Upload
vophuc
View
216
Download
1
Embed Size (px)
Citation preview
ii
RELATÓRIO DE INTELIGÊNCIA DE SEGURANÇA DA MICROSOFT: EDIÇÃO ESPECIAL
Este documento tem apenas caráter informativo. A MICROSOFT NÃO OFERECE NENHUMA
GARANTIA, SEJA ELA EXPRESSA, IMPLÍCITA OU OBRIGATÓRIA, EM RELAÇÃO ÀS INFORMAÇÕES
APRESENTADAS NESTE DOCUMENTO.
Este documento é fornecido no estado em que se encontra. As informações e opiniões expressas
neste documento, incluindo URLs e outras referências a sites na Internet, podem sofrer alterações
sem aviso prévio. Você assume o risco de usá-lo.
Copyright © 2012 Microsoft Corporation. Todos os direitos reservados.
Os nomes de empresas e produtos reais aqui mencionados podem ser marcas comerciais de seus
respectivos proprietários.
Autores e colaboradores
BILL BARLOWE – Microsoft Security Response Center
JOE BLACKBIRD – Microsoft Malware Protection Center
WEIJUAN SHI DAVIS – Windows Product Management Consumer
JOE FAULHABER – Microsoft Malware Protection Center
HEATHER GOUDEY – Microsoft Malware Protection Center
PAUL HENRY – Wadeware LLC
JEFF JONES – Microsoft Trustworthy Computing
JIMMY KUO – Microsoft Malware Protection Center
MARC LAURICELLA – Microsoft Trustworthy Computing
KEN MALCOMSON – Microsoft Trustworthy Computing
NAM NG – Microsoft Trustworthy Computing
HILDA LARINA RAGRAGIO – Microsoft Malware Protection Center
TIM RAINS – Microsoft Trustworthy Computing
ELIZABETH SCOTT – Microsoft Security Response Center
JASMINE SESSO – Microsoft Malware Protection Center
JOANNA SHARPE – Microsoft Trustworthy Computing
FRANK SIMORJAY – Microsoft Trustworthy Computing
HOLLY STEWART – Microsoft Malware Protection Center
STEVE WACKER – Wadeware LLC
Em memória de TAREQ SAADE
iii
iii
Sumário Apresentação ....................................................................................................................... v
Escopo .............................................................................................................................. v
Período do relatório ......................................................................................................... v
Convenções ...................................................................................................................... v
Introdução ........................................................................................................................... 1
Computação pessoal em 2002 e hoje ................................................................................. 2
PCs ................................................................................................................................... 2
Computação móvel ......................................................................................................... 2
Serviços online (o precursor da nuvem) ......................................................................... 3
As origens do malware ........................................................................................................ 4
Microsoft Trustworthy Computing ..................................................................................... 6
2002-2003 ....................................................................................................................... 7
2004 ................................................................................................................................ 7
A criminalização do malware .......................................................................................... 7
2005 ................................................................................................................................ 8
Vulnerabilidades ............................................................................................................... 10
Uma década de amadurecimento ................................................................................ 10
Divulgações de vulnerabilidades do setor .................................................................... 11
Gravidade da vulnerabilidade ....................................................................................... 13
Divulgações de hardware e software ........................................................................... 14
Divulgações de vulnerabilidades do sistema operacional ............................................ 15
Divulgações de vulnerabilidades de aplicativos ........................................................... 16
Tendências de exploits e boletins de segurança .............................................................. 17
O estado do malware hoje ................................................................................................ 21
Tendências de malware e software potencialmente indesejados ................................... 23
Como as ameaças evoluíram com o tempo .................................................................. 23
Diferentes ameaças em diferentes momentos ............................................................ 27
iv
Categorias de ameaças por localidade ............................................................................. 30
Inteligência de segurança em 2011 .............................................................................. 30
Lições dos países/regiões menos infectados ................................................................ 33
Windows Update e Microsoft Update .............................................................................. 35
Conclusão .......................................................................................................................... 37
Apêndice A: Tecnologias de proteção para computadores e atenuações ....................... 38
Apêndice B: Famílias de ameaças mencionadas neste relatório ...................................... 39
v
v
Apresentação
Escopo
O SIR (Relatório de Inteligência de Segurança da Microsoft) se concentra nas vulnerabilidades
do software, explorações de vulnerabilidades do software, software mal-intencionado
e possivelmente indesejado. Relatórios anteriores e recursos relacionados estão disponíveis
para download no site www.microsoft.com/sir. Esperamos que os leitores considerem os dados,
as informações e as orientações dessa edição especial do SIR úteis para ajudá-los a proteger suas
organizações, seu software e os usuários.
Período do relatório
Essa edição especial do SIR fornece informações resumidas dos últimos 10 anos. Onde foi possível,
esse relatório incluiu dados de tendências de todo o período de 10 anos. Quando os dados do
período todo não estavam disponíveis, foram fornecidos dados de tendências de períodos mais
curtos. Geralmente, devido à possibilidade de divulgações de vulnerabilidades serem altamente
inconsistentes de trimestre a trimestre, e muitas vezes ocorrerem de modo desproporcional em
algumas épocas do ano, as estatísticas sobre divulgações de vulnerabilidades são apresentadas
semestralmente, como nos volumes recentes do SIR.
Durante todo o relatório, os períodos de tempo semestral e trimestral são mencionados, usando os
formatos nSaa ou nTaa, respectivamente, onde aa indica o ano e n indica o semestre ou trimestre.
Por exemplo, 1S11 representa a primeira metade de 2011 (de 1.° de janeiro a 30 de junho) e 2T11
representa o segundo trimestre de 2011 (de 1.° de abril a 30 de junho). Para evitar confusão,
observe o período (ou períodos) do relatório que está sendo mencionado ao considerar as
estatísticas desse relatório.
Convenções
Esse relatório usa a nomenclatura padrão do MMPC (Microsoft Malware Protection
Center) para famílias e variantes de malware e software possivelmente indesejado. Para obter
mais informações sobre essa nomenclatura padrão, consulte a página Microsoft Malware
Protection Center Naming Standards no site do MMPC.
Introdução
À medida que a Internet ampliou seu alcance nos últimos 10 anos, o malware (software
mal-intencionado) evoluiu e ficou mais complexo. As primeiras formas de malware procuravam
gerar ataques inoportunos altamente visíveis, mas hoje os objetivos são cada vez mais prejudiciais,
concentrando-se em roubo de informações e outras atividades ilícitas. O malware agora traz muito
mais preocupações às organizações. A conectividade com a Internet ainda era a exceção da regra
para várias organizações antes de 2002, mas rapidamente se tornou a norma enquanto a primeira
década do século 21 passava.
Hoje, além de computadores individuais e das redes de organizações grandes e pequenas,
a conectividade com a Internet também se estende a dispositivos como consoles de jogos
e smartphones. E, enquanto o paradigma da computação muda, proteger organizações,
governos e cidadãos do malware se tornou ainda mais desafiador.
O Microsoft Trustworthy Computing, criado em 2002, publica o SIR (Microsoft Security Intelligence
Report) para ajudar a manter os clientes e outras partes interessadas informadas sobre o cenário
das ameaças em constante mudança. O SIR fornece informações abrangentes sobre ameaças do
mundo todo.
2
Computação pessoal em 2002 e hoje
Mesmo com o surgimento do malware e de outros desafios significativos, os usuários
de computadores continuaram aproveitando os benefícios da inovação tecnológica durante
os últimos 10 anos. Esta seção pinta um retrato básico do tipo ―antes e depois‖ do estado
da computação em 2002 e hoje, em 2012, em três áreas: PCs, computação móvel e serviços
online, o precursor da nuvem.
PCs
Em 2002, as CPUs dos PCs usavam uma arquitetura de um único núcleo e tinham acabado de
ultrapassar os 2.0 GHz de velocidade de processamento. O Windows XP, lançado no final de 2001,
exigia 64 MB de RAM, mas eram recomendados 128 MB; 512 MB era uma configuração bastante
comum. Os discos rígidos tinham um tamanho médio de 120 GB, e os monitores LCD estavam
se tornando cada vez mais populares. A conectividade USB para dispositivos periféricos era
predominante, mas a especificação USB 2.0, que era muito mais rápida, havia sido aprovada
há pouco tempo e, portanto, ainda não estava disponível.
No início de 2012, CPUs de vários núcleos são comuns e as velocidades ultrapassam a marca
de 4.0 GHz, várias vezes mais rápidas do que os sistemas disponíveis em 2002. O Windows 7,
lançado em 2009, exige 1 GB de RAM, mas são recomendados 2 GB. Normalmente, os discos
rígidos são de 600 GB (um aumento de cinco vezes em relação ao ano de 2002) até 1 TB ou
mais de tamanho. É possível adquirir um monitor de 23 polegadas por menos de 200 dólares
nos Estados Unidos e os monitores com tecnologia de LED (uma melhoria em relação à tecnologia
de LCD anterior) estão amplamente disponíveis. USB 3.0 é a tecnologia de conectividade
emergente, mas o USB 2.0 ainda é o padrão mais amplamente usado.
