[Segurança] A História dos Vírus de Computador

O Felipe Prado acabou de publicar um artigo bem legal, aonde ele descreve a história e a evolução dos vírus de computador, desde as primeiras discussões teóricas e experimentos nas décadas de 60 e 70, passando pelos primeiros vírus na década de 80 e chegando até perto dos dias atuais, quando depois do início dos anos 2000 o foco principal dos malwares passou para o ganho financeiro, através do roubo de dados, criação de botnets e permitir a extorsão (ransomwares). Hoje, somos perseguidos pelos vírus para celular e os ransomwares, e somos assombrados pelos malwares para disppositivos IoT e contra caixas eletrônicos (ATMs).

A  propósito, a Wikipedia também possui uma excelente "timeline" dos vírus de computador, que lista os principais códigos maliciosos de forma detalhada e que vale a visita.

Os códigos maliciosos foram evoluindo de diversas formas no decorrer do tempo. De uma forma rápida e simplificada, temos os fatores abaixo:

• Infecção: Os vírus surgiram infectando o boot dos sistemas operacionais ou atuando como vermes (ou seja, se transmitiam automaticamente sem necessidade de um "arquivo hospedeiro"). Em seguida surgiram os vírus que se propagavam através de arquivos executáveis, depois vieram os vírus de macro (que utilizavam recursos de script de automação em aplicações, principalmente o Microsoft Office);
• Forma de contaminação: até mesmo pela limitação tecnológica da época, os primeiros vírus infectavam quando você bootava um computador com um sistema operacional infectado. Depois a contaminação passou a ser automaticamente pela rede, nos casos dos worms, ou quando a vítima manualmente executava algum programa que estava em um arquivo executável (normalmente o vírus inclui seu código em outro programa, aumentando o tamanho do arquivo original, mas sem desabilitar o funcionamento do programa original) ou um arquivo com macros maliciosas (como no caso dos vírus de macro do Office). Essas são as formas de contaminaçào mais comuns até hoje. Depois surgiram também alguns vírus que exploravam vulneravilidades de aplicativos ou sistema operacional para se executarem automaticamente, mas felizmente esses vírus são mais raros;
• Vetor de transmissão: No início, antes da proliferação das redes de computadores, os disquetes eram o único vetor de transmissão dos vírus. Você colocava um disquete em um computador infectado e ele sobrescrevia a área de boot do disquete para incluir o código do virus. Seria necessário iniciar um computador com um disquete infectado para contaminá-lo. Depois vieram os vírus que se espalhavam através da rede local, como os worms, e os que se copiavam (ou melhor, copiavam arquivos em que eles estavam embutidos) através de pen-drives e discos compartilhados na rede, e do envio de anexos em e-mails. Há também os vírus que se espalham através do envio de links contaminados em mensagens em redes sociais e via SMS;
• Motivação: no início era a curiosidade e pesquisa, ou até mesmo a zueira (como o ping-pong e o cascade, que eram inofensivos, apenas importunavam os usuários). Logo passou para a destruição de dados, depois para o roubo de dados. Vieram os spywares e adwares para roubo de dados e divulgação de propaganda não solicitada, e também os roguewares. Depois surgiu a onda de criação de botnets para envio de SPAM ou realização de outros ciber ataques e o ciber crime entrou de cabeça no uso de malwares para ganho financeiro (roubos de credenciais bancárias e fraudes bancárias, ransomwares, etc);
• Plataforma: Inicialmente os vírus eram restritos aos computadores pessoais, raramente atacavam servidores. Com a popularização dos dispositivos móveis, vieram os vírus para smartphone, para terminais de pontos de venda (PoS) e agora estamos na onda dos códigos maliciosos para dispositivos IoT e terminais bancários;
• No ciber crime, inicialmente o foco era em vírus que roubavam dados bancários (aqui no Brasil, a propósito, isso já é uma febre desde os primórdios da Internet) tentando identificar qualdo a vítima acessava o site de algum banco ou passava por páginas de login e de pagamento. Conforme os bancos aumentavam a segurança os malwares se sofisticavam (a captura de senhas, por exemplo, inicialmente era feita por keyloggers, mas chegou a incluir captura de tela para identificar quando o usuário digitava a sua senha nos teclados virtuais). Depois vieram os vírus que permitiam o acesso remoto para que o ciber criminoso controlasse o computador da vítima e acessasse uma sessão aberta no Internet Banking, ou que fizesse ataques de "man in the browser" para injetar transações fraudulentas na sessão do usuário. Os frameworks de malware genéricos foram revolucionados pelo o Zeus, que foi praticamente ignorado no Brasil, mas impulsionou o ciber crime globalmente ao oferecer uma plataforma flexível para criação de malwares bancários, com vários recursos técnicos para roubo de dados, acesso aos computadores das vítimas, etc. Aqui no Brasil, os malwares bancários escritos em Visual Basic reinaram por muitos anos. Depois vieram os malwares para celulares, os malwares para roubar dados de cartões em terminais de ponto de venda (PoS) e, nos últimos anos, tem surgido casos de malwares para caixas eletrônicos. O ciber crime também passou a focar em ransomwares (que já acontece há cerca de 5 anos em todo o mundo, mas virou febre no Brasil apenas recentemente) e, agora, está começando a buscar o roubo de criptomoedas.

