Pesquisadores de segurança tentam constantemente derrubar os arquivos maliciosos que criminosos hospedam na web. Provedores de acesso colaboram, recebendo as denúncias e agindo para tirar computadores invadidos e arquivos infectados do ar. Porém, especialistas alertam para uma nova estratégia: a obtenção de endereços IPs próprios, que dão aos criminosos um status de “provedor de internet” – o que dificulta a remoção da atividade maliciosa.
Também nesta semana: dados da TAM vazam e são usados em golpe virtual, Trend Micro critica recomendações da Microsoft – e erra.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
>>> Criminosos tornam-se 'provedores de internet'
Quando um criminoso hospeda um vírus na internet, ele precisa da complacência do provedor de acesso onde o arquivo ficará armazenado. Esse raramente é o caso – os provedores não querem hospedar vírus, e, por isso, uma simples denúncia ao provedor resulta na remoção da praga digital, evitando que mais internautas sejam infectados. Pesquisadores de segurança alertam, no entanto, para um novo problema: criminosos têm criado “provedores de internet” com o objetivo único de manter os componentes maliciosos no ar por mais tempo.
Os malfeitores conseguem obter uma faixa própria de endereços IP. Essas faixas são concedidas a empresas ou organizações que prestam serviços na internet. Como o número de endereços IP é finito, é necessária uma justificativa para que os IPs sejam fornecidos. Quando se possui uma faixa, é possível “parear” com outros provedores de internet e a responsabilidade pelo que ocorre naqueles IPs é do próprio responsável por eles.
Como os próprios criminosos são responsáveis pelos IPs, os arquivos maliciosos tendem a ficar mais tempo on-line, até que outros provedores percebam a atividade maliciosa. Só então que os IPs maliciosos são bloqueados.
Segundo especialistas ouvindo pelo site Threatpost, os criminosos podem fazer isso devido às dificuldades de fiscalizar os pedidos que são feitos. Os endereços IPs são gerenciados localmente pelos chamados RIRs (Regional Internet Registries). São cinco RIRs que atendem o mundo todo. Por isso, cada um é responsável por mais de um país. Devido às variações na regulamentação de cada território, em alguns casos é muito difícil descobrir se uma determinada empresa que solicita um endereço realmente existe e necessita da faixa.
Como resultado, criminosos conseguem obter sua faixa de endereços de forma relativamente simples, muitas vezes com apenas uma carta ao órgão responsável. O caso mais emblemático é o da Russian Business Network (RBN), um provedor de acesso especializado em prestar serviços a criminosos.
“Quando você é dono do próprio espaço de IP, você é seu próprio provedor de acesso. Se houver um problema, com quem você vai falar?”, disse Alex Lanstein, pesquisador de segurança da FireEye, ao Threatpost. Para Lanstein, as organizações que concedem as faixas não têm motivo para se importar, porque “não são a polícia da internet”.
Embora o fato de possuir uma faixa de endereços facilite o bloqueio dos mesmos, isso gera uma dificuldade de reutilização. Se os endereços forem realocados para outras empresas, eles podem ainda estar bloqueados devido à atividade maliciosa. Isso dificulta que novos serviços legítimos operem nesses espaços. Isso contribui para o problema de escassez de endereços IP, que devem acabar entre fevereiro de 2010 e maio de 2011.
>>> Dados da TAM vazam e são usados em golpe virtual
É normal que golpes na web utilizem o nome de empresas conhecidas para atrair as vítimas. No entanto, circularam nas últimas semanas e-mails maliciosos que usam não apenas o nome, mas dados da companhia aérea TAM. As mensagens acompanham o nome completo da vítima e também o número do cartão de fidelidade.
Em nota à imprensa, a TAM admitiu que golpes com o nome da empresa e dados do cliente estão em circulação desde o dia 14 de dezembro. Nenhuma explicação a respeito de como os criminosos obtiveram os dados foi fornecida.
O golpe informa à vítima que a TAM estaria oferecendo uma viagem nacional gratuitamente. Para obter mais informações, é preciso abrir um arquivo. O link termina em “.doc”, porém o internauta é imediatamente redirecionado a um arquivo executável (“.exe”). Se executado, o software malicioso instala ladrões de senhas bancárias.
A TAM informou que nunca envia e-mails dessa natureza.
>>> Trend Micro critica recomendação da Microsoft de 2003 – e erra
A fabricante de antivírus japonesa Trend Micro publicou esta semana uma crítica a recomendações de segurança que a Microsoft fez em 2003. Em um artigo, a Microsoft faz sugestões bem específicas para melhorar o desempenho de programas antivírus em controladores de domínio, indicando que alguns arquivos não precisam ser examinados por antivírus.
Nenhum comentário:
Postar um comentário