura 50, reflete essa tendncia. Nos ltimos trs anos, os proxies annimos cresceram solidamente, mais do que quadruplicando em quantidade. Os proxies annimos so um tipo crtico de site que deve ser rastreado devido facilidade com que permitem que as pessoas escondam intenes potencialmente maliciosas.

Aumento na quantidade de sites da Web com proxy annimo segundo semestre de 2007-primeiro semestre de 2010

Figura 50: Aumento na quantidade de sites da Web com proxy annimo, segundo semestre de 2007primeiro semestre de 2010

84

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Tendncias de contedo da Web > Aumento de proxies annimos > Domnios de Nvel Superoir dos proxies annimos

Domnios raiz dos proxies annimos

A figura 51 ilustra os Domnios de Nvel Superior (Top Level Domain - TLDs) dos proxies annimos recm-registrados. Em 2006, mais de 60% de todos os proxies annimos recm-registrados possuam domnio .com, mas a partir da metade de 2007, o domnio .info permaneceu no topo at o comeo de 2010 (enquanto o .com permanecia em segundo lugar na maioria das vezes).

Mas, por que o .info no ocupa mais a primeira posio? Ele se comportou como um domnio de nvel superior (TLD) para os proxies annimos durante anos. Uma razo pode ser que o .info, da mesma forma como o .com, est ficando sem opes de nomes. Deste modo, a questo que se levanta por que os proxies annimos agora so estabelecidos em domnios raiz .cc e .tk?

Esses so os domnios das Ilhas Cocos (Keeling) (.cc), um territrio australiano, e de Tokelau (.tk), um territrio neozelands. O domnio .cc administrado pela VeriSign. Quase todos os sites da Web de proxies annimos .cc so registrados no domnio .co.cc. No h custos para se registrar um domnio .co.cc (acesse http://www. co.cc/?lang=en). O mesmo acontece com .tk (acesse http://www.dot.tk/). Consequentemente, muito barato e atrativo instalar novos proxies annimos com domnio .co.cc ou .tk. Tendncias adicionais: No incio de 2008, os domnios de nvel superior dos pases vizinhos Sua (.ch) e Liechtenstein (.li) representavam, conjuntamente, cerca de 30% dos proxies recm-registrados. No ltimo trimestre de 2008, o domnio de nvel superior da China alcanou quase 30% dos proxies annimos recm-registrados. No final de 2009, o domnio .cc (Ilhas Cocos - Keeling) comeou a aumentar significativamente e at alcanou a primeira posio no segundo trimestre de 2010. No segundo trimestre de 2010, uma outra nova estrela na constelao proxy, o domnio .tk (Tokelau), chegou a representar cerca de 23% dos novos proxies annimos. Durante o mesmo perodo, .info caiu drasticamente, ficando abaixo de 30% pela primeira vez desde o incio de 2007. No primeiro trimestre de 2010, at mesmo o domnio .com ficou abaixo de 20% pela primeira vez. 85

Domnios de nvel superior dos sites da Web com proxy annimo recm-registrados primeiro trimestre de 2006-segundo trimestre de 2010

Figura 51: Domnios de nvel superior dos sites da Web com proxy annimo recm-registrados, primeiro trimestre de 2006-segundo trimestre de 2010

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Tendncias de contedo da Web > Aumento de proxies annimos > Pases que hospedam sites da Web com proxies annimos

Pases que hospedam sites da Web com proxies annimos

Dentre os pases que hospedam proxies annimos, os Estados Unidos ocupam a primeira posio h anos. Mais de 70% de todos os proxies annimos recm-registrados tm sido hospedados nos Estados Unidos durante os ltimos quatro anos e meio. Essa porcentagem aumentou para mais de 80% entre meados de 2008 at o final de 2009. Durante o primeiro semestre de 2010, cerca de 75% de todos os proxies annimos recmregistrados eram hospedados nos EUA.

Sites da web com proxies annimos recm-registrados, hospedados pelos EUA, versus sites no hospedados pelos EUA primeiro trimestre de 2006-segundo trimestre de 2010

EUA

Outros Pases

Figura 52: Sites da web com proxies annimos recm-registrados, hospedados pelos EUA, versus sites no hospedados pelos EUA, primeiro trimestre de 2006-segundo trimestre de 2010

86

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Tendncias de contedo da Web > Aumento de proxies annimos > Pases que hospedam sites da Web com proxies annimos

Vale a pena analisar os 25% restantes de todos os proxies annimos recm-registrados no primeiro semestre de 2010. Esse restante dominado pelo Canad no primeiro trimestre (7,9%) e pelo Reino Unido, no segundo trimestre (7,8%). Todos os outros pases hospedam menos de 4% at o momento, em 2010.

Proxies annimos recm-registrados fora dos EUA primeiro trimestre de 2006-segundo trimestre de 2010

Reino Unido

Canad

Alemanha

Holanda

Frana

Austrlia

China

Figura 53: Proxies annimos recm-registrados fora dos EUA, primeiro trimestre de 2006-segundo trimestre de 2010 87

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Tendncias de contedo da Web > Bons sites da Web com links ruins