Seguem mais alguns comentários pessoais sobre os principais "causos" e minhas experiências com esses códigos maliciosos:

• Brain (1986): Em uma palestra do Mikko Hypponen no TED, ele contou que foi até o endereço que constava no código-fonte do vírus!
• Ping-pong: o primeiro caso de vírus que eu me lembro, muito popular na época. Como não existiam antivírus, eu e meus amigos do colégio técnico editávamos o setor de boot dos disquetes para identificar que lá havia o vírus e, se houvesse, simplesmente apagávamos sobrescrevendo zeros. foi seguido pelo Cascade, mas ele não ocorria com a mesma frequência;
  
  
  
  
• Sexta-feira 13 e Michelângelo: Os melhores exemplos da geraçãod e vírus do tipo time-bomb. Eles disparavam apenas em datas específicas e, por isso, as revistas de informática dos anos 90 publicavam os "calendários de vírus", com as datas em que alguns vírus iriam disparar;
• I Love You: Virus bem simples, que se espalhou muito rápido pois usava uma engenharia social bem direta: Vinha em um arquivo que parecia ser um bloco de texto inofensivo (pois usava duas extensões: .txt.vbs) com a promessa de ser uma cartinha de amor: o assunto era "I love you" e o e-mail vinha com uma única frase, dizendo que uma carta de amor ("love letter") estava em anexo. Foi um marco na época, pela velocidade que se espalhou pela Internet, inaugurando a fase das mega-infecções globais (uma experiência que revivemos recentemente, com o WannaCry);
• No início dos anos 2000 tivemos a febre dos ataques globais de worms, que se espalhavam rapidamente e tiravam empresas do ar. Foi a época dos vermes CodeRed (2001), Nimda (2001), SQL Slammer (2003), Blaster (2003) e Sasser (2004);
• O verme SQL Slammer, que surgiu em 01/02/2003, demorou aproximadamente 10 minutos para se espalhar mundialmente e no pico da sua infestação, aproximadamente 3 minutos após surgir, escaneava 55 milhões de endereços IP por segundo.

Para saber mais:

• Vírus – do estado da arte para o estado do crime. Sério mesmo?
• Timeline of computer viruses and worms (Wikipedia, em inglês)
• Mikko Hypponen no TED: "Fighting viruses, defending the net";
Em novembro desse ano, o worm Morris vai fazer 30 anos!!!
• Em 2014 eu escrevi uma pequena timeline com os principais acontecimentos do mercado de segurnaça, quando o Firewall fez 25 anos;
• Veja também esse artigo do site Arctic Wolf: A Brief History of Cybercrime (adicionado em 04/05/23).

[Segurança] Ataques DDoS a partir de Botnet das Coisas

Pesquisadores da Arbor identificaram uma botnet que explora dispositivos de Internet das Coisas para realizar ataques de DDoS. A botnet foi construída em cima de uma variação do software LizardStresser, uma botnet cujo código fonte tornou-se público em 2015.

Os pesquisadors rastrearam duas botnets que dispararam diversos ataques neste ano, com pico de 400Gbps. Dentre os ataques, alguns alvos foram dois grandes bancos brasileiros, duas empresas de Telecom no Brasil, duas agências governamewntais brasileiras e três empresas de jogos nos EUA. Os ataques partiram de diversos endereços IP espalhados pelo mundo, mas o Brasil e Vietnan foram os responsáveis pela maioria dos IPs de origem dos ataques. A botnet é capaz de realizar diversos ataques, como HOLD flood, UDP flooding e TCP flooding.

Os pesquisadores acreditam que cerca de 90% dos hosts envolvidos nos ataques são webcams, o que comprova apreferência pelo uso de dispositivos IoT para compor as botnets. Para criar a sua "Botnet das Coisas", o LizardStresser procura por endereços IP na Internet que sejam acessíveis por telnet e tenham usuário e senha padrão, testados a partir de uma lista de senhas default previamente hard coded no software da botnet.

[Segurança] Botnet das Coisas

Há um ano atrás, em janeiro de 2015, a Bluecoat publicou um artigo sobre uma botnet capaz de invadir e utilizar mini-PCs, e assim controlar dispositivos relacionados a "Internet das coisas".

O artigo, batizado de "The Botnet of the Internet of Things", descreve um framework para desenvolvimento de malware chamado Inception, que possui executáveis para processadores ARM, SuperH e PowerPC. Os ataques incluem, mas não estão limitados, a roteadores domésticos e webcams, por exemplo.

Utilizando um honeypot, eles conseguiram identificar alguns malwares direcionado a processadores ARM rodando Linux, dois dos quais foram o Powbot e o Linux.Backdoor.Fgt. Eles são capazes de realizar ataques de DDoS, tais como DDoS explorando o protocolo DNS, ou DDoS baseado em UDP e TCP, além da capacidade de jogar dados aleatórios (lixo) em portas específicas de servidores (indicados pelo seu IP e porta).

O artigo mostra que há mais de um ano ciber crimonosos estudam como explorar e invadir qualquer tipo de dispositivo conectado a Internet, não se limitando aos tradicionais PCs e SmartPhones.

Nas suas previsões para o mercado de segurança em 2016, a Imperva destacou justamente ela, a "Botnet das Coisas", como uma das tendências de ataques que devem amadurecer neste ano.

[Segurança] O que esperar em 2016?

Como sempre, no final do ano pipocaram previsões e discussões sobre tendências para o mercado de segurança em 2016.

Descartando as previsões óbvias (por exemplo, "aumento dos ataques a infra-estruturas críticas" ou "vai acontecer um cyber ataque em uma grande infra-estrutura crítica", "crescente necessidade de criptografia", "hacktivistas vão usar roubo de dados e ataques de DDoS contra suas vítimas"), exdrúchulas (ex: "O uso de Ad-blocking vai impactar o mercado de publicidade online e matar malvertisements") ou que já são realidades (ex. "uso de ciber extorsão, através de ramsonwares e roubo de dados", "aumento das ameaças internas"), sobraram algumas que eu acho interessante destacar:

• Necessidade de discutir padrões de segurança para a Internet das Coisas (IoT), incluindo computação vestível (como smart watches) e smart devices. Este foi um destaque feito pela grande maioria dos fabricantes de segurança;
• O pessoal da Fortinet fez uma previsão interessante sobre segurança em IoT: o surgimento de ataques entre os dispositivos conectados e malwares se disseminando através deles (ataques máquina-a-máquina, ou M2M);
• A Imperva prevê o surgimento da Botnet das Coisas (Botnet of Things);
• Haverá um aumento de pesquisa sobre hacking de carros, aviões e trens (Intel Security e Checkpoint). A Kaspersky tem uma previsão interessante sobre isso, preocupada com potenciais ataques as tecnologias de navegação autônoma;
• Não é a tôa que os dispositivos conectados (como soluções para Internet das Coisas, vestíveis e carros inteligentes) são um dos grandes destaques da feira CES (Consumer Electronic Show) logo no início deste ano;
• Possível conflito entre as gangs especializadas em criar ransomwares e as especializadas em malwares tradicionais (Symantec);
• O crescimento na quantidade de ciber ataques e roubos de dados vão fomentar a necessidade de seguros específicos ("cyber insurance") (Symantec);
• Security Gamification: O uso de gamificação como uma ferramenta de treinamento e conscientização de segurança (Symantec);
• A introdução e popularização de sistemas de pagamentos móveis vai inspirar o interesse em ataques e roubo de informações nas novas tecnologias de processamento de pagamentos (como cartões de crédito com chip ou com RFID e carteiras de pagamento via celular como Apple Pay e Google Wallet) (Trend Micro);
• "APT-as-a-service" e popularização de ciber mercenários, devido a grande facilidade de invasão e a popularização deste tipo de ataque (Kaspersky);
• Manipulação criminosa de dados para causar danos as empresas, através do uso de informações erradas - não bastará roubar ou destruir dados; o risco está em dados serem alterados intencionalmente para causar tomadas erradas de decisões nas empresas (RSA);
• Malwares vão utilizar certificados SSL que são oferecidos gratuitamente por algumas empresas (Imperva) - esse é o lado negativo da popularização da criptografia, previsto por algumas das empresas de segurança.

Aproveitando, o IDC publicou recentemente seu relatório de previsões para o mercado de segurança para os próximos anos, batizado de "Worldwide IT Security Products Forecast, 2015–2019". Veja algumas das previsões deles:

• Em relação ao mercado total de produtos de segurança de TI, o IDC estima que o mercado atingiu 35,2 bilhões de dólares em 2015 e vai crescer em 7,4% em 2016, quando atingirá US$ 37,9 bilhões;
• O IDC acredita que entre 2014 e 2019, o mercado vai crescer a té atingir quase US$ 46 bilhões em 2019;
• Dos submercados em segurança de TI, o IDC estima que em 2015, a área de segurança de redes foi o maior subsetor, representando US$ 10,4 bilhões (quase um terço da receita do mercado total). Endpoint Security foi a segunda maior área, com US$ 9,2 bilhões;
• Em termos de influências no mercado, o IDC acredita que a maior disponibilidade de ofertas de Segurança como Serviço (tal como MSS - Managed Security Services) juntamente com demandas mais exigentes de conformidade serão os fatores mais significativos para o crescimento do mercado de segurança em TI.

Eu, particularmente, acrescentaria mais algumas previsões e opiniões sobre o mercado de segurança em 2016...

• Os ataques de hacktivismo vão continuar diminuindo, embora nunca vão sumir por completo. A onda do hacktivismo teve seu ápice entre os anos 2011 e 2013, e agora atrai poucos interessados. Além disso, cada vez exige conhecimento técnico mais e mais avançado para realizar ataques, pois os ataques de DDoS com ferramentas online utilizadas coletivamente não são mais tão efetivos quanto eram anos atrás;
• Não podemos nos esquecer que as Olimpíadas de 2016 são um belo atrativo para hacktivistas; possivelmente teremos um pico de ataques de defacement e DDoS próximo aos jogos;
• DDoS como forma de extorsão: embora isto exista há muitos anos, este ataque começou a ser utilizado em escala global e em vários países em 2015 (inclusive atingindo empresas Brasileiras). A tendência é piorar e tornar mais frequente;
• Está cada vez mais fácil realizar ataques de DDoS em alta escala e está mais difícil evitá-los, por isso as empresas vão continuar sofrendo muito com esses tipos de ataques;
• IPv6 ainda vai demorar para decolar, mas é importante aumentarmos os esforços de estudo e pesquisa em segurança para IPv6;
• Uso de Biometria em aplicações móveis: a popularização da biometria nos Smartphones, que aconteceu com mais força em 2015, está trazendo a tona o surgimento de aplicativos móveis protegidos com biometria. Esta é uma tendência que vários bancos tem acompanhado de perto. O lado negativo disso é que pode acelerar o surgimento de roubo de dados biométricos para enganar os controles de autenticação;
• Vazamento de Big Data: como as empresas estão investindo muito em Big Data, e os ciber criminosos estão ávidos por roubar dados, podemos em breve ver um mega-roubo de dados com acesso não autorizado a estes "data lakes". Será que podemos chamar o "vazamento de um data lake" de "cyber Mariana"? Ok, desculpem-me pela piadinha de humor negro e politicamente incorreto...

Além disso, a minha sugestão é que, se você trabalha ou tem interesse em entrar na área de segurança, e se você tem background em redes ou desenvolvimento, aproveite a oportunidade para estudar segurança em IPv6 ou segurança para IoT, respectivamente. Eu acredito que em breve teremos uma grande demanda por profissionais com esse tipo de conhecimento, e quem começar na frente vai se destacar rapidamente no mercado.

Para saber mais detalhes sobre as previsões das principais empresas do mercado de segurança, veja o site delas:

• Check Point
• Fortinet (li o press release, mas não baixei o relatório porque fiquei com preguiça de preencher um formulário)
• IBM (mais um monte de bullshit)
• Imperva
• Intel Security / McAfee (um relatório com vários infográficos bonitinhos, mas que não diz absolutamente nenhuma novidade)
• Kaspersky
• Palo Alto (nada de relevante, mais detalhes das previsões aqui)
• RSA
• Symantec (resumidas em um infográfico bonitinho)
• Trend Micro
• Veja também esta reportagem com as previsões da Akamai sobre os ataques DDoS

Aproveite o embalo e dê uma lida também nas previsões do Althieres Rohr no G1.

OBS: Post atualizado em 11/01 (incluído o link para a reportagem sobre as previsões da Akamai).

[Segurança] O perigo está dentro de casa

Três notícias recentes mostram a evolução da computação para uso pessoal e doméstico e, ao mesmo tempo, o crescimento dos riscos que essas tecnologias trazem para todos nós:

• A Intel anunciou o Edison, um mini PC do tamanho de um cartão de memória SD, com um processador de 2 cores e comunicação Wi-Fi e Bluetooth integradas, que deve ser disponibilizado para venda em meados desse ano;
• O pesquisador britânico Jason Huntley descobriu que SmartTVs da LG espionavam os clientes, coletando dados de uso e enviando para a LG mesmo quando esta função estava desabilitada. Estas informações são utilizadas para exibir vídeos de anúncios aos donos de TV. Para piorar, estas informações são enviadas para a LG em texto claro (sem criptografia) toda vez que o usuário muda de canal;
• A empresa Proofpoint anunciou a descoberta de uma geladeira conectada a Internet que fazia parte de uma botnet e era utilizada para enviar SPAM. Esta botnet é formada por mais de 100 mil equipamentos infectados e incluía computadores, roteadores domésticos, media centers e Smart TVs - ou, como destacou a reportagem da BBC, era direcionada a equipamentos que fazem parte da "Internet das coisas". Em poucas semanas (entre 23/12/2013 e 06/01), a botnet enviou cerca de 750 mil mensagens, 25% das quais enviadas por dispositivos domésticos - equipamentos com processadores e servidores web embarcados - e mal configurados (incluindo senhas default).

Estas notícias mostram que a computação está invadindo o nosso dia-a-dia, através dos aparelhos domésticos e, em breve, de pequenos equipamentos que podem ser instalados em qualquer lugar. Mas, ao mesmo tempo que a tecnologia evolui e nos cerca cada vez mais, estas novas aplicações precisam ter uma preocupação de segurança por parte dos desenvolvedores e dos usuários finais, para evitar que elas sejam exploradas por usuários maliciosos ou comprometam nossa privacidade.

[Cyber Cultura] A Internet é dos robôs!

Uma pesquisa da empresa Incapsula divulgada neste mês mostrou que o tráfego de Internet gerado por softwares "robôs" supera, em muito, a quantidade de tráfego produzido por nós, humanos.

De acordo com o estudo da Incapsula, quase 2/3 (61,5%) de todo o tráfego da Internet em 2013 foi gerado por bots (programas) !!! É muita coisa !!!

Outra informação interessante é que o estudo divide esse tráfego robotizado em doid tipos: os criados pelos "bots bons" (softwares e ferramentas válidas, tais como os motores de busca e ferramentas de desempenho web) e "bots maliciosos". Os bots maliciosos incluem os softwares de captura ou monitoramento de sites ("scrappers"), as ferramentas de hacking, os SPAMs e as ferramentas que o estudo chamou de "impersonators", e ferramentas que se fazem passar por acessos ou serviços válidos, incluindo ferramentas de ataques DDoS e ferramentas de inteligência de marketing.

[Segurança] Reportagem da BBC sobre Botnets

A rede BBC publicou em seu site uma série de reportagens interessantes e controversas, chamada "Cyber crime risk exposed", que mostra como é fácil utilizar uma botnet para o envio de SPAMs ou realização de um ataque DDoS. Esta reportagem está disponível nline e também será exibida no canal de televisão.



A equipe contratou uma botnet com 22 mil hosts e, para demonstrar o seu poder, inicialmente a utilizaram para enviar automaticamente milhares de mensagens de SPAM para duas contas de e-mail recém criadas, conforme exibido em "BBC team exposes cyber crime risk". Após definir os parâmetros da mensagem e os endereços que as receberiam, o resultado foi que em poucas horas as caixas postais já tinham recebido mais de 6 mil e-mails (é possível ver que uma delas tinnha 1.275 mensagens na caixa de entrada e 5.505 na caixa de "Junk" - que foram as mensagens identificadas automaticamente como SPAM pelo webmail).



Em seguida, conforme consta na reportagem "How cyber criminals attack websites", eles utilizaram a botnet para realizar um ataque DDoS (Distributed Deny of Service) contra um website específico. Bastou utilizar 60 computadores da botnet para tornar o site inacessível.



É interessante mencionar também que vários sites e especialistas questionaram a validade legal e ética deste tipo de atitude, de contratar uma botnet (possivelmente eles pagaram o dono da botnet pelos serviços) e enviar SPAM e ataques através de computadores de terceiros (veja as críticas nos sites do The Register, da Out-Law, Sophos e ZDNet). A BBC se defende dizendo que não realizou nenhuma atividade efetivamente maliciosa e que, no final, orientou os donos dos computadores infectados a desativares os bots e como se protegerem.