apresentação - symantec
TRANSCRIPT
Internet Security Threat Report Volume XIV
Paulo Vendramini
Diretor de Engenharia de Sistemas da Symantec
América Latina
14/04/2009
2
Internet Security Threat Report XIV
O que é o ISTR:– Um relatório detalhado sobre tendências detectadas pela Symantec– Baseado em dados reais e empíricos coletados pela Rede de
Inteligência Global da Symantec. – Relatório público que traz um panorama completo do atual cenário
de segurança na Internet. – Identifica e analisa os métodos de ataque utilizados por criminosos
digitais: os chamados “Cibercriminosos”. – Caráter neutro e imparcial.
O que o ISTR NÃO é:– Uma pesquisa de opinião.– Um produto focado em marketing.– Cientificamente comprovado.
2ISTR XIV
Global Intelligence NetworkIdentifica ameaças + ações de combate mais rápidas + prevenção contra maiores impactos
3
Proteção da InformaçãoAlertas de Segurança Ações contra ameaças
Escala e Escopo GlobalCobertura mundial Monitoramento 24x7
Rápida Detecção
Ataques•240,000 sensores•Mais de 200 países
Malcode Intelligence•130M client, servidores, gateways• Cobertura global
Vulnerabilidades• + 32,000 vulnerabilidades•11,000 fabricantes•72,000 tecnologias
Spam/Phishing•2.5M contas “isca”•8B+ msgs de email /por dia•1B+ solicitações web/dia
ISTR XIV
Internet Security Threat Report - Volume XIVPrincipais Resultados
Os cibercriminosos estão migrando suas operações para regiões com infra-estrutura de Internet emergentes.
55ISTR XIV
1
6
Tendências Globais de Atividade Maliciosa Por país
• Em 2008 os Estados Unidos foi o líder do ranking mundial de atividade maliciosa com 23% do total. A China aparece em segundo com 9%.
• Em alguns países, a atividade maliciosa cresce na mesma proporção em que aumenta a penetração da Internet e da banda larga.
6ISTR XIV
7
• Em 2008, o Brasil aparece como líder do ranking de atividade maliciosa por país na América Latina com 34% do total (crescimento de 3% em relação a 2007)
7ISTR XIV
2008 Rank
2007 Rank
Country
2008 Overall
Percentage
LAM
2007 Overall
PercentageLAM
Malicious Code
Rank
Spam Zombie
sRank
Phishing
Website HostsRank
Bot Rank
Attack
Origin
Rank1 1 Brazil 34% 31% 2 1 1 1 12 2 Mexico 17% 22% 1 5 4 5 23 3 Argentina 15% 13% 6 2 2 2 34 4 Chile 8% 8% 5 4 3 4 55 5 Colombia 7% 6% 3 3 5 6 46 6 Peru 4% 5% 8 6 8 3 77 7 Venezuela 3% 3% 4 9 6 10 6
8 8Puerto Rico
2% 2% 7 10 10 8 8
9 9Dominican Republic
1% 1% 12 7 18 7 10
10 10 Ecuador 1% 1% 9 18 7 19 14
Tendências Globais de Atividade Maliciosa Por país – América Latina
8
Ranking dos países originários de ataques com alvo na América Latina
8ISTR XIV
Posição
País%
Regional% Global
1 United States 58% 25%2 China 8% 13%3 Chile 3% 1%4 Argentina 3% 1%5 Brazil 3% 3%6 Spain 2% 3%7 Canada 2% 3%8 Netherlands 1% 1%9 United Kingdom 1% 6%
10 Colombia 1% 1%Novo!
Novo!
Novo!
Novo = Não apareceu no ISTR XIII.
Cada vez mais, os criminosos digitais atacam usuários finais por meio de ameaças em websites legítimos e com grande tráfego.
99ISTR XIV
2
Como funciona o ataque a um usuário
10
1. O cibercriminoso compromete um servidor da Web
2. Os usuários visitam o website
legítimo4. Este servidor aproveita-se da
vulnerabilidade para instalar códigos
maliciosos.
3. O usuário é redirecionado
para um servidor malicioso
ISTR XIV
O “sistema” por trás da ameaça
11
Sites de Phishing
Botnets
ISTR XIV
Economia virtual clandestina
Computadores comprometidos
12
Comprometimento de Websites
• Os criminosos digitais localizam e comprometem websites com alto tráfego por meio de uma vulnerabilidade específica para aquele site ou por algum aplicativo de Web que o site eventualmente hospede.
• A partir do momento que o site está comprometido, os criminosos digitais modificam as páginas de forma que o conteúdo malicioso seja visitado pelos usuários.
Vulnerabilidades de aplicativos na Web
Vulnerabilidade específicas para o website
12ISTR XIV
O número de códigos maliciosos continua crescendo
1313ISTR XIV
3
14
Códigos Maliciosos em crescimento
• Mais de 60% de todos os códigos maliciosos detectados até hoje pela Symantec foram descobertos em 2008.
14ISTR XIV
15
Tipos de Código Malicioso
• Os Trojans representaram 68% do total dos 50 principais códigos detectados em 2008. Uma pequena redução frente aos 69% em 2007.
• Os Worms tiveram um pequeno aumento: de 26% em 2007 para 29% em 2008.
