Mudanças no cenário das ameaças

Mudanças no cenário

das ameaças

Relatório Regional América Latina Edição VIII - Setembro, 2005

Esta edição do

marca a mudança no cenário das ameaças. Os hackers estão deixando de promover grandes ataques a perímetros de rede e começando a desenvolver ataques menores e mais focados diretamente no usuário. Este novo cenário será construído por tendências emergentes como constituição de redes bots, códigos maliciosos customizados através de módulos e ataques direcionados através de aplicativos e navegadores de internet. Apesar de observarmos que a maioria dos ataques ainda são motivados por curiosidade e desejo de exibir superioridade tecnológica, registramos muitos ataques e ameaças com finalidade financeira, ou seja, com o objetivo de lucrar indevidamente.

Esta edição do relatório oferece uma visão estratégica da atividade na Internet entre 1º de Janeiro e 31 de Junho de 2005. Este resumo irá oferecer uma sinopse dos resultados e análises contido na versão integral do relatório, focado em dados referentes aos países da América Latina. Com a chegada deste novo cenário de ameaças, a Symantec irá continuar a monitorar e avaliar a atividade maliciosa na Internet para continuar informando seus clientes sobre as mudanças complexas na rede mundial de computadores.

Destaques

Códigos maliciosos tendo em vista o lucro

Durante o primeiro semestre de 2005, novos métodos de utilização de códigos maliciosos visando ganhos financeiros foram observados com uma freqüência crescente. Um exemplo enviado à Symantec durante esse período, era um programa contendo código malicioso, que baixava adware em um computador comprometido. Toda vez que o programa era baixado, o autor do código malicioso ganhava uma comissão. A Symantec também descobriu provas evidenciando que as redes bot estão disponíveis para aluguel. Elas podem ser utilizadas com propósitos escusos, tais como extorquir dinheiro de websites de comércio, ao lançar ataques de negação de serviço (Denial of Service DoS).

Divulgação de informações confidenciais

As ameaças às informações confidenciais podem resultar em perdas financeiras significativas, principalmente se forem expostos dados sobre cartões de crédito e contas bancárias. Essas preocupações estão se tornando mais inquietantes conforme continua a aumentar a popularidade das compras e dos bancos on-line. Entre 1º de janeiro e 30 de junho de 2005, os códigos maliciosos que expõem informações confidenciais responderam por 74% da lista das 50 principais amostras de códigos maliciosos reportadas à Symantec, ante os 54% registrados no semestre anterior. O aumento nas ameaças contra informações confidenciais provavelmente se deve à rápida proliferação de redes bot durante esse período.

As variantes dos códigos maliciosos aumentam dramaticamente

Ao longo da primeira metade de 2005, a Symantec documentou mais de 10.866 novas variações de vírus e worms Win32, um aumento de 48% em relação aos 7.360 documentados no último semestre de 2004. Isso também significa um aumento de 142% acima dos 4.496 já documentados no primeiro semestre de 2004. Esse incrível aumento nas variantes é importante, pois cada variante representa uma nova e distinta ameaça, contra a qual os administradores devem proteger os seus sistemas e para a qual os fornecedores de antivírus devem criar uma nova definição. Essa tendência também é importante, porque significa uma mudança que se afasta das ameaças de larga disseminação, como os worms de envio em grande escala, e se aproxima dos códigos maliciosos modulares e personalizáveis.

A atividade de rede bot continua a aumentar

Nos primeiros seis meses de 2005, a Symantec identificou mais de 10.352 bots por dia, comparados com menos de 5.000 por dia em dezembro de 2004. A Symantec acredita que o aumento nas atividades bot, tenha sido ocasionado por uma elevação correspondente dos ataques aos DoS. Isso pode estar relacionado a razões financeiras, já que os ataques DoS têm sido relatados em tentativas de extorsão. A Symantec também observou um aumento drástico nas variantes bot no primeiro semestre de 2005.

