DATA DA PUBLICAÇÃO 12/05/2010 | Informática
Problemas de segurança nem sempre envolvem o usuário
A coluna Segurança para o PC descreveu na semana passada o funcionamento de diversas falhas de segurança e ataques virtuais. Depois de ler a coluna, alguns usuários deixaram comentários com a pergunta: o que eu faço para me proteger? É bem verdade que, em muitos casos, os usuários têm um papel muito importante na prevenção dos problemas de segurança. Muitas vezes, o usuário é o único culpado pela fraude ou pela infecção de vírus. Mas todos nós, internautas, em outras vezes, não temos nenhuma culpa.
Buffer overflow
Prevenção de Execução de Dados (DEP) é um dos
recursos usados para prevenir buffer overflows. Por
padrão, DEP só está ativado para serviços do
Windows. Alguns softwares não estão preparados
para funcionar com o DEP, mas não é mais possível
desativar o DEP. (Foto: Reprodução)Buffer overflows existem nos programas de computador e não há muito que se possa fazer a respeito. Você pode executar o software em uma máquina virtual ou em outra forma de isolamento, como um sandbox. Mas qualquer tentativa de proteção é apenas paliativa: mesmo impedida de danificar seu sistema, a brecha ainda vai ser explorada.
Quem realmente precisa resolver o problema são os desenvolvedores do programa vulnerável. A responsabilidade do usuário é apenas manter o software atualizado para que a correção seja aplicada no seu computador também. O Personal Software Inspector pode ajudar a identificar os programas vulneráveis instalados, tanto por buffer overflows como outras páginas.
Também é importante manter habilitadas opções relevantes à amenização de ataques de buffer overflow, como a Prevenção de Execução de Dados (DEP).
Clickjacking
NoScript protege o Firefox contra ataques de XSS,
Clickjacking e outros. No entanto, é preciso algum
conhecimento e paciência para usar o software
corretamente. (Foto: Reprodução)O clickjacking é um ataque complicado de ser feito porque depende da visita do usuário a uma página maliciosa e de que ele esteja logado no site alvo. Sites podem detectar quando são carregados dentro de frames ou por outros meios. Navegadores web podem adicionar proteção: o Internet Explorer já possui alguma proteção por padrão e o Firefox pode ser protegido com o NoScript.
Condição de corrida
É um problema do site ou do software no qual o problema ocorrer. O usuário não tem nenhuma culpa por erros de condição de corrida.
Cross-site Scripting (XSS)
Usuários podem evitar clicar em links encurtados com TinyURL, bit.ly e outros, pois esse tipo de link pode ocultar o ataque de XSS. Na era “Twitter”, isso é um tanto complicado. A responsabilidade recai basicamente sobre o site – é que ele que precisa estar protegido contra XSS.
O Internet Explorer inclui alguma proteção de XSS, que em alguns casos atrapalha mais do que ajuda. O NoScript para o Firefox também protege contra falhas de XSS.
Cross-site Request Forgery (CSRF/XSRF)
A falha é basicamente do site. Por exemplo, se um banco permite que uma transferência seja realizada apenas com o acesso a uma URL desse tipo:
www.banco.exemplo/transferir_dinheiro?conta_destino=4444&valor=40000
Um site malicioso poderia colocar esse endereço como o de uma imagem. O navegador iria acessar o endereço para tentar carregar a foto. A foto não vai carregar, porque não é um endereço de uma imagem – e sim a página de transferência -, mas apenas o acesso será suficiente para que a transferência se realize, pois o usuário havia logado no site do banco anteriormente (essa é a condição para que o ataque funcione).
É claro que o exemplo do banco aqui foi exagerado. Bancos em geral usam sistemas muito mais complexos para realizar uma transferência – a maioria dos bancos pede confirmação de senha ou outro recurso a cada transferência que for realizada, de modo que o simples acesso a uma página nunca gera uma transferência instantânea.
Num cenário hipotético em que a falha existe, basta que o usuário visite algum site que force o navegador a acessar o endereço. Embora a “culpa” final esteja nas mãos do usuário, a verdade é que simplesmente qualquer site, tais como os de redes sociais, pode viabilizar um ataque desse tipo. Por isso, os internautas não podem ser responsabilizados. A culpa é realmente do dono do site.
Directory Traversal
É um erro de programação do site. O site será o principal afetado pelo problema, não o usuário – exceto nos casos em que a vulnerabilidade possibilitar roubo de dados de pessoas com cadastro no site.
