relatório de ameaças à segurança de sites 2014 · ofertas falsas, como minutos gratuitos de...

Relatório de Ameaças à Segurança de Sites 2014

Tendências de 2013, Volume 19, publicado em junho de 2014

Relatório de Ameaças à Segurança de Sites 2014

Tendências de 2013, Volume 19, publicado em junho de 2014

®

T H E W E B S E C U R I T Y C O N S U LT A N T S

08008922247 | www.SSL247.com.br | [email protected]

2 I Symantec Corporation

Conteúdo

Introdução 3Resumo executivo 4

Cronologia da segurança em 2013 5 - 7

2013 em números 8 Violações 9 Web 10

Ataques direcionados 11Spear phishing 12Baseados na Web 13 - 14Spear phishing (cont.) 15 - 17

Watering holes 18 - 20Descoberta de rede e captura de dados 21Violações de dados 23

Crimes eletrônicos e táticas de entrega de malware 24 - 26Táticas de entrega de ameaças 27Ataques na Web bloqueados 30Classificação dos sites mais explorados em 2013 29Táticas de entrega de ameaças (cont.) 30 - 31Proporção do tráfego de e-mail 32

Mídia social 33 - 36

Spam e phishing 37 - 39Sites comprometidos 40

O futuro 41 - 43

Recomendações e diretrizes de melhores práticas 44 - 46Heartbleed 47 - 48

Garanta a segurança de seus negócios com a Symantec 49

Sobre a Symantec 50

Relatório de Ameaças à Segurança de Sites 2014 I Volume 19


Introdução

A Symantec possui a mais abrangente fonte de dados do mundo sobre

ameaças na Internet, com a Symantec™ Global Intelligence Network, composta

por mais de 41,5 milhões de sensores de ataque e capaz de registrar milhares

de eventos por segundo. Essa rede monitora a atividade de ameaças em

mais de 157 países e territórios por meio de uma combinação de produtos

e serviços da Symantec, como o Symantec DeepSight™ Threat Management

System, o Symantec™ Managed Security Services, produtos Norton™, o

Symantec Website Security Solutions e outras fontes de dados de terceiros.

A Symantec também possui um dos bancos de dados de vulnerabilidades mais abrangentes do mundo, consistindo em mais de 60.000 vulnerabilidades registradas por mais de 19.000 fornecedores que representam mais de 54.000 produtos.

Dados de spam, phishing e malware são capturados por uma variedade de fontes, incluindo a Symantec Probe Network, um sistema com mais de 5 milhões de contas falsas; o Symantec.cloud; produtos para malware e vulnerabilidades do Symantec Website Security Solutions e várias outras tecnologias de segurança da Symantec. A Skeptic™, a tecnologia heurística e patenteada do Symantec.cloud, é capaz de detectar ameaças direcionadas novas e sofisticadas antes que elas cheguem às redes dos clientes. Mais de 8,4 bilhões de mensagens de e-mail são processadas todos os meses, e mais de 1,7 bilhão de solicitações da Web são filtradas todos os dias, em 14 data centers. A Symantec também coleta informações de phishing por meio de uma ampla comunidade antifraude composta por empresas, fornecedores de segurança e mais de 50 milhões de consumidores.

O Symantec Website Security Solutions fornece 100 por cento de disponibilidade e processa seis bilhões de pesquisas OCSP (Online Certificate Status Protocol) por dia, que são usadas para obter o status de revogação de certificados digitais X.509 em todo o mundo. Esses recursos oferecem aos analistas da Symantec fontes de dados sem igual, com as quais eles podem identificar, analisar e fornecer comentários embasados sobre as novas tendências de ataques, atividades de código mal-intencionado, phishing e spam. O resultado é o terceiro Relatório da Symantec sobre Ameaças à Segurança de Sites (baseado no ISTR da Symantec, Volume 19), que fornece a empresas de todos os portes, e também aos consumidores, as informações essenciais para que protejam seus sistemas com eficácia agora e no futuro.



Resumo executivo

Em 2013, as atenções voltaram-se para a ciberespionagem, as ameaças à privacidade e aos atos de profissionais internos mal-intencionados. Entretanto, o fim de 2013 trouxe um lembrete doloroso de que o crime cibernético continua a prevalecer, e que as ameaças prejudiciais dos criminosos continuam a lançar sua sombra sobre empresas e consumidores. Oito violações em 2013 expuseram mais de 10 milhões de identidades cada, e os ataques direcionados aumentaram.

O relatório WSTR deste ano aborda o amplo panorama de ameaças, com dados coletados e analisados pelos especialistas em segurança da Symantec. Neste resumo, destacamos as principais áreas.

As tendências principais de 2013 foram:

2013: o ano da grande violaçãoO Relatório de Ameaças à Segurança na Internet de 2011 nomeou 2011 como o Ano da Violação de Dados. A melhor descrição de 2013 é o Ano da Grande Violação. O número total de violações em 2013 foi 62 por cento maior do que em 2012, com um total de 253 violações. Esse número foi até maior do que as 208 violações de 2011. No entanto, mesmo um aumento de 62 por cento não reflete fielmente a escala das violações em 2013. Oito das violações de 2013 expuseram mais de 10 milhões de identidades cada. Em 2012, apenas uma violação expôs mais de 10 milhões de identidades. Em 2011, somente cinco violações tiveram essa proporção.

No total, mais de 552 milhões de identidades foram violadas em 2013, colocando em risco informações pessoais do consumidor (cartões de crédito, senhas, detalhes de endereço, etc…).

Ataques direcionados crescem e evoluemComo informado pela primeira vez no relatório do ano passado, os invasores incluíram ataques de tipo watering hole (poço d’água) ao seu arsenal. As menções ao desaparecimento do spear phishing são bastante exageradas. Embora o número total de e-mails usados por campanha tenha diminuído, bem como o número de alvos, o número de campanhas de spear phishing teve um aumento drástico de 91 por cento em 2013.

Vulnerabilidades de dia zero e sites sem patches facilitaram ataques de tipo watering holeMais vulnerabilidades de dia zero foram descobertas em 2013 do que em qualquer outro ano pesquisado pela Symantec. As 23 vulnerabilidades de dia zero descobertas representam um aumento de 61 por cento em relação a 2012 e mais do que os últimos dois anos combinados. Vulnerabilidades de dia zero são importantes porque dão aos invasores o meio de infectar a vítima sem a adoção de engenharia social. Ao aplicarem essas explorações a um ataque watering hole, eles evitam a possibilidade de que a tecnologia antiphishing os detenha. Infelizmente, sites legítimos com práticas inadequadas de gerenciamento de patches facilitaram a adoção de ataques watering hole. 78 por cento dos sites legítimos apresentavam vulnerabilidades exploráveis, e um em oito sites tinha uma vulnerabilidade crítica. Com isso os invasores têm várias opções nos sites para inserir malware e atrair suas vítimas.

De forma geral, invasores sofisticados deixam de usar uma vulnerabilidade quando ela se torna pública. Mas isso não acaba com sua utilização. Criminosos cibernéticos comuns incorporam rapidamente essas vulnerabilidades para ameaçar todos nós. Embora na média as cinco principais vulnerabilidades de dia zero tenham sido corrigidas em até quatro dias, a Symantec detectou um total de 174.651 ataques em até 30 dias após a divulgação dessas cinco vulnerabilidades.

A predominância de fraudes não muda o comportamento dos usuários de mídia socialTodos nós continuamos a ser enganados por scams em sites de mídia social. Ofertas falsas, como minutos gratuitos de telefonia celular, representaram o maior número de ataques a usuários do Facebook em 2013 – 81 por cento em 2013 comparados a 56 por cento em 2012. E, embora doze por cento dos usuários de mídia social digam que alguém invadiu suas contas de redes sociais e se passou por eles, um quarto continua a compartilhar senhas de mídia social e um terço ainda se conecta com desconhecidos.

Os invasores estão se voltando para a Internet das CoisasBabás eletrônicas, câmeras de segurança e roteadores foram notoriamente invadidos em 2013. Além disso, pesquisadores divulgaram ataques contra smart TVs, carros e equipamentos médicos. Isso nos dá uma ideia do desafio de segurança apresentado pela rápida adoção da Internet das Coisas (IoT).


Cronologia da segurança em 2013


®


01Janeiro

02Fevereiro

03Março

04Abril

05Maio

06Junho

Elderwood Project usa a nova vulnerabilidade de dia zero do Internet Explorer (CVE-2012-4792) Dia zero Java encontrado no Cool Exploit Kit (CVE-2013-0422) Android.Exprespam infecta potencialmente milhares de dispositivos Backdoor.Barkiofork usado contra os setores aeroespacial e de defesa

Botnet Bamital é eliminado Dia zero Adobe usado em ataque “LadyBoyle” (CVE-2013-0634) Toolkit para várias plataformas para a criação da ferramenta de acesso remoto (RAT) “Frutas” é descoberto Atualização falsa para Adobe Flash é descoberta; instala ransomware e executa fraude de cliques Bit9 sofre quebra de segurança

Malware Android ataca contatos de vítimas Fraude “Facebook Black” se espalha pelo Facebook Kit de exploração Blackhole tira proveito da crise financeira no Chipre Vários bancos da Coreia do Sul e emissoras locais afetados por ataques pela Internet

Campanha de hacktivismo #OpIsrael ataca sites israelenses NPR, Associated Press, e várias outras contas do Twitter invadidas pelo Syrian Electronic Army (SEA) Ataques distribuídos de negação de serviço contra o Reddit e bancos europeus Vulnerabilidade de plug-in do WordPress é descoberta, permitindo a injeção de PHP LivingSocial redefine senhas de 50 milhões de contas após violação de dados

Um site do Ministério do Trabalho dos EUA torna-se vítima de ataque de tipo watering hole Criminosos cibernéticos roubam mais de US$ 1 milhão de um hospital localizado no estado de WashingtonSEA invade contas no twitter de The Onion, E! Online, The Financial Times e Sky Nova vulnerabilidade de dia zero do Internet Explorer 8 usada em ataque de watering hole (CVE-2012-4792) Campanha de hacktivismo #OpUSA lançada contra sites dos EUA Sete homens foram presos em Nova York devido à sua participação em ataques internacionais pela Internet que resultaram no roubo de US$ 45 milhões em 26 países diferentes