• O percentual dos chamados “back doors” também caiu de 21% para 15% em 2008.
15ISTR XIV
16
Código Malicioso – Ameaças aparentes
16ISTR XIV
• Mais de 90% das ameaças visam atacar informações confidenciais.
• Aumento das ameaças para informações confidenciais que exportam os dados do usuário e keyloggers (informações digitadas no teclado)
17
Tendências – Código Malicioso Mecanismos de Propagação
• 66% das potenciais infecções por código malicioso se propagaram por meio de arquivos executáveis compartilhados, um aumento expressivo se comparado aos 44% registrados em 2007.
• Códigos maliciosos utilizando protocolos compartilhados de arquivos P2P caíram de 17% em 2007 para 10% em 2008.
17ISTR XIV
18
Ranking das amostras de código malicioso na América Latina
18ISTR XIV
Rank
Amostra Tipo Vetor(es) de
Infecção)País
1País
2Impacto
1Gammima.AG
Worm, virus
Removable drives
Mexico BrazilSteals online game account credentials
2 SillyFDC WormMapped, removable drives
Mexico BrazilDownloads and installs additional threats
3 Rontokbro Worm SMTP Mexico Chile Performs DoS attacks
4 Gampass Trojan N/A Mexico BrazilSteals online game account credentials
5 SillyDC WormRemovable drives
MexicoColombi
aDownloads and installs additional threats
6 Wimad Trojan N/A Mexico BrazilExploits DRM technology to download additional threats
7 VundoTrojan, back door
N/A Mexico BrazilDisplays advertisements, and downloads and installs additional threats
8 GammimaWorm, virus
Removable drives
Mexico BrazilSteals online game account credentials
9Rontokbro.K
Worm SMTP MexicoColombi
aPerforms DoS attacks
10 Runauto WormMapped, removable drives
Mexico BrazilModifies registries to display offensive text in browser windows
Os cibercriminosos são bastante organizados. Por isso, os ataques de spam e phishing continuam sendo lucrativos e obtendo sucesso. A cooperação entre as empresas da indústria de segurança faz-se cada vez mais necessária.
1919ISTR XIV
4
Tendências globais de Phishing Setores mais afetados (por volume)
• Os serviços financeiros acumularam 76% das ameaças de phishing comparado com 52% em 2007
• As contas ISP (Internet Service Provider) podem ser alvos valiosos para os phishers já que normalmente os usuários utilizam as mesmas credenciais de identificação para diferentes contas, inclusive de e-mail.
ISTR XIV 20
21
Categorias de Spam
• Spams relacionados a Internet foram a categoria nº 1 com 24% do total, seguidos por spams comerciais (produtos) com 19%
• O spam financeiro caiu de 21% para 13% principalmente em razão do vaivém da bolsa de valores.
21ISTR XIV
22
Spam - GlobalPaíses de origem
• No decorrer de 2008, a Symantec observou um aumento de 192% na detecção de spams por toda rede mundial. De 119.6 bilhões de mensagens em 2007, o número foi para 349.6 bi no último ano.
• Em 2008, os bots foram responsáveis pela distribuição de aproximadamente 90% do total de spams.
• A Rússia, Turquia e Brasil tiveram aumentos consideráveis no número de spams em 2008.
22ISTR XIV
2323ISTR XIV
Posição
País%
Regional% Global
1 Brazil 29% 4%2 Argentina 15% 2%3 Colombia 12% 1%4 Chile 9% 1%5 Peru 9% 1%6 Mexico 6% 1%7 Bolivia 3% <1%8 Dominica 3% <1%9 Venezuela 2% <1%10 Dominican Republic 2% <1%
Spam – América LatinaPaís de origem
Novo!
Novo!
Os criminosos digitais estão mais do que nunca concentrando seus esforços em utilizar as informações de usuários finais para obtenção de ganhos financeiros.
2424ISTR XIV
5
25
Comercialização das infos roubadas
• Dados de cartão de crédito (32%) e credenciais de conta bancária (19%) continuam sendo as informações mais comercializadas.
• A média de preços de dados de cartão de crédito continuam iguais em 2008, variando entre $0.06 to $30 por número de cartão.
• Contas de e-mail comprometidas possibilitam o acesso a outras informações confidenciais.
25ISTR XIV
2626ISTR XIV
Resumo
Resumo – Principais Resultados
ISTR XIV 27
O número de códigos maliciosos continua crescendo
12345
Os Cibercriminosos estão migrando suas operações para regiões com
Infra-estrutura de Internet emergente.
Cada vez mais os criminosos digitais atacam usuários finais por meio de ameaças em websites legítimos e com grande tráfego.
Os cibercriminosos são bastante organizados. Por isso, os ataques de spam e phishing continuam sendo lucrativos e obtendo sucesso. A cooperação entre as empresas da indústria de segurança faz-se cada vez mais necessária.
Os criminosos digitais estão mais do que nunca concentrando seus esforços em utilizar as informações de usuários finais para obtenção de ganhos financeiros.
Copyright © 2008 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners.This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice.
Obrigado!
Paulo Vendramini
Diretor de Engenharia de Sistemas da Symantec
América Latina
14/04/2009
28Report on the Underground Economy