Computação móvel
Em 2002, as CPUs mais rápidas de laptops mal alcançavam a marca de 1.0 GHz. 512 MB de
RAM era uma configuração comum, juntamente com um disco rígido de 20 GB a 30 GB. Unidades
combinadas de DVD/CD-RW ainda eram algo raro e unidades de CD-ROM ainda eram a norma.
Qualidade de áudio e telas HD (de alta definição) ainda estavam nas listas de desejo dos usuários
e os smartphones não surgiram até 2005.
3
3
Em 2012, as CPUs dos laptops são três vezes mais rápidas do que as disponíveis em 2002
e velocidades de clock de mais de 3.0 GHz estão amplamente disponíveis. Geralmente, 2 GB
a 4 GB de RAM estão disponíveis (4 a 8 vezes a quantidade de 2002), mas laptops mais avançados
oferecem até 8 GB. Normalmente, os discos rígidos variam de 500 GB a 600 GB, 25 vezes mais do
que as unidades para laptops disponíveis em 2002, e novas unidades de disco rígido de estado
sólido são significativamente mais rápidas. Telas HD com webcams integradas e tecnologia
de reconhecimento facial (no lugar de senhas) são uma realidade. Unidades de DVD/RW são
o padrão e várias são compatíveis com a tecnologia de alta resolução Blu-ray Disc para reprodução
de vídeo. No entanto, esses acessórios estão sendo sacrificados em alguns modelos para criar laptops
muito finos e leves. As opções de áudio de alta qualidade são também muito comuns.
Os padrões Ethernet de velocidade de transmissão de dados continuaram evoluindo. Gigabit
Ethernet, que suporta uma taxa de transmissão de dados de 1.000 Mbps (megabits por segundo),
tornou-se amplamente disponível durante a década, e 10 Gigabit Ethernet recebeu a certificação
de padrão pelo IEEE (Institute of Electrical and Electronics Engineers). No entanto, esses padrões
se aplicam a conexões de fios de cobre, cabos (cabo coaxial) e fibra óptica. A grande proliferação
da conectividade de rede sem fio, que favorece o número crescente de dispositivos móveis
disponíveis hoje, também ocorreu durante o período de 2002 a 2012. Em 2012, computadores
desktop e laptop normalmente oferecem opções de conectividade com fio e sem fio.
Serviços online (o precursor da nuvem)
De uma perspectiva do consumidor, vários serviços de pagamento online estavam disponíveis
em 2002. Esses serviços facilitavam o crescimento de sites de comércio pela Internet (comércio
eletrônico), como Amazon.com e eBay, ambos abertos para negócios desde 1995. A popularidade
do comércio eletrônico explodiu entre 2002 e 2012.
Durante a década, ocorreu um fenômeno significativo que teve um efeito considerável na cultura
popular e na indústria do entretenimento. À medida que músicas e vídeos ficavam disponíveis
como arquivos digitalizados do computador, também era possível compartilhá-los pela Internet.
O Napster (talvez o serviço de compartilhamento de arquivos mais conhecido) surgiu em 1999
e parou de funcionar em julho de 2001. No entanto, outros modelos de compartilhamento
de arquivo também surgiram e se tornaram populares.
O crescimento da Internet e a disponibilidade crescente de conectividade de banda larga também
resultou em serviços online como o Rhapsody, o primeiro serviço pago de assinatura mensal de
músicas sob demanda por streaming, lançado em dezembro de 2001.
4
Embora o conceito de computação em nuvem exista há pouco tempo, os primeiros serviços
de computação em nuvem foram disponibilizados comercialmente em 2002. Desde aquela
época, surgiram opções mais flexíveis que tornaram a computação em nuvem mais atraente
e viável para grandes e pequenas organizações, e também para os usuários comuns. As
arquiteturas de computação em nuvem incluem atualmente: IaaS (infraestrutura como serviço),
que fornece componentes como rede e armazenamento; PaaS (plataforma como serviço), que
fornece uma plataforma como um banco de dados ou um servidor web para executar aplicativos;
e SaaS (software como serviço), que fornece uma solução ou um aplicativo de software como um
serviço concluído ou completo.
Em 2012, há pouca discordância sobre a probabilidade de a computação em nuvem ser
o próximo paradigma de computação significativo. A tecnologia está ganhando aceitação
de várias organizações e os modelos de computação em nuvem continuam evoluindo.
As origens do malware
O malware ficou conhecido para vários usuários de computador pelas amplas infecções
causadas pelo Melissa (em 1999) e o LoveLetter (em 2000). Os dois eram propagados por email
e o LoveLetter por um anexo de email infectado. Quando o anexo era aberto, o malware substituía
vários tipos diferentes de arquivos no PC do usuário e se enviava por email a outras pessoas do
catálogo de endereços de email do usuário.
O LoveLetter rapidamente se tornou o incidente mais caro desse tipo daquela época. Apesar
dos danos causados por Melissa e LoveLetter, pode-se dizer que eles tiveram três efeitos
positivos: fizeram com que o malware começasse a ser examinado em detalhes; aumentaram
a conscientização social sobre malware de computadores (pela pressão dos vários destinatários
de mensagens descontentes); e realçaram a importância de backups (uma vez que o LoveLetter
substituía arquivos que seriam perdidos se backups não estivessem disponíveis).
Uma ameaça de malware mais desonesta e direta surgiu em 2001: um malware que conseguia
ser propagado sem nenhuma interação humana. Essa forma de malware era um worm, conhecido
como Code Red, que foi liberado na Internet em julho de 2001 e tinha como alvo servidores
executando o Microsoft Internet Information Services (IIS). Embora os worms tenham sido
detectados desde pelo menos 1988, o Code Red era considerado pelos pesquisadores do
MMPC um exemplo perfeito de um worm porque não havia um componente de arquivo.
O Code Red precisava ser detectado em trânsito ou na memória de um computador infectado,
mas, naquele momento, produtos tradicionais antimalware para computadores desktop que
procuravam malware baseado em arquivo não conseguiam detectá-lo.
5
5
O Code Red era propagado por uma porta TCP 80, o mesmo canal comumente usado para
consultas da Internet, então os servidores Web precisavam estar protegidos contra esses ataques.
No entanto, outros computadores exigem acesso à porta 80 para funcionalidade do navegador da
Web. O Code Red pode não ter causado tantos danos quanto o LoveLetter, embora isso seja difícil
de apurar porque alguns computadores infectados com o Code Red foram subsequentemente
infectados com o Win32/Nimda, também propagado pela porta TCP 80.
O Win32/Nimda era o que algumas pessoas chamam de coquetel de malware, ou uma ameaça
mesclada — o início de uma tendência em desenvolvimento de malware que continua até os dias
de hoje. Ele usava pelo menos cinco vetores de ataques diferentes, incluindo o uso de backdoors
deixados por malwares anteriores. Como ele seguia de perto o modelo desse tipo de malware,
não havia muito tempo disponível para que ele fosse desenvolvido. Por isso, muitos acreditam
que o Win32/Nimda foi desenvolvido por uma equipe de pessoas, e não apenas por um
codificador de malware solitário.
Seja quem for que o criou, o Win32/Nimda demonstrou que, se computadores em rede
forem deixados sem proteção, eles podem ser ―sequestrados‖ e usados contra seus proprietários
em questão de horas, e talvez até em minutos. Centenas de milhares de computadores
foram dominados pelo Win32/Nimda, vários dos quais responsáveis por sites bem conhecidos
e servidores de email de empresas médias e grandes. No total, mais de 50.000 sites importantes
foram infectados. E mais de uma pessoa notou que o Win32/Nimda foi liberado dia 18 de
setembro, apenas uma semana após os ataques terroristas de 11 de setembro de 2001, um
fato que deixou vários especialistas em segurança incomodados.
Além disso, o ano de 2001 viu o surgimento de malware a partir de mensagens de email
que pareciam ser inofensivas. Esse malware surgiu de mensagens que não tinham código
ou arquivos anexados. Elas usavam apenas URLs. Essas mensagens usavam táticas de engenharia
social para induzir os usuários a clicar nas URLs, que então conectariam os usuários a sites
programados com exploits desenvolvidos para realizar ações indesejadas nos PCs dos usuários.
2001 também viu o surgimento do Win32/Sircam, o primeiro malware propagado em grande
escala que extraía informações dos computadores, embora não se saiba se essa era a intenção
do malware. No entanto, o itinerário particular do presidente da Ucrânia foi inesperadamente
divulgado publicamente como resultado de uma infecção pelo Win32/Sircam.
6
Microsoft Trustworthy Computing
Em 15 de janeiro de 2002, o presidente do conselho de diretores da Microsoft, Bill Gates,
enviou um memorando a todos os funcionários em tempo integral da Microsoft e suas
subsidiárias. Esse memorando propunha uma mudança fundamental na abordagem da
empresa para um componente central de seu negócio, um conceito chamado Trustworthy
Computing (TwC), que significa computação confiável.
O TwC é o compromisso da Microsoft de fornecer experiências de computação mais estáveis,
privadas e confiáveis baseadas em práticas de negócios seguras. A maioria das informações
publicadas pelo TwC no SIR vem de três centros de segurança — MMPC (Microsoft Malware
Protection Center), MSRC (Microsoft Security Response Center) e MSEC (Microsoft Security
Engineering Center) — que distribuem informações detalhadas sobre ameaças, resposta
a ameaças e ciência da segurança. Informações adicionais vêm de grupos de produtos
da Microsoft e do MSIT (Microsoft IT), o grupo que gerencia os serviços globais de TI da
Microsoft. O SIR foi desenvolvido para fornecer a clientes, parceiros da Microsoft e à indústria
de software uma compreensão equilibrada do cenário de ameaças a fim de ajudá-los a se
proteger e a proteger seus ativos de atividades criminosas.
A figura a seguir mostra ações e marcos significativos durante os cinco primeiros anos
da existência do TwC, bem como alguns eventos importantes relacionados a malware.
Figura 1. Eventos e marcos significativos no cenário de ameaças de 2002 a 2006
7
7
2002-2003
A era do malware de envio em massa que começou com o Melissa e o LoveLetter se estendeu
até 2002-2003 e causou aumentos significativos no volume de spam. Grande parte desse malware
usava macros e funcionalidades de script do Microsoft Visual Basic. Grande parte desse malware
foi combatida por recursos de segurança do Microsoft Excel versão XP e do Microsoft Word versão
2003, quando esses programas adotaram formatos XML para seus arquivos de dados.
Em 2003, a Microsoft começou seu processo mensal regular de emissão de atualizações de
segurança, que continua até hoje. A Microsoft iniciou esse programa para fornecer regularmente
atualizações pontuais aos clientes. Algumas atualizações estão relacionadas à segurança, mas
nem todas. As atualizações de segurança são fornecidas às segundas terças-feiras de todo mês
e atualizações opcionais, bem como atualizações não relacionadas à segurança, são fornecidas
na quarta terça-feira de cada mês.
2004
A Microsoft lançou o Windows XP Service Pack 2 (SP2) em 2004, que continha muitas
melhorias e atualizações de segurança. O SP2 foi resultado de um esforço considerável dos
desenvolvedores e especialistas em segurança da Microsoft. Talvez tenha sido a indicação mais
clara da Microsoft, até aquele momento, de como a empresa estava seriamente preocupada com
o problema crescente do malware por meio da conectividade global da Internet. O SP2 foi uma
realização significativa e um marco na jornada da Microsoft e do restante do setor de proteger
os usuários de tecnologia dos criminosos.
2004 também foi o ano em que surgiu o primeiro malware significativo voltado para fins
lucrativos. A família de worms de envio em massa Win32/Mydoom criou um dos primeiros
exemplos de botnet: um conjunto de computadores secretamente e ilicitamente controlado
por um invasor, que ordena que eles executem atividades como enviar spam, hospedar
páginas usadas em ataques de phishing, roubar senhas ou informações confidenciais
e distribuir outros malwares.
A criminalização do malware
Várias das primeiras formas de malware eram um transtorno, além de caras em termos de custos
com limpeza e perda de produtividade, mas a maioria era criada como uma brincadeira ou um
meio de aumentar o status dos criadores na comunidade online de hackers. Com o surgimento
do Win32/Mydoom em 2004, ficou aparente que os criadores de malware tinham aproveitado
as oportunidades que o malware fornecia para roubo, extorsão e outras atividades criminais
cujo objetivo é o lucro.
8
2005
Em 2005, o worm Win32/Zotob foi liberado. O Win32/Zotob não foi tão propagado como se
esperava de início. Ele procurava reduzir as configurações de segurança no Windows Internet
Explorer e impedir sua funcionalidade de bloqueio de pop-up para exibir anúncios para sites
que pagariam os hackers por cliques — outro exemplo de malware voltado para o lucro.
No final de 2005, o cavalo de troia Win32/Zlob começou a se espalhar. Ele exibia anúncios de
pop-up que avisavam os usuários sobre spyware e os estimulavam a comprar um antispyware falso,
que, na verdade, redirecionava os usuários a outros sites e causava outros problemas. O Win32/Zlob
foi outro indicador de que os brincalhões que pregavam peças com malware estavam se tornando
criminosos motivados por possíveis lucros. (Para mais informações sobre o Win32/Zlob, consulte
a seção ―Como as ameaças evoluíram com o tempo‖, posteriormente neste documento.)
Antes de 2005, a Microsoft lançou atualizações de segurança para resolver formas específicas de
malware. Por exemplo, o boletim de segurança da Microsoft MS02-039, que tratou do malware
conhecido como Slammer, foi disponibilizado em julho de 2002. Em janeiro de 2005, a Microsoft
lançou a primeira versão da MSRT (Ferramenta de Remoção de Software Mal-Intencionado), que
remove software mal-intencionado comum específico de computadores que executam versões
recentes do Windows. A Microsoft disponibiliza uma nova versão da MSRT todos os meses para
download automático aos computadores dos usuários via Windows Update/Microsoft Update,
após o qual ela é executada uma vez para verificar e remover infecções por malware.
A disponibilidade consistente e automática da MSRT ajuda a manter um ecossistema de
computação mais limpo. Por exemplo, na primeira metade de 2011, a MSRT foi executada em
média no mundo todo em mais de 600 milhões de computadores individuais todos os meses.
No entanto, a MSRT não substitui um produto antimalware preventivo; ela é estritamente uma
ferramenta de remoção pós-infecção. A Microsoft recomenda o uso de um produto antimalware
preventivo atualizado.
Uma vez que criminosos tecnicamente sofisticados e organizados começaram a utilizar a tecnologia
para se aproveitar dos usuários de tecnologia, o MMPC foi criado em 2005 com duas missões: ajudar
a proteger clientes da Microsoft de ameaças emergentes e existentes e fornecer recursos de resposta
e pesquisa antimalware de nível internacional para servir de suporte a produtos e serviços de
segurança da Microsoft.
9
9
Mais recentemente, a Microsoft criou o DCU (Microsoft Digital Crimes Unit), uma equipe mundial
de advogados, investigadores, analistas técnicos e outros especialistas. A missão do DCU é tornar
a Internet mais segura por meio de uma forte imposição, parcerias globais, políticas e soluções
de tecnologia que ajudam na proteção contra fraudes e outras ameaças à segurança online,
além de proteger as crianças de crimes facilitados pela tecnologia.
A imagem a seguir mostra alguns marcos significativos durante os cinco anos após a existência
do TwC, bem como alguns eventos importantes relacionados a malware.
Figura 2. Eventos e marcos significativos no cenário de ameaças de 2007 a 2011
Além de criar o MMPC e o DCU, a Microsoft trabalhou para promover uma maior colaboração no
setor e compartilhar as lições aprendidas para ajudar os outros com seus esforços de segurança.
Um exemplo é o ICASI (Industry Consortium for Advancement of Security on the Internet), que
a Microsoft cofundou em junho de 2008 com a Intel Corporation, IBM, Cisco Systems e Juniper
Networks. Desde sua fundação, o Amazon.com e a Nokia também se tornaram membros.
O ICASI promove a colaboração entre empresas globais com o objetivo de resolver ameaças de
segurança complexas e proteger melhor as infraestruturas de TI essenciais que servem de suporte
às organizações, aos governos e aos cidadãos do mundo.
10
Vulnerabilidades
Vulnerabilidades são fraquezas no software que possibilitam um ataque que compromete
a integridade, disponibilidade ou confidencialidade desse software ou dos dados que
ele processa. Algumas das piores vulnerabilidades permitem que os invasores explorem
um computador comprometido, fazendo com que ele execute códigos arbitrários sem
o conhecimento do usuário.
Os últimos 10 anos representam um período muito interessante para analisar divulgações de
vulnerabilidades e as mudanças subsequentes que continuam afetando o gerenciamento de
riscos nas organizações de TI do mundo todo. Antes de examinar os gráficos e as tendências,
recomenda-se uma breve análise da última década com relação às vulnerabilidades do setor.
Uma década de amadurecimento
Em 2002, a MITRE1 apresentou um relatório sobre o progresso da iniciativa CVE (PDF),
que forneceu uma atualização sobre uma iniciativa de vários anos para criar um conjunto
consistente e comum de informações de vulnerabilidade — com um foco particular em
nomenclatura exclusiva — para permitir que o setor avaliasse, gerenciasse e corrigisse com
mais facilidade as vulnerabilidades e exposições. A iniciativa CVE e os dados formaram
posteriormente o núcleo do NVD (National Vulnerability Database) do NIST (National Institute
of Standards), o repositório do governo dos EUA de dados de gerenciamento de vulnerabilidades
baseado em padrões que funciona como o principal índice de vulnerabilidades do setor
mencionado no SIR.
2002 também marcou o início de um mercado comercial de vulnerabilidades; o iDefense iniciou
um programa de contribuidores de vulnerabilidades que pagava quem enviava informações sobre
vulnerabilidades encontradas.
Em 2003, o NIAC (National Infrastructure Advisory Council) dos EUA encomendou um projeto
―para propor um sistema de pontuação de vulnerabilidades aberto e universal para resolver essas
deficiências, com a meta final de promover uma compreensão comum das vulnerabilidades e seu
impacto‖. Esse projeto resultou em um relatório recomendando a adoção do CVSSv1 (Common
Vulnerability and Scoring System) (PDF) no final de 2004. Informações sobre a gravidade
(ou pontuação) da vulnerabilidade foram um grande passo à frente porque proporcionaram
um método padrão para classificar vulnerabilidades por todo o setor de uma maneira neutra
para o fornecedor.
1 A MITRE é uma empresa sem fins lucrativos que trabalha para o interesse público com o objetivo de auxiliar o governo dos EUA nas áreas de engenharia de sistemas, pesquisa e desenvolvimento e tecnologia da informação.
11
11
2007 trouxe uma atualização para o CVSS, com mudanças que resolveram problemas identificados
pela aplicação prática do CVSS desde seu surgimento. O SIR volume 4, que forneceu dados e análises
para a segunda metade de 2007, incluiu tendências sobre vulnerabilidades usando CVSSv1 e CVSSv2,
e desde então as classificações CVSSv2 são usadas. Conforme foi observado naquele momento, um
efeito prático das novas fórmulas de classificações era que uma porcentagem muito maior de
vulnerabilidades era classificada como gravidade Alta ou Média.
Divulgações de vulnerabilidades do setor
Uma divulgação, como o termo é usado no SIR, é a revelação de uma vulnerabilidade de software
ao grande público. Ela não se refere a qualquer tipo de divulgação privada ou divulgação a um
número limitado de pessoas. As divulgações podem surgir de uma variedade de fontes, incluindo
o fornecedor do software, fornecedores de software de segurança, pesquisadores independentes
de segurança e até mesmo criadores de malware.
Muitas das informações desta seção são compiladas de dados de divulgações de vulnerabilidade
publicados no NVD. Ele representa todas as divulgações que têm um número CVE (Common
Vulnerabilities and Exposures).
12
A década passada viu um crescimento drástico em novas divulgações de vulnerabilidades, com
picos em 2006 e 2007, mas que diminuíram regularmente nos quatro anos seguintes para apenas
mais de 4.000 em 2011, que ainda é um número grande de vulnerabilidades.
Figura 3. Divulgações de vulnerabilidades do setor desde 2002
Tendências de divulgações de vulnerabilidades:
As divulgações de vulnerabilidades pelo setor em 2011 diminuíram 11,8% a partir de 2010.
Esse declínio continua uma tendência geral de declínios moderados. As divulgações de
vulnerabilidades diminuíram um total de 37% desde seu pico em 2006.
13
13
Gravidade da vulnerabilidade
O CVSS é um sistema de pontuação padronizado e independente de plataformas para classificar
vulnerabilidades de TI. O CVSS atribui um valor numérico entre 0 e 10 a vulnerabilidades, de
acordo com a gravidade, sendo que as pontuações superiores representam uma maior gravidade.
(Consulte a página Vulnerability Severity (gravidade de vulnerabilidades) no site do SIR para mais
informações.)
Figura 4. Gravidade relativa de vulnerabilidades divulgadas desde 2002
Tendências de gravidade de vulnerabilidades:
A tendência geral de vulnerabilidades foi positiva. Vulnerabilidades de gravidade Média
e Alta diminuíram regularmente desde seus pontos altos em 2006 e 2007.
Mesmo que, em geral, menos vulnerabilidades estejam sendo divulgadas, o número
de vulnerabilidades de gravidade Baixa sendo divulgadas continua relativamente estável.
Vulnerabilidades de gravidade Baixa são responsáveis por aproximadamente 8% de todas
as vulnerabilidades divulgadas em 2011.
14
Divulgações de hardware e software
O NVD controla vulnerabilidades de hardware e software. O número de vulnerabilidades
de hardware divulgadas a cada ano permanece baixo, conforme mostrado na figura a seguir.
O número máximo foi 198 (3,4%) de vulnerabilidades de hardware divulgadas em 2009.
Figura 5. Divulgações de vulnerabilidades de hardware e software desde 2002
Vulnerabilidades de software consistem em vulnerabilidades que afetam sistemas operacionais,
aplicativos ou ambos. Como acontece em vários outros setores, o produto de um fornecedor pode
ser o componente de outro fornecedor. Por exemplo, o CVE-2011-1089 afeta o GNU libc 2.3, listado
como um produto de aplicativo do GNU. No entanto, o libc também é um componente integrado
em vários sistemas operacionais e é, portanto, também uma vulnerabilidade do sistema operacional.
Por essa razão, é difícil traçar uma linha distinta entre vulnerabilidades do sistema operacional e dos
aplicativos. Na figura a seguir, as vulnerabilidades que afetam tanto sistemas operacionais como
aplicativos são mostradas em vermelho.
15
15
Figura 6. Divulgações de vulnerabilidades de aplicativos e sistemas operacionais desde 2002
Em 2010 e 2011, aproximadamente 13% das vulnerabilidades de software afetavam tanto
aplicativos como sistemas operacionais.
Divulgações de vulnerabilidades do sistema operacional
Para determinar o número de vulnerabilidades que afetam sistemas operacionais (mostrado na
figura abaixo), as vulnerabilidades foram filtradas por produtos afetados que foram designados
como sistemas operacionais no NVD.
16
Figura 7. Divulgações de vulnerabilidades de sistemas operacionais desde 2002
Divulgações de vulnerabilidades de aplicativos
Para determinar o número de vulnerabilidades que afetam aplicativos (mostrado na figura abaixo),
as vulnerabilidades foram filtradas por produtos afetados que foram designados como aplicativos
no NVD.
17
17
Figura 8. Divulgações de vulnerabilidades de aplicativos desde 2002
Tendências de exploits e boletins de segurança
O MSEC (Microsoft Security Engineering Center) é um dos três centros de segurança que ajuda
a proteger os clientes de malware. O MSEC se concentra em modos básicos para desenvolver
produtos e serviços mais seguros da perspectiva da engenharia de software, por iniciativas como
o SDL (Microsoft Security Development Lifecycle) e a ciência da segurança.
O MSRC identifica, monitora, resolve e responde a vulnerabilidades de segurança do software
da Microsoft. O MSRC lança boletins de segurança todos os meses para resolver vulnerabilidades
em software da Microsoft. Os boletins de segurança são numerados em série em cada ano. Por
exemplo, ―MS11-057‖ refere-se ao 57.º boletim de segurança lançado em 2011.
Os boletins de segurança normalmente são lançados na segunda terça-feira de cada mês,
embora em raras ocasiões a Microsoft lance uma atualização de segurança ―extra‖ para
resolver um problema urgente. A Microsoft lançou uma atualização extra em 2011.
18
A figura a seguir mostra o número de boletins de segurança e atualizações extras emitidas desde
2005, que foi quando a Microsoft lançou a primeira versão do MSRT.
Figura 9. Boletins de segurança do MSRC lançados desde 2005
Período Boletins de segurança Atualizações extras
1S05
33
0
2S05
22
0
1S06
32
1
2S06
46
1
1S07
35
1
2S07
34
0
1S08
36
0
2S08
42
2
1S09
27
0
2S09
47
1
1S10
41
2
2S10
65
1
1S11
52
0
2S11
48
1
Um único boletim de segurança muitas vezes resolve várias vulnerabilidades a partir do banco
de dados do CVE, sendo que cada uma é listada no boletim, junto com qualquer outro problema
relevante. A figura a seguir mostra o número de boletins de segurança lançados e o número de
vulnerabilidades individuais identificadas pelo CVE resolvidas em cada semestre desde o 1S05.
(Observe que nem todas as vulnerabilidades são resolvidas no período no qual são inicialmente
divulgadas.)
19
19
Figura 10. Número de boletins de segurança do MSRC e vulnerabilidades identificadas pelo CVE
Em 2011, o MSRC lançou 100 boletins de segurança que resolveram 236 vulnerabilidades
individuais identificadas pelo CVE, diminuições de 7% e 6%, respectivamente, de 2010. Como
a figura a seguir mostra, o número médio de CVEs resolvidos por cada boletim de segurança
aumentou com o tempo, de 1,5 no 1S05 a 2,4 no 2S11.
20
Figura 11. Número médio de CVEs por boletim de segurança do MSRC
Sempre que possível, o MSRC consolida várias vulnerabilidades que afetam um único binário
ou componente para resolvê-las em um único boletim de segurança. Essa abordagem maximiza
a eficácia de cada atualização e minimiza a possível interrupção que os clientes enfrentam com
testes e integrando atualizações de segurança individuais em seus ambientes de computação.
21
21
O estado do malware hoje
Ao final de 2001, aproximadamente 60 mil formas de malware ou ameaças eram conhecidas.
Esse número veio de um aumento significativo ocorrido em 1996 (aproximadamente 10 mil)
e 1991 (aproximadamente mil).
Figura 12. Crescimento aproximado de malware desde 1991
Na última década, a proliferação de malware se tornou uma história de crimes online. Hoje,
estima-se que o número de ameaças conhecidas de computadores, como vírus, worms,
cavalos de troia, exploits, backdoors, password stealers, spyware e outras variações de
software potencialmente indesejado, estão na casa dos milhões.
Desde que desenvolvedores de malwares criminosos começaram a usar o polimorfismo de
cliente e servidor (a capacidade de o malware criar dinamicamente diferentes formas dele mesmo
para frustrar programas antimalware), ficou cada vez mais difícil responder a pergunta ―Quantas
variantes de ameaças existem?‖. Polimorfismo significa que podem existir tantas variantes de
ameaças quantas os computadores infectados puderem produzir. Isto é, o número somente
é limitado pela capacidade do malware de gerar novas variações dele mesmo.
Tornou-se menos significativo contar o número de variantes de ameaças do que detectar
e eliminar suas origens. Em 2011, mais de 49 mil famílias de ameaças únicas diferentes foram
reportadas ao MMPC pelos clientes. Várias dessas famílias reportadas eram duplicadas, versões
polimórficas de famílias de ameaças principais. Detectar e eliminar famílias de ameaças principais
de computadores infectados é uma atividade contínua.
22
Em 2011, a Microsoft adicionou mais de 22 mil assinaturas para detectar famílias de ameaças
principais. À medida que os desenvolvedores de malware criminosos criam mais ameaças,
o tamanho dos arquivos típicos de assinatura de antimalware aumenta. Hoje, os arquivos
de assinatura de antimalware têm em média mais de 100 MB de tamanho. Em 2002, arquivos
típicos de assinatura de antimalware tinham menos de 1 MB de tamanho.
O número de arquivos enviados a organizações antimalware também aumentou. A figura
a seguir mostra como o número de arquivos enviados suspeitos de conter malware ou software
potencialmente indesejados ao MMPC aumentou desde 2005, um aumento de mais de 200%.
(Arquivos de malware suspeitos podem ser enviados à página Submit a sample (Enviar uma
amostra) do MMPC.)
Figura 13. Aumento em porcentagem do número de arquivos enviados ao MMPC desde 2005
23
23
Tendências de malware e software potencialmente indesejados
O malware continua evoluindo e as flutuações nas detecções de diferentes formas de malware
às vezes indicam os sucessos, em determinadas épocas, dos esforços antimalware persistentes
do setor de software em relação aos esforços dos desenvolvedores de malware.
Como as ameaças evoluíram com o tempo
Quando vistas de uma perspectiva de vários anos, algumas famílias de malware e software
potencialmente indesejado tendem a apresentar picos ou a se tornar bastante predominantes, por
curtos períodos de tempo, uma vez que os fornecedores de antimalware concentram seus esforços
em detectar e remover essas ameaças. Esses períodos de pico são seguidos por períodos de
declínio, pois os invasores mudam suas táticas e continuam. A figura a seguir ilustra esse
fenômeno. (Para as Figuras 14 a 18, o eixo vertical representa a porcentagem de todos os
computadores que foram infectados com malware.)
Figura 14. Famílias de malware e software potencialmente indesejados com picos e declínios desde 2006
24
O Win32/Rbot foi uma das primeiras famílias de botnet que ganhou notoriedade em 2004 e 2005
após vários incidentes de ataque de alto perfil que afetaram redes de mídia e do governo, entre
outras. O Rbot é uma família de ―kit‖: variantes do Rbot são criadas a partir de um kit de criação
de botnet de código-fonte aberto chamado RxBot, amplamente disponível entre operadores
de malware. Vários grupos diferentes produziram suas próprias variantes com funcionalidades
diferentes. O MSRT foi atualizado para detectar o Rbot em abril de 2005 e as detecções
diminuíram nitidamente durante 2006, caindo para abaixo de 2% de computadores com
detecções no 2S08.
A família de cavalos de troia Win32/Zlob foi encontrada em quase um dentre quatro
computadores infectado com malware no 1S08, um nível de predominância que nenhuma
outra família tinha igualado antes ou desde então. O Zlob era normalmente distribuído
em páginas da Web, representando um codec de mídia que os visitantes teriam que instalar
para assistir conteúdo de vídeo baixado ou de streaming da Internet. Após ser instalado em
um computador alvo, o Zlob exibe propagandas pop-up persistentes de softwares de segurança
perigosos. Uma variante do Zlob detectada no final de 2008 incluía uma mensagem codificada,
aparentemente escrita pelo autor do Zlob que era destinada a pesquisadores do MMPC, indicando
que o autor estaria parando o desenvolvimento e a distribuição do cavalo de troia:
Para a equipe do Windows Defender:
Eu vi a postagem de vocês no blog (10 de outubro de 2008) sobre minha mensagem
anterior.
Apenas queria mandar um 'Oi' da Rússia.
Vocês são muito bons, caras. Foi uma surpresa para mim que a Microsoft pudesse
responder a ameaças tão rapidamente.
Não posso assinar aqui agora (hehe, desculpem), como era alguns anos atrás para
vulnerabilidades mais graves para todo o Windows;)
Feliz ano novo, pessoal, e boa sorte!
P.S. aliás, estaremos fechando em breve. Não por causa do trabalho de vocês. :-))
Então, vocês não verão algumas das minhas ótimas;) ideias nessa família de software.
Tentem pesquisar em exploits/shellcodes e rootkits.
Além disso, é engraçado (provavelmente para vocês), mas a Microsoft me ofereceu um
emprego para eu ajudar a melhorar algumas das proteções do Vista. Não é interessante
para mim, apenas uma ironia da vida.
Realmente, as detecções do Zlob diminuíram significativamente no 2S08 e, em 2010, o Zlob não
estava mais entre as 50 principais famílias mais detectadas do mundo todo.
25
25
O Win32/Conficker é uma família de worms descoberta em novembro de 2008 que inicialmente
se espalhava explorando uma vulnerabilidade resolvida pela atualização de segurança MS08-067,
lançada no mês anterior. Detecções do Conficker tiveram seu pico no 1S09 e caíram para um nível
muito abaixo disso depois, seguindo esforços coordenados pelo Conficker Working Group para
conter a disseminação do worm e limpar computadores infectados. Ele foi detectado entre 3%
e 6% dos computadores infectados em cada período de 6 meses desde então.
O JS/Pornpop é um adware que consiste em objetos habilitados para JavaScript especialmente
criados que tentam exibir anúncios do tipo ―pop-under‖. Detectado pela primeira vez em agosto
de 2010, foi a segunda família mais comumente detectada no 2S10 e 1S11 e, provavelmente,
a família mais comumente detectada no 2S11.
O Win32/Autorun é uma detecção genérica para worms que tentam se espalhar entre volumes
de computadores montados utilizando de modo incorreto o recurso de Execução Automática
do Windows. As detecções do Win32/Autorun aumentaram gradualmente por vários períodos
antes de ter seu pico no 2S10 como a família mais comumente detectada durante esse período.
A Microsoft introduziu uma mudança no modo em que o recurso de Execução Automática funciona
no Windows 7 e no Windows Server 2008 R2 em um esforço para ajudar a proteger os usuários das
ameaças do AutoRun. Nessas versões do Windows, a tarefa de Execução Automática é desabilitada
para todos os volumes, exceto unidades ópticas, como unidades de CD-ROM e DVD-ROM, que
historicamente não são usadas para transmitir o malware AutoRun. Subsequentemente, a Microsoft
publicou um conjunto de atualizações que fazia esse mudança funcionar de volta no Windows XP,
Windows Server 2003, Windows Vista e Windows Server 2008. Essas atualizações foram publicadas
como atualizações importantes pelos serviços Windows Update e Microsoft Update desde fevereiro
de 2011, o que pode ter ajudado a contribuir com o declínio nas detecções do Win32/Autorun
observadas durante todo o ano de 2011.
Outras famílias de malware e software potencialmente indesejado não são tão predominantes
como as famílias de pico, mas existem por períodos mais longos. A figura a seguir ilustra
a predominância de algumas dessas famílias de malware mais persistentes.
26
Figura 15. Famílias de malware que permaneceram ativas em níveis inferiores desde 2007
O Win32/Renos, atribuído à categoria de Downloaders/droppers de cavalos de troia em volumes
anteriores do SIR, era uma das quatro famílias de malware mais comumente detectadas em cada
período de 6 meses do 1S07 ao 2S10, atingindo o ápice no 2S08 e 1S10, e somente saiu dos
25 principais no 2S11. O Renos é um downloader de cavalo de troia que instala um software
de segurança perigoso em computadores infectados.
O Win32/Taterf, atribuído à categoria de Worms em volumes anteriores do SIR, estava entre
as cinco famílias de malware mais comumente detectadas em cada período do 2S08 ao 2S10,
e era a família mais comumente detectada no 2S09. O Taterf é um worm que se espalha por
unidades mapeadas para roubar detalhes de logon e de contas de jogos online populares.
A popularidade cada vez maior dos jogos online do tipo RPG para muitos jogadores criou um
mercado (normalmente desestimulado pelos criadores dos próprios jogos) de equipamentos
virtuais dentro do jogo que valem ―ouro‖, que os jogadores negociam por dinheiro do mundo
real. Isso, por sua vez, levou a uma classe de ameaças como o Taterf, que rouba as senhas dos
jogos das pessoas em nome de ladrões que podem então leiloar o roubo virtual das vítimas.
O Taterf é uma versão modificada de uma ameaça similar, o Win32/Frethog, que, por sua vez,
tinha sido persistentemente predominante durante o mesmo período.
27
27
O Win32/Alureon, atribuído à categoria de Cavalos de troia diversos em volumes anteriores
do SIR, é uma família de cavalos de troia que rouba dados com características de rootkit.
Ele foi descoberto pela primeira vez no início de 2007 e está entre as 25 principais famílias
(ou próximo disso) em cada semestre desde então. As variantes do Alureon permitem que
um invasor intercepte tráfego de entrada e saída da Internet e colete informações confidenciais,
como nomes de usuário, senhas e dados de cartão de crédito.
Diferentes ameaças em diferentes momentos
Outro ponto que se torna aparente quando malware e software potencialmente indesejado
são vistos de uma perspectiva de vários anos é que diferentes categorias de malware — isto
é, diferentes tipos de ameaças — predominam em épocas diferentes. A figura a seguir ilustra
a predominância relativa de três categorias diferentes de malware.
Figura 16. Worms, backdoors e software diverso potencialmente indesejado desde 2006
Em 2006 e 2007, o cenário de malware era dominado por worms, backdoors e software diverso
potencialmente indesejado. (O termo ―software diverso potencialmente indesejado‖ refere-se
a programas com comportamento potencialmente indesejado que podem afetar a privacidade,
segurança ou experiência de computação de um usuário.) Nessa época, ataques em larga
escala de worms como o Win32/Msblast e o Win32/Sasser, que eram propagados explorando
vulnerabilidades sem serviços de rede, eram em grande parte coisa do passado. A razão mais
provável para seu declínio foi a natureza de alto perfil desses ataques, que fez com que os
fornecedores de antimalware aumentassem seus esforços de detecção, limpeza e bloqueio e, por
fim, estimulassem a ampla adoção das atualizações de segurança que resolvia as vulnerabilidades
afetadas. A maioria dos worms predominantes em 2006 eram de envio em massa, como
o Win32/Wukill e o Win32/Bagle, que se propagavam com o envio de cópias deles mesmos
a endereços descobertos em computadores infectados.
28
Os backdoors predominantes incluíam um par de famílias de botnet relacionadas, o Win32/Rbot
e o Win32/Sdbot. Variantes dessas famílias são criadas a partir de kits de criação de botnet
comercializados no mercado informal de malware e usados para controlar computadores
infectados pelo protocolo IRC (Internet Relay Chat). O Rbot e o Sdbot foram sendo amplamente
suplantados por famílias de botnet mais novas, mas permanecem ativos, provavelmente devido
à facilidade relativa com a qual possíveis operadores de botnet podem obter os kits de criação.
Famílias predominantes de cavalos de troia em 2006 e 2007 incluíam o Win32/WinFixer, uma das
primeiras famílias de software de segurança perigosas, e a barra de ferramentas para navegador
Win32/Starware. Diferentemente das famílias perigosas mais modernas, que normalmente fingem
ser verificadores antimalware, o WinFixer mascara-se como um utilitário que supostamente
identifica ―violações de privacidade‖ no Registro e no sistema de arquivos do computador e se
oferece para ―removê-los‖ por uma taxa. O Win32/Starware é uma barra de ferramentas para
navegador que monitora pesquisas em mecanismos de pesquisa populares, conduzindo sua
própria pesquisa em conjunto e exibindo os resultados em um quadro embutido na janela do
navegador.
Figura 17. Worms, downloaders e droppers de cavalos de troia, ferramentas de monitoramento e password stealers desde 2006
A categoria de Downloaders e droppers de cavalos de troia, que afetou menos de 9% dos
computadores com detecções no 1S06, cresceu rapidamente para se tornar uma das categorias
de ameaças mais significativas em 2007 e 2008, principalmente devido ao aumento de detecções
do Win32/Zlob e do Win32/Renos.
29
29
Após diminuir significativamente após seu pico no 1S06, a categoria de Worms começou
a aumentar de novo em 2009 após a descoberta do Win32/Conficker e atingiu um segundo
pico no 2T10 com o aumento de detecções do Win32/Taterf e do Win32/Rimecud. Rimecud é uma
família de worms com vários componentes que se propaga por unidades removíveis e mensagens
instantâneas. Ele também contém funcionalidades de backdoor que permitem o acesso não
autorizado a um computador afetado.
Famílias de malware na categoria Ferramentas de monitoramento e password stealers,
responsáveis por uma porcentagem insignificante de detecções no 1S06, aumentaram lentamente,
mas regularmente em 2008 e 2009 antes de seu pico no 2T10. Password stealers de jogos como
o Win32/Frethog foram responsáveis por grande parte desse aumento.
Figura 18. Adware, software diverso potencialmente indesejado e cavalos de troia diversos desde 2006
As categorias Adware, Software diverso potencialmente indesejado e Cavalos de troia diversos
foram as mais comumente detectadas em 2010 e 2011. As detecções de adware aumentaram
significativamente no 1S11, incluindo as famílias de adware Win32/OpenCandy e JS/Pornpop.
O OpenCandy é um programa adware que pode ser incluído em certos programas de instalação
de software de terceiros. Algumas versões do programa OpenCandy enviam informações
específicas do usuário sem obter consentimento adequado do usuário e essas versões são
detectadas por produtos antimalware da Microsoft. O Pornpop é uma detecção para objetos
habilitados para JavaScript especialmente criados que tentam exibir anúncios do tipo
―pop-under‖ nos navegadores da Web dos usuários. Inicialmente, o JS/Pornpop apareceu
exclusivamente em sites que continham conteúdo adulto; no entanto, desde então,
observou-se que ele tem aparecido em sites sem conteúdo adulto algum.
30
A categoria Software diverso potencialmente indesejado, que foi a mais comumente detectada
em 2006, diminuiu em predominância em 2007 e 2008 e, posteriormente, aumentou de novo para
se tornar a segunda categoria mais predominante no 2T11. Famílias significativas nessa categoria
no 2T11 foram o Win32/Keygen, uma detecção genérica para ferramentas que geram chaves de
produtos para versões obtidas ilegalmente de vários produtos de software, e o Win32/Zwangi,
um programa que é executado como serviço em segundo plano e modifica as configurações do
navegador da Web para visitar um site específico.
A categoria Cavalos de troia diversos afetou de modo consistente aproximadamente um terço dos
computadores que foram infectados com malware em cada período desde o 2S08. Várias famílias
de software de segurança perigosas se enquadram nessa categoria, como o Win32/FakeSpyPro,
a família de software de segurança perigosa mais comumente detectada em 2010. Outras famílias
predominantes dessa categoria incluem o Win32/Alureon, o cavalo de troia que rouba dados,
e o Win32/Hiloti, que interfere nos hábitos de navegação do usuário afetado e baixa e executa
arquivos arbitrários.
Categorias de ameaças por localidade
O ecossistema de malware se distanciou de ameaças altamente visíveis, como worms de replicação
automática, em direção a ameaças menos visíveis que contam mais com a engenharia social para
distribuição e instalação. Essa mudança significa que a propagação e eficácia do malware se
tornou mais dependente do idioma e dos fatores culturais. Algumas ameaças são propagadas
usando técnicas que têm como objetivo pessoas que falam um determinado idioma ou que usam
serviços locais de uma região geográfica específica. Outras têm como objetivo configurações
de sistemas operacionais ou vulnerabilidades e aplicativos distribuídos de modo diferente pelo
mundo. Dados de infecções de vários produtos de segurança da Microsoft para algumas das
localidades mais populosas do mundo demonstram a natureza altamente localizada do malware
e do software potencialmente indesejado.
Da mesma forma, o cenário de ameaças é muito mais complexo do que uma simples análise das
maiores ameaças globais poderia sugerir.
Inteligência de segurança em 2011
A figura a seguir mostra esses países/regiões reportando números significativamente elevados
de computadores limpos por produtos antimalware para computadores desktop da Microsoft
desde 2009.2
2 Para obter informações sobre como as localizações dos computadores são determinadas, consulte a postagem Determinando a geolocalização dos sistemas infectados com malware.
31
31
Figura 19. Países/regiões com números significativamente elevados de computadores limpos desde 2009
A figura a seguir mostra países/regiões que historicamente reportaram altas taxas de infecção,
em comparação com a taxa média de infecção para todos os países/regiões
32
Figura 20. Países/regiões com altas taxas de infecção em comparação com a média mundial desde 2009
A figura a seguir mostra países/regiões que historicamente reportaram baixas taxas de infecção,
em comparação com a taxa média de infecção para todos os países/regiões.
Figura 21. Países/regiões com baixas taxas de infecção em comparação com a média mundial desde 2009
33
33
Lições dos países/regiões menos infectados
Áustria, Finlândia, Alemanha e Japão apresentaram taxas de infecção de malware relativamente
baixas nos últimos anos. No entanto, várias das mesmas ameaças globais predominantes em
países/regiões com altas taxas de infecção de malware, como Brasil, Coreia e Turquia, também
são predominantes em países/regiões com baixas taxas de infecção.
O adware está entre as categorias de ameaças mais predominantes encontradas em
países/regiões com taxas de infecção de malware altas e baixas. Observou-se que ele
é a primeira ou segunda categoria em cada um desses lugares. Tanto o JS/Pornpop (detectado
em mais de 6,5 milhões de computadores únicos globalmente na segunda metade de 2010)
como o Win32/ClickPotato são muito predominantes nesses países/regiões.
O Win32/Renos foi o principal responsável pelos níveis de downloaders e droppers de
cavalos de troia encontrados em países/regiões com taxas de infecção de malware altas
e baixas. O Win32/Renos é uma família predominante de downloaders e droppers de cavalos
de troia há vários anos e foi detectado em mais de 8 milhões de computadores únicos
no mundo todo em 2010.
O Win32/Autorun, detectado em mais de 9 milhões de computadores únicos globalmente
em 2010, e o Win32/Conficker, detectado em mais de 6,5 milhões de computadores únicos
globalmente em 2010, estão nas listas das 10 principais ameaças para países/regiões com
taxas de infecção de malware altas e baixas, exceto a Finlândia.
As taxas de infecção de malware relativamente baixas na Áustria, Finlândia, Alemanha e Japão
não significam necessariamente que os criminosos não estão ativos nesses países/regiões.
Por exemplo:
Foram observados mais sites de hospedagem de malware (por mil hosts) na Alemanha
do que nos EUA em 2010.
A porcentagem de sites que hospedam downloads do tipo drive-by na Finlândia era
de quase o dobro dos EUA na primeira metade de 2010.
No T4 de 2010, observou-se que a porcentagem de sites que hospedam downloads do
tipo drive-by na Alemanha era 3,7 vezes maior do que o número observado nos EUA.
A porcentagem de sites que hospedam downloads do tipo drive-by no Japão era 12% superior
a dos EUA durante a primeira metade de 2010. Embora essa porcentagem tenha diminuído
abruptamente nos dois locais no quarto trimestre de 2010, a porcentagem de sites que
hospedam downloads do tipo drive-by no Japão era 4,7 vezes superior a dos EUA no T4.
34
Especialistas em segurança desses países/regiões indicam que os seguintes fatores contribuíram
para diminuir consistentemente as taxas de infecção de malware em seus países/regiões:
Existência de fortes parcerias públicas–privadas que possibilitam recursos proativos
e responsivos.
Equipes de resposta para emergências de computadores, provedores de serviços de Internet,
entre outros, que monitoram ativamente ameaças permitem uma resposta rápida para
ameaças em surgimento.
Uma cultura de TI na qual os administradores de sistemas respondem rapidamente a relatórios
de abusos ou infecções do sistema é útil.
Diretivas de imposição e correção ativa de ameaças colocando em quarentena sistemas
infectados em redes no país/região é eficaz.
Campanhas educativas e atenção na mídia que ajudam a melhorar a conscientização
do público sobre os problemas de segurança podem compensar.
Baixas taxas de pirataria de software e o amplo uso do Windows Update/Microsoft
Update ajudaram a manter as taxas de infecção relativamente baixas.
Essa lista tem semelhanças evidentes com o conceito de defesa coletiva descrito em um artigo
escrito por Scott Charney, vice-presidente corporativo do Trustworthy Computing da Microsoft,
em 2010. ―Collective Defense: Applying Public Health Models to the Internet‖ (PDF) (em tradução
livre, Defesa coletiva: aplicando modelos de saúde pública à Internet) descreve um modelo para
melhorar a saúde dos dispositivos conectados à Internet. Para alcançar isso, governos, o setor de TI
e provedores de serviços de Internet devem garantir a saúde dos dispositivos voltados para
o consumidor antes de conceder a eles acesso livre à Internet. A abordagem oferecida no artigo
é examinar os problemas de segurança online usando um modelo similar àquele que a sociedade
usa para tratar de doenças humanas. O modelo de saúde pública abrange vários conceitos
interessantes que podem ser aplicados à segurança da Internet.
Os países/regiões consistentemente menos infectados do mundo parecem já estar fazendo
várias das sugestões propostas pelo modelo de saúde de defesa coletiva. Um vídeo que analisa
o modelo está disponível no site do Trustworthy Computing aqui.
35
35
Windows Update e Microsoft Update
A Microsoft fornece diversas ferramentas e serviços que permitem que sistemas ou seus usuários
baixem e instalem atualizações diretamente pela Microsoft ou, para clientes empresariais, a partir
de servidores de atualizações gerenciados por seus administradores de sistemas. O software cliente
de atualização (chamado de Atualizações Automáticas no Windows XP e Windows Server 2003 e
simplesmente Windows Update no Windows 7, Windows Vista e Windows Server 2008) conecta-se
a um serviço de atualização para obter a lista de atualizações disponíveis. Após o cliente de
atualização determinar quais atualizações são aplicáveis a cada sistema exclusivo, ele instala as
atualizações ou notifica o usuário de que elas estão disponíveis, dependendo de como o cliente
está configurado e a natureza de cada atualização.
Para os usuários, a Microsoft fornece dois serviços de atualização que os clientes de atualização
podem usar:
O Windows Update fornece atualizações para componentes do Windows e para drivers
de dispositivos fornecidos pela Microsoft e outros fornecedores de hardware. O Windows
Update também distribui atualizações de assinaturas para produtos antimalware da
Microsoft e a versão mensal do MSRT. Por padrão, quando um usuário habilita a atualização
automática, o cliente de atualização conecta-se ao serviço Windows Update para obter
atualizações.
O Microsoft Update fornece todas as atualizações oferecidas pelo Windows Update, bem
como atualizações para outros softwares da Microsoft, como o sistema Microsoft Office,
Microsoft SQL Server e Microsoft Exchange Server. Os usuários podem optar por receber
o serviço ao instalar um software que tenha suporte pelo Microsoft Update ou no site
do Microsoft Update.
Os clientes empresariais também podem usar o WSUS (Serviços de Atualização do Windows
Server) ou a família de produtos de gerenciamento Microsoft System Center 2012 para fornecer
serviços de atualização para seus computadores gerenciados.
36
Figura 22. Uso do Windows Update e Microsoft Update, 2S06-2S11, indexado para uso total no 2S06
Desde sua introdução em 2005, o uso do Microsoft Update aumentou drasticamente.
37
37
Conclusão
Essa edição especial do SIR fornece informações sobre como o malware e outras formas
de software potencialmente indesejado evoluíram nos últimos 10 anos.
A computação se tornou parte da estrutura de nossas vidas diárias e as bases da sociedade
moderna estão se tornando mais digitais a cada dia. A tecnologia da informação e das
comunicações transformou para melhor o modo como vivemos, mas a sociedade ainda
encara alguns desafios antigos e em evolução.
À medida que o número de pessoas, computadores e dispositivos que se conectam à Internet
continua aumentando, as ameaças cibernéticas estão se tornando mais sofisticadas em sua
habilidade de coletar dados confidenciais, interromper operações fundamentais e conduzir
fraudes.
As ameaças cibernéticas hoje são muitas vezes caraterizadas como tecnicamente avançadas,
persistentes, bem fundamentadas e motivadas por vantagens lucrativas ou estratégicas.
A inteligência da segurança é um ativo valioso a todos os usuários de Internet, organizações,
governos e consumidores, que enfrentam uma variedade de ameaças que são qualquer coisa,
exceto estáticas. Como vivemos em um mundo tão dependente da TI, a dedicação da Microsoft
à segurança, privacidade e confiabilidade pode ser mais importante hoje do que era quando
o Trustworthy Computing foi criado em 2002.
Vários setores e organizações, incluindo a Microsoft, estão investindo em informações de
pesquisas, métodos de desenvolvimento de software e ferramentas para ajudar governos,
a indústria e as pessoas a reduzir e gerenciar melhor os riscos resultantes da incerteza do cenário
de ameaças que muda rapidamente. O Microsoft Trustworthy Computing continua contribuindo
com o ecossistema de computação, à medida que enfrentamos um novo mundo de dispositivos,
serviços e tecnologias de comunicação que continuam evoluindo.
38
Apêndice A: Tecnologias de proteção para computadores e atenuações
Resolver ameaças e riscos requer um esforço conjunto por parte das pessoas, organizações
e governos do mundo todo. A seção ―Managing Risk‖ (Gerenciando o risco) do site do SIR
apresenta várias sugestões para impedir ações prejudiciais de malware, violações e outras ameaças
de segurança, e para detectar e atenuar problemas quando eles ocorrem. Os tópicos dessa seção
do site incluem:
―Protecting Your Organization‖ (Protegendo sua organização), que oferece orientação para os
administradores de TI de pequenas, médias e grandes organizações que procuram melhorar
suas práticas de segurança e ficar atualizados com os desenvolvimentos mais recentes.
―Protecting Your Software‖ (Protegendo seu software), que oferece aos desenvolvedores
de software informações sobre como desenvolver software seguro, incluindo software
para uso interno, e como proteger sistemas voltados para a Internet de ataques.
―Protecting Your People‖ (Protegendo suas pessoas), que oferece orientações para promover
a conscientização sobre as ameaças de segurança e os hábitos de uso seguros da Internet
dentro de uma organização.
Mais informações úteis sobre vulnerabilidade e iniciativas de proteção contra malware estão
disponíveis nos seguintes documentos:
Information Sharing and MSRC 2010 (Compartilhamento de informações e MSRC 2010),
um relatório do Microsoft Security Response Center
White paper Mitigating Software Vulnerabilities (Atenuando vulnerabilidades de software)
Malware research and response at Microsoft (Resposta e pesquisa de malware na Microsoft).
Esse relatório se concentra na função e nas atividades do MMPC e na nossa visão para
fornecer respostas e pesquisas sobre malware completas e contínuas.
Introducing Microsoft Antimalware Technologies (Introduzindo tecnologias antimalware
da Microsoft). Esse white paper ajuda os profissionais de TI a entender melhor o cenário
de malware geral e como aproveitar os recursos em sua tecnologia antimalware.
39
39
Apêndice B: Famílias de ameaças mencionadas neste relatório
As definições das famílias de ameaças mencionadas neste relatório são adaptadas da Enciclopédia
sobre malware do MMPC, que contém informações detalhadas sobre um grande número de
famílias de malware e software potencialmente indesejado. Consulte a enciclopédia para
informações mais detalhadas e orientações sobre as famílias listadas aqui e durante todo
o relatório.
Win32/Alureon. Um cavalo de troia de roubo de dados que coleta informações confidenciais,
como nomes de usuário, senhas e dados de cartão de crédito de tráfego de entrada e saída da
Internet. Ele também pode baixar dados mal-intencionados e modificar configurações de DNS.
Win32/Autorun. Uma família de worms que se propaga se copiando para as unidades
mapeadas de um computador infectado. As unidades mapeadas podem incluir unidades
da rede ou removíveis.
Win32/Bagle. Um worm que se propaga enviando-se por email a endereços encontrados em
um computador infectado. Algumas variantes também se propagam por redes P2P. O Bagle
age como um cavalo de troia backdoor e pode ser usado para distribuir outros softwares
mal-intencionados.
Win32/ClickPotato. Um programa que exibe anúncios pop-up e de estilo de notificação
com base nos hábitos de navegação do usuário.
Win32/Conficker. Um worm que se propaga explorando uma vulnerabilidade resolvida
pelo boletim de segurança MS08-067. Algumas variantes também se propagam por unidades
removíveis e explorando senhas fracas. Ele desabilita vários produtos de segurança e serviços
importantes do sistema e baixa arquivos arbitrários.
Win32/FakeSpyPro. Uma família de software de segurança perigosa distribuída com os nomes
Antivirus System PRO, Spyware Protect 2009, entre outros.
Win32/Fixer. Malware que localiza várias entradas do Registro e outros tipos de dados,
identifica-os incorretamente como violações de privacidade e solicita que o usuário compre
um produto para remover as supostas violações.
Win32/Frethog. Uma grande família de cavalos de troia de roubo de senhas que tem
como objetivo dados confidenciais, como informações de contas, de jogos online para
muitos jogadores.
40
Win32/Hiloti. Uma família de cavalos de troia que interfere nos hábitos de navegação do
usuário afetado e baixa e executa arquivos arbitrários.
Win32/Keygen. Uma detecção genérica para ferramentas que geram chaves de produtos
para versões obtidas ilegalmente de vários produtos de software.
Win32/Msblast. Uma família de worms de rede que explora uma vulnerabilidade no Microsoft
Windows 2000 e Windows XP, e também pode tentar ataques do tipo DoS (negação de serviço)
em alguns sites de servidores ou criar programas backdoor que permitem aos invasores acessar
computadores infectados.
Win32/Mydoom. Uma família de worms de envio em massa que age como cavalo de troia
backdoor e permite que os invasores acessem sistemas infectados. O Win32/Mydoom pode
ser usado para distribuir outro software mal-intencionado e algumas variantes iniciam ataques
DoS contra sites específicos.
Win32/Nimda. Uma família de worms que tem como objetivo computadores que executam
certas versões do Windows e explora a vulnerabilidade descrita no boletim de segurança
da Microsoft MS01-020 para se propagar, infectando documentos com conteúdo da Web
e anexando-se a mensagens de email.
Win32/OpenCandy. Um programa adware que pode ser incluído em certos programas de
instalação de software de terceiros. Algumas versões podem enviar informações específicas do
usuário, incluindo um código de máquina exclusivo, informações sobre o sistema operacional,
localidade, entre outras, a um servidor remoto sem obter o consentimento adequado do usuário.
JS/Pornpop. Uma detecção genérica para objetos habilitados para JavaScript especialmente
criados que tentam exibir anúncios do tipo ―pop-under‖, normalmente com conteúdo adulto.
Win32/Rbot. Uma família de cavalos de troia backdoor que tem como objetivo certas versões do
Windows e permite que os invasores controlem computadores infectados por um canal do IRC.
Win32/Renos. Uma família de downloaders de cavalo de troia que instala um software de
segurança perigoso.
Win32/Rimecud. Uma família de worms com vários componentes que se propaga por
unidades fixas e removíveis e por mensagens instantâneas. Ele também contém funcionalidades
de backdoor que permitem o acesso não autorizado a um sistema afetado.
41
41
Win32/Rustock. Uma família de vários componentes de cavalos de troia backdoor habilitados
por rootkit que foi desenvolvida pela primeira vez por volta de 2006 para auxiliar na distribuição
de email spam.
Win32/Sasser. Uma família de worms de rede que explora a vulnerabilidade LSASS (Local Security
Authority Subsystem Service) corrigida na atualização da segurança da Microsoft MS04-011.
Win32/Sdbot. Uma família de cavalos de troia backdoors que permite aos invasores controlar
computadores infectados.
Win32/Sircam. Uma família de worms de rede de envio em massa que tem como objetivo certas
versões do Windows e se propaga enviando uma cópia de si mesmo como um anexo de email
a endereços de email encontrados nos computadores infectados.
Win32/Starware. Uma barra de ferramentas para navegador da Web que monitora pesquisas
em mecanismos de pesquisa populares, conduz sua própria pesquisa em conjunto e exibe os
resultados em um IFrame na janela do navegador.
Win32/Taterf. Uma família de worms que se espalha por unidades mapeadas para roubar
detalhes de logon e de contas de jogos online populares.
Win32/Wukill. Uma família de worms de rede de envio em massa que se propaga a diretórios raiz
de certas unidades locais e mapeadas. Ele também se propaga enviando uma cópia de si mesmo
como um anexo de email a endereços de email encontrados em computadores infectados.
Win32/Zlob. Uma família grande de vários componentes de malware que modifica as
configurações do Windows Internet Explorer, altera e redireciona home pages e pesquisas
padrão da Internet dos usuários e tenta baixar a executar arquivos arbitrários (incluindo
outros softwares mal-intencionados).
Win32/Zotob. Um worm de rede voltado principalmente a computadores que executam
o Windows 2000 e que não têm o boletim de segurança MS05-039 da Microsoft instalado.
Ele explora a vulnerabilidade de estouro de buffer do Windows Plug-and-Play.
Win32/Zwangi. Um programa executado como um serviço no segundo plano que modifica
as configurações do navegador da Web para visitar um determinado site.