Bons sites da Web com links ruins

Conforme descrito no item Ameaas e Vulnerabilidades dos Aplicativos da Web, na pgina 71, e em Domnios Comuns de spam de URL, na pgina 94, os atacantes esto cada vez mais focando na utilizao de nomes de sites da Web confiveis para baixar a guarda dos usurios finais e tentar disfarar suas tentativas com tecnologias de proteo. O uso de contedo malicioso da Web no diferente. A seguinte anlise oferece um olhar sobre os tipos de sites da Web que mais frequentemente contm links para outros links conhecidamente maliciosos. Algumas das principais categorias podem no causar surpresa. Por exemplo, de se esperar que a pornografia esteja na primeira posio da lista. Realmente est e tem ficado pior no decorrer dos ltimos 12 meses. Entretanto, os candidatos a segunda posio pertencem a uma categoria mais confivel. Os blogs, sites informativos, pginas pessoais, ferramentas de pesquisa, educativos, revistas on-line e sites de notcias esto todos nessa categoria da segunda posio. A maioria desses sites da Web permite que os usurios faam upload de contedo ou montem seu prprio site web em uma universidade, ou comentem sobre a compra de um produto em um site de compras. Em outras palavras, improvvel que esses tipos de sites da Web estejam intencionalmente hospedando links maliciosos. A distribuio provavelmente representa melhor os tipos de sites que os atacantes gostam de frequentar, na esperana de encontrar uma brecha (como uma vulnerabilidade ou uma rea que permita que os usurios insiram contedo) na qual possam inserir seus links maliciosos, na tentativa de comprometer uma vtima desavisada.

A Figura 54 mostra uma lista com os tipos mais comuns de sites da Web que hospedam pelo menos um link que leva a uma pgina conhecidamente maliciosa

Principais categorias que contm pelo menos um link malicioso primeiro semestre de 2010
Sites de pornografia ou de sexo/erticos Sites de blogs/quadros de avisos Pgina pessoal ou sites de servios de comunicao Sites de apostas/loterias Sites de busca/catlogos de web/ sites de portais Sites de educao Sites de notcias/revistas Sites de jogos para computador Sites de compras Sites de proxies annimos Outros sites

Figura 54: Principais categorias que contm pelo menos um link malicioso, primeiro semestre de 2010

88

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Tendncias de contedo da Web > Bons sites da Web com links ruins

Com referncia a Figura 55, algumas tendncias ficam claras quando comparamos dados atuais a dados de seis ou at 12 meses atrs. Sites profissionais da Web considerados ruins tais como pornografia e apostas, aumentaram a quantidade de links para malwares, fazendo parecer mais provvel que existem profissionais aprimorando seus esforos em distribuir sistematicamente seus malwares. Os blogs e sites informativos tambm tm aumentado sua quantidade de links para malware. Isso provavelmente ocorre devido maior infiltrao de pessoas mal intencionadas sem que haja controles adequados estabelecidos pelos proprietrios desses sites. Essa tendncia diminuiu nos ltimos seis meses, mas temos observado aumentos em sites de jogos de computador e sites com proxy annimo.

Principais categorias de sites da Web que contm pelo menos um link malicioso: tipos de sites em declnio primeiro semestre de 2009-primeiro semestre de 2010

Sites de pornografia ou de sexo/erticos

Sites de apostas/loterias Sites de jogos para computador

Sites de proxies annimos

Sites de blogs/quadros de avisos

Figura 55: Principais categorias de sites da Web que contm pelo menos um link malicioso: tipos de sites em declnio, primeiro semestre de 2009-primeiro semestre de 2010

89

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Tendncias de contedo da Web > Bons sites da Web com links ruins

As pginas pessoais no so mais a categoria predominante de hospedagem de links maliciosos. Essas pginas tm melhorado em comparao com o primeiro semestre de 2009, possivelmente porque as pginas pessoais esto mais fora de moda, em relao aos aplicativos da Web 2.0, como perfis em redes sociais e de negcios. Ferramentas de pesquisa, portais, pginas de compras, pginas educacionais e novos sites tambm tm melhorado. Esses sites tradicionais, legtimos e interativos tm sido usados para a troca de informaes e opinies durante anos. Portanto, muito provvel que os provedores desses servios tenham aumentado seus esforos com segurana de TI.

Principais categorias que contm pelo menos um link malicioso: tipos de sites em declnio primeiro semestre de 2009-primeiro semestre de 2010

Pgina pessoal ou sites de servios de comunicao Sites de busca/catlogos de web/ sites de portais

Sites de compras Sites de notcias/revistas Sites de jogos para computador

Figura 56: Principais categorias que contm pelo menos um link malicioso: tipos de sites em declnio, primeiro semestre de 2009-primeiro semestre de 2010

90

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Tendncias de contedo da Web > Bons sites da Web com links ruins

Principais categorias de sites da Web que contm 10 ou mais links maliciosos primeiro semestre de 2010
Sites de pornografia ou de sexo/erticos Sites de apostas/loterias Sites de busca/catlogos de web/ sites de portais Sites de blogs/quadros de avisos Pgina pessoal ou sites de servios de comunicao Sites de notcias/revistas Sites de proxies annimos Sites de jogos para computador Sites de compras Sites de educao Outros sites

Uma outra maneira de enxergar esse problema examinar os sites da Web que parecem hospedar uma enorme quantidade de links para sites maliciosos. Quando se faz uma anlise das pginas que hospedam 10 ou mais links maliciosos, surge um outro contexto contexto que implica que os proprietrios de alguns desses sites da Web podem estar apreciando as vantagens financeiras que essa situao traz. Dentre as categorias de sites da Web que hospedam 10 ou mais desses tipos de links, os sites de pornografia representam quase 33%, e os sites de apostas representam cerca de 28%. possvel se levantar a suspeita de que esses sites utilizam os links intencionalmente para obter lucros. Alguns deles parecem possuir links sistematicamente posicionados ao longo do site. Em comparao com os dados de seis meses atrs, os valores referentes maioria das categorias sofreram alteraes de 4% ou menos. Porm, os sites de pornografia aumentaram 6% e os sites de apostas aumentaram 11,4%. Consequentemente, os distribuidores de malwares focam cada vez mais nesses sites populares, porm obscuros, da Internet. Tendo como pano de fundo o fato de que 0,6% da populao adulta possuem problemas de vcios em apostas (acesse http://em.wikipedia.org/wiki/gambling_ addiction#Prevalence), os sites de apostas so um alvo popular para os distribuidores de malware. 91