Códigos maliciosos para dispositivos móveis

Os códigos maliciosos para dispositivos móveis, continuaram a abrir caminho nos seis primeiros meses de 2005. Em março, o primeiro worm Multimídia de Serviço de Mensagens (Multimedia Messaging Service - MMS) foi descoberto. As ameaças criadas demonstraram algumas das capacidades sólidas dos códigos maliciosos para dispositivos móveis, a despeito do fato de que o número de ameaças relatadas, em geral, ainda é relativamente pequeno. Pode-se esperar uma mudança em relação a isso, já que a complexidade das plataformas e suas conectividades têm aumentado a ponto de gerar uma epidemia em larga escala.

A exposição da vulnerabilidade aumenta substancialmente

Entre 1º de janeiro e 30 de junho de 2005, a Symantec documentou 1.862 novas vulnerabilidades. Este é o maior número já registrado desde que o Internet Security Threat Report começou a rastrear novas vulnerabilidades, em intervalos semestrais. O relatório revela que 49% dessas vulnerabilidades foram classificadas como de alto risco, enquanto 59% foram descobertas em tecnologias de aplicativos web. Essas vulnerabilidades são particularmente perigosas porque podem permitir a um agressor acessar informações confidenciais em bases de dados sem precisar comprometer qualquer servidor.

Os navegadores Mozilla têm as maiores vulnerabilidades

No primeiro semestre de 2005, 25 fornecedores confirmaram que vulnerabilidades foram expostas nos navegadores Mozilla, mais do que em qualquer outro navegador. Do total dessas vulnerabilidades 18 foram classificadas como de alto risco. Durante o mesmo período, 13 fornecedores confirmaram vulnerabilidades expostas no Microsoft Internet Explorer, e oito foram consideradas de alto risco.

Seis meses de crescimento do phishing e do spam

O Phishing continuou a aumentar durante os seis primeiros meses de 2005. Durante o período do atual relatório, a Symantec bloqueou 1,04 bilhão de ataques de phishing, comparado aos 546 milhões nos últimos seis meses de 2004, registrando um acréscimo de 90% de mensagens bloqueadas. Isto significa que, entre 1º de janeiro e 30 de junho de 2005, o volume de mensagens de phishing cresceu da média de 2,99 milhões de mensagens por dia para 5,70 milhões. Uma em cada 125 mensagens de e-mail verificadas pelo Symantec Brightmail AntiSpam foi uma tentativa de phishing, um aumento de 100% em relação ao último semestre de 2004. Durante esse período, mensagens spam totalizaram mais de 61% de todo o tráfego de e-mail, ocorrendo um leve crescimento no decorrer do segundo semestre de 2004.

O tempo entre a exposição de uma vulnera bilidade e o lançamento de um exploit associado era de seis dias.

73% das vulnerabilidades relatadas durante esse período foram classificadas como facilmente exploráveis.

59% das vulnerabilidades estavam associadas a tecnologias de aplicação web.

25 vulnerabilidades foram expostas em navegadores Mozilla e 13 no Microsoft Internet Explorer.

Vulnerabilidade

Códigos

A Symantec documentou 1.862 novas vulnerabilidades, o maior número desde que a companhia começou a verificá-las a cada seis meses.

TENDÊNCIAS

97% das vulnerabilidades eram de caráter moderado ou de alto risco.

A Symantec documentou mais de 866 novas variações de vírus e worms Win32, um aumento de 48%% em relação à segunda metade de 2004 e um aumento de 142% na primeira metade de 2004. No segundo período consecutivo, a amostra de código malicioso mais reportada foi o Netsky. O Gaobot e o Spybot foram, respectivamente, o segundo e o terceiro mais reportados.

Os códigos maliciosos que expõem informações confidenciais respondem por 74% da lista das 50 principais amostras de códigos maliciosos recebidas pela Symantec.

Os códigos maliciosos associados ao bot que foram reportados à Symantec totalizaram 14% dos relatórios dos 50 mais.

6.361 novas variações do Spybot foram relatadas à Symantec, um aumento de 48% em relação às 4.288 variações documentadas no segundo semestre de 2004.

Ataques

O adware representou 8% dos 50 principais programas relatados, 5% a mais que no período do relatório anterior.

Oito entre dez programas adware foram instalados através dos navegadores de Internet.

Seis entre os dez principais programas spyware estavam empacotados com outros programas e seis foram instalados por navegadores da Internet.

Entre os dez principais programas adware reportados no primeiro semestre de 2005, cinco raptavam o navegador.