Microsoft e FBI detêm botnets Citadel Um escândalo de espionagem é revelado nos Estados Unidos, com a divulgação de documentos confidenciais por ex-funcionário de segurança do Governo Vulnerabilidade de dia zero encontrada na maioria dos navegadores em PCs, Macs, dispositivos móveis e consoles de jogos Anonymous lança ataque #OpPetrol contra empresas internacionais de petróleo e gás 65 sites comprometidos com o Cavalo de Troia ZeroAccess para hospedar anúncios mal-intencionados FakeAV descoberto em telefones Android





07Julho

08Agosto

09Setembro

10Outubro

Ubisoft invadido: informações de contas de usuário roubadas França envolvida no escândalo PRISM com a revelação de alegações de bisbilhotagem de dados Novo kit de explorações ataca falhas de Internet Explorer, Java e Adobe Reader Ransomware de estilo FBI descoberto ao atacar computadores OSX Vulnerabilidade Android Master Key usada em campo Viber e Thomson Reuters são as vítimas mais recentes de ataques do SEA

Blog do Channel 4 e sites do New York Post, SocialFlow, Washington Post e New York Times afetados pelo SEA Sequestro de DNS faz com que milhares de sites redirecionem os usuários para kit de exploração Dois novos scams de ransomware encontrados: um que muda as credenciais de login do Windows em sistemas chineses e outro que aproveita a controvérsia PRISM da NSA ‘Instagram para PC’ falso leva a fraude de pesquisa Invasores atacaram central de pagamentos de bancos para roubar milhões Engenharia social Francophoned anuncia nova era de ataques direcionados

O Syrian Electronic Army compromete o site dos Fuzileiros Navais dos EUA e de contas da Fox no Twitter, supostamente usando o Mac Trojan Caixas eletrônicos liberam dinheiro para criminosos O ransomware “Cryptolocker” surge, criptografando os arquivos das vítimas e exigindo pagamento para descriptografá-los A Symantec divulga a existência do grupo de hackers profissionais Hidden Lynx Empresa de telecomunicações belga comprometida em suposta campanha de ciberespionagem Resposta de segurança da Symantec elimina o botnet ZeroAccess

O mercado Silk Road sai do ar e volta no fim do mês O SEA ataca sites do GlobalPost e do Qatar, além de e-mails da equipe do presidente dos EUA Adobe confirma quebra de segurança, 150 milhões de identidades expostas Autor dos kits de exploração Blackhole e Cool é preso WhatsApp, AVG, Avira adulterados pelo grupo de hackers KDMS Novo ransomware exige Bitcoins em troca de chave de descriptografia

11Novembro

Segunda vulnerabilidade Android Master Key descoberta Vulnerabilidade de dia zero da Microsoft usada em ataques direcionados e scams de crimes eletrônicos (CVE-2013-3906) O SEA invade o site VICE.com em retaliação ao artigo que supostamente nomeia membros do grupo Anonymous alega ter invadido a rede Wi-Fi do Parlamento inglês durante protesto em Londres Worm Linux que ataca a “Internet das Coisas” é descoberto Target confirma violação de dados que expõe 110 milhões de identidades

12Dezembro

Dados de 20 milhões de hóspedes de hotel chinês são vazados Vulnerabilidade XSS (cross-site scripting) encontrada em aplicativo de controle de turbinas eólicas Imitações do Cryptolocker são descobertas; tentativa de aproveitar o sucesso do original 105 milhões de contas da Coreia do Sul são expostas em quebra de segurança de cartões de crédito


2013 em números


®

Grandes violações são incidentes de violação de dados que causaram a exposição de detalhes pessoais de pelo menos

10 milhões de identidades em um único incidente. Houve oito incidentes em 2013, em comparação a somente um em 2012.

Violações

Violações com mais de 10 milhões de identidades expostas

Dez principais tipos de informações violadas

+700%

01 Nomes verdadeiros

02 Datas de nascimento

03 Números de Previdência Social

04 Endereços residenciais

05 Prontuários médicos

06 Números de telefone

07 Informações financeiras

08 Endereços de e-mail

09 Nomes de usuário e senhas

10 Seguros

Em 2013, as atividades de hackers continuaram a ser a principal causa das violações de dados. Essas atividades podem diminuir a confiança institucional em uma empresa, expondo sua abordagem à segurança, e a perda de dados pessoais de forma extremamente pública pode trazer danos para a reputação de uma organização. As atividades de hackers foram a causa de 35 por cento da violações de dados em 2013.

Em 2013, houve oito violações de dados que disponibilizaram aos hackers 10 milhões de identidades ou até mais, sendo que a maior violação disponibilizou 150 milhões de identi-dades. Em comparação, em 2012 houve apenas uma violação que expôs mais de 10 milhões de identidades.

Total de violações

Total de identidades expostas

1562012

2532013

552milhões 2013

93milhões 2012

+62% +493%

9 I Symantec Corporation Relatório de Ameaças à Segurança de Sites 2014 I Volume 19

Aproximadamente 67 por cento dos sites usados para distribuir malware foram identificados como sites comprometidos

legítimos.

Web

Novos domínios Web mal-intencionados

2011

2012

2013

74.001

55.000

56.158 -24%

Ataques na Web bloqueados por dia

2011

2012

2013

464.100

190.000

568.700 +23%


Ataques direcionados


®

Ataques direcionados - Spear phishing

Ataques de spear phishing por porte empresarial

Risco de tornar-se alvo

31%

19%

50%

2012

Pequenasempresas

1 a 250

Médiasempresas251 a 2,500

Grandes empresas

Mais de 2.501 funcionários

ATAQUES DIRECIONADOS SPEAR PHISHING

1 EM 2,3

1 EM 5,230%

31%

39%

2013

Ataques direcionados a

pequenas empresas

(1-250) foram

responsáveis por 30 por

cento dos ataques de

spear phishing direcio-

nados. 1 em 5

pequenas empresas foi

alvo de pelo menos um

e-mail de spear

phishing em 2013.

39 por cento dos

ataques de spear

phishing direcionados

foram enviados para

grandes empresas com

mais de 2.500

funcionários. 1 em 2 foi

alvo de pelo menos um

ataque desse tipo.

A linha de frente desses

ataques está se

deslocando pela cadeia

de suprimento, e

grandes empresas

podem se tornar alvo de

ataques de tipo

watering hole baseados

na Web, caso os

ataques de spear

phishing baseados em

e-mail não tenham o

resultado desejado.


Ataques direcionados - Baseados na Web

Os invasores normalmente precisam encontrar e explorar uma vulnerabilidade em um site legítimo para obter

controle e inserir sua carga mal-intencionada no site. Para muitos, comprometer um site legítimo pode parecer um

desafio, mas verificações de vulnerabilidades em sites públicos realizadas em 2013 pelos Website Vulnerability

Assessment Services da Symantec descobriram que 78 por cento dos sites continham vulnerabilidades.

Entre elas, 16 por cento foram classificadas como vulnerabilidades críticas que poderiam permitir que os invasores

acessassem dados confidenciais, alterassem o conteúdo do site ou comprometessem os computadores dos

visitantes. Isso significa que, quando um invasor procura um site para comprometer, um em oito sites torna relativa-

mente fácil conseguir acesso.

Visão geral • Ataques direcionados se tornaram mais concentrados conforme os invasores otimizaram seus métodos de ataque.• Em 2013, a média global de ataques de spear phishing por dia foi de 83.• Vulnerabilidades de dia zero, normalmente usadas em ataques de tipo watering hole, chegaram a seus níveis mais altos desde que a Symantec começou a rastreá-las.• Mais uma vez, os hackers foram responsáveis por mais violações de dados do que qualquer outra fonte. No entanto, a exposição acidental, bem como roubo ou perda de dados, aumentaram consideravelmente em 2013.• Em 2013, mais de 552 milhões de identidades foram expostas em violações de dados.

Sites com vulnerabilidades verificados...

… % das quais eram críticas

VULNERABILIDADES BASEADAS NA WEB

+25%

pts

53%

2012

-8%

pts

24%

2012

78%

2013

16%

2013

1 EM 8 sites tinha vulnera-bilidades críticas sem patches


Ataques direcionados - Baseados na Web

Malware foi encontrado em 1 em

cada 566 sites verificados pelo

serviço da Symantec de verificação

de malware em sites.

Vulnerabilidades de dia zero costumam ser usadas em ataques

direcionados baseados na Web de

tipo watering hole.

97 por cento dos ataques com exploração de vulnerabilidades

inicialmente identificadas como

dia zero eram baseados em Java.

O tempo total cumulativo entre a

publicação de uma vulnerabilidade

de dia zero e a publicação do patch

necessário foi de 19 dias para as

cinco principais vulnerabilidades

de dia zero mais exploradas.

O tempo médio entre a publicação

e o patch foi de quatro dias.

Sites com malware

Vulnerabilidades de dia zero

1 EM 5322012

1 EM 5662013

+64%142012

232013

NÚMERO DE DIAS APÓS A PUBLICAÇÃO DA VULNERABILIDADE

NÚ

MER

O D

E AT

AQU

ES D

ETEC

TAD

OS

MIL

HA

RES

2

4

6

8

10

12

14

16

0 90

Oracle Java SE CVE-2013-1493 54%Oracle Java Runtime Environment CVE-2013-2423 27%Oracle Java Runtime Environment CVE-2013-0422 16%Microsoft Internet Explorer CVE-2013-1347 1%Microsoft Internet Explorer CVE-2013-3893 <1%

5 principais vulnerabilidades de dia zero

4 dias Tempo médio de correção

19 dias Tempo total cumulativo de exposição dos 5 principais dias zero

23 vulnerabilidades de software eram do tipo dia zero,

5 das quais destinadas a Java

97% dos ataques com exploração de vulnerabilidades identificadas como dia zero eram baseados em Java

No entanto, o número médio de ataques por campanha caiu, diminuindo em 76 por cento em comparação a 2012 e 62 por cento desde 2011. Isso indica que, embora cada campanha de ataque seja menor, houve um número maior delas em 2013.