Figura 57: Principais categorias de sites da Web que contm 10 ou mais links maliciosos, primeiro semestre de 2010

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Volume de Spam

Spam
O banco de dados de filtro de spam e URL da IBM proporciona uma viso de abrangncia global de ataques de spam e phishing. Com milhes de endereos de e-mail sendo ativamente monitorados, o time de contedo identificou inmeros avanos nas tecnologias de spam e phishing usadas pelos atacantes. Atualmente, nosso banco de dados de filtro de spam e URL contm mais de 40 milhes de assinaturas de spam relevantes. Cada pedao do spam quebrado em vrias partes lgicas (frases, pargrafos, etc.). Uma assinatura nica de 128bits computada para cada parte e para milhes de URLs de spam. A cada dia, aproximadamente um milho de assinaturas novas surgem, so atualizadas ou excludas no banco de dados de filtro de spam. Os temas abordados nesta seo so: Volume de spam Novas tendncias em tipos de spam Domnios mais populares usados em spam Domnios de Nvel Superior (TLDs) mais populares usados em spam e por que os domnios superiores so to populares. Reputao das URLs de Spam Tendncias dos paises1 de origem do Spam, incluindo as pginas da Web (URLs) de spam

Mudanas nos tamanhos mdios em bytes do spam Linhas de assunto mais populares de spam

Volume de spam
No comeo de 2009, o volume de spam estagnou por dois meses. Em maio de 2009, o volume de spam comeou a aumentar e com o tempo ultrapassou o nvel de spam visto pouco antes do

fechamento da McColo. No quarto trimestre de 2009, os spammers comearam uma investidah de fim de ano. Em novembro, eles enviaram duas vezes mais spams que antes do fechamento da McColo. Em 2010, os spammers mantiveram um nvel estvel at abril, quando a quantidade de spam comeou a aumentar novamente, alcanando finalmente a maior alta de todos os tempos em junho.

Mudanas no volume de spam abril de 2008-junho de 2010

Figura 58: Mudanas no volume de spam, abril de 2008-junho de 2010

As estatsticas neste relatrio de spam, phishing e URLs utilizam o Banco de Dados de IP-por-Pas fornecido pelo WebHosting.Info, disponvel pelo http://ip-to-country.Webhosting.info. A distribuio geogrfica foi determinada atravs da solicitao dos endereos de IP dos servidores (no caso de distribuio de contedo) ou do servidor de e-mail remetente (no caso de spam e phishing) ao Banco de Dados de IP-por-Pas. 92

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Tipos de spam

Tipos de spam
Ao longo dos anos os spammers tm se focado no uso de tipos de e-mails menos suspeitos, spams em HTML sem anexos. O grfico abaixo mostra um aumento significativo no uso desse tipo de spam at o incio de 2009, enquanto os spams de texto simples (sem outras partes de e-mail ou anexos) diminuram no mesmo perodo de tempo. Desde o Segundo trimestre de 2009, spams em HTML esto variando em 81% e 84%. No segundo e terceiro trimestres de 2009, testemunhamos um curto renascimento do spam de imagem. Spams de texto simples aumentaram do final de 2009 ao incio de 2010. No mesmo perodo, spams de imagem diminuram e no tiveram papel importante no primeiro semestre de 2010.

Tipos de spam 1 trimestre de 2008-2 trimestre de 2010

HTML

Texto simples

Imagem

Figura 59: Tipos de spam, 1 trimestre de 2008-2 trimestre de 2010

93

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Tipos de Spam > Domnios comuns de spam de URL

Domnios comuns de spam de URL

A grande maioria dos spams, mais de 90%, classificada como spam de URL mensagens de spam que incluem URLs em que as pessoas clicam para ver o contedo do spam.

Vale a pena dar uma olhada mais cuidadosa nos nomes de domnio mais usados em spams de URL. A tabela 14 mostra os 10 principais domnios por ms para o primeiro semestre de 2010. Ns destacamos os domnios mais conhecidos ou que foram registrados h mais tempo e no so registrados por hospedar contedo de spam.
Posio Janeiro 2010 Fevereiro 2010 Fevereiro 2010 Maro 2010 Abril 2010 Maio 2010 Junho 2010

Spam de URL 3 trimestre de 2006-2 trimestre de 2010

Tabela 14: Domnios mais comuns em spam de URL, 1 semestre de 2010 Figura 60: Spam de URL, 3 trimestre de 20062 trimestre de 2010

94

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Tipos de Spam > Domnios comuns de spam de URL

A maioria desses nomes de domnio conhecida e confivel, dando continuidade tendncia dos ltimos anos. A figura 61 mostra a porcentagem de domnios de spam versus os domnios confiveis dentro dos dez maiores domnios usados para spam do primeiro semestre de 2008 at o primeiro semestre de 2010. Alguns dos sites conhecidos incluem: akamaitech.net (site da Akamai Technologies) googlegroups.com (servio gratuito do Google onde grupos de pessoas podem discutir interesses comuns). icontact.com (companhia de oferta de marketing por e-mail) images-amazon.com (domnio pertencente a Amazon.com, Inc.) live.com (um servio Windows Live que permite que os usurios criem uma pgina inicial personalizada) livefilestore.com (servio de Armazenamento Web da Microsoft) tumblr.com (plataforma de blogging) twimg.com (domnio pertencente ao Twitter) twitter.com (site do Twitter) Webmd.com (site oficial do WebMD Health Corporation, um provedor americano de informaes de servios de sade)