As mensagens que constituem tentativas de phishing subiram de uma média de 2,99 milhões por dia para, aproximadamente, 5,70 milhões por dia.

Outros Riscos à Segurança

O Spam representou 61% de todo o tráfego de e-mail.

TENDÊNCIAS

51% de todos os spams distribuídos pelo mundo se originaram nos Estados Unidos.

Pelo quarto período consecutivo de relatório, o Microsoft SQL Server Resolution Service Stack Overflow Attack foi o ataque mais comum, respondendo por 33% de todos os casos.

Os sensores da Symantec detectaram uma média de 57 ataques por dia. A Symantec identificou uma média de 10.352 bots por dia, um aumento de 4.348 em dezembro de 2004.

Em geral, o número de ataques DoS cresceu de uma média de 119 por dia para 927 por dia, um aumento de 679% em relação ao período do relatório anterior.

33% dos ataques se originaram nos EUA, um aumento de 30% em relação ao último período.

Entre 1º de janeiro e 30 de junho de 2005, o setor de educação foi o alvo mais visado, seguido pelas pequenas empresas e serviços financeiros.

Discussão

Para os propósitos deste relatório, os principais ataques foram definidos como porcentagem de endereços IP, que lançaram o ataque, em relação ao total. Entre 1º de janeiro e 30 de junho de 2005, o ataque mais disseminado detectado pelos sensores na América Latina foi o Generic HTTP CONNECT TCP Tunnel Attack (Ataque Genérico HTTP por Túnel de Conexão TCP). Esse ataque, lançado por 48 dos IP agressores que visavam a região, é do tipo contra Servidores Web configurados inadequadamente. Em uma prática freqüentemente chamada de proxying, alguns Servidores Web permitem que tentativas de conexão a outras máquinas sejam enviadas por eles. Isso permite que o computador que está fazendo a conexão se disfarce de Servidor Web, possibilitando assim que um agressor interno passe pelos firewalls de saída. Isso também permite a um agressor interno utilizar um Servidor Web confiável para acessar outras máquinas internas que de outra forma estariam bloqueadas a ele. Esse ataque pode permitir a um agressor obter acesso a informações sensíveis ou lançar ataques subseqüentes anonimamente.

As organizações deveriam garantir que todos os Ser vidores Web implantados publicamente sejam configurados utilizando um modelo-padrão que impeça retransmissões. Os firewalls devem ser colocados entre os computadores acessíveis publicamente e a rede interna, criando uma zona desmilitarizada (DMZ) para limitar a exposição, caso haja um comprometimento. Um sistema de detecção de intrusão deve ser colocado nas redes internas para verificar se agressores internos estão tentando utilizar esse ataque para evitar a filtragem ou os registros de saída.

O segundo ataque mais disseminado que visou os sensores na América Latina durante esse período foi o Microsoft Windows Locator Service Buffer Overflow Attack (Ataque por Estouro da Pilha do Serviço Localizador do Windows da Microsoft). Essa vulnerabilidade foi largamente visada por várias amostras de códigos maliciosos, particularmente o Gaobot e o Spybot . Esse ataque visa um componente de rede do Windows e pode permitir a um agressor obter o controle total do computador. Ele também permite que o agressor roube informações confidenciais e senhas, por

2 3

ATAQUES: os maiores

Generic HTTP CONNECT TCP Tunnel Attack Microsoft Windows Locator Service Buffer

Overflow Attack

Generic Ping Broadcast (Smurf) Denial of Service Attack

Generic ICMP Flood Attack Microsoft SQL Server 2000 Resolution Service

Stack Overflow Attack Generic TCP Hijacking Attack Generic NetBIOS Enumeration Event Generic HTTP Directory Transversal Attack Generic SQL Query in HTTP Request Attack Windows RPCSS Multi-thread Race Condition

Vulnerability

Ataque % de endereços_{IP atacando Afetado}Serviço

NC NC NC NC 1 NC NC 6 NC NC 48% 10% 10% 9% 8% 5% 5% 4% 4% 4% Servidor Web (HTTP) Microsoft Network (MSN) Negação de Serviço Genérico Negação de Serviço Genérico Microsoft SQL Server TCP Genérico Microsoft Network (MSN) Servidor Web (HTTP) Microsoft SQL Server Microsoft Network (MSN) 1 2 3 4 5 6 7 8 9 10

Tabela 1 - Principais ataques na América Latina. Fonte: Symantec Corporation

http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.aa.html

2 3

exemplo, através de ferramentas, tais como as de leitura do uso do teclado.