Mudanças em 2013 É interessante analisar os últimos anos para ver como as tendências de ataques anteriores se comparam às de 2013.

• Aumento de 42 por cento na taxa de ataques direcionados em comparação a 2012.• Em 2013, a taxa de ataque parece ter caído 28 por cento, voltando aos níveis semelhantes vistos em 2011. • Os ataques parecem ter se tornado mais concentrados conforme os invasores solidificaram e otimizaram seus métodos de ataque. • Examinando as campanhas de ataques baseadas em e-mail1, o número de campanhas individuais identificadas pela Symantec cresceu em 91 por cento a partir de 2012, e é quase seis vezes maior do que em 2011.

1 Uma campanha de ataque é definida como uma série de e-mails que: A.) Mostra claramente que o destinatário e alvo foi escolhido deliberadamente. B.) Contém pelo menos 3 ou 4 correlações fortes com outros e-mails, como assunto, endereço do remetente, domínio do destinatário, endereço IP de origem, etc. C.) É enviada no mesmo dia ou por vários dias.

DIA



Ataques de spear phishing dependem bastante de engenharia social para aumentar sua chance de sucesso. Os e-mails são ajustados pelos invasores para convencer o alvo a abri-los.

Por exemplo, um invasor pode enviar a alguém que trabalhe no setor financeiro um e-mail de spear phishing que trate de novas regras financeiras.

Em um exemplo agressivo de spear phishing, o invasor enviou um e-mail e depois fez uma ligação telefônica diretamente ao alvo. O invasor se fez passar por um funcionário superior e solicitou que o alvo abrisse o anexo imediatamente.

Por exemplo, em 2013, 1 em 54 clientes do Symantec.cloud foi alvo de uma tentativa malsucedida de ataque por e-mail de spear phishing. A gravidade das tentativas de ataque de spear phishing fica ainda mais clara quando, usando-se a mesma metodologia, comparamos esses números ao risco anual de um incêndio no local de trabalho. A chance de um prédio pegar fogo, na pior das hipóteses, está em torno de uma em 161.

Spear phishing (cont.)

Em 2013, 1 em 54 clientes do Symantec.cloud foi alvo de pelo menos uma tenta-tiva malsucedida de ataque por e-mail de spear phishing. A gravidade das ten-tativas de ataque de spear phishing fica ainda mais clara quando, usando-se a mesma metodologia, comparamos esses números ao risco anual de um incêndio no local de trabalho. A chance de um prédio pegar fogo, na pior das hipóteses, está em torno de uma em 161.

Roubo no meio da noite

Às vezes, a comprovação de um crime cibernético

vem de uma fonte inesperada. Uma empresa de

serviços financeiros observou uma transferência

de fundos incomum, no início da manhã, em

um dia específico, a partir de um determinado

computador. A empresa verificou os vídeos de

segurança e descobriu que não havia ninguém

naquele computador no momento da transação.

Um Cavalo de Troia de porta dos fundos foi

encontrado no computador. A ameaça foi

eliminada, mas somente depois que os invasores

conseguiram mais de € 60.000.



ATAQUE DIRECIONADOESTÁGIOS PRINCIPAIS Fonte: Symantec

01 INCURSÃO O invasor obtém acesso à organização desejada. Normalmente isso é precedido por atividades de reconhecimento em que o invasor busca uma tática de engenharia social adequada.

02 DESCOBERTA Após o invasor obter acesso, ele tentará manter esse acesso, além de descobrir dados e outros recursos valiosos que poderá vir a acessar.

03 CAPTURA Após a descoberta e identificação de dados importantes, o invasor descobrirá uma maneira de coletar e agrupar os dados antes de tentar exfiltrá-los.

04 EXFILTRAÇÃO O invasor descobrirá um mecanismo para roubar os dados de seu alvo. Para isso, ele pode carregar os dados em um servidor remoto ou site ao qual tenha acesso. Métodos mais clandestinos podem envolver criptografia e esteganografia a fim de disfarçar ainda mais o processo de exfiltração, como ocultar dados em pacotes de solicitações DNS.




Tipo de executável 2013 2012

.exe 31,3% 39%

.scr 18,4% 2%

.doc 7,9% 34%

.pdf 5,3% 11%

.class 4,7% <1%

.jpg 3,8% <1%

.dmp 2,7% 1%

.dll 1,8% 1%

.au3 1,7% <1%

.xls 1,2% 5%

Quanto maior a empresa, maior o seu risco de receber um e-mail de spear phishing.

Em 2013, mais de 50 por cento dos anexos de e-mail usados em ataques de spear phishing continham arquivos executáveis. Documentos em PDF e do Microsoft Word foram usados com regularidade, representando respectivamente 5,3 por cento e 7,9 por cento dos anexos. No entanto, essas porcentagens diminuíram em relação a 2012.

Uma em 2,3 organizações com mais de 2.500 funcionários foi alvo de pelo menos um ou mais ataques de spear phishing, enquanto 1 em 5 pequenas ou médias empresas foi alvo desse tipo de ataque.

Arquivos .class Java também representaram 4,7 por cento dos anexos de e-mail usados em ataques de spear phishing.

Análise de e-mails de spear phishing usados em ataques direcionadosFonte: Symantec


Watering holes


®


Para preparar um ataque de watering hole, os invasores normalmente precisam encontrar e explorar uma vulnerabilidade em um site legítimo para obter controle e inserir sua carga mal-intencionada no site. Para muitos, comprometer um site legítimo pode parecer um desafio, mas verificações de vulnerabilidades em sites públicos realizadas em 2013 pela divisão Website Security Solutions da Symantec3 descobriram que 78 por cento dos sites continham vulnerabilidades.

Entre elas, 16 por cento foram classificadas como vulnerabilidades críticas que permitiam aos invasores acessar dados confidenciais, alterar o conteúdo do site ou comprometer os computadores dos visitantes.

Isso significa que, quando um invasor procura um site para comprometer, um em oito sites torna relativamente fácil conseguir acesso. Quando um site é comprometido, os invasores são capazes de monitorar os logs do site comprometido para ver quem o visita. Por exemplo, se seu alvo for uma organização do setor de defesa, eles podem procurar os endereços IP de empreiteiros de defesa conhecidos. Se esses endereços IP forem encontrados nos logs de tráfego, eles poderão usar o site como um watering hole.

Watering holes

Em 2013, a forma mais sofisticada de ataques direcionados fez uso de

“watering-holes”. Essa técnica de ataque requer que os invasores infiltrem

um site legítimo visitado por seu alvo, insiram código mal-intencionado e

depois aguardem a visita do alvo. Por exemplo, os ataques do grupo Hidden

Lynx2 infectaram aproximadamente 4.000 usuários em um único mês. Em

alguns casos, outros visitantes de um site de watering hole podem não ser o

alvo desejado e, portanto, tornam-se vítimas de outras formas de malware ou

de nenhum malware, em vez de ficarem sujeitos ao ataque reservado ao alvo

principal. Isso mostra que, embora ataques eficazes de watering hole possam

ser usados como uma tática de longo prazo, eles exigem um certo grau de

paciência dos invasores enquanto aguardam que o alvo desejado visite o site.

2http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/hidden_lynx.pdf

3http://www.symantec.com/en/aa/theme.jsp?themeid=ssl-resources

Os ataques do grupo Hidden Lynx2 infectaram aproximadamente 4.000 usuários em um único mês.


W32.Mabezat

W32.Changeup

Watering holes dependem bastante da exploração de vulnerabilidades de dia zero porque a chance de o ataque ser

descoberto é baixa. O número de vulnerabilidades de dia zero que foram usadas em ataques no ano de 2013 aumentou,

com 23 novas vulnerabilidades descobertas durante o ano (14 descobertas em 2012), o maior número desde que a

Symantec iniciou o rastreamento, em 2006. No entanto, com o número de vulnerabilidades aumentando em 2013, uma

exploração de dia zero nem sempre é necessária para a preparação de um ataque de watering hole.

Um motivo por que os ataques de watering hole têm se tornado mais populares é que os usuários não suspeitam instinti-

vamente de sites legítimos que conhecem e nos quais confiam. Em geral, esses ataques são preparados em sites legítimos

com conteúdo específico de interesse do indivíduo ou grupo que é o alvo. O uso de vulnerabilidades de dia zero em sites

legítimos tornou os watering holes um método atraente para os invasores que possuem os recursos necessários para

orquestrar esse tipo de ataque.

O número de vulnerabilidades de dia zero que foram usadas em ataques no ano

de 2013 aumentou, com 23 novas vulnerabilidades descobertas durante o ano.

Watering holes

Vulnerabilidades de dia zero, 2013Fonte: Symantec

0

1

2

3

4

5

6

7

8

DNOSAJJMAMFJ

2

7

0

1

2 2

1 1 1 1

4

1

DIA



A meta de um invasor que já entrou na rede normalmente é aprofundar-se nela e obter acesso a vários sistemas. Cavalos de Troia que roubam informações são uma das cargas mais comuns que o invasor utilizará. Esses Cavalos de Troia permanecem discretamente em computadores comprometidos coletando detalhes de contas. Ferramentas de despejo de senhas também são usadas, especialmente quando é encontrado um cache de senhas criptografado. Com essas ferramentas, um invasor pode copiar senhas criptografadas (ou “protegidas por hash”) e tentar “vencer o hash” para explorar sistemas potencialmente vulneráveis na rede.

O objetivo do invasor é obter privilégios elevados em sistemas de interesse na rede, como acesso FTP, servidores de e-mail, controladores de domínio, etc. Os invasores podem usar esses detalhes para acessar esses sistemas, continuar a atravessar a rede ou exfiltrar dados.