Maiores sites de hospedagem de imagens alvo so: flickr.com (site oficial do Flickr) imageshack.us (site oficial do ImageShack)

Dez principais domnios usados em spam Domnios de spam versus domnios confiveis 1 semestre de 2008-1 semestre de 2010

E tambm h alguns sites de hospedagem de imagem de pequeno e mdio-porte: imageboo.com imageshost.ru imgur.com mojoimage.com myimg.de mytasvir.com pikucha.ru radikal.ru tinypic.ru xs.to

Domnios confiveis

Domnios de spam

Os sites acima no apenas fornecem links de Web reconhecidos (e confiveis) para os usurios finais, mas mensagens de spam que podem evadir algumas tecnologias de antispam usando esses links legtimos em seus e-mails de spam.

Figura 61: Dez principais domnios usados em spam, domnios de spam versus domnios confiveis, 1 semestre de 2008-1 semestre de 2010

95

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Tipos de Spam > Porcentagem de URLs aleatrias por Domnios de Nvel Superior

Porcentagem de URLs aleatrias por Domnios de Nvel Superior Na seo anterior, ns discutimos como os Domnios de Nvel Superior (TLDs) tm se mudado da China para a Rssia devido s novas e mais severas restries impostas pela China para registro de nomes de domnios. Para explorar esse assunto mais profundamente, ns voltamos nossa ateno aos Domnios de Nvel Superior que usam estruturas de nomeao aleatria. Com relao aos Domnios de Nvel Superior, h um aspecto interessante sobre os Domnios de Nvel Superior genricos (como .com e .net) versus um domnio de alto nvel de um pas. Spammers possuem vrias tcnicas que podem usar para fazer a mensagem parecer legtima. Uma dessas tcnicas usar nomes de domnio aleatrios que so legtimos (como ibm.com). Em muitos casos essas URLs legtimas ficam escondidas no cdigo de origem do HTML do e-mail. Apenas o HTML ligado ao contedo real do spam fica visvel ao usurio e disponvel para clicar. Se analisarmos o cdigo do pas, Domnios de Nvel Superior (como .cn, .ru, e .es) no so usados aleatoriamente. Quase 100% dessas URLs realmente hospedam contedo de spam (ou redirecionam para o contedo do spam automaticamente) se forem usadas em uma mensagem de spam, o que diferente para os Domnios de Nvel Superior genricos como os endereos .com.

Figura 62: Porcentagem de URLs aleatrias por Domnios de Nvel Superior, janeiro de 2009-junho de 2010

Como a Figura 62 demonstra, URLs .net encontradas em e-mails de spam normalmente so geradas aleatoriamente. URLs falsas tornaram spams mais legtimos durante a primavera e vero de 2009. Mas desde agosto de 2009, o uso de URLs .net aleatrias parou quase completamente at maro de 2010. Ento, URLs .net aleatrias tornaram-se uma ferramenta popular novamente para os spammers. Em maro de 2010 por volta de 30% das URLs .net encontradas em spam foram

geradas aleatoriamente. Em maio de 2010, por volta de 20% das URLs .net encontradas em spams foram geradas aleatoriamente. URLs .com aleatrias foram usadas o tempo todo. Na maioria dos casos, somente 60%80% deles realmente hospedam contedo de spam, enquanto 20%-40% so escolhidos aleatoriamente. Portanto, ainda um mtodo popular para spammers fazerem com que suas mensagens paream legtimas. 96

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Tipos de spam > Reputao das URLs de spam: elas so ligadas Internet?

Reputao das URLs de spam: elas so ligadas internet?

Quase todas as URLs de spam aquelas que hospedam contedo real de spam so de domnios recentemente registrados. raro encontrar uma URLs de spam previamente conhecida rastreando a internet. Outra forma de olhar para esse problema por classificao de reputao, isto , para checar se pginas de spam se ligam a outras partes da internet. A Figura 63 mostra qual a porcentagem de URLs de spam que contm links para outras URLs. Como ilustra a Figura 63, spammers no costumam referenciar outras partes da internet. No primeiro semestre de 2008, aproximadamente 6% de todas as URLs de spam continham links. Antes e depois desse perodo, menos de 2% das URLS de spam se referenciavam a outras partes da Web.

Porcentagem de pginas de spam da Web com links 1 trimestre de 2007-2 trimestre de 2010

Figura 63: Porcentagem de pginas de spam da Web com links, 1 trimestre de 2007-2 trimestre de 2010

97

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Tipos de spam > Reputao das URLs de spam: elas so ligadas Internet?

Durante 2009, entretanto, spammers comearam a aumentar lentamente a porcentagem de URLs de spam com outros links. No comeo de 2010, elas caram para 1,1%, mas no meio do ano, alcanaram quase 2% novamente. Veremos a que tipos de URLs elas esto ligadas. A Figura 64 divide essas URLs em duas categorias: categorias boas (como negcios, compras, software, hardware, etc.) e categorias ms (como pornografia, malware, proxies annimos e assim por diante). A maioria dos links aponta para URLs boas. possvel que os spammers estejam tentando obter uma boa pontuao de reputao para suas URLs de spam. importante lembrar que menos de 2% das URLs de spam possuem algum tipo de link.