Por outro lado, se um site for invadido por meio de uma brecha dessa classe, o invasor pode ser capaz de alterar as páginas para incluir nelas um código malicioso para instalar vírus nos visitantes (ataque de drive-by download). Se esse for o caso, porém, as falhas exploradas provavelmente serão buffer overflows no navegador ou nos plugins.
Por esses motivos, a falha de directory ou path traversal é de pura responsabilidade dos desenvolvedores do software ou site em que ela existe.
Drive-by download
Prompt do Java não dá informações suficientes a
respeito do programa que será executado. É um
drive-by download que pode ser evitado com
conhecimento sobre o ataque. Por essência, um ataque de drive-by download explora brechas ou erros de design em softwares para fazer com que um programa malicioso seja baixado e executado sem que o usuário perceba o que aconteceu.
É responsabilidade dos desenvolvedores alterar seus softwares para corrigir qualquer falha e rotular caixas de download e execução de aplicativos adequadamente. É claro que isso demora até acontecer e não é viável esperar.
A recomendação é manter o navegador web e plugins atualizado para impedir a instalação automática e se informar a respeito de ataques como o Java applet elevado, que infecta o PC com um único clique em uma caixa “Run” sem informação adequada.
Elevação de Privilégio
Outro problema de software, especialmente no sistema operacional. Só quem pode resolver o problema de verdade é o desenvolvedor do sistema.
Em alguns casos, certas configurações especiais podem reduzir o impacto ou a possibilidade de realização de um ataque de elevação de privilégio. Mas isso são condições muito específicas. Na grande maioria dos casos, é o desenvolvedor que precisa lançar uma correção. Ao usuário, basta a aplicação da mesma.
Envenenamento do cache DNS
O usuário nem entra em discussão nesse tipo de ataque. Ela ocorra basicamente entre os servidores.
A solução que está chegando para o problema é o DNSSEC, que vem avançando para se tornar uma realidade. Na semana passada, o 13º (e último) servidor raiz passou a contar com a raiz assinada. Em algum tempo, todo o tráfego de DNS será protegido com o DNSSEC e deve impedir ataques de envenenamento de cache.
Por ora, usuários podem evitar o problema atentando para o “cadeado de segurança” em sites de banco e afins. O cadeado, além de garantir a confidencialidade dos dados, garante bem a autenticidade do site. Se a URL que você está visitando é mesmo a do banco, e se o seu PC não tem nenhum tipo de código malicioso, um certificado válido significa que você está mesmo no site certo do banco e não em um site clonado.
Man in the Middle (MITM)
Um ataque sofisticado de homem no meio é difícil de ser detectado. Depende da habilidade do hacker.
Tecnologias como SSL (o “cadeado”) e criptografia – que embaralha o conteúdo das transmissões - podem impedir que terceiros tenham acesso ao que trafega na rede. O uso dessas proteções depende uma colaboração entre as partes envolvidas.
Na montagem de redes, switches devem ser preferidos no lugar de hubs, pois hubs enviam o tráfego para todos os computadores da rede, facilitando o roubo de dados. Em redes sem fio, os cuidados adequados devem ser tomados.
Negação de Serviço
Proteção contra DDoS envolve um servidor ou rede
capaz de filtrar as conexões maliciosas, deixando
passar apenas as verdadeiras. Esse ataque depende da cooperação entre os provedores para se barrado ou de serviços especializados. Um ataque de negação de serviço forte o suficiente pode derrubar a grande maioria dos sites na internet. Mas ataques desse tipo são “caros” para os criminosos, por isso costumam ser apenas realizados quando há um bom motivo ou incentivo.
As proteções contra negação de serviço mais eficientes costumam ser aquelas que se baseiam na distribuição de servidores ao redor do mundo para responder por um mesmo IP. Com isso, o ataque é igualmente dissipado e nenhum local da rede fica sobrecarregado.
Pharming
É preciso evitar pragas digitais (com antivírus e outros métodos já explicados, como atualizar programas) e modificar a senha padrão do roteador ou modem ADSL para impedir que uma página na web possa alterar automaticamente a configuração do equipamento.
Se o pharming ocorrer por meio de um ataque de envenenamento de cache, a responsabilidade recai sobre os provedores de acesso.
Phishing
O phishing é um golpe de engenharia social. Por isso, a responsabilidade é do usuário.
Analise com atenção mensagens recebidas e não preencha formulários nem clique em links se não tiver absoluta certeza de que a mensagem é legítima.Veja algumas dicas da coluna sobre gafes de criminosos e golpes por época do ano.