Descoberta de rede e captura de dados

Se os invasores tiverem êxito em comprometer uma organização, eles podem

atravessar a rede, tentar obter acesso ao controlador do domínio, localizar

documentos de seu interesse e exfiltrar os dados. Em 2013, os downloaders

foram ferramentas populares usadas para obter maior controle dentro da

rede de uma organização. Normalmente chamados de “portas dos fundos

de primeiro estágio”, essas formas extremamente versáteis de código

mal-intencionado permitem o download de outros malwares diferentes,

dependendo de o que pode ser preciso para executar seus objetivos. O

motivo principal do uso de downloaders pelos invasores é que são leves e

fáceis de propagar. Depois que um downloader entra em uma rede, ele irá,

por definição, fazer o download de cargas mais tradicionais, como Cavalos de

Troia para verificar a rede, keyloggers para roubar as informações digitadas

em computadores comprometidos e portas dos fundos que podem enviar

dados roubados de volta ao invasor.



Consequências de uma violação de dadosO roubo de dados não é um crime sem vítimas. Violações de dados trazem graves consequências para as empresas onde ocorrem e para os consumidores que são suas vítimas.

Riscos para as empresasSe uma empresa sofrer uma grande violação de dados, ela poderá enfrentar repercussões que podem afetar seriamente seus negócios. Primeiro, existem os dados de reputação inerentes a uma violação de dados. O incidente pode fazer com que os consumidores percam a confiança na empresa e migrem para um concorrente. Se a empresa sofrer uma grande violação de dados, provavelmente haverá ampla cobertura na mídia, prejudicando ainda mais a sua reputação.

Por exemplo, nos Estados Unidos uma empresa de seguros-saúde está sendo processada pelo roubo de dois computadores laptop não criptografados que armazenavam os dados de 840.000 de seus membros.

Uma empresa de prontuários médicos dos EUA foi à falência após um arrombamento que expôs endereços, números de previdência social e diagnósticos médicos de 14.000 pessoas. Ao explicar sua decisão de requerer falência, a empresa declarou que o custo de lidar com a violação de dados era “proibitivo”.

Por fim, o diretor-executivo da Target (uma varejista baseada nos EUA) renunciou ao cargo, sinalizando os danos causados pela violação de informações dos clientes ocorrida em 2013.

Riscos para os consumidoresOs consumidores são as verdadeiras vítimas das violações de dados, pois enfrentam muitos riscos graves como resultado desse crime cibernético.

Um risco para os consumidores que tiveram seus dados roubados dessa forma é que suas outras contas online também podem ter sido comprometidas. Os invasores usam os detalhes pessoais das vítimas para obter acesso a outras contas mais valiosas; por exemplo, por meio de recursos de redefinição de senha em sites. Dependendo das informações roubadas, os invasores podem usar os dados para autorizar transferências de contas bancárias para contas sob o seu controle. Eles também podem usar os detalhes financeiros das vítimas para criar cartões de débito ou crédito fraudulentos e roubar seu dinheiro. Os hábitos de senha relaxados dos clientes também podem fazer com que várias de suas contas sejam comprometidas

como resultado de uma violação de dados. Se um invasor conseguir obter os endereços de e-mail e as senhas de um serviço devido a uma violação de dados, ele poderá usar esses dados para acessar outros serviços online.

Preocupações com a privacidade digitalSe alguma vez houve dúvidas de que os governos monitoram o tráfego da Internet, o assunto ganhou destaque em 2013. Uma variedade de vazamentos mostrou que existem agências que coletam absolutamente todas as informações que podem, no mundo inteiro.

A partir de junho de 2013, foram divulgados relatórios contendo novas informações sobre os programas de espionagem de dados da agência NSA (National Security Agency) dos Estados Unidos. Outros relatórios ainda devem surgir, considerando a magnitude dos documentos vazados por Edward Snowden, o ex-empreiteiro da NSA que divulgou os dados. Os documentos alegam que, durante vários anos, a NSA coletou metadados de ligações telefônicas e grandes serviços online, acessou as redes de fibra óptica que conectam data centers globais, tentou se esquivar de tecnologias de criptografia amplamente usadas na Internet e armazenou imensas quantidades de metadados coletados como parte desses programas.

A Symantec desmascarou um grupo de hackers profissionais com capacidades avançadas, conhecido como Hidden Lynx. O grupo pode ter trabalhado para Estados-nações, já que as informações que procuravam incluíam conhecimentos e tecnologias que beneficiariam outros países. As forças de inteligência da Rússia também foram acusadas de obter acesso a redes corporativas dos EUA, da Ásia e da Europa.

Ao contrário de invasores externos, profissionais dentro das empresas podem já ter acesso privilegiado a informações confidenciais dos clientes, o que significa que eles não precisam roubar as credenciais de login de outra pessoa. Eles também têm conhecimento do funcionamento interno da empresa e, por isso, se souberem que sua organização tem práticas de segurança relaxadas, eles poderão achar que têm mais facilidade para roubar dados. A pesquisa da Symantec realizada em colaboração com o Ponemon Institute informa que 51 por cento dos funcionários acredita ser aceitável transferir dados corporativos para seus computadores pessoais, já que suas organizações não aplicam políticas de segurança de dados com rigidez. Os profissionais internos podem ganhar muito dinheiro vendendo detalhes dos clientes, o que pode ser motivação suficiente para que arrisquem suas carreiras.

Violações de dados


2013 testemunhou uma mudança nas causas das

violações de dados.

As atividades dos hackers foram a principal fonte da

exposição de identidades em 2013. Os hackers também

foram responsáveis pelo maior número de identidades

expostas, por 35 por cento dos incidentes e por 76 por

cento das identidades expostas em violações de dados

durante 2013.

O número médio de identidades expostas por violação de

dados em incidentes causados por hackers foi de aproxi-

madamente 4,7 milhões.

O roubo ou a perda de dispositivos ficou em terceiro lugar,

sendo responsável por 27 por cento dos incidentes de

violação de dados.

De acordo com o estudo de 2013 Cost of a Data Breach

(Custo da violação de dados), publicado pela Symantec e

pelo Ponemon Institute, o custo do incidente médio

consolidado de violação de dados aumentou de US$ 130

para US$ 136. No entanto, esse número pode variar

dependendo do país; empresas da Alemanha (US$ 199) e

dos EUA (US$ 188) enfrentaram custos muito mais altos.

Violações de dados

Principais causas de violações de dados, 2013Fonte: Symantec

Fraude

Desconhecido

Roubo por profissional interno

Roubo ou perda de computador ou unidade

Tornadas públicas por acidente

Hackers 35%

27%

29%

6%

2%

2%

Número de incidentes

87

72

69

15

6

4

253TOTAL

O número médio de identidades expostas por violação de dados em incidentes causados por hackers foi de aproximadamente 4,7 milhões


Crimes eletrônicos e táticas de entrega de malware


®


Crimes eletrônicos e segurança cibernéticaO uso de computadores e equipamentos eletrônicos de comunicação para cometer atividades criminosas, normalmente com objetivos financeiros, é chamado de crime eletrônico. Esse tipo de crime continua a desempenhar uma função essencial no panorama de ameaças.

• Os criminosos por trás dessas atividades criaram redes sofisticadas para a distribuição mal-intencionada.

• O volume mensal de ransomware aumentou em mais de seis vezes desde o início de 2013.

• Toolkits de ataques na Web continuam a ser o principal método de comprometimento de computadores, mesmo com a prisão do alegado criador do kit de exploração Blackhole em 2013.

• O número de vulnerabilidades descobertas chegou a níveis recordes em 2013.

Botnets e o mercado de aluguelCriminosos cibernéticos envolvidos com o crime eletrônico normalmente começam inserindo malware em computadores que são transformados em computadores “zumbis”, com o objetivo de adicioná-los a redes maiores de computadores igualmente comprometidos, chamadas botnets ou “redes robôs”.

Botnets são um recurso extremamente potente para os criminosos porque podem ser usados para uma grande variedade de objetivos, como envio de e-mails de spam, roubo de informações bancárias, execução de ataques distribuídos de negação de serviço (DDoS) contra sites ou uma variedade de outras atividades mal-intencionadas. Eles também se tornaram uma ferramenta essencial para a administração de computadores comprometidos que são alugados para terceiros com fins mal-intencionados.

Cavalos de Troia bancários e roubosCavalos de Troia bancários são uma possibilidade lucrativa para os invasores. As ameaças de hoje continuam a se concentrar em modificar sessões bancárias e injetar campos extras na esperança de roubar informações bancárias confidenciais ou sequestrar sessões.

O informe oficial da Symantec State of Financial Trojans 2013 (Estado de Cavalos de Troia Financeiros 2013)4 concluiu que, nos três primeiros trimestres de 2013, o número de Cavalos de Troia bancários triplicou.

Mais da metade desses ataques tinha como alvo as 15 maiores instituições financeiras, embora mais de 1.400 instituições tenham sido alvos em 88 países.

A forma mais comum de ataque continua a ser os Cavalos de Troia financeiros que executam um ataque Man-In-The-Browser (MITB, um ataque que aproveita as vulnerabilidades do navegador) no computador do cliente durante uma sessão bancária online.

Além desses ataques, em 2013 a Symantec observou um aumento nos ataques baseados em hardware. Além dos ainda comuns ataques de skimming (baseados em cartões bancários), foi descoberto um novo tipo de malware, chamado Backdoor.Ploutus, cujo alvo são caixas eletrônicos. Esse malware permite que os criminosos retirem todo o dinheiro de um caixa eletrônico infectado. A aplicação do malware ao caixa eletrônico ocorre de forma física, com a inserção de um CD-ROM mal-intencionado e a reinicialização da máquina a partir dele. Durante a inicialização o malware é instalado no sistema. O invasor pode então usar combinações de teclas específicas para interagir com o malware e iniciar sua meta final: retirar todo o dinheiro. Variantes posteriores permitem sacar dinheiro com o envio de uma mensagem de texto a um modem GSM instalado no caixa eletrônico.

Esses exemplos destacam a tendência crescente de que sistemas físicos de instituições financeiras passem a ser o alvo dos invasores.