Link de URLs de spam Tendncia a se conectar a sites Bons ou Maus 1 trimestre de 2007-2 trimestre de 2010

Links bons de spam

Links ruins de spam

Figura 64: Link de URLs de spam, tendncia a se conectar a sites Bons ou Maus, 1 trimestre de 20072 trimestre de 2010

98

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Tipos de spam > Tipos de sites ligados s URLs de spam

Tipos de sites ligados s URLs de spam

Nossa anlise concluiu que a maioria das URLs de spam, quando possuem algum link para a internet, tendem a se ligar tradicionalmente a sites bons. Entretanto, quando dividimos os dados em nossas 68 categorias, o tipo de site mais frequentado est na categoria dos maus, a Pornografia. A Figura 65 mostra a porcentagem de links de pornografia em comparao com outros links. Note que a categoria de pornografia, por si s j passou a totalidade de sites bons (no primeiro semestre de 2007). Durante os ltimos nove meses, tem havido uma leve tendncia de colocar mais links de pornografia nas URLs de spams. A porcentagem de URLs de spam com links de pornografia aumentou aproximadamente 1% por trimestre.

Pornografia Tipo Mais Prevalente de Links em URLs de Spam

Outros links em URLs de spam

Links de pornografia em URLs de spam

Figura 65: Pornografia Tipo mais prevalente de links em URLs de spam, 1 trimestre de 2007-2 trimestre de 2010

99

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Tipos de spam > Tipos de sites ligados s URLs de spam

As outras categorias mais importantes so boas categorias: negcios, redes sociais, e compras. No final de 2008, as redes sociais desempenharam um papel importante pela primeira vez e foram responsveis por mais de 18% de todas as URLs associadas. Apesar de links de redes sociais terem entrado em declnio no primeiro semestre de 2009, eles aumentaram levemente, alcanando aproximadamente 2% no final de 2009 e declinando para 1,4% no segundo trimestre de 2010. No primeiro semestre de 2010, negcios e compras se tornaram mais atrativos aos spammers para dar uma melhor reputao s URLs de spams.

Outras Categorias Prevalentes de Links Encontrados em URLs de SPAM

Negcios em geral

Compras

Redes sociais

Figura 66: Outras categorias prevalentes de links encontrados em URLs de spam, 1 trimestre de 2007-2 trimestre de 2010

100

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Spampas de origem

URLs de spampas de origem

A Tabela 15 lista os pontos de origem2 para spams no mundo para o primeiro semestre de 2010. Brasil, Estados Unidos e ndia so responsveis por mais de um quarto dos spams do mundo. Os Estados Unidos mais uma vez conquistaram a primeira posio e manteve o Brasil em segundo. A ndia manteve sua posio em terceiro lugar, a Rssia deslocou o Vietn do quarto lugar e o Vietn deslocou a Coreia do Sul em quinto lugar. Alemanha, Reino Unido, Ucrnia e Romnia so recm-chegados ao top dez, enquanto Polnia, Turquia, China e Colmbia
deixaram o top dez de remetentes no primeiro semestre de 2010 comparado com 2009.

Distribuio Geogrfica de Remetentes de Spam

Figura 67: Distribuio geogrfica de remetentes de spam, 1 semestre de 2010

Pas

% de Spam

Pas

% de Spam

EUA Brasil
2

9.7% 8.4% 8.1% 5.3% 4.6%

Coreia do Sul Alemanha Reino Unido Ucrnia Romnia

4.1% 3.7% 3.3% 3.1% 3.0%

O pas de origem indica o local do servidor que enviou o e-mail spam. A X-Force acredita que a maioria dos e-mails de spam enviada por botnets. Uma vez que os bots podem ser controlados a partir de qualquer lugar, a nacionalidade real dos attackers por trs de um e-mail de spam pode no ser a mesma que o pas de onde o spam foi originado.

ndia Rssia Vietn

Tabela 15: Distribuio geogrfica de remetentes de spams, 1 semestre de 2010

101

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Spampas de origem

Quando observamos tempos mais curtos e inclumos o ano anterior, algumas tendncias se tornam visveis. Em 2009, o Brasil ocupava a primeira posio e tinha at aumentado sua porcentagem. Com a exceo do Brasil, no quarto trimestre de 2009, o Vietn foi o nico pas que enviou mais de nove por cento de todo o spam. Por outro lado, Estados Unidos, Rssia e Turquia se tornaram bem menos importantes como pases remetentes de spam. Mas, no primeiro semestre de 2010, o Brasil declinou significantemente enquanto os Estado Unidos se recuperaram. O Vietn perdeu territrio e a ndia demonstrou um aumento contnuo por mais de um ano. No segundo trimestre de 2010, a ndia tornou-se vice-campe pela primeira vez e precisa de um aumento de apenas 0,6% para alcanar a primeira posio.

Origem dos Spams por Trimestre

EUA

ndia

Brasil

Vietn

Alemanha

Reino Unido

Rssia

Coria do Sul

Turquia

Figura 68: Origem dos spams por trimestre, 1 trimestre de 2009-2 trimestre de 2010

102

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Spampas de origem > Crescimento nos pases do BRIC

Crescimento nos pases do BRIC

Brasil e ndia, como pases do BRIC3, tm demonstrado um crescimento rpido na indstria de spam e phishing. No primeiro semestre de 2010, o Brasil o remetente de phishing nmero um (veja mais detalhes na seo a seguir). Os outros dois pases do BRIC, Rssia e China, no tm sido complacentes a esse respeito. Como mostrado na Figura 66 na pgina anterior, o domnio de alto nvel da Rssia .ru o TDL favorito para hospedagem de contedo de spam. E, como mostrado na Tabela 16, a China o principal pas host de URLs de spam. Para os pases do BRIC, spam e phishing so duas indstrias experimentando um crescimento to rpido quanto muitas outras indstrias nesses pases. Mas por que Vietn e Brasil? Pode haver duas condies principais que precisam ser cumpridas para chegar ao topo da lista de pases remetentes de spam:
Crescimento