Remote File Inclusion/Injection (RFI)
É um problema em sites de internet que apenas afeta os usuários quando um site vulnerável foi atacado e alterado para distribuir código malicioso, ou seja, se o site for hackeado para realizar um drive-by download de um vírus nos seus visitantes.
Não há nada que os internautas possam fazer. É preciso que o site verifique seus códigos e remova qualquer brecha de RFI.
Sniffing
É apenas o nome que se dá para o grampo eletrônico. Dificilmente um sniffing vai acontecer em uma comunicação qualquer na internet. Para proteger dados sigilosos, há programas disponíveis que fazem uso de criptografia para “embalhar” os conteúdos de modo que eles fiquem incompreensíveis para quem tiver acesso aos dados.
Spoof
IP Spoof funciona apenas via protoloco UDP e muitos serviços já fazem uso do protocolo TCP, no qual o IP Spoof gera uma conexão que nunca poderá ser finalizada. O MAC spoof é muito fácil de ser realizada e não dá para prevenir.
No caso de ARP spoof, há algumas proteções disponíveis. Mas elas são mais do interesse de administradores de rede, que precisam escolher os equipamentos e configurações usados com cuidado para impedir esse tipo de problema.
SQL Injection (SQLi)
Outro ataque puramente aos sites ou programas. Usuários são afetados na medida em que um site que armazena suas informações pessoais pode ter seu banco de dados comprometido ou suas páginas alteradas para realizar um ataque de drive-by download.
Fora isso, a proteção contra SQLi é de responsabilidade do site. Comandos ao banco de dados precisam ser devidamente processados para remover ou “escapar” caracteres especiais que possam vir a interferir com as consultas. Alguns bancos de trabalham com “stored procedures” que permitem ao programador criar consultas mais seguras.
Uma breve conclusão
Depois de tudo isso, o que se percebe é que, em muitas ocasiões, um ataque ocorre com sucesso porque outros mecanismos falharam. Se um site é infectado ao visitar um site no qual ele confia, o site também teve parte da culpa nesse ataque, mesmo que o usuário tenha sido relapso com algum aspecto da segurança do seu computador.
Infelizmente, o internauta não tem sempre o que fazer para se proteger se tudo falha. E se a brecha explorada no seu sistema for uma nova para a qual ainda não há correção disponível? Outros mecanismos de segurança podem ajudar a barrar o ataque - antivírus e firewalls são exemplos. Mas esses mecanismos também têm falhas e, às vezes, não conseguem agir a tempo.
É uma situação complicada? Realmente. Mas ataques complicados assim são raros. Na grande maioria do tempo, o que existe por aí são ataques fáceis de se evitar com um pouco de cuidado e atenção.
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Buffer overflow
Prevenção de Execução de Dados (DEP) é um dos
recursos usados para prevenir buffer overflows. Por
padrão, DEP só está ativado para serviços do
Windows. Alguns softwares não estão preparados
para funcionar com o DEP, mas não é mais possível
desativar o DEP. (Foto: Reprodução)Buffer overflows existem nos programas de computador e não há muito que se possa fazer a respeito. Você pode executar o software em uma máquina virtual ou em outra forma de isolamento, como um sandbox. Mas qualquer tentativa de proteção é apenas paliativa: mesmo impedida de danificar seu sistema, a brecha ainda vai ser explorada.
Quem realmente precisa resolver o problema são os desenvolvedores do programa vulnerável. A responsabilidade do usuário é apenas manter o software atualizado para que a correção seja aplicada no seu computador também. O Personal Software Inspector pode ajudar a identificar os programas vulneráveis instalados, tanto por buffer overflows como outras páginas.
Também é importante manter habilitadas opções relevantes à amenização de ataques de buffer overflow, como a Prevenção de Execução de Dados (DEP).
Clickjacking
NoScript protege o Firefox contra ataques de XSS,
Clickjacking e outros. No entanto, é preciso algum
conhecimento e paciência para usar o software
corretamente. (Foto: Reprodução)O clickjacking é um ataque complicado de ser feito porque depende da visita do usuário a uma página maliciosa e de que ele esteja logado no site alvo. Sites podem detectar quando são carregados dentro de frames ou por outros meios. Navegadores web podem adicionar proteção: o Internet Explorer já possui alguma proteção por padrão e o Firefox pode ser protegido com o NoScript.
Condição de corrida
É um problema do site ou do software no qual o problema ocorrer. O usuário não tem nenhuma culpa por erros de condição de corrida.
Cross-site Scripting (XSS)
Usuários podem evitar clicar em links encurtados com TinyURL, bit.ly e outros, pois esse tipo de link pode ocultar o ataque de XSS. Na era “Twitter”, isso é um tanto complicado. A responsabilidade recai basicamente sobre o site – é que ele que precisa estar protegido contra XSS.