4http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/the_state_of_financial_trojans_2013.pdf

W32.Xpaj


Monetização: malware como commodityO crime eletrônico em 2013 pode ser resumido desta forma: os invasores tentam extrair o máximo de dinheiro possível, usando todas as opções disponíveis com os computadores que controlam. Computadores comprometidos tornaram-se mais uma commodity, com invasores que querem maximizar as formas de ganhar dinheiro com eles.

Os invasores geralmente monitoram os computadores com-prometidos, normalmente por uma conexão de porta dos fun-dos. Eles podem começar com um Cavalo de Troia bancário e depois aguardar para tentar coletar dados bancários inseridos no computador comprometido. Se o Cavalo de Troia bancário não capturar nada, os invasores podem tentar usar ransomware com temas pornográficos, a fim de extorquir dinheiro do usuário com exigências de resgate.

Classificação Nome % geral

1 W32.Ramnit 15,4%

2 W32.Sality 7,4%

3 W32.Downadup 4,5%

4 W32.Virut 3,4%

5 W32.Almanahe 3,3%

6 W32.SillyFDC 2,9%

7 W32.Chir 1,4%

8 W32.Mabezat 1,2%

9 W32.Changeup 0,4%

10 W32.Xpaj 0,2%


Fonte: SymantecDez principais malwares, 2013


ToolkitsEm outubro de 2013, ocorreu uma mudança com a prisão

de “Paunch”, autor dos kits de exploração Blackhole e

Cool. O kit de exploração Blackhole dominou o placar dos

toolkits de ataques na Web nos últimos anos, e parecia

estar pronto para conseguir isso novamente, com base

nos números obtidos até o mês de outubro (inclusive).

Modelo de negóciosAnos atrás, os toolkits de ataques na Web eram vendidos

em fóruns clandestinos, onde uma pessoa o vendia por

determinando valor a um membro, que o vendia para

outro membro, e assim por diante. A distribuição funcion-

ava como um tipo de mercado negro, mas o desenvolvedor

do toolkit de ataque perdia uma grande porcentagem da

receita, porque alguém que simplesmente possuísse o

código poderia lucrar sem muito esforço.

Nos últimos anos, o toolkit Blackhole mudou esse quadro,

introduzindo um modelo de serviço que cresceu e se

tornou a maneira principal como os toolkits funcionam.

Nesse modelo de serviço, o desenvolvedor do toolkit de

ataque na Web detém o controle do código e administra o

toolkit.

Ataques na Web bloqueados por diaEsse tipo de estrutura permitiu que os proprietários de

toolkits experimentassem várias ofertas de serviço

diferentes. Elas vão da cobertura irrestrita, em que o

administrador do toolkit cuida de tudo, a uma abordagem

menos participativa, em que existem serviços de suporte

técnico disponíveis para ajudar o comprador caso ele

enfrente problemas de configuração.

Táticas de entrega de ameaças

Principais toolkits de ataque na Web em porcentagem, 2013 Fonte: Symantec

5

10

15

20

25

30%

COOLKIT

STYXSAKURABLACKHOLE

G01PACK

OUTROS

23%

27%

19%

14%

10% 8%

A predominância do toolkit Blackhole praticamente

desapareceu até o fim de 2013, após a prisão, em outubro,

do considerado responsável. O Blackhole foi classificado

em primeiro lugar em 2012, com 44,3 por cento dos

ataques totais bloqueados; no entanto, o kit de exploração

G01Pack ficou em primeiro lugar em 2013, com 23 por

cento dos ataques bloqueados.

Muitos dos toolkits de ataque mais comuns foram

atualizados em 2013 para incluir explorações para o Java

Runtime Environment, incluindo as vulnerabilidades

CVE-2013-0422, CVE-2013- 2465 e CVE-2013-1493, além

da CVE-2013-2551 para Microsoft Internet Explorer.


Ataques na Web bloqueados

• A taxa mais baixa de atividade mal-intencionada por dia

foi de 135.450 bloqueios por dia, em outubro de 2013;

provavelmente, isso teve relação com a prisão, na

Rússia, de “Paunch”, o provável autor dos toolkits de

ataque na Web Blackhole e Cool Exploit. O Blackhole

operava como um toolkit de software como serviço, que

era mantido na nuvem. Sem ninguém para atualizá-lo, o

Blackhole rapidamente perdeu sua eficácia, abrindo

espaço para que outros operadores se destacassem.

• O número médio de sites mal-intencionados bloqueados

a cada dia cresceu aproximadamente 22,5 por cento, de

cerca de 464.100 em 2012 para 568.700 em 2013.

• O nível mais alto de atividade ocorreu em julho, com cerca

de 799.500 bloqueios por dia.

Ataques na Web bloqueados por dia, 2013 Fonte: Symantec

MIL

HAR

ES

2012 2013

0

100

200

300

400

500

600

700

800

DNOSAJJMAMFJ



Os URLs mal-intencionados identificados pela tecnologia Norton Safe Web foram classificados por categoria usando-se a tecnologia Symantec Rulespace23, e os sites que foram vítimas de código mal-intencionado com mais frequência estão listados na tabela abaixo.

Aproximadamente 67 por cento dos sites usados para distribuir malware foram identificados como sites comprometidos legítimos que poderiam ser classificados, em comparação a 61 por cento em 2012. Esse número exclui URLs que continham apenas um endereço IP e que não incluíam sites com estacionamento de domínio geral e sites com pagamento por clique.

Sites mais explorados, em 2013Fonte: Symantec

A categoria Tecnologia foi responsável por 9,9 por cento da atividade mal-intencionada identificada em sites.

A categoria Ilegal destina-se a sites que se enquadram nas seguintes subcategorias: grupos de ativistas, cyberbullying, cúmplices de malware, cracks de senhas, programas indesejados e software potencialmente mal-intencionado, programas de acesso remoto e vários outros sites com conteúdo relacionado a phishing e spam.

A análise dos sites que foram usados para realizar ataques de antivírus falsos por meio de downloads não solicitados revelou que quatro por cento das ameaças encontradas em sites de arte e museus estavam relacionadas a software antivírus falso. Além disso, 50 por cento dos ataques de antivírus falsos foram encontrados em sites de arte e museus comprometidos. E mais: 42 por cento dos ataques encontrados em sites de compras comprometidos consistiam em softwares antivírus falsos.

Finalmente, 17 por cento dos ataques usados em sites de redes sociais estavam relacionados a malware hospedado em sites de criação de blogs comprometidos. É nesses sites que um hiperlink de URL levando a um site comprometido é compartilhado em uma rede social.

É claro que o calcanhar de Aquiles desse sistema é o modelo de software como serviço bloqueado. Foi exatamente isso que levou à colossal queda enfrentada pelo toolkit Blackhole quando “Paunch” foi preso. Como o toolkit era executado e administrado por um pequeno grupo de desenvolvedores, o toolkit entrou em colapso com a prisão do grupo.

A categoria Tecnologia foi responsável por 9,9 por cento da atividade mal-intencionada identificada em sites.

Classificação dos sites mais explorados em 2013

Classi-ficação

As 10 categorias de sites explorados com

mais frequência

% do número total de sites infectados

1 Tecnologia 9,9%

2 Empresarial 6,7%

3 Hospedagem 5,3%

4 Blogs 5,0%

5 Ilegal 3,8%

6 Compras 3,3%

7 Entretenimento 2,9%

8 Setor automotivo 1,8%

9 Educação 1,7%

10 Comunidade virtual 1,7%



Toolkits de engenharia social: de RATs a creepwareEmbora toolkits de ataques na Web tendam a dominar a discussão sobre o panorama de ameaças, eles não são o único tipo de toolkit existente.

Também existem toolkits criados para testes de penetração e detecção de vulnerabilidades abertas a explorações.

Provavelmente, o segundo tipo de toolkit mais conhecido é a ferramenta de administração remota (RAT).

Esses toolkits já existem há muitos anos e costumam ser usados para criar Cavalos de Troia com carga que apresentam vários recursos, e também para ofuscar códigos binários como tentativa de escapar à detecção do antivírus.

Toolkits de engenharia social também podem ser usados para criar sites de phishing, como páginas falsas de login no Facebook. Eles são, essencialmente, ferramentas de design para Web, mas com recursos de hacking adicionais.

Creepware é um tipo de ameaça que usa toolkits. Essas ameaças normalmente são instaladas por meio de engenharia social e permitem que os invasores espionem as vítimas.

Vulnerabilidades: o caminho para a exploraçãoVulnerabilidades continuam a ser um das principais opções para a entrega de código mal-intencionado. Elas têm sido exploradas para abrirem caminho para todo tipo de ameaça, como ransomware, Cavalos de Troia, portas dos fundos e botnets. O número total de vulnerabilidades reveladas em 2013 corrobora esse fato: com 6787 vulnerabilidades divulgadas, o número é maior do que em qualquer dos anos anteriores. O número de vulnerabilidades exploradas em ataques de dia zero aumentou em 2013, sendo normalmente usadas em ataques de watering hole.

Após a divulgação de uma vulnerabilidade de dia zero, outras explorações são desenvolvidas e incorporadas a toolkits em poucos dias, pois os invasores tiram proveito da janela de exploração entre a divulgação, o lançamento do patch e o tempo necessário para que as organizações e os indivíduos instalem patches em seus computadores. Considerando as cinco principais vulnerabilidades de dia zero divulgadas em 2013, as três principais representam 97 por cento de todos os ataques contra vulnerabilidades de dia zero em 2013.

Táticas de entrega de ameaças (cont.)

Com 6787 vulnerabilidades divulgadas, o número é maior do que o relatado em qualquer outro ano.


Número total de vulnerabilidades, 2006 – 2013Fonte: Symantec

0

1,000

2,000

3,000

4.000

5.000

6.000

7.000

8.000

20132012201120102009200820072006

TENDÊNCIA

6.787

5.2914.989

6.253

5.562

4.842 4.644 4.814

Vulnerabilidades de dia zero, 2013Fonte: Symantec

0

1

2

3

4

5

6

7

8

DNOSAJJMAMFJ

2

7

0

1

2 2

1 1 1 1

4

1

Houve 6.787 vulnerabili-

dades relatadas em

2013, em comparação a

5.291 em 2012.