Ambas as condies so cumpridas pelo Brasil e Vietn. No Brasil, 38% dos 201 milhes de habitantes usam a Internet. Esse nmero tem aumentado mais de 1.419% nos ltimos dez anos. No Vietn, 27% dos 90 milhes de habitantes usam a Internet. Esse nmero tem aumentado 12.035% nos ltimos dez anos. Esses aumentos tm levado a um grande nmero de pessoas sem experincia usando PCs. Esses PCs podem ser menos corrigidos ou menos protegidos. Ou, eles podem ser mais propensos a fraudes socialmente construdas, tornando-os mais vulnerveis ao malware que poderia transform-los em drones de botnet. Vale a pena notar que os spammers tm ganhado territrio em pases desenvolvidos como Alemanha e Reino Unido. Ambos aumentaram sua quota de mercado em envio de spam para mais de 4% no segundo trimestre de 2010.

As razes para esses aumentos podem incluir o seguinte:

Existem

mais e mais pessoas sem experincia usando PCs. Mais e mais vrus esto se espalhando, mesmo em sistemas bem protegidos e esto sendo bem sucedidos em transformar PCs em drones de botnet. Mesmo as pessoas com experincia no esto imunes ao aumento dramtico das vulnerabilidades encontradas em softwares de produtos comuns. Como reportamos anteriormente na pgina 18, o primeiro semestre de 2010 tem testemunhado um aumento incrvel de vulnerabilidades relatadas e as economias emergentes dos pases do BRIC tambm no esto excludas dessa tendncia ascendente.

significativo da populao usuria de Internet

Nmero significante de habitantes

3 4 5

BRIC um acrnimo que representa as economias em rpido crescimento do Brasil, Rssia, ndia e China. http://www.internetworldstats.com/stats15.htm http://www.internetworldstats.com/stats3.htm
103

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Spampas de origem > URLs de spampas de origem

URLS de spampas de origem

Distribuio Geogrfica de URLs de Spam

A Tabela 16 lista onde as URLS de spam so hospedadas.

Figura 69: Distribuio geogrfica de URLS de spam, 1 semestre de 2010

Pas

% de Spam

Pas

% de Spam

China EUA Coreia do Sul Moldvia Rssia

37.5% 16.6% 8.9% 4.7% 3.4%

Brasil Mxico Holanda Chile Taiwan

1.9% 1.6% 1.5% 1.5% 1.5%

Tabela 16: Distribuio geogrfica de URLs de spam, 1 semestre de 2010

104

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Spampas de origem > URLs de Spamtendncia do pas de origem

URLs de spamtendncias do pas de origem

Ao longo dos ltimos anos, e at o final de 2009, URLs de spam hospedadas em servidores na China aumentaram significativamente. Todos os outros pases estagnaram ou diminuram, principalmente os Estados Unidos. No primeiro semestre de 2010, esta tendncia da China abrandou e diminuiu pela primeira vez nos ltimos dois anos. A China ainda mantm a posio nmero um, hospedando mais de um tero de todas as URLs de spam. Alguns outros pases se recuperaram, em especial os Estados Unidos, que agora hospeda 17% de todas as URLs de spams, e a Coreia do Sul, que hospeda cerca de nove por cento de todas as URLs de spam. Um recmchegado ao top dez a Moldvia, que hospeda 4,7% de todas as URLs de spam.

URLs de Spam Hospedadas ao Longo do Tempo

China

EUA

Coria do Sul

Moldvia

Rssia

Frana

Romnia

Hungria

Hong Kong

Figura 70: URLS de Spam hospedadas ao longo do tempo, 2006-1 semestre de 2010

105

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Spampas de origem > Globalizao em termos de spam

Globalizao em termos de spam

Como a China continua a dominar a cena de hospedagem de URLs de spam, devemos olhar mais de perto essas URLs, particularmente tendo em conta a queda acentuada da utilizao de domnios .cn por spammers. A Figura 71 ilustra a distribuio dos Domnios de Nvel Superior usados por spammers e hospedados na China. Mais de 60% de todos os domnios de spam hospedados na China possuem o domnio de alto nvel da Rssia .ru. O prprio domnio de alto nvel da China .cn apenas um vice-campeo, com menos de 30%. Ento, o que a globalizao significa em termos de spam? Um tpico spam enviado de um computador localizado nos Estados Unidos, ndia ou Brasil, contendo uma URL .ru que hospedada na China.

Porcentagem de Domnios de Nvel Superior de Domnio de Spam Hospedados na China

Outros:

Rssia

Figura 71: Porcentagem de Domnios de Nvel Superior de domnio de spam hospedados na China, 1 semestre de 2010

106

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Spam > Spampas de origem > Spamttulos mais populares

Spamttulos mais populares

Enquanto os ttulos de spam tenham se tornado mais e mais granulaes de 2007 a 2008, esta tendncia est estagnanda em 2010. Os dez principais ttulos no primeiro semestre de 2010 representam cerca de 3,3% de todos os ttulos de spam, um pouco mais do que os 2,6% em 2009 e os trs por cento em 2008, mas significativamente abaixo do valor de 20% registrados em 2007. Enquanto a Web 2.0 e as redes sociais tornamse mais populares, os spammers usam assuntos relacionados com esses tpicos para atrair o interesse dos utilizadores. Alm disso, os tpicos clssicos sobre medicamentos ou rplicas de relgios so frequentemente usados para atrair a ateno do usurio. Medicamentos da Pfizer, principalmente, desfrutam de grande popularidade quando mencionado em assuntos de spam. Aqui spammers o fazem de forma tradicional e brincam com letras maisculas e minsculas, substituindo o por 0 (zero), usando nmeros percentuais diferentes e assim por diante. bvio que 70% a taxa favorita, pois esta a nica que alcanou o top 10.

A Tabela 17 lista os ttulos mais populares em spams no primeiro semestre de 2010.

Ttulo %

Voc tem uma nova mensagem Rplica de Relgios RE: Promoo 70% de desconto na P zer Novidades no myspace

0.50% 0.44% 0.40% 0.35%

Aviso Importante: suporte do navegador do Google Apps 0.35% Aviso Importante: Google Por Favor Leia Rplicas Extraordinrias Relgios E-mail de Con rmao 0.34% 0.29% 0.23% 0.19% 0.17%

Tabela 17: Ttulos de spam mais populares, 1 semestre de 2010

107

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Phishing > Volume de Phishing

Phishing
J compartilhamos algumas histrias emocionantes na primeira seo deste relatrio do porqu o foco das tcnicas de phishing est mirando diferentes indstrias. Esta seo explora mais profundamente as tendncias relacionadas aos seguintes tpicos: Volume de Phishing como porcentagem de spam Tendncias de pases de origem do Phishing, inclusive pginas de phishing da Web (URLs) Ttulos mais populares e alvos de phishing No fomos os nicos a notar vrias outras organizaes de pesquisa falaram sobre a mudana. At o final de 2009, o phishing foi reduzido para volumes semelhantes ao do final de 2008, mas ainda era significativamente superior ao volume no primeiro semestre de 2009. Depois de um ligeiro aumento em dezembro de 2009, no primeiro semestre de 2010, os e-mails de phishing novamente foram reduzidos para volumes semelhantes ao do primeiro semestre de 2009. Aps uma queda em janeiro e fevereiro, vimos um aumento no volume de phishing em maro e abril. Em maio, houve outra queda. Isso pode estar relacionado apreenso de uma gangue romena de phishing no incio de maio (acesse http://www.h-on-line.com/ security/news/item/Police-apprehend-Romanianphishinggang-997151.html). Em junho, os nveis de maro e abril foram atingidos novamente, mas ainda longe dos volumes do vero de 2009. Nos prximos meses teremos que esperar e ver se os phishers estaro novamente com fora total no vero e outono de 2010, j que eles aumentaram dramaticamente seus nveis durante essas pocas nos ltimos dois anos.

Volume de phishing
Durante 2008, o volume de phishing foi, em mdia, 0,5%do volume total de spam. No primeiro semestre de 2009, os ataques de phishing declinaram dramaticamente para apenas 0,1% do volume de spam. Pensamos que a rede criminosa por trs do phishing poderia estar se inclinado para outros mtodos de roubo de identidade que no enviar um simples e-mail que parece um e-mail legtimo proveniente de um banco. Longe disso. Ao contrrio do que presenciamos no primeiro semestre de 2009, phishers voltaram com fora total no terceiro trimestre. Em junho de 2009 vimos um pequeno aumento em volume. Em agosto, porm, o volume de phishing alcanou o volume visto nos meses mais ativos de 2008, e o volume visto em setembro ultrapassou completamente o volume visto em qualquer outro ms de 2008.

Volume de Phishing ao Longo do Tempo Abril 2008 Junho 2010

Abr Mai

Jun

Jul

Ago Set

Out

Nov Dez Jan

Fev

Mar

Abr Mai

Jun

Jul

Ago Set

Out

Nov Dez

Jan

Fev

Mar Abr

Mai Jun

Figura 72: Volume de phishing ao longo do tempo, Abril de 2008-Junho de 2010

108

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Phishing > Volume de Phishing > Phishingpas de origem

Phishingpas de origem
O Brasil ainda o principal remetente em termos de volume de phishing, enquanto a India o vice-campeo em segundo lugar, e a Coreia do Sul manteve seu terceiro lugar. Dentre os dez primeiros colocados, vimos movimentaes de at trs colocaes, para cima ou para baixo, em comparao com 2009. Apenas a Rssia caiu da terceira posio para a dcima. Alemanha nova no top 10 e a Turquia desapareceu. A Tabela 18 lista os principais pases de origem dos e-mails de phishing no primeiro semestre de 2010.

Distribuio Geogrfica de Remetentes de Phishing

Figura 73: Distribuio geogrfica de remetentes de phishing, 1 semestre de 2010

Pas

% de Spam

Pas

% de Spam

Brasil ndia Coreia do Sul EUA Colmbia

14.3% 8.2% 7.8% 5.6% 3.4%

Argentina Chile Alemanha Polnia Rssia

3.8% 3.3% 3.1% 2.9% 2.6%

Tabela 18: Distribuio geogrfica de remetentes de phishing, 1 semestre de 2010

109

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Phishing > Volume de Phishing > URLS de Phishingpas de origem

URLs de phishingpas de origem

A Tabela 19 mostra onde as URLs de phishing esto hospedadas. Os dez maiores pases no mudaram em comparao a 2009, e at mesmo as posies relativas no mudaram muito. A Rssia caiu da oitava posio para a dcima, enquanto a Espanha e a Polnia ganharam uma posio.

Distribuio Geogrfica de URLs de Phishing

Figura 74: Distribuio geogrfica de URLs de Phishing, 1 semestre de 2010

Pas

% de Spam

Pas

% de Spam

Romnia EUA China Coreia do Sul Reino Unido

18.8% 14.5% 11.3% 9.8% 7.2%

Canad Japo Espanha Polnia Rssia

4.7% 4.3% 3.2% 3.0% 2.9%

Tabela 19: Distribuio geogrfica de URLs de Phishing, 1 semestre de 2010

110

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos Seo II > Phishing > Phishingttulos mais populares

Phishingttulos mais populares

A Tabela 20 lista os ttulos de phishing mais populares no primeiro semestre de 2010.

Ttulo %

Uma das principais mudanas em 2008 foi que os ttulos populares no eram mais to populares. Em 2007, os ttulos mais populares representaram mais de 40% de todos os e-mails de phishing. Em 2008, as linhas mais populares de assunto representaram apenas 6% de todos os ttulos de phishing. Assim, os phishers se tornaram mais granulares em seus alvos em 2008, essencialmente, com uma maior variedade de ttulos do que em 2007. Em 2009, a tendncia inverteu-se completamente. O ttulo mais popular representava mais de 38% de todos os e-mails de phishing. No primeiro semestre de 2010, as dez ttulos mais populares representam cerca de 36% de todos os e-mails de phishing. O texto de Sonegao de Impostos visto quatro vezes no top dez de ttulos de phishing e pertence a uma ameaa de phishing que temos visto h quase um ano. Ela est relacionada a um site fiscal dos Estados Unidos. Os seis ttulos restantes so bastante comuns. A maioria delas contm um pedido urgente para que o usurio faa alguma coisa. Na maioria dos casos, solicitando que os usurios acessassem suas contas bancrias atravs de um link no e-mail que levava a um web site fraudulento.

Alerta de Segurana Veri cao de Seus Dados Atuais Formulrio On-line American Express Noti cao importante Informao O cial Sua conta foi limitada Noti cao de Sonegao de Imposto Sonegao de Imposto Noti cao

15.75% 6.22% 1.95% 1.78% 1.73% 1.70% 1.67%

O CP2000 noti cao (Sonegao de Imposto Noti cao) 1.67% O cial Noti cao de Sonegao de Imposto ao contribuinte Noti cao Final 1.66% 1.40%

Tabela 20: Ttulos mais populares de phishing, 1 semestre de 2010

111

Solues de Segurana da IBM IBM X-Force 2010 Relatrio Semestral de Tendncias e Riscos

Copyright IBM Corporation 2010 IBM Global Services Route 100 Somers, NY 10589 U.S.A. Produzido nos Estados Unidos Agosto de 2010 Todos os direitos reservados IBM, o logotipo da IBM, ibm.com, Rational, AppScan, AIX e X-Force are so marcas comerciais ou registradas da International Business Machines Corporation nos Estados Unidos e/ou em outros pases. Windows uma marca registrada da Microsoft Corporation nos Estados Unidos e/ou em outros pases. ActiveX, Apple, Sun, Linux e outros nomes de empresas, produtos e servios podem ser marcas comerciais ou marcas de servios de terceiros. O uso de informaes de terceiros, estudos e/ou materiais citados no representam a aprovao da IBM da organizao responsvel pela publicao, nem representam, necessariamente, o ponto de vista da IBM. De acordo com o Forum of Incident Response and Security Teams (FIRST), o Common Vulnerability Scoring System (CVSS) um padro aberto da indstria projetado para transmitir a severidade de vulnerabilidade e ajudar a determinar a urgncia e prioridade de resposta. A IBM FORNECE A PONTUAO CVSS TAL COMO EST SEM QUALQUER TIPO DE GARANTIA, INCLUINDO AS GARANTIAS IMPLCITAS DE COMERCIALIZAO E ADEQUAO PARA UM PROPSITO PARTICULAR. OS CLIENTES SO RESPONSVEIS PELA ANLISE DE IMPACTO DE UMA VULNERABILIDADE DE SEGURANA REAL OU POTENCIAL. Referncias a produtos e servios da IBM nessa publicao no implicam que a IBM pretenda torn-los disponveis em todos os pases em que opera. Todas as informaes contidas neste documento so atuais apenas a partir da data de sua publicao, estando sujeitas a alteraes sem aviso prvio. A IBM no tem qualquer responsabilidade de atualizar essas informaes. As informaes contidas neste documento no afetam ou alteram as especificaes ou garantias do produto da IBM. Nada neste documento deve funcionar como uma licena expressa ou implcita, ou indenizao sob direitos de propriedade intelectual da IBM ou de terceiros. Todas as informaes contidas neste documento foram obtidas em ambientes especficos e so apresentadas como uma ilustrao. Os resultados obtidos em outros ambientes operacionais podem variar. AS INFORMAES CONTIDAS NESSE DOCUMENTO SO FORNECIDAS NO ESTADO EM QUE SE ENCONTRA SEM QUALQUER GARANTIA, EXPRESSA OU IMPLCITA. A IBM REJEITA EXPRESSAMENTE QUALQUER GARANTIA DE COMERCIALIZAO, ADEQUAO A UM DETERMINADO PROPSITO OU NO VIOLAO. Em nenhuma circunstncia a IBM ser responsvel por danos causados direta ou indiretamente, por qualquer uso das informaes contidas neste documento. Quaisquer referncias nestas informaes a sites que no pertencem a IBM so fornecidas apenas por convenincia e no representam de forma alguma um endosso a esses sites. A utilizao desses sites est sob sua prpria conta e risco. A IBM pode ter patentes ou solicitaes de patentes pendentes relativas a assuntos tratados neste documento. O fornecimento deste documento no lhe confere nenhum direito sobre tais patentes. Envie perguntas sobre licena, por escrito, a IBM Diretor de Licenciamento, IBM Corporation, New Castle Drive, Armonk, NY 10504-1785 USA. Patente nos Estados Unidos No. 7.093.239 Por favor, recicle WGL03003-USEN-00 112