Content
Opinião do especialista: a prevenção é a solução
A ameaça dos vírus está diminuindo, mas o perigo do phishing e dos cavalos de Tróia está aumentando. Monty Ijzerman, Gerente de Conteúdo de Segurança da McAfee, faz parte de uma equipe de elite de pesquisadores de segurança que identificam, examinam e avaliam as ameaças aos servidores. Ijzerman compartilha sua perspicácia em relação à evolução das ameaças e sobre como as empresas podem proteger-se efetivamente, através da prevenção, contra as ameaças combinadas.
Security Spotlight: Qual é o horizonte dos ataques e das explorações de redes e hosts, tais como worms, cavalos de Tróia e vírus?
Monty Ijzerman: os vírus são menos preponderantes, mas o phishing e os cavalos de Tróia com programas malwares estão em alta. Segundo o Grupo de Trabalho Anti-Phishing, os sites de phishing cresceram 24% de julho a dezembro de 2004, com mais de 1.700 sites ativos de phishing comunicados em dezembro de 2004.
As ameaças combinadas que usam mais de um tipo de exploração cresceram durante o último ano. Antes, os malwares eram enviados por email e iniciados quando o usuário abria um anexo. Hoje, eles usam mais de uma vulnerabilidade. Se seu computador estiver protegida contra a vulnerabilidade A, o malware tentará atacar as vulnerabilidades B e C.
Por exemplo, o primeiro alvo pode ser o servidor de email corporativo e, quando ele for comprometido, o ataque continuará. O atacante consegue penetrar no perímetro e, assim que estiver dentro, instala um robô (uma ferramenta que pode ser controlada remotamente) que começa a atacar computadores de diferentes tipos. Portanto, o atacante pode passar de um servidor de email para um desktop, e voltar para os servidores de Web. O impacto sobre a empresa é que a sua proteção precisa ser capaz de lidar com as ameaças combinadas.
Security Spotlight: Você espera ver outro grande ataque desconhecido em 2005?
Ijzerman: nos últimos três ou quatro anos, um worm explorando uma única vulnerabilidade se espalhou por todo o mundo a cada ano. Muito provavelmente, teremos pelo menos um ataque neste ano.
Quando esses worms surgiram, as vulnerabilidades subjacentes eram conhecidas pela Microsoft e havia patches disponíveis. Entretanto, se você não aplicar esses patches, os worms podem se espalhar com bastante facilidade.
Security Spotlight: Isso vai melhorar?
Ijzerman: os clientes conseguiram proteger-se melhor contra os vírus no segundo semestre de 2004. As organizações de TI estão melhorando na aplicação de patches da Microsoft, através da sincronização dos seus processos internos com as Terças de Patch da Microsoft.
Uma Ameaça em Evolução
Security Spotlight: como estão mudando as ameaças à segurança de hoje? Que tipos de ataques são mais comuns hoje?
Ijzerman: ataques de spywares, adwares e phishing são os mais importantes. A proteção contra o phishing exige a conscientização dos usuários sobre os perigos dos programas potencialmente indesejáveis, e sobre ter ferramentas adequadas para evitar a ameaça. Alguns desses golpes são muito sofisticados. Até mesmo um usuário consciente em relação à segurança pode, acidentalmente, baixar programas indesejáveis ou cair em um golpe.
Os tipos de ataques também estão mudando. Hoje em dia, a maioria dos ataques é encontrada em arquivos de mídia, como
WAV ou imagens GIF. Recentemente houve um problema no qual o download de uma lista de reprodução do Windows Media Player poderia ser um ataque. A boa notícia é que o McAfee® VirusScan® 8.0i
protege seus desktops contra os programas mal-intencionados ocultos em imagens ou arquivos de mídia.
Os ataques em imagens ou arquivos de mídia tentam estourar um buffer da memória. Se o buffer estourar, os dados serão gravados em outras partes da memória, e se um atacante fizer isso da maneira certa, programas podem ser executados. O McAfee Entercept® protege os hosts e servidores contra a execução de programas mal-intencionados devido aos estouros de buffer, e consegue identificar esses ataques, mesmo que sejam novos e nunca tenham sido vistos (dia-zero).
Security Spotlight: quem grava ou desencadeia os ataques? Os autores de worms são diferentes dos autores de adwares e spywares?
Ijzerman: apenas os criadores dos worms Sasser e Blaster foram descobertos. A maioria dos autores de vírus permanece desconhecida. Quase não há denúncias contra os crimes virtuais organizados. Os autores de spywares e adwares têm maior motivação financeira.
Com os spywares e adwares, eles instalam no desktops programas que você pode querer ou não. Esses são os programas potencialmente indesejáveis. Às vezes, você verá uma janela instantânea surgindo do nada perguntando "Você aceita a instalação deste software"? Se você se enganar e clicar em "OK", estará permitindo a instalação do software. Isso não é ilegal.
Outras empresas de spywares e adwares instalam programas de maneira oculta. Há truques para combinar as vulnerabilidades do Microsoft Internet Explorer e colocar programas em seu computador. Eles se tornam spywares quando você não permite a instalação. Os spywares podem ser inofensivos, como janelas instantâneas (pop-ups) ou nocivos, quando, por exemplo, tentam roubar números de cartão de crédito.
Para se proteger, você deve ter um software anti-spyware como o McAfee AntiSpyware. O McAfee AntiSpyware detecta e elimina aplicativos, como programas de captura de digitação, programas de controle remoto e seqüestradores de navegador, que podem ser usados para roubo de identidade. Ele também bloqueia programas de adware que disparam as irritantes janelas instantâneas, e consomem os recursos dos seus sistemas.
Um Perímetro Poroso
Security Spotlight: uma defesa em vários níveis é suficiente contra esses ataques? Como a proteção dos recursos de informação muda à medida que a noção de um perímetro de rede corporativa perde o seu significado?
Ijzerman: o perímetro de rede corporativa, da forma que existia há 10 anos, não existe mais. As pessoas conectam seus laptops em casa ou em quiosques de aeroportos e, depois, os levam para a empresa, e isso pode violar o perímetro. Isso significa que um sistema de defesa em vários níveis se torna mais importante que utilizar apenas uma solução de firewall e antivírus.
A proteção através do bloqueio dos ataques é mais importante. O bloqueio dos ataques pode ser realizado através de sistemas de prevenção de invasão de rede como o McAfee IntruShield® ou sistemas de invasões de host como o McAfee Entercept. Se as empresas usarem o IntruShield, o tráfego mal-intencionado será interceptado e bloqueado na rede. Se um ataque conseguir passar pela rede e tentar fazer algo no servidor, ou se um ataque for lançado dentro da rede, o Entercept o bloqueará.
Os departamentos de TI das empresas devem examinar se há vulnerabilidades em seus sistemas. Os gerentes de TI devem conhecer suas redes e quais aplicativos são executados em seus servidores e desktops. Eles devem verificar se os sistemas têm os patches necessários instalados. O McAfee Foundstone é uma das melhores soluções para isso. O Foundstone permite que os gerentes de TI meçam continuamente e protejam seus valiosos recursos corporativos de maneira proativa, permitindo que eles concentrem seus limitados recursos na proteção do que mais importa.
As empresas devem fiscalizar com rigor as políticas de uso de computadores. Garanta a segurança dos seus funcionários durante a navegação na Internet. Na McAfee, se eu entrar em um site duvidoso, a política da empresa me bloqueará. Também não posso instalar programas na minha máquina de trabalho.
As empresas também precisam de um processo de reação a incidentes para serem capazes de conter um problema e livrar-se dele de maneira segura e organizada.
Security Spotlight: Que soluções podem ser adotadas pelas empresas para proteger suas redes e seus sistemas?
Ijzerman: a melhor estratégia é ter uma defesa em vários níveis, e bloquear os ataques no momento em que ocorrem. Escolha um fornecedor que ofereça uma solução abrangente de segurança, do antivírus e do anti-spyware até sistemas de prevenção contra invasões de redes e hosts. É realmente difícil ter produtos de muitos fornecedores diferentes, e garantir que você está protegido.
Recursos
