quarta-feira, 21 de maio de 2014

Heartbleed, o novo bug do milênio?

Assim como o pânico do Bug do Milênio, o Heartbleed parece não ter feito o estrago anunciado. Essa é a conclusão do artigo publicado pela revista The Economist sobre a “maior brecha de segurança da história”. A vulnerabilidade no software de criptografia OpenSSL, usado para proteger dados enviados pela internet, havia sido descoberta – e secretamente explorada – por hackers anônimos antes que os especialistas em segurança se deparassem com esse erro de codificação e prontamente o corrigissem. Felizmente, a vulnerabilidade Heartbleed afetou apenas as versões mais recentes do OpenSSL, que representam cerca de 17% do total. Mesmo entre os afetados, o recurso que causou o bug Heartbleed foi desativado em inúmeros casos. Acesse aqui o artigo da The Economist e entenda porque a ameaça não foi tão grave assim.

sexta-feira, 16 de maio de 2014

Computação forense contra três ameaças atuais

Como três ameaças cibernéticas transformam a resposta a incidentes: ataques direcionados, exploração das vulnerabilidades do sistema, roubo de dados

Apesar de usarmos os mesmos nomes antigos para designá-los— vírus, cavalos de troia e worms — os malwares de hoje merecem muito mais respeito do que atualmente lhe é concedido. Enquanto os vírus tradicionais do passado tinham o objetivo principal de atrapalhar operações ou garantir fama ao seu programador, os malwares de hoje executam ataques em múltiplos estágios e são chamados Ameaças Avançadas Persistentes.

Nestes ataques cuidadosamente sequenciais, os criminosos lançam mão de malwares personalizados e em constante alteração, colocados em lugares onde passem despercebidos e devolvendo ao seu controlador os investimentos feitos. Neste documento, iremos descrever como os malwares tornam-se ameaças avançadas persistentes. Em três estudos de caso, equipes de segurança de dados das empresas e de resposta a incidentes (RI) mostram como empregar ferramentas de computação forense para minimizar os danos.

“Nunca antes ao longo das duas últimas décadas, os entrevistados das pesquisas da ISBC relataram tantas invasões. A natureza dos incidentes relatados nesta pesquisa é diferente dos incidentes das pesquisas anteriores, com grande aumento nas invasões de confidencialidade de proteção de dados, hacking e ataques que causam impedimento de serviço, além de ‘botnet’ e spyware”, Pesquisa sobre Invasões dos dados de segurança 2010.

Além do malware comum: Ameaças persistentes avançadas 

Um estudo conduzido pela PriceWaterhouseCoopers para a InfoSec Europe mostrou que “os incidentes relatados em 2010 são diferentes daqueles vistos em pesquisas anteriores, com grande aumento nas invasões de confidencialidade de proteção de dados, hacking e ataques que causam impedimento de serviço, além de ‘botnet’ e spyware.”

Hoje, os tipos de ataque são diferentes, o momento é diferente e as respostas devem ser diferentes. A maior parte das ameaças, incluindo a Operação Aurora, Zeus e os exemplos de pirataria que estamos prestes a discutir, buscam dados confidenciais encontrados em dispositivos vulneráveis. Estas ameaças sutis e frequentemente planejadas empregam múltiplas técnicas para penetrar a rede e remover dados, deixando apenas pequenos artefatos que indicam suas atividades e navegando habilmente ao longo da infraestrutura da empresa.

Cada sistema que tocam pode ser carregado com malware e alguns ataques incorporam dúzias de pedaços diferentes de códigos, tais como keyloggers, ofuscadores, rootkits e worms, que executam diferentes funções durante o ataque. O polimorfismo, alterando a cada uso, e o código personalizado capacitam estes malwares a evitar defesas com base em assinaturas.

Os ataques direcionados de hoje podem usar estágios em série para penetrar gradualmente em um sistema. Os criminosos testarão com delicadeza as fraquezas e as contramedidas disponíveis, além de fazer, ocasionalmente, que seus códigos repousem em estado de latência em um sistema de modo a escapar da percepção da rede e de sistemas de detecção de intrusos até o momento em que acordam.

De outro modo, hackers de botnet podem atacar por meio de caminhos paralelos simultâneos — e-mail, web e dispositivos USB — esperando alcançar sucesso através da combinação precisa entre malware, navegador e vulnerabilidades do sistema. É claro que os intrusos internos ainda escrevem suas próprias linhas do tempo, mas muitos agem dentro de poucas semanas após ter deixado a empresa.

Respostas eficientes
A complexidade e a diversidade destas ameaças as tornam difíceis de prever, detectar e desviar, e, portanto, também mais bem-sucedidas. Primeiro, as equipes de resposta a incidentes devem conter a fase visível do ataque, colocando suas vítimas em quarentena. Eles devem presumir que existem outras vítimas e outros estágios que precisam ser identificados, caracterizados e remediados.

A fim de retornar à normalidade, as empresas precisam saber com segurança se os sistemas estão limpos. Um bom atestado de saúde requer a remoção do arsenal completo de todos os recursos do software malicioso e de ganchos em todos os ativos da rede.

Computação forense

Recursos conhecidos como computação forense auxiliam as equipes de RI e de segurança de dados da empresa a enfrentar estas ameaças com confiança. A computação forense pode ser definida como o processo de extração ou análise de dados de um computador ou servidor de modo a garantir a integridade dos dados e do sistema.

As ferramentas da computação forense aprimoram as técnicas forenses comprovadas com tecnologias avançadas de segurança computacional a fim de conseguir uma visibilidade completa do sistema e expor, analisar, conter e remediar anomalias. A automatização e a centralização permitem que mais seja alcançado em menos tempo, enquanto mantém controles dignos de evidência.

Diferente da investigação forense tradicional do tipo “dead box”, a computação forense pode operar na rede para inspecionar os dados e o software não apenas no disco rígido, mas também na memória. Ao analisar o sistema, a computação forense busca por códigos anômalos, incluindo rootkits, códigos em bloco, arquivos com dados delicados, software de execução automática e outros artefatos relativos. Por meio desta inspeção e análise profundas, as ferramentas podem expor rapidamente o software e os códigos polimórficos suspeitos ou inapropriados que estejam em execução em um PC, laptop ou servidores compartilhados.

Recursos compartilhados, como servidores de impressão, arquivos e e-mail, são alvos excelentes para malware. Diferentes dos dispositivos fortemente monitorados, os comportamentos incomuns destes sistemas frequentemente passam despercebidos por longos períodos, aumentando os lucros do hacker por trás do bot.

Malwares em servidores de impressão foram vistos em diversos ataques recentes, incluindo um no qual a evidência foi destruída durante o processo de recuperação: “a cidade de Norfolk, na Virgínia, sofreu um grande ataque cibernético quando hackers lançaram possíveis códigos maliciosos conhecidos como “bombas relógio” nos sistemas de informática da cidade, destruindo os dados em quase 800 PCs (...). Os gestores de TI determinaram que a fonte de distribuição do malware foi o servidor de impressão responsável pelas tarefas de impressão da Prefeitura de Norfolk. Contudo, o código malicioso daquele sistema pode não ser recuperado, pois os gestores de TI destruíram-no enquanto recompilavam o servidor de impressão.”

Talvez o passo mais difícil da resposta ao incidente cibernético seja determinar a abrangência completa do ataque. É preciso descobrir todos os códigos que devem ser remediados, malwares conhecidos e desconhecidos e também dados confidenciais errantes, de forma confiável e rápida. Depois que o código for identificado em todos os sistemas comprometidos, a equipe pode coletar e preservar os dados para análise, aprimorar a varredura futura contra novas infecções e, se necessário, como evidência.

Finalmente, o sistema é devolvido a um estado conhecido e confiável. Historicamente, este processo é lento e calculado. Contudo, as ameaças atuais não deixam espaço para uma abordagem demorada. A velocidade e o volume dos ataques, aliados às operações distribuídas sem trégua contra as empresas, significam que a análise forense deve agora ser centralizada, sem que seja manual, e:

• Extremamente rápida
Inspeções automáticas de alto desempenho para expor e conter ameaças em todos

• Abrangente
Investigação profunda e limpeza de todos os softwares no sistema, incluindo chaves de registro, para assegurar que nenhum código malicioso foi deixado escondido para emergir no futuro

• Sutil
Operações que passam despercebidas, sem intervenção manual, para permitir execução efetiva em termos de custo e investigação discreta de incidentes suspeitos

A computação forense permite que as equipes de RI e de segurança de dados façam a triagem, determinem o alcance e corrijam rapidamente as ameaças sofisticadas. Também oferecem um modo incomum de estar à frente destas ameaças: O analista da Gartner, Jay Heiser, recomenda que as equipes de segurança e de resposta “planejem – ou mesmo instalem – os agentes de forense remota antes que sejam de fato necessários, trabalhando com os gestores de TI para assegurar a compatibilidade com a rede, a segurança, a codificação e os privilégios administrativos.”

Três estudos de caso

A importância da computação forense fica evidente quando olhamos para as respostas a três cenários comuns de ameaça crescente: ataques direcionados, exploração de vulnerabilidades do sistema e roubo de dados.

Malware executando ataques direcionados: Operação Aurora (Google etc.) 

Em janeiro de 2010, o ícone do setor, Google, abalou a comunidade de TI e virou notícia de primeira página quando admitiu ter sido vítima de um ataque direcionado, o que teria permitido a alguém roubar códigos fonte do sistema de senhas do Google e acessar conteúdos delicados relativos a ativistas chineses de direitos humanos. Mais à frente, várias outras empresas de alta tecnologia e segurança — Adobe, Intel, Juniper Networks, Symantec e outras — admitiram que foram invadidas também.

Este ataque desenrolou-se em múltiplas fases para penetrar fundo na infraestrutura das vítimas. De acordo com o New York Times, “o roubo começou com uma mensagem instantânea enviada para um funcionário do Google na China que estava usando o Messenger da Microsoft. Ao clicar em um link e conectar-se a um site “contaminado”, o funcionário permitiu inadvertidamente que intrusos acessassem seu computador pessoal e, depois, computadores de um grupo essencial de desenvolvedores de software na sede do Google, em Mountain View, na Califórnia.

Finalmente, os intrusos conseguiram tomar o controle de um repositório de software usado pela equipe de desenvolvimento”. Este ataque “usou múltiplos componentes de malware, com códigos altamente ocultos concebidos para confundir os pesquisadores de segurança”

Como a computação forense faz a diferença? A computação forense ajuda a revelar, fazer a triagem e remediar com segurança os sistemas afetados rapidamente. Uma equipe de RI com  ferramentas da computação forense poderia:


  • Determinar se malwares estavam envolvidos
  • Rastrear malwares colocados em máquinas comprometidas
  • Coletar dados de máquinas potencialmente afetadas para análise
  • Devolver as máquinas a um estado confiável


Com a computação forense, quando se identifica um sistema suspeito, é possível identificar também se o software daquele sistema é um perfil de binários conhecidos da sua empresa, bem como se são códigos conhecidos bons ou maus. Após separar o software reconhecido, restarão apenas as ameaças novas desconhecidas e, às vezes, zero-day.

Os recursos de análise ajudam a compreender as capacidades do código, levando-o a encontrar os lugares onde o malware pode ter penetrado, além de auxiliá-lo a remediar a situação. Enquanto isso, a inspeção preserva o estado forense do sistema e de seus dados, incluindo dados do disco rígido e da memória, ajudando na conformidade com a cadeia jurídica dos padrões de custódia, além de captar a evidência necessária para os procedimentos jurídicos.

Depois de coletadas as evidências necessárias dos sistemas comprometidos, a computação forense limpará o sistema, livrando os arquivos de códigos maliciosos, terminando processos e restaurando chaves de registro para bloquear a propagação.

Sistemas de exploração de vulnerabilidades por botnets e malware: Zeus 

Uma das vantagens das ferramentas forenses é que elas percebem além do óbvio. Por vezes, você sabe que algo está errado porque os sistemas simplesmente estão se comportando de maneira incomum. Por vezes, o conselho de gestão deseja provas de que a infraestrutura não foi afetada pela última inovação de crime cibernético discutida publicamente. Quando os antivírus padrão e as avaliações de vulnerabilidade falham em encontrar qualquer coisa errada, a computação forense pode ser a única maneira de restaurar a confiança de que seu sistema está limpo.

Por exemplo, códigos maliciosos podem estar conectando seus sistemas a um botnet. Cada máquina comprometida, ou zumbi, pode enviar spam ou ser usada como presa para outros ataques, colocando sua empresa em risco de confiança e danos a sua reputação. Algumas empresas apenas descobrem os zumbis quando o tráfego de suas redes é sinalizado e rebaixado como “arriscada” por serviços que calculam as reputações na internet. Estes serviços bloqueiam ou rebaixam o tráfego de endereços de IP que estão enviando spam ou comportando-se de maneira estranha. Ter seu tráfego de rede ou de e-mail recusado é algo negativo para os negócios, e restaurar sua reputação on-line adiciona aborrecimento e complexidade para a resposta aos incidentes.

O botnet Zeus é um malware predominantemente voltado para o setor financeiro e o mais perigoso da internet, com uma rede de zumbis e um conjunto de técnicas sendo usadas constantemente para atingir contas on-line e dados de contas bancárias. O malware Zeus infecta o PC, altera o registro, espera o início da sessão e envia os dados de login para um centro de comando e controle. É tão virulento quanto assustador. Ele pode ultrapassar fortíssimos sistemas de autenticação e assinatura de transações, operando de forma invisível enquanto os usuários acreditam estar protegidos. Ao mudar sua forma a cada utilização, ele engana os antivírus que procuram instâncias repetidas de códigos.

Como a computação forense faz a diferença? A inspeção profunda das ferramentas de computação forense auxiliará as equipes de segurança de dados a expor problemas de integridade do sistema causados por códigos anômalos ou desconhecidos, incluindo códigos adormecidos, permitindo que se corrija estes riscos.

Uma estratégia que ganha notoriedade rapidamente entre as empresas usa a computação forense para estabelecer um perfil “gold build” para os sistemas e depois executar varreduras frequentes para expor qualquer anomalia. Um processo típico inclui:

  • Criar perfis iniciais “confiáveis”, documentando códigos conhecidos bons e aplicativos aprovados
  • Expor dados desconhecidos residindo em qualquer sistema em rede
  • Analisar todos os bancos de dados comerciais desconhecidos para localização rápida de conteúdo suspeito, como malwares ou processos não aprovados
  • Devolver as configurações a seus estados confiáveis ao corrigir o malware, os dados inapropriados e o software desautorizado


Varreduras consistentes de dispositivos, revisões feitas automaticamente ao longo dos dispositivos em rede, sinalizam ameaças desconhecidas e aquilo que não estiver em conformidade com as políticas corporativas. É possível detectar anomalias imediatamente e tratá-las como eventos formais, o que permite que as respostas aos incidentes sejam pontuais e apropriadas.

Perda ou roubo de dados: dados regulamentados e propriedade intelectual 

Nosso último estudo de caso reflete o valor de mercado de dados delicados e confidenciais. Através de acidente ou ação deliberada, é simples para que os dados regulamentados (bancos de dados de clientes e funcionários e registros financeiros corporativos) e a propriedade intelectual (código-fonte, designs e planos de negócio) sejam alvos em violação de políticas. Por exemplo, o padrão PCI de segurança de dados (DSS) indica que dados de cartões de crédito devem ser armazenados apenas se houver uma necessidade comercial legítima.

“Comerciantes que não armazenam automaticamente os dados dos titulares, fornecem maior segurança aos clientes, pois eliminaram um alvo essencial para ladrões de dados. Para comerciantes que têm uma razão comercial legítima para armazenar os dados dos titulares, é importante compreender quais dados o PCI DSS permite que sejam armazenados e quais medidas precisam ser tomadas para protegê-los.”

Algumas vezes, a violação de políticas contorna os obstáculos operacionais, como chaves USB usadas para sneakernets. Algumas vezes, elas ocorrem para fins lucrativos. Uma pesquisa de 2010 sobre ameaças internas relatou que “o pessoal interno com mais frequência usa seus laptops ou copiam informações para dispositivos móveis como meio de cometer crimes eletrônicos contra sua empresa. A CyberSecurity Watch Survey de 2010 descobriu que os dados são frequentemente transferidos para computadores domésticos ou enviados para fora da empresa via e-mail. Isto pode causar danos a reputações empresariais e pode levar empresas à violação de leis federais ou estaduais de proteção de dados.”

Enquanto as violações de dados regulamentados requerem notificação, os vazamentos de dados e a pirataria de propriedade intelectual representam uma penalidade extra: perda de rendimentos. “Um vazamento na segurança de uma grande empresa fonográfica levou a um vazamento deliberado, anterior ao lançamento previsto, do último álbum de uma estrela do setor. Além de ter perdido rendimentos no valor de £ 100.000, também há o embaraço de ter que lidar com a mídia.” Alguns artistas tiveram que mudar as datas de lançamentos de seus álbuns para responder a estas perdas, remanejando planos e pagando um preço muito alto.

Infecções inadvertidas de malware por site comprometido, via injeção de iframe ou keylogger, permitem que um ladrão acesse o sistema do visitante, tomando-o para si e copiando dados da conta, arquivos, ações do usuário e tudo aquilo que for de seu interesse.

Como a computação forense faz diferença? A chave para reduzir a perda e o roubo de dados é reduzir a disponibilidade de exposição dos dados. A estratégia é direta: após encerrar o acesso legítimo, os dados devem ser excluídos de um dispositivo onde estejam suscetíveis a uso impróprio. O mesmo software de computação forense e os processos similares usado nos estudos de casos anteriores auxiliam, desta vez, a identificar e limpar dados confidenciais de dispositivos não autorizados. Em vez de procurar códigos maliciosos, as ferramentas procuram dados regulamentados ou confidenciais.

Os passos são um pouco diferentes, mas os resultados são os mesmos: os sistemas retornam a um estado confiável.


  • Cria parâmetros de busca com base em múltiplos critérios de busca, palavras-chave, intervalos de datas valores hash e expressões gerais
  • Busca propriedade intelectual sigilosa e informação pessoalmente identificável (PII) a partir de PCs, laptops ou servidores da rede, expondo riscos e permitindo a limpeza
  • Aplica políticas de retenção de dados e recupera remotamente dados delicados, captando seus metadados para obtenção de evidências jurídicas
  • Repete o processo frequentemente usando varreduras automáticas e agendadas.


Um produtor de videogames descobriu seu código fonte, antes do lançamento, em um site público. Usando computação forense com base em rede, eles conseguiram iniciar uma busca através da rede, varrendo 91 países, e descobriram arquivos fonte que correspondiam à versão vazada. Como a ferramenta operou na surdina, a empresa pôde evitar avisar o criminoso até que os investigadores estivessem prontos para agir.

Conclusão 
Apesar dos bilhões de dólares gastos anualmente em soluções de segurança, os ataques cibernéticos são atualmente inevitáveis. Os criminosos cibernéticos perpetuam suas atividades criando códigos personalizados e especializados não reconhecidos por ferramentas com base em assinaturas e em abrangência. Além disso, são empregadas diversas técnicas que desviam consciente e laboriosamente as camadas de defesa.

Considerando esta realidade, o objetivo deve ser preparar-se e buscar minimizar cada impacto dos ataques. As equipes de segurança de dados e de IR podem usar ferramentas avançadas de computação forense para preparar-se, além do ambiente de seus softwares, para reduzir as chances de um ataque bem sucedido, da exploração das vulnerabilidades do sistema ou da perda de dados. A aplicação pontual e efetiva da computação forense pode reduzir a área disponível para o ataque e reduzir os danos por meio da mitigação completa de ameaças ativas.

Acesse o documento da Guidance Software. 

Sobre a Guidance Software
Mundialmente reconhecida como líder do setor em soluções investigativas digitais. Sua plataforma EnCase® fornece a base para que organizações governamentais, corporativas e reguladoras façam investigações completas, habilitadas para rede e legalmente válidas, de qualquer tipo, como resposta a solicitações de investigação eletrônica (eDiscovery), realização de investigações internas, resposta a inquéritos regulamentares ou auditorias de dados e conformidade, mantendo a integridade legal dos dados periciais. Existem mais de 40.000 usuários licenciados das tecnologias EnCase ao redor do mundo.