O Internet Explorer inclui alguma proteção de XSS, que em alguns casos atrapalha mais do que ajuda. O NoScript para o Firefox também protege contra falhas de XSS.
Cross-site Request Forgery (CSRF/XSRF)
A falha é basicamente do site. Por exemplo, se um banco permite que uma transferência seja realizada apenas com o acesso a uma URL desse tipo:
www.banco.exemplo/transferir_dinheiro?conta_destino=4444&valor=40000
Um site malicioso poderia colocar esse endereço como o de uma imagem. O navegador iria acessar o endereço para tentar carregar a foto. A foto não vai carregar, porque não é um endereço de uma imagem – e sim a página de transferência -, mas apenas o acesso será suficiente para que a transferência se realize, pois o usuário havia logado no site do banco anteriormente (essa é a condição para que o ataque funcione).
É claro que o exemplo do banco aqui foi exagerado. Bancos em geral usam sistemas muito mais complexos para realizar uma transferência – a maioria dos bancos pede confirmação de senha ou outro recurso a cada transferência que for realizada, de modo que o simples acesso a uma página nunca gera uma transferência instantânea.
Num cenário hipotético em que a falha existe, basta que o usuário visite algum site que force o navegador a acessar o endereço. Embora a “culpa” final esteja nas mãos do usuário, a verdade é que simplesmente qualquer site, tais como os de redes sociais, pode viabilizar um ataque desse tipo. Por isso, os internautas não podem ser responsabilizados. A culpa é realmente do dono do site.
Directory Traversal
É um erro de programação do site. O site será o principal afetado pelo problema, não o usuário – exceto nos casos em que a vulnerabilidade possibilitar roubo de dados de pessoas com cadastro no site.
Por outro lado, se um site for invadido por meio de uma brecha dessa classe, o invasor pode ser capaz de alterar as páginas para incluir nelas um código malicioso para instalar vírus nos visitantes (ataque de drive-by download). Se esse for o caso, porém, as falhas exploradas provavelmente serão buffer overflows no navegador ou nos plugins.
Por esses motivos, a falha de directory ou path traversal é de pura responsabilidade dos desenvolvedores do software ou site em que ela existe.
Drive-by download
Prompt do Java não dá informações suficientes a
respeito do programa que será executado. É um
drive-by download que pode ser evitado com
conhecimento sobre o ataque. Por essência, um ataque de drive-by download explora brechas ou erros de design em softwares para fazer com que um programa malicioso seja baixado e executado sem que o usuário perceba o que aconteceu.
É responsabilidade dos desenvolvedores alterar seus softwares para corrigir qualquer falha e rotular caixas de download e execução de aplicativos adequadamente. É claro que isso demora até acontecer e não é viável esperar.
A recomendação é manter o navegador web e plugins atualizado para impedir a instalação automática e se informar a respeito de ataques como o Java applet elevado, que infecta o PC com um único clique em uma caixa “Run” sem informação adequada.
Elevação de Privilégio
Outro problema de software, especialmente no sistema operacional. Só quem pode resolver o problema de verdade é o desenvolvedor do sistema.
Em alguns casos, certas configurações especiais podem reduzir o impacto ou a possibilidade de realização de um ataque de elevação de privilégio. Mas isso são condições muito específicas. Na grande maioria dos casos, é o desenvolvedor que precisa lançar uma correção. Ao usuário, basta a aplicação da mesma.
Envenenamento do cache DNS
O usuário nem entra em discussão nesse tipo de ataque. Ela ocorra basicamente entre os servidores.
A solução que está chegando para o problema é o DNSSEC, que vem avançando para se tornar uma realidade. Na semana passada, o 13º (e último) servidor raiz passou a contar com a raiz assinada. Em algum tempo, todo o tráfego de DNS será protegido com o DNSSEC e deve impedir ataques de envenenamento de cache.
Por ora, usuários podem evitar o problema atentando para o “cadeado de segurança” em sites de banco e afins. O cadeado, além de garantir a confidencialidade dos dados, garante bem a autenticidade do site. Se a URL que você está visitando é mesmo a do banco, e se o seu PC não tem nenhum tipo de código malicioso, um certificado válido significa que você está mesmo no site certo do banco e não em um site clonado.
Man in the Middle (MITM)
Um ataque sofisticado de homem no meio é difícil de ser detectado. Depende da habilidade do hacker.