Uma vulnerabilidade de

dia zero é aquela

explorada em campo

antes de se tornar

pública e antes de um

patch ficar publicamente

disponível.

O número total de

vulnerabilidades de dia

zero relatado em 2013

foi de 23, em

comparação a 14 em

2012.

DIA


Malware de e-mailArquivos executáveis do Windows ainda dominam o campo dos anexos de e-mail mal-intencionados, e os anexos Java

aumentaram em número. Na verdade, os invasores perceberam que esses anexos tinham tanto êxito que pararam de tentar

disfarçá-los em toolkits de ataques na Web.

O malware enviado por e-mail aumentou em 2013, quando 1 em 196 e-mails continha um anexo mal-intencionado. Em

2012, isso ocorria com 1 em 290,7 e-mails. Em dezembro houve a maior taxa do ano (1 em 112,7), geralmente em uma

época do ano em que a taxa de vírus está em declínio.

Proporção de tráfego de e-mails contendo malware de URL, 2013 vs 2012Fonte: Symantec

5

10

15

20

25

30

35

40

45%

DNOSAJJMAMFJ

2012 2013

Proporção do tráfego de e-mail

A proporção do tráfego de e-mail que contém URLs mal-intencionados aumentou em 2013 de 23 para 25 por cento.

Houve dois picos em 2013, quando mais de 40 por cento dos e-mails mal-intencionados continham links de URL para sites

mal-intencionados, em vez de anexos, resultando em uma taxa mais alta em 2013 de forma geral.


Mídia social


®


Mídia social

Em 2013, a relevância da mídia social em nossa vida continua a crescer.

Muitos dos novos participantes de mídia social cresceram limitando seu foco

em comparação a plataformas mais estabelecidas e atendendo a um desejo

aparente por aplicativos de mídia social simples de usar, como fotos com tempo

limitado, vídeos curtos, microblogging ou alternativas gratuitas às mensagens

de texto. Em geral, os sites são criados especificamente para uso móvel e o

público-alvo é jovem. São esses pioneiros — o “pessoal antenado” — que

muitas vezes iniciam tendências, atraindo rapidamente mais usuários com eles.

O objetivo essencial dos fraudadores é o lucro. Embora não ganhem tanto

dinheiro como os hackers responsáveis por ameaças como ransomware, os frau-

dadores do mundo da mídia social ainda podem ter um bom lucro em um mês.

Visão geral

Ofertas falsas mais uma vez lideram os tipos de fraude em mídia social este ano, totalizando 81 por cento das fraudes identificadas em 2013.

Campanhas de cliques que levam a pesquisas online são uma tática comum usada por fraudadores.

TécnicasPhishing e spam estão evoluindo, distanciando-se do e-mail e migrando para a mídia social. Essas campanhas de mídia social incluem as mesmas iscas vistas em e-mails de phishing e spam.


Mídia social

Mídia social, 2013Fonte: Symantec

10

20

30

40

50

60

70

80

90%

Compartilhamentomanual

Aplicativosfalsos

Plug-insfalsos

Sequestro de "curtidas"

Ofertasfalsas

56%

81%

10%7% 5% 6%

3% 2% 2%

18%

2012 2013

Ofertas falsas Essas fraudes convidam usuários de redes sociais a participar de um grupo ou evento falso com incentivos como vales-presentes gratuitos. Para participar, os usuários precisam compartilhar credenciais com o invasor ou enviar uma mensagem de texto para um número pago.

Fraudes de compartilhamento manual Esse tipo de fraude exige que as próprias vítimas compartilhem a fraude e, para isso, apresentam vídeos curiosos, ofertas falsas ou mensagens a serem compartilhadas com amigos.

Sequestro de "curtidas" Usando botões “Curtir” falsos, os invasores enganam os usuários para que cliquem em botões que instalarão malware e que poderão publicar atualizações no feed de notícias dos usuários, espalhando o ataque.

Fraudes de plug-ins falsos Os usuários são levados a fazer o download de extensões de navegador em suas máquinas. Extensões de navegador falsas podem se passar por extensões legítimas, mas, quando instaladas, elas roubam informações confidenciais da máquina infectada.

Aplicativos falsos Os usuários são convidados a assinar um aplicativo que parece estar integrado para uso em uma rede social, mas ele não funciona como descrito e pode ser usado para roubar credenciais ou coletar outros dados pessoais.



Além do roubo de credenciais, os sites de phishing encorajavam as vítimas a divulgarem informações sobre supostos aplicativos de phishing. Isso parecia funcionar bem como técnica de propagação para a fraude, permitindo que ela se espalhasse da vítima original para seus amigos. Muitos apresentavam supostos incentivos, como créditos ou pontos ganhos para os usuários no aplicativo falso.

Fraudes de mídia social normalmente são entregues por meio de publicações no feed da rede social, embora caso o serviço ofereça o recurso de mensagens particulares, elas também possam se disseminar dessa forma. Os fraudadores não limitam suas mensagens às publicações mais recentes, muitas vezes respondendo a publicações de todo o histórico do usuário meses ou anos depois. Essas mensagens costumam estar vinculadas a recursos fora da rede social, como sites comprometidos que a fraude tenta promover.

No panorama de ameaças global, os fraudadores de redes sociais estavam na base da cadeia alimentar. Suas margens eram bem inferiores, mas seu risco também. Eles ganhavam dinheiro trabalhando com grandes volumes: spam enviado por meio de contas comprometidas, fraudes de comentários com URL, perfis falsos com detalhes idênticos e outras metodologias.

Mídia social

Fraude de encontros, em que os fraudadores enviam fotos picantes se o usuário concordar em instalar determinados aplicativos.

Fraudes de mídia social costumam ser entregues por meio de publicações no feed da rede social.


Spam e phishing


®

Phishing e spam

Na segunda metade da década de 2000, a maioria das tentativas de phishing foi realizada por meio de e-mails e com

objetivos financeiros. Com o tempo, os ataques de phishing ampliaram o escopo de seus alvos, deixando de incluir apenas

bancos, associações de crédito ou outras instituições financeiras e voltando-se para outros tipos de organizações. A

engenharia social envolvida também se tornou mais sofisticada nos últimos anos. Exemplos recentes incluem phishing de

contas online de clientes de empresas nacionais de energia e programas de cartões de fidelidade. Mais empresas de

energia têm incentivado seus clientes a adotarem a cobrança sem papel, o que possibilita que um invasor obtenha as

contas relacionadas. Eles podem usar essas contas para lavagem de dinheiro, criando uma conta bancária no nome de

outra pessoa e usando a conta online como comprovação de identidade.

Taxa de phishing, 2013 vs 2012Fonte: Symantec

1 em 100

1 em 200

1 em 300

1 em 400

1 em 500

1 em 600

1 em 700

1 em 800

1 em 900

2012 2013 TENDÊNCIA

DNOSAJJMAMFJ

A taxa de phishing média global aumentou em 2012 de 1 em 414 para 1 em 392.


Spam e phishing

Os phishers também começaram a explorar as novas redes sociais. Nos últimos cinco anos, o número de sites de mídia

social usados por phishers em suas tentativas de coletar informações confidenciais aumentou cerca de três vezes.

Os phishers também continuaram com o spoofing de contas de webmail no ano de 2013. Um método de ataque

comum é avisar que uma caixa de correio excedeu sua cota de armazenamento. A vítima é direcionada a um site onde

é solicitado a “confirmar” seu e-mail, nome de usuário e senha. No entanto, nenhuma outra informação é fornecida a

respeito do problema de cota e a conta é comprometida, permitindo que seja usada para o envio de spam. Por

exemplo, uma conta de serviços costuma ser exigida como comprovante de residência. Como muitas pessoas usam a

cobrança sem papel, caso os phishers obtenham acesso a uma conta de serviços eles podem alterar o endereço da

conta e usá-la para obter mercadorias e serviços de forma fraudulenta, no nome da vítima.

Volume de spam global por dia, 2013 Fonte: Symantec

BIL

HÕ

ES

10

20

30

40

50

DNOSAJJMAMFJ

TENDÊNCIA

A projeção estimada dos

volumes de spam globais no

tráfego de e-mails comerciais

diminuiu levemente em 3 por

cento, de 30 bilhões de e-mails

de spam por dia em 2012 para

29 bilhões em 2013.



Sites comprometidos Muitas pequenas empresas e usuários comuns gerenciam seus próprios servidores Web, sejam eles hospedados interna ou externamente, porque hoje o processo é fácil e relativamente barato.

No entanto, embora a facilidade de instalação e o custo de manutenção possam ter diminuído, muitos novos administradores podem não estar familiarizados com a proteção de seus servidores contra os ataques dos toolkits mais recentes. Eles também podem não ter constância na proteção de seus sites e na instalação de patches com as atualizações de software mais recentes. É essencial atualizar aplicativos populares no servidor Web, como sistemas de gerenciamento de conteúdo ou software de blogs. Esses serviços se tornaram importantes alvos de hackers, e uma única vulnerabilidade pode ser usada em milhares de sites.

Os fraudadores também atacam sites de hospedagem Web que fornecem plataformas de hospedagem como serviço. Se um invasor conseguir descobrir uma maneira de violar com êxito uma empresa que forneça esses serviços, poderá ter acesso a vários sites hospedados pela empresa comprometida. É possível afetar milhares de sites com essas violações. Os hackers também podem usar mecanismos de pesquisa conhecidos para descobrir rapidamente sites vulneráveis que possam comprometer. Dessa forma, um site pode ser sequestrado com facilidade se qualquer vulnerabilidade de software puder ser explorada pelo invasores.

Com a facilidade de instalação e o custo de manutenção reduzidos, muitos novos administradores podem não estar familiarizados com a proteção de seus servidores contra os ataques dos toolkits mais recentes.


O futuro


®

42 I Symantec Corporation Website Security Threat Report 2014 I Volume 19

Privacidade e confiança Muitos fatores ajudaram a delinear o panorama de ameaças em 2013, e alguns terão impacto duradouro, alterando a forma como pensamos em nosso comportamento e como nos portamos online. Para algumas pessoas, a atitude diante da privacidade online pode ser um fator relacionado a idade e, talvez, ao tempo de experiência online; no entanto, as atitudes gerais sobre confiança e privacidade online mudaram mais em 2013 do que em qualquer outra época.

De certa forma, tudo o que é publicado online poderá estar disponível para sempre; nossos momentos de maior orgulho poderão estar ao lado de nossos erros mais embaraçosos. Nossa maior preocupação deve ser quando as informações pessoais que compartilhamos casualmente com os outros caem nas mãos erradas. Uma boa parte do que fazemos está disponível online e com vínculos em vários ambientes, aplicativos de mídia social e dispositivos. O que fazemos em uma área é compartilhado rapidamente em outra.

A ampla adoção da nuvem permitiu o crescimento rápido em uma escala imensa, e como resultado de algumas das manchetes de 2013 as pessoas estão se perguntando: “Ainda confiamos na nuvem?” “Em quem devemos confiar para a proteção de nossos dados pessoais?”

Em 2014 e no futuro, podemos esperar que as organizações de redes sociais e outros provedores de serviços online tentem reconquistar os corações e as mentes de seus usuários tornando a segurança de dados e a privacidade online componentes básicos de suas ofertas.

A adoção da tecnologia de criptografia deve crescer em 2014 e no futuro, não só para a proteção de dados em dispositivos pessoais mas também para transações online, incluindo e-mails. O uso de VPNs pessoais também deve aumentar, conforme usuários preocupados se tornam mais cuidadosos com o tráfego ao qual se expõem em seu hotspot Wi-Fi ou simplesmente para impedir que seu provedor Internet rastreie

suas atividades. Protocolos de criptografia mais rápidos e atualizados serão necessários para proteger esses dispositivos; assim, mesmo que ocorram exposição de dados ou roubo de dispositivos, os usuários poderão ter certeza de que suas informações não serão exploradas pelos criminosos.

Ataques direcionados e violações de dados A escala gigantesca das violações dominou as manchetes de 2013 e forçou empresas e usuários domésticos a considerarem seriamente a forma como protegem suas informações confidenciais para mantê-las privadas e seguras. O número absoluto de violações de dados e o volume ainda maior de identidades vazadas foi alarmante e, na maior parte, esses problemas foram causados por hackers. Conforme a pressão aumenta para que não se tornem a próxima vítima, as empresas têm procurado fornecedores de segurança confiáveis para fornecer uma solução completa que cuide de todas as suas necessidades de proteção de dados. O foco será não só fortalecer o perímetro como uma proteção contra ataques mas também minimizar o impacto potencial de qualquer possível violação. A adoção mais ampla da tecnologia de criptografia ocorrerá na base da proteção de dados pessoais, propriedade intelectual e segredos comerciais. Normalmente é considerado difícil implementar uma política de criptografia robusta e abrangente em uma organização; o resultado é a demanda crescente para que essa tecnologia se torne uma parte integral da infraestrutura subjacente, em vez de um complemento usado por poucos.

Conforme mais informações pessoais são armazenadas na nuvem e ficam acessíveis online, tornou-se rotina compartilhar mais dados. Todos os dias, empresas e governos precisam lidar de forma segura com imensas quantidades de dados contendo informações pessoais. Hoje, os proprietários desses dados fazem perguntas importantes; por exemplo, se os encarregados dos dados têm medidas protetoras suficientes para protegê-los, independentemente de as informações estarem em seus próprios computadores e dispositivos ou na nuvem.

O futuro

Relatório de Ameaças à Segurança de Sites 2014 I Volume 1942 I Symantec Corporation


Crimes eletrônicos e entrega de malware

Em curto prazo, os crimes eletrônicos continuarão a avançar. Isso levará à maior cooperação entre o setor e os agentes da lei e dificultarão cada vez mais as operações dos criminosos cibernéticos. Em vez de desaparecerem, os crimes eletrônicos provavelmente migrarão para um novo modelo de negócios mais profissional.

No fim de 2013, ainda existem muitos usuários do Windows XP que adotam navegadores e plug-ins mais antigos e vulneráveis; de várias formas, essa combinação pode ser o calcanhar de Aquiles da segurança.

No momento da criação deste documento (maio de 2014), a Microsoft havia encerrado o suporte para o Windows XP; será interessante avaliar como isso afeta a atitude das pessoas diante da segurança online. Por um lado, aqueles que continuam a usar o sistema operacional aposentado deixarão de receber patches diretamente da Microsoft. Por outro, isso pode precipitar uma grande mudança para sistemas operacionais mais novos e seguros.

Os próximos dois ou três anos podem testemunhar uma divergência no panorama de ameaças; conforme os usuários passam para sistemas operacionais mais seguros e navegadores mais modernos, será naturalmente mais fácil evitar se tornar vítima de ataques casuais de malware. O sucesso ou fracasso desses ataques será cada vez mais determinado pelo nível de engenharia social envolvida, que, por sua vez, poderá afetar drasticamente o formato geral do panorama de segurança online.

Finalmente, à medida que a “Internet das Coisas” se torna cada vez mais uma realidade, itens do dia a dia como TVs, telefones, câmeras de segurança e babás eletrônicas, além de tecnologia vestível e até mesmo carros, serão incorporados à malha da Internet. Por sua vez, isso aumenta a superfície de ataque, apresentando novas oportunidades para os invasores. A Internet das Coisas pode se tornar em breve o próximo campo de batalha do panorama de ameaças.

Mídia social e mobilidade Grande parte do que fazemos hoje em nosso cotidiano é rastreado e registrado online. Todos nós temos um apetite aparentemente insaciável por aplicativos de estilo de vida que nos ajudam a fazer tudo melhor do que antes e a conquistar nossas metas mais rápido do que jamais sonhamos. Isso pode abrir mais caminhos de exploração para os criminosos cibernéticos e permitir que tirem proveito de vítimas potenciais. Embora ainda possa haver algumas atividades em nossas vidas que não são compartilhadas online, é provável que isso diminua no futuro. A tecnologia vestível, como relógios inteligentes e outros acessórios, transformará a interação com esses aplicativos em uma parte da vida cotidiana, em vez de uma atividade online. Os usuários com menor consciência dos perigos e riscos potenciais logo se transformarão em vítimas. Para esses usuários, a importância da educação sobre a segurança online e da conscientização será maior do que nunca.

O futuro


Recomendações e diretrizes de melhores práticas


®


01 Empregar estratégias de defesa profunda Enfatize sistemas defensivos múltiplos, sobrepostos e com suporte mútuo para se proteger contra falhas de ponto único em qualquer tecnologia ou método de proteção específicos.


02Monitorar a rede em busca de tentativas de incursão, vulnerabilidades e abuso de marca Receba alertas sobre novas ameaças e vulnerabilidades em diferentes plataformas para correção proativa. Controle o abuso de marca por meio de alertas de domínio e relatórios de sites fictícios.

03 Somente o antivírus em endpoints não é suficienteEm endpoints, é importante ter a versão mais recente do software antivírus instalada. Implante e use um produto de segurança abrangente para endpoints que inclua camadas adicionais de proteção.

04 Proteger seus sites contra ataques MITM (Man-In-The-Middle) e infecção por malware Para evitar comprometer o relacionamento de confiança que você mantém com os seus clientes: • Implemente a proteção Always On SSL (proteção SSL em seu site, do login ao logoff). • Verifique seu site regularmente em busca de malware e vulnerabilidades. • Defina o sinalizador de segurança para todos os cookies de sessão. • Avalie seu site regularmente em busca de vulnerabilidades (em 2013, 1 em 8 sites

verificados pela Symantec apresentaram vulnerabilidades críticas). • Escolha certificados SSL com Extended Validation para exibir a barra de endereço verde

para os usuários do site. • Exiba marcas de confiança reconhecidas (como o Selo Norton Secured) em locais de

grande visibilidade em seu site para mostrar seu compromisso com a segurança de seus clientes.

05 Proteger suas chaves privadas Certifique-se de obter os seus certificados digitais de uma autoridade de certificação confiável e estabelecida que demonstre práticas de segurança excelentes. A Symantec recomenda que as organizações: • Usem infraestruturas separadas de assinaturas de testes e de assinaturas de versões. • Armazenem chaves em dispositivos de hardware criptográficos seguros e à prova de violações. • Implementem segurança física para proteger seus ativos contra roubo.

06 Usar criptografia para proteger dados confidenciais Implemente e aplique uma política de segurança que determine a criptografia de todos os dados confidenciais. O acesso a informações confidenciais deve ser restrito. Isso deve incluir uma solução de DLP (Proteção contra perda de dados). Certifique-se de que os dados dos clientes também estejam criptografados. Criptografe dados em trânsito usando SSL. Isso não apenas serve para impedir violações de dados mas também pode ajudar a mitigar os danos de vazamentos de dados potenciais dentro de uma organização.




0708

09

10

Garantir que todos os dispositivos permitidos em redes da empresa tenham proteções de segurança adequadas Se houver uma política de BYOD (Traga seu próprio dispositivo), certifique-se de haver um perfil de segurança mínimo definido para todos os dispositivos com acesso à rede.

Implementar uma política de mídia removível Quando possível, restrinja o uso de dispositivos não autorizados, como unidades de disco rígido portáteis externas e outras mídias removíveis. Esses dispositivos podem introduzir malware e facilitar violações de propriedade intelectual, intencionais ou não.

Ser assertivo com atualizações e patches Atualize, aplique patches e migre de navegadores, aplicativos e plug-ins de navegador ultrapassados e inseguros. Mantenha definições de prevenção de intrusões e vírus atualizadas usando os mecanismos de atualização automática do fornecedor.

Aplicar políticas de senha eficazes Garanta a força das senhas; elas devem ter pelo menos de 8 a 10 caracteres e incluir uma combina-ção de letras e números. As senhas devem ser alteradas regularmente, pelo menos a cada 90 dias.

11 Garantir a realização de backups regularesCriar e manter backups regulares de sistemas críticos, além de endpoints.

12Restringir anexos de e-mail Configure os servidores de e-mail para bloquear ou remover e-mails que contenham anexos comumente usados para disseminar vírus, como arquivos .VBS, .BAT, .EXE, .PIF e .SCR.

13 Garantir a existência de procedimentos de resposta estabelecidos para infecções e incidentes Mantenha as informações de contato de seu fornecedor de segurança à mão, além das etapas que você deve seguir em caso de infecção dos sistemas. • Certifique-se de que exista uma solução de backup e restauração estabelecida para

restaurar dados perdidos ou comprometidos. • Certifique-se de usar recursos de detecção pós-infecção. • Isole os computadores infectados para impedir o risco de mais infecções na organização. • Se os serviços de rede forem explorados por código mal-intencionado ou alguma outra

ameaça, desabilite ou bloqueie o acesso a esses serviços até um patch ser aplicado.

14 Educar usuários sobre protocolos de segurança básicos Não abra anexos, a menos que eles sejam esperados e venham de uma fonte confiável e conhecida, e não execute software obtido por download na Internet, a menos que o download tenha sido verificado quanto a vírus. • Tenha cuidado ao clicar em URLs fornecidas em e-mails e programas de mídia social,

mesmo quando vierem de fontes confiáveis e amigos. • Implante soluções de plug-in de reputação de URLs para navegadores que exibam a

reputação dos sites em pesquisas. • Faça download de software apenas de compartilhamentos corporativos ou diretamente do

site do fornecedor. • Se os usuários do Windows virem um aviso indicando que estão “infectados” após

clicarem em um URL ou usarem um mecanismo de pesquisa, informe-os de que deverão fechar ou sair do navegador usando Alt-F4, CTRL+W ou o gerenciador de tarefas.



A vulnerabilidade “Heartbleed” foi descoberta na conhecida biblioteca de software criptográfico OpenSSL em abril de 2014. O OpenSSL é amplamente usado, muitas vezes com aplicativos e servidores Web como Apache e Nginx. As versões do OpenSSL de 1.0.1 até 1.0.1f contêm essa vulnerabilidade, que pode ser explorada por invasores para ler a memória dos sistemas.

O acesso à memória pode levar os invasores a obterem chaves secretas, permitindo que eles decifrem e interceptem co-municações criptografadas por SSL e se façam passar por provedores de serviços. Os dados na memória também podem conter informações confidenciais, inclusive nomes de usuário e senhas.

É importante observar que o Heartbleed não é uma vulnerabilidade do SSL/TLS, e sim um bug de software na implementação da extensão heartbeat do OpenSSL. O SSL/TLS não foi enfraquecido; ele ainda é o padrão ouro para criptografia de dados em trânsito na Internet. Porém, devido à popularidade do OpenSSL, aproximadamente 66% dos servidores da Internet (segundo o relatório da Netcraft sobre servidores Web) podem estar utilizando esse software. Recomenda-se às empresas que usam o OpenSSL que o atualizem para a última versão corrigida do software (1.0.1g) ou recompilem o OpenSSL sem a extensão heartbeat o mais rápido possível.

A Symantec já tomou medidas para fortalecer nossos sistemas. Nossas raízes não correm risco; no entanto, estamos seguindo as melhores práticas e recriamos as chaves de todos os certifica-dos nos servidores Web que contêm as versões afetadas do OpenSSL.

Depois que as empresas atualizarem ou recompilarem seus sistemas, a Symantec recomenda que os clientes substituam todos os seus certificados em servidores Web, seja qual for o emissor, para reduzir os riscos de violações à segurança.

A Symantec oferece certificados substitutos gratuitos para todos os clientes.

Heartbleed

Embora este relatório tenha se concentrado em 2013, acreditamos ser

necessário destacar a vulnerabilidade Heartbleed (OpenSSL Heartbleed

CVE-2014-0160 3).

Aqui está um resumo das etapas a serem seguidas:

Para empresas:· Todos aqueles que usam o OpenSSL 1.0.1 até

1.0.1f devem atualizá-lo para a última versão corrigida do software (1.0.1g) ou recompilar o OpenSSL sem a extensão heartbeat.

· As empresas também devem substituir o certificado nos respectivos servidores Web após migrarem para uma versão corrigida do OpenSSL.

· Por fim, como melhor prática, também é recomendável que as empresas redefinam as senhas dos usuários finais que possam ter ficado visíveis na memória de um servidor comprometido.

Para os consumidores:· Esteja ciente da possibilidade de seus dados

terem sido vistos por um terceiro se você tiver usado um provedor de serviços vulnerável.

· Monitore as notificações enviadas pelos fornecedores que você usa. Se um fornecedor vulnerável comunicar aos clientes que devem alterar suas senhas, os usuários devem seguir essa instrução.

· Evite possíveis e-mails de phishing enviados por invasores solicitando a atualização de sua senha; para evitar acessar um site fraudulento, atenha-se ao domínio oficial do site.

Visite: https://ssltools.websecurity.symantec.com/checker/ para testar se um servidor está vulnerável a ataques Heartbleed.


http://heartbleed.com

http://news.netcraft.com/archives/2014/04/02/april-2014-web-server-survey.html

http://news.netcraft.com/archives/2014/04/02/april-2014-web-server-survey.html

Backdoor.Barkiofork

Backdoor.Barkiofork

Como funciona a vulnerabilidade ‘Heartbleed’ do OpenSSL

SOLICITAÇÃO DE HEARTBEATTamanho de carga declarado: 64 KB

(Tamanho de carga real: 1 KB)

2. A carga da solicitação é gravada na memória

RESPOSTA DE HEARTBEATTamanho de carga declarado: 64 KB

(Tamanho de carga real: 64 KB)

1.O invasor envia uma solicitação mal-intencionada

de heartbeat para um computador vulnerável que execute OpenSSL3

3.O OpenSSL formula uma resposta copiando 64 KB de dados a partir de onde ele gravou a

carga da solicitação original

4.A resposta de 64 KB de retorno inclui a carga da solicitação original e quaisquer

dados que estejam em locais adjacentes da memória. Os dados retornados podem conter chaves de criptografia ou outros dados não criptografados.

OpenSSL

Memória

Memória

Memória

OpenSSL

OpenSSL



Identified by Symantec

Garanta a segurança de seus negócios com a Symantec

Nem todo SSL é igual, porque nem todas as Autoridades de Certificação são iguais. A Symantec garante as maiores e mais críticas implantações de certificados do mundo.

Noventa e sete das 100 maiores instituições financeiras do mundo e 75% dos 500 maiores sites de e-commerce dos EUA usam os certificados SSL da Symantec. Nossa avançada infraestrutura de chaves públicas inclui data centers e sites de recuperação de desastres com níveis de se-gurança militar para oferecer aos clientes proteção de dados, disponibilidade e tranquilidade incomparáveis.

Além do SSL


Nossas soluções de segurança para sites incluem:

Algoritmos SSL Os certificados SSL da Symantec oferecem três opções diferentes de algoritmos de criptografia: RSA, DSA e ECC.

Algoritmo ECC (Elliptic Curve Cryptography)O algoritmo ECC é uma opção incluída em todos os certificados Symantec Premium SSL. O ECC fornece maior segurança e melhor desempenho: ele usa comprimentos de chave menores (por exemplo, uma chave ECC de 256 bits fornece o mesmo nível de segurança que uma chave RSA de 3.072 bits).

Avaliação de vulnerabilidades Avaliação de vulnerabilidades para ajudar você a identificar e agir rapidamente contra os pontos fracos mais exploráveis de seu site.

Verificação de malwareUma verificação diária de malware que examina seu site, notificando você sobre páginas infectadas e também sobre o código que causa o problema.

O Selo Norton Secured Visualizado mais de 750 milhões de vezes por dia, o Selo Norton Secured é o sinal de confiança mais reconhecido da Internet.


Mais informaçõesSymantec no mundo: http://www.symantec.com/

ISTR e recursos de inteligência da Symantec: http://www.symantec.com/threatreport/

Resposta de segurança da Symantec: http://www.symantec.com/security_response/

Norton Threat Explorer: http://us.norton.com/security_response/threatexplorer/

Norton Cybercrime Index: http://us.norton.com/cybercrimeindex/

Sobre a Symantec

A Symantec Corporation (NASDAQ: SYMC) é uma especialista em proteção

de informações que ajuda pessoas, empresas e governos que buscam

a liberdade para aproveitar as oportunidades trazidas pela tecnologia

— a qualquer momento, em qualquer lugar. Fundada em abril de 1982,

a Symantec, uma empresa Fortune 500 que opera uma das maiores

redes globais de inteligência de dados, fornece soluções líderes do setor

para segurança, backup e disponibilidade de locais onde informações

vitais são armazenadas, acessadas e compartilhadas. Os mais de

20.000 funcionários da empresa estão espalhados por mais de 50 países.

Noventa e cinco por cento das empresas Fortune 500 são clientes da

Symantec. No ano fiscal de 2013, ela registrou receitas de US$ 6,9 bilhões.

Para saber mais, visite www.symantec.com/pt/br ou conecte-se à Symantec

em: http://www.symantec.com/pt/br/social/.


W32.Ramnit

W32.Sality

W32.Downadup

W32.Virut

W32.Almanahe

VICE.com

W32.SillyFDC


© 2014 Symantec Corporation. Todos os direitos reservados. Symantec, o logotipo da Symantec, o logotipo da marca de verificação e o logotipo do Norton Secured são marcas comerciais ou registradas da Symantec Corporation ou de suas afiliadas nos Estados Unidos e em outros países. Outros nomes podem ser marcas comerciais dos respectivos proprietários.

8/2012 21263454

SSL247®

102, Bd Montesquieu

59100 Roubaix

France

08008922247

www.SSL247.com.br

relatório de ameaças à segurança de sites 2014 · ofertas falsas, como minutos gratuitos de...

Documents