O Gaobot e o Spybot permitem a um agressor manter o acesso a um computador comprometido e instruí-lo a verificar e explorar as vulnerabilidades, incluindo as da rede local. Se um computador remoto comprometido conectar-se à rede, seja diretamente ou por VPN, qualquer sistema sem os patches adequados pode estar vulnerável a outros ataques. As organizações deveriam assegurar que todos os computadores conectados às redes internas estejam atualizados com os últimos patches e que os usuários finais possuam antivírus e firewall pessoais para ajudar a bloquear os ataques.

O terceiro ataque mais disseminado visando a América Latina entre janeiro e junho de 2005 foi o Ping Broadcast Denial of Service Attack (Ataque de Negação de Serviço por Difusão de Ping). Esse ataque de negação de serviço (DoS) utiliza pacotes de ping em ICMP para inundar o alvo e fazer com que ele pare de responder. O ICMP é utilizado para identificar problemas com as conexões de Internet e o componente “ping” do ICMP é utilizado para determinar se uma máquina está funcionando e é acessível. Os pings ICMP endereçados a faixas amplas de e n d e r e ç o s p o d e m r e s u l t a r e m v á r i o s computadores respondendo simultaneamente

ao ping de origem. Isso pode resultar em negação de serviço no alvo.

Os ataques DoS são a maior ameaça às organizações que contam com a conectividade da Internet para desenvolver suas operações. Esses ataques ameaçam particularmente as empresas que dependem da Internet para gerar receita. Como discutido na seção “Tendências dos Ataques” deste

, esse ataque pode estar relacionado a motivos financeiros, já que ameaças de ataques DoS foram relatadas como tentativas de extorsão .

A s o rg a n i z a ç õ e s d e v e r i a m t e r u m procedimento documentado para respostas aos eventos DoS. Um dos melhores meios de mitigar os ataques DoS é filtrar o tráfego DoS no contra-fluxo do alvo. Para a maioria das organizações, essa filtragem requer trabalhar em conjunto com o provedor de serviços de Internet (ISP). A S y m a n t e c t a m b é m r e c o m e n d a q u e a s organizações realizem filtragem egressa em todo o tráfego de saída. Muitos dos firewalls e sistemas operacionais têm parâmetros de configuração que podem ser alterados para ajudar a mitigar os efeitos de uma inundação de ping. As organizações deveriam assegurar que todos os sistemas que possam ser alvos de DoS estejam apropriadamente enrijecidos para minimizar os impactos, caso ocorram ataques.

Symantec Internet Security Threat Report 4 Posição Atual Posição jan-jun 2004 Estados Unidos Brasil México Argentina Espanha Peru Colômbia Uruguai França Alemanha

País _{Ataques na Região}Porcentual dos _{Ataques no Mundo}Porcentual dos 1 3 4 NC 7 2 NC NC 8 NC 45% 19% 9% 4% 3% 2% 2% 2% 1% 1% 33% 2% 1% 1% 5% <1% <1% <1% 5% 7% 1 2 3 4 5 6 7 8 9 10

Tabela 2 - Principais países de origem para a América Latina. Fonte: Symantec Corporation

ATAQUES: principais países de origem

Discussão

Os Estados Unidos foram o principal país de origem dos ataques detectados pelos sensores na América Latina, respondendo por 45% das

http://www.newscientist.com/channel/info-tech/mg18725125.900

4

invasões. Provavelmente, isto se deve ao alto nível de atividade geral de ataques originados lá: 33% das atividades de ataques em toda a Internet originaram-se lá na primeira metade de 2005. Os Estados Unidos continuam a ter mais

usuários de Internet do que qualquer outro país. Seis dos dez principais países de origem dos ataques visando a América Latina pertencem à própria região. Brasil, México e Argentina respondem, juntos, por 32% da atividade de ataque detectada pelos sensores na região. A tendência de os ataques se originarem em computadores localizados na mesmo região do sistema de detecção já tinha sido observada em versões anteriores do

. Isto se deve, provavelmente, à maior visibilidade que uma organização tem em sua área; assim ela torna-se mais atrativa para os

Internet Security Threat

Report5

agressores que estão na área dela.