Tecnologias como SSL (o “cadeado”) e criptografia – que embaralha o conteúdo das transmissões - podem impedir que terceiros tenham acesso ao que trafega na rede. O uso dessas proteções depende uma colaboração entre as partes envolvidas.
Na montagem de redes, switches devem ser preferidos no lugar de hubs, pois hubs enviam o tráfego para todos os computadores da rede, facilitando o roubo de dados. Em redes sem fio, os cuidados adequados devem ser tomados.
Negação de Serviço
Proteção contra DDoS envolve um servidor ou rede
capaz de filtrar as conexões maliciosas, deixando
passar apenas as verdadeiras. Esse ataque depende da cooperação entre os provedores para se barrado ou de serviços especializados. Um ataque de negação de serviço forte o suficiente pode derrubar a grande maioria dos sites na internet. Mas ataques desse tipo são “caros” para os criminosos, por isso costumam ser apenas realizados quando há um bom motivo ou incentivo.
As proteções contra negação de serviço mais eficientes costumam ser aquelas que se baseiam na distribuição de servidores ao redor do mundo para responder por um mesmo IP. Com isso, o ataque é igualmente dissipado e nenhum local da rede fica sobrecarregado.
Pharming
É preciso evitar pragas digitais (com antivírus e outros métodos já explicados, como atualizar programas) e modificar a senha padrão do roteador ou modem ADSL para impedir que uma página na web possa alterar automaticamente a configuração do equipamento.
Se o pharming ocorrer por meio de um ataque de envenenamento de cache, a responsabilidade recai sobre os provedores de acesso.
Phishing
O phishing é um golpe de engenharia social. Por isso, a responsabilidade é do usuário.
Analise com atenção mensagens recebidas e não preencha formulários nem clique em links se não tiver absoluta certeza de que a mensagem é legítima.Veja algumas dicas da coluna sobre gafes de criminosos e golpes por época do ano.
Remote File Inclusion/Injection (RFI)
É um problema em sites de internet que apenas afeta os usuários quando um site vulnerável foi atacado e alterado para distribuir código malicioso, ou seja, se o site for hackeado para realizar um drive-by download de um vírus nos seus visitantes.
Não há nada que os internautas possam fazer. É preciso que o site verifique seus códigos e remova qualquer brecha de RFI.
Sniffing
É apenas o nome que se dá para o grampo eletrônico. Dificilmente um sniffing vai acontecer em uma comunicação qualquer na internet. Para proteger dados sigilosos, há programas disponíveis que fazem uso de criptografia para “embalhar” os conteúdos de modo que eles fiquem incompreensíveis para quem tiver acesso aos dados.
Spoof
IP Spoof funciona apenas via protoloco UDP e muitos serviços já fazem uso do protocolo TCP, no qual o IP Spoof gera uma conexão que nunca poderá ser finalizada. O MAC spoof é muito fácil de ser realizada e não dá para prevenir.
No caso de ARP spoof, há algumas proteções disponíveis. Mas elas são mais do interesse de administradores de rede, que precisam escolher os equipamentos e configurações usados com cuidado para impedir esse tipo de problema.
SQL Injection (SQLi)
Outro ataque puramente aos sites ou programas. Usuários são afetados na medida em que um site que armazena suas informações pessoais pode ter seu banco de dados comprometido ou suas páginas alteradas para realizar um ataque de drive-by download.
Fora isso, a proteção contra SQLi é de responsabilidade do site. Comandos ao banco de dados precisam ser devidamente processados para remover ou “escapar” caracteres especiais que possam vir a interferir com as consultas. Alguns bancos de trabalham com “stored procedures” que permitem ao programador criar consultas mais seguras.
Uma breve conclusão
Depois de tudo isso, o que se percebe é que, em muitas ocasiões, um ataque ocorre com sucesso porque outros mecanismos falharam. Se um site é infectado ao visitar um site no qual ele confia, o site também teve parte da culpa nesse ataque, mesmo que o usuário tenha sido relapso com algum aspecto da segurança do seu computador.
Infelizmente, o internauta não tem sempre o que fazer para se proteger se tudo falha. E se a brecha explorada no seu sistema for uma nova para a qual ainda não há correção disponível? Outros mecanismos de segurança podem ajudar a barrar o ataque - antivírus e firewalls são exemplos. Mas esses mecanismos também têm falhas e, às vezes, não conseguem agir a tempo.
É uma situação complicada? Realmente. Mas ataques complicados assim são raros. Na grande maioria do tempo, o que existe por aí são ataques fáceis de se evitar com um pouco de cuidado e atenção.
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Assine nosso Feed RSSAs últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda