[Segurança da Informação] Ataques, conceitos e técnicas

Este artigo abrange maneiras de os profissionais de segurança cibernética analisarem o que aconteceu depois de um ataque cibernético. Explica as vulnerabilidades de software e hardware de segurança e as diferentes categorias de vulnerabilidades de segurança.

Vulnerabilidades de segurança

Vulnerabilidades de segurança são qualquer tipo de defeito de software ou hardware. Após descobrirem uma vulnerabilidade, os usuários mal-intencionados tentam explorá-lo. Um exploit é o termo usado para descrever um programa escrito para utilizar uma vulnerabilidade conhecida. O ato de usar um exploit contra uma vulnerabilidade é conhecido como um ataque. O objetivo do ataque é ter acesso a um sistema, aos dados que ele hospeda ou a um recurso específico.

• As vulnerabilidades de software são normalmente introduzidas por erros no código do aplicativo ou sistema operacional; apesar de todo o esforço das empresas em localizá-las e corrigi-las, é comum que novas vulnerabilidades surjam como também as atualizações destes.
• As Vulnerabilidades de hardware são frequentemente introduzidas por falhas de projeto de hardware. Essas vulnerabilidades são específicas para modelos do dispositivo e geralmente não são exploradas por tentativas comprometedoras aleatórias.

Categorizar vulnerabilidades de segurança

A maioria das vulnerabilidades de segurança de software se enquadra em uma das seguintes categorias:

• Saturação do buffer – esta vulnerabilidade ocorre quando os dados são gravados além dos limites de um buffer. Os buffers são áreas de memórias alocadas a um aplicativo. Ao alterar os dados além dos limites de um buffer, o aplicativo acessa a memória alocada a outros processos por consequência provoca a queda do sistema.
• Entrada não validada – programas normalmente funcionam com entrada de dados. Esses dados que entram no programa podem ter conteúdo mal-intencionado, projetado para forçar o programa a se comportar de forma não desejada.
• Condição de corrida – esta vulnerabilidade ocorre quando a saída de um evento depende de saídas ordenadas ou cronometradas. Uma condição de corrida se torna uma fonte de vulnerabilidade quando os eventos ordenados ou cronometrados necessários não ocorrem na ordem correta ou na sincronização apropriada.
• Deficiências nas práticas de segurança – sistemas e dados confidenciais podem ser protegidos por meio de técnicas, como autenticação, autorização e criptografia. Os desenvolvedores não devem tentar criar seus próprios algoritmos de segurança porque provavelmente apresentarão vulnerabilidades.
• Problemas de controle de acesso – controle de acesso é o processo de controlar quem faz o quê, gerenciar o acesso físico aos equipamentos e determinar quem tem acesso a um recurso, como um arquivo, e o que pode fazer com ele, tais como ler ou alterar esse arquivo. Muitas vulnerabilidades de segurança são criadas com o uso indevido de controles de acesso.

Tipos de malware

Abreviação de Malicious Software (software mal-intencionado), o malware é qualquer código que pode ser usado para roubar dados, ignorar controles de acesso, causar danos ou comprometer um sistema.

• Spyware – este malware é projetado para rastrear e espionar o usuário. O spyware frequentemente inclui rastreadores de atividade, coleta de toque de tela e captura de dados. Para tentar combater as medidas de segurança, o spyware quase sempre modifica as configurações de segurança.
• Adware – o software com suporte a anúncio é projetado para fornecer anúncios automaticamente. O adware é frequentemente instalado com algumas versões do software.
• Bot- da palavra “robot”, um bot é o malware projetado para executar automaticamente a ação, geralmente on-line. Enquanto a maioria dos bots é inofensiva, uma utilização progressiva de bots mal-intencionados são os botnets.
• Ransomware – este malware é projetado para manter preso um sistema de computador, ou os dados incluídos nele, até que o pagamento seja feito. O ransomware normalmente funciona criptografando os dados no computador com uma chave desconhecida ao usuário.
• Scareware – este é um tipo de malware projetado para persuadir o usuário a executar uma ação específica com base no medo. O scareware simula janelas pop-up que se assemelham às janelas de diálogo do sistema operacional.
• Rootkit – este malware é projetado para modificar o sistema operacional e criar um backdoor. Os invasores usam o backdoor para acessar o computador remotamente.
• Vírus - um vírus é um código executável mal-intencionado que é anexado a outros arquivos executáveis, muitas vezes programas legítimos. Os vírus também podem ser programados para se modificar e evitar a detecção.
• Cavalo de Troia - é um malware que realiza operações mal-intencionadas sob o pretexto de uma operação desejada. Esse código malicioso explora os privilégios do usuário que o executa. Um Cavalo de Troia difere de um vírus porque está vinculado aos arquivos não executáveis.
• Worms – são códigos maliciosos que se replicam ao explorar, de forma independente, vulnerabilidades em redes. Os worms normalmente deixam a rede mais lenta. Enquanto um vírus requer um programa host para execução, os worms podem ser executados de modo autônomo.
• Man-In-The-Middle (MitM) – permite que o invasor tenha o controle sobre um dispositivo sem o conhecimento do usuário.
• Man-In-The-Mobile (MitMo) – uma variação do Man-In-Middle, MitMo é um tipo de ataque usado para assumir o controle de um dispositivo móvel. Quando infectado, o dispositivo móvel pode ser instruído a extrair as informações confidenciais do usuário e enviá-las para os invasores.

Sintomas do malware

Independentemente do tipo de malware que infectou um sistema, estes são sintomas comuns:

• Há um aumento no uso da CPU.
• Há uma diminuição na velocidade do computador.
• O computador congela ou trava frequentemente.
• Há uma diminuição na velocidade de navegação na Web.
• Existem problemas inexplicáveis com conexões de rede.
• Arquivos são modificados.
• Arquivos são excluídos.
• Há presença de arquivos, programas ou ícones de desktop desconhecidos.
• Há processos desconhecidos em execução.
• Programas estão se desligando ou reconfigurando sozinhos.
• E-mails estão sendo enviados sem o conhecimento ou consentimento do usuário.

Considerações Finais

Vimos aqui alguns conceitos importantes sobre Segurança da Informação, desde exploit, passando pelas vulnerabilidades e suas categorias, conhecemos também alguns malwares e suas formas de ataque. Por fim, destacamos alguns sintomas que um dispositivo alvo de ataque pode apresentar para diagnosticamos.