É provável que a semelhança de idioma reforce a tendência de os ataques se originarem n a r e g i ã o e m q u e s ã o d e t e c t a d os . A predominância do espanhol nos países da América Latina também pode explicar a forte presença dos países dessa região e da Espanha entre os principais países de origem dos ataques detectados pelos sensores colocados na América Latina. Isso é particularmente notável considerando o baixo porcentual de ataques na Internet como um todo que se origina em muitos desses países.

Os computadores infectados por bots operam de modo coordenado sob o comando de um hacker e podem chegar a centenas ou milhares. Essas redes coordenadas de computadores podem procurar e comprometer outros sistemas e podem ser utilizadas para realizar ataques de negação de serviço.

Reconhecendo a contínua ameaça imposta pelas redes bot, a Symantec rastreia a distribuição de computadores infectados com bots na América Latina (Tabela 3). Para tanto, a Symantec calculou o número de computadores no mundo que se sabe estarem infectados por bots e estimou quais cidades possuem as maiores concentrações desses computadores. A identificação dos computadores infectados por bots é importante, já que grandes porcentuais de máquinas infectadas podem significar um maior potencial de ataques relacionados aos bots. Isso também pode indicar o nível de consciência

Posição Atual Posição jan-jun 2004 Estados Unidos Brasil México Argentina Espanha Peru Colômbia Uruguai França Alemanha

País Porcentual dos Ataques na Região Porcentual dos Ataques no Mundo 1 3 4 NC 7 2 NC NC 8 NC 45% 19% 9% 4% 3% 2% 2% 2% 1% 1% 33% 2% 1% 1% 5% <1% <1% <1% 5% 7% 1 2 3 4 5 6 7 8 9 10

Tabela 3 - Principais países com computadores infectados por “bot” na América Latina. Fonte: Symantec Corporation

ATAQUES: principais países com

computadores infectados por bot

5_{Symantec , Volume V, março de 2004: p. 13}

http://enterprisesecurity.symantec.com/content.cfm?articleid=1539Internet Security Threat Report

sobre patches e segurança.

Durante o primeiro semestre de 2005, quase a metade de todos os computadores infectados com bot na América Latina estava localizada nas três maiores cidades da região: São Paulo, Buenos Aires e Cidade do México. Deve-se observar que os computadores infectados por bot podem estar localizados em cidades periféricas a essas grandes metrópoles; entretanto, o ISP que provê o acesso identifica o local como sendo de dentro da cidade. No caso de Buenos Aires, a Symantec estima que, em março d e 2 0 0 5 , o a u m e n t o d o n ú m e r o d e computadores infectados por bot pode ter sido influenciado por um movimento para fornecer na cidade um melhor acesso de banda larga por conexões sem fio. Desde então, Buenos Aires subiu da terceira para a segunda posição, duplicando o porcentual de computadores infectados por bot localizados lá.

No Volume VII do

(março de 2005), a Symantec ponderou que a penetração da conectividade de alta velocidade provavelmente afetará o número de computadores infectados por bot na região. A Symantec acredita que os novos consumidores de banda larga ainda não estão cientes das precauções extras de segurança que precisam ser tomadas quando se expõe um computador a uma conexão na Internet sempre ativa e de alta velocidade. Além do mais, o acréscimo de vários clientes novos, com correspondente aumento das infra-estruturas e dos custos de suporte, pode retardar a resposta dos provedores de serviço da Internet em relatar abusos e infecções na rede.

A Symantec acredita que os novos consumidores de banda larga não estão cientes das precauções extras de segurança que

Symantec Internet Security Threat Report Posição Amostra Redlof.A Netsky.P Tooso.F Gaobot Spybot Banpaes Bancos Mydoom.BL Tooso.B Jeefo 1 2 3 4 5 6 7 8 9 10

Tabela 4 - Principais amostras de códigos maliciosos reportadas na América Latina. Fonte: Symantec Corporation

ATAQUES: códigos maliciosos

precisam ser tomadas quando se expõe um computador a uma conexão na Internet sempre ativa e de alta velocidade. Além do mais, o acréscimo de vários clientes novos, com correspondente o aumento das infra-estruturas e dos custos de suporte, pode retardar a resposta dos provedores de serviço da Internet em relatar abusos e infecções na rede.

A Symantec recomenda que as organizações empreguem uma defesa em profundidade , incluindo firewall e filtragem adequada de perímetro. Além disso, os administradores são aconselhados a assinar um serviço de alerta de vulnerabilidade e a aplicar os patches necessários por toda a empresa em tempo hábil. Os usuários finais sempre devem empregar software antivírus e firewall e devem assegurar que as definições de vírus sejam atualizadas regularmente.

6

Discussão

A amostra de código malicioso mais comum relatada na América Latina no primeiro semestre de 2005 foi o Redlof.A. O vírus infecta arquivos VBS, HTML e outros arquivos de script. Além disso, ele define a si mesmo como o arquivo do papel de carta no Outlook, assim ele é enviado sempre que o usuário enviar um e-mail legítimo.

A segunda amostra de código malicioso mais reportada na América Latina no período foi o Netsky.P . Desde a sua descoberta, em março de 2004, o Netsky.P foi uma das mais reportadas

7

6 7 8

Defesa em profundidade enfatiza os sistemas defensivos múltiplos, sobrepostos e mutuamente apoiadores para prevenir-se contra as falhas em pontos únicos em qualquer tecnologia ou metodologia de proteção específica.

Deve-se incluir o emprego de antivírus, firewalls e sistemas de detecção de instrução, entre outras medidas de segurança. http://securityresponse.symantec.com/avcenter/venc/data/w32.netsky.p@mm.html

http://securityresponse.symantec.com/avcenter/venc/data/trojan.tooso.f.html

amostras de código malicioso. Esse worm de envio em grande escala é uma variante do Netsky, que se envia utilizando um arquivo com extensão .zip, o que permite a ele evitar as medidas de filtragem. Como os arquivos com extensão .zip são geralmente confiáveis, os usuários finais sempre abrem o arquivo e, inadvertidamente, executam o vírus.

A amostra de código malicioso classificada em terceiro lugar no período do relatório foi o Tooso.F . Esse Cavalo de tróia não emprega um mecanismo de propagação, mas ele foi incluído no e-mail de saída pelo bem-sucedido worm

9 10 11 12 13 14 http://securityresponse.symantec.com/avcenter/venc/data/w32.beagle.bn@mm.html http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.banpaes.html http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.bancos.html

veja o , Volume VII (março de 2005), Apêndice A

http://enterprisesecurity.symantec.com/content.cfm?articleid=1539

Tráfego de ingresso refere-se ao tráfego que entra em uma rede pela Internet ou por outra rede. Tráfego de egresso refere-se ao tráfego que sai de uma rede, com destino à Internet ou a outra rede.

Defesa em profundidade enfatiza os sistemas defensivos múltiplos, sobrepostos e mutuamente apoiadores para se prevenir contra as falhas em pontos únicos em qualquer tecnologia ou metodologia de proteção específica. A defesa em profundidade deve incluir o emprego de antivírus, firewalls e sistemas de detecção de instrução, entre outras medidas de segurança.

Internet Security Threat Report

Beagle.BN , o qual pode ser o responsável por ele ser tão freqüentemente reportado. O Tooso.F é muito similar ao Beagle, exceto por não se propagar. Ele tenta desativar o antivírus e as aplicações de segurança finalizando processos, parando serviços, apagando arquivos e removendo chaves de registro relacionadas a essas aplicações. Então, ele sobrescreve o arquivo HOSTS do computador para prevenir o acesso aos sites das empresas de antivírus e segurança. O Cavalo de tróia também faz o download e executa um arquivo vindo de uma lista de sites. Esse arquivo é uma versão atualizada do Cavalo de tróia Tooso.

Como já observado na versão anterior do relatório, a diferença mais notável entre as dez principais amostras de códigos maliciosos na América Latina e os dez principais na Internet como um todo é a presença dos Cavalos de tróia para roubo de senha Banpaes e Bancos . Esses Cavalos de tróia não chegaram a figurar entre os 50 principais códigos maliciosos relatados no mundo durante o período deste relatório. Eles são muito específicos à região. Eles tentam roubar informações de autenticação em bancos on-line localizados principalmente no Brasil. Por isso, os autores dos Cavalos de tróia tentam atrair usuários nessa região, já que entre eles é mais provável ter alguém titular de uma conta nas instituições visadas.

Para prevenir a infecção por códigos maliciosos, é importante empregar as melhores práticas, como é recomendado pela Symantec . Os administradores deveriam manter as aplicações de patches sempre em dia, especialmente nos computadores que abrigam serviços públicos e são acessíveis através do firewall ou colocados na DMZ, como os servidores HTTP, FTP, SMTP e DNS. Os servidores de e-mail deveriam ser configurados para admitir somente os tipos de arquivos necessários à empresa. Além disso, a Symantec recomenda que uma filtragem de ingresso e egresso seja colocada nos dispositivos de perímetro para detectar a atividade anômala.

9

10 11

12

13

Os usuários finais devem empregar defesa em profundidade , incluindo softwares antivírus e firewall. Os usuários devem ainda manter as definições de vírus atualizadas regularmente. Eles também precisam assegurar que todas as estações de trabalho, laptops e servidores estejam atualizados com todos os patches de segurança necessários, fornecidos pelo vendedor do sistema operacional. Eles nunca deveriam ver, abrir ou executar qualquer anexo de e-mail, a menos que o anexo seja esperado e venha de uma fonte confiável e que o propósito do anexo seja conhecido.

Durante os primeiros seis meses de 2005, aproximadamente 61% de todo spam originou-se nas Américas do Norte e do Sul. A Ásia (originou-sem incluir o Japão, que é considerado uma região à parte para os propósitos desta medição) foi a segunda região de origem de spam, respondendo por 23% de todo o spam na Internet. A Europa foi a terceira maior região, com 14% de todo spam

Região de Origem do Spam

Região de Origem do Spam,

1º de Jan. a 30 de Jun de 2005

15 16

Os leitores devem observar que todos os números apresentados neste artigo foram arredondados para o inteiro mais próximo. Assim, a soma de algumas porcentagens pode passar de 100%.

Modelagem de tráfego é o uso de diferentes características do IP por exemplo, se for determinado que o IP de origem é uma fonte conhecida de spam para se determinar quais conexões são permitidas, proibidas ou controladas (retardadas).

se originando lá .

É razoável assumir que mais spam devem se originar de onde prevalecerem as conexões à Internet de alta velocidade. Isso explica o aumento porcentual de spam originário da América durante o primeiro semestre de 2005. Conforme novos avanços tecnológicos, incluindo a banda larga sem fio e o aumento da infra-estrutura cabeada, permitem maior acesso a uma Internet de alta velocidade a novos países e regiões, mais spam se originará dessas regiões.

Muitos dos criadores de spam tentam não chamar a atenção para a sua localização real. Na tentativa de evitar as listas negras, os criadores de spam podem construir redes mundiais de computadores comprometidos e utilizar somente essas redes que são geograficamente diferentes do lugar de sua operação. Para tanto, eles provavelmente se concentrarão em computadores comprometidos nas regiões onde a capacidade de banda larga é maior. Pela mesma razão, a região onde se origina o spam pode não corresponder à região onde está localizado o criador do spam.

Embora os dados de spam acumulados nos seis meses tornem as Américas a maior região de origem de spam, uma comparação mês a mês das estatísticas mostra uma versão diferente. A Tabela 5 e a Figura 2, abaixo, mostram as mudanças nas regiões de origem de spam. Durante a primeira metade de 2005, as Américas

15

foram a única região onde, mês a mês, o porcentual de spam declinou. Todas as outras regiões do mundo, ao longo dos meses, aumentaram suas participações no total de spam distribuído pela Internet.

Para minimizar o volume de spam nas suas redes, a Symantec recomenda que os administradores implementem filtragem de IP e modelagem de tráfego . A Symantec também recomenda que os provedores de serviço de Internet implementem filtragem de saída, a qual pode reduzir significativamente a distribuição de spam por contas do ISP comprometidas e pelas redes bot. Entre outras ações para minimizar a quantidade de spam cruzando a rede, os administradores devem considerar bloquear a porta 25 para todos os usuários na rede não autorizados a enviar e-mail por SMTP. Eles também deveriam considerar a aplicação de controles que limitem a taxa para minimizar a possibilidade de os transmissores de spam enviarem grandes volumes de e-mail.

Todos os usuários finais deveriam seguir as melhores práticas de segurança para se proteger contra uma possível infecção por código malicioso que poderia transformar seus computadores em transmissores de spam. Finalmente, os usuários finais deveriam implementar uma tecnologia antispam nos seus computadores. 16 Região Austrália/Oceania Japão Ásia Europa África Américas

Tabela 5 - Crescimento do spam por região de origem. Fonte: Symantec Corporation

Crescimento Total 37,72% 37,41% 28,91% 19,58% 11,25% -15,26% JAN/05 0,94% 1,79% 21,28% 12,54% 0,17% 63,28% FEV/05 1,07% 1,88% 22,68% 12,19% 0,13% 62,05% MAR/05 1,18% 1,72% 20,69% 12,09% 0,16% 64,15% ABR/05 1,35% 1,60% 18,27% 13,53% 0,18% 66,67% MAI/05 1,36% 1,54% 24,10% 16,47% 0,19% 57,88% JUN/05 1,30% 2,46% 27,44% 14,99% 0,18% 53,62 PORCENTUAL MENSAL

Figura 2. Crescimento porcentual do spam por região de origem. Fonte Symantec Corporation

80% 70% 60% 50% 40% 30% 20% 10% 0% África Américas Ásia Austrália/Oceania Europa Japão Jan-05 Fev-05 Mar-05 Abr-05 Mai-05 Jun-05

O Symantec Internet Security Threat Report fornece uma atualização semestral da atividade de ameaças da Internet. Nele se incluem as análises dos ataques baseados em redes, uma revisão das vulnerabilidades conhecidas, destaques sobre códigos maliciosos e sobre outros riscos à segurança. Este sumário do atual Internet Security Threat Report (volume VIII, setembro de 2005) pode alertar os leitores sobre as ameaças iminentes e as atuais tendências, além de oferecer algumas recomendações para a mitigação e a proteção contra as questões levantadas. Este volume cobre o semestre iniciado em 1º de janeiro e findo em 30 de junho de 2005.

A Symantec estabeleceu algumas das fontes de dados mais abrangentes do mundo sobre as ameaças na Internet. O Symantec DeepSight™ Threat Management System e o Symantec™ Managed Security Services consiste de mais de 24 mil sensores monitorando a atividade de rede em mais de 180 países. Além disso, a Symantec coleta dados sobre códigos maliciosos, junto com dados sobre spyware e adware, reportados por mais de 120 milhões de sistemas clientes, servidores e gateways que implementaram os produtos antivírus da Symantec. A Symantec também mantém uma das bases de dados mais abrangentes no mundo sobre vulnerabilidades à segurança, detalhando mais de 13 mil vulnerabilidades que afetam acima de 30 mil tecnologias de mais de 4 mil fornecedores. Somado à base de dados sobre vulnerabilidades, a Symantec mantém o BugTraq™, um dos fóruns mais populares de divulgação e discussão das vulnerabilidades na Internet. Por fim, as Sondas de Rede Symantec, um sistema com mais de 2 milhões de contas-isca, atrai e-mails em 20 diferentes países ao redor do mundo, permitindo à Symantec medir a atividade mundial de spams e phishing.

O Symantec Internet Security Threat Report é fundamentado principalmente na análise que os especialistas fazem sobre dados reais. Baseado na experiência e no know-how da Symantec, o Internet Security Threat Report rende um ensaio extremamente informado sobre as atividades das ameaças atuais na Internet. Ao publicar no Internet Security Threat Report as análises da discussão sobre as atividades em torno da segurança na Internet, a Symantec espera fornecer à comunidade de segurança da informação os elementos que precisa para proteger, hoje e no futuro, seus sistemas com eficiência.

Av. Dr. Chucri Zaidan, 920 - 12º andar - São Paulo/SP Tel.: 55 11 5189-6230 - Fax: 55 11 5189-6210

www.symantec.com.br