Cdigos Maliciosos (Malware) Cdigo malicioso ou Malware (Malicious Software) um termo genrico que abrange todos os tipos de programa especificamente desenvolvidos para executar aes maliciosas em um computador !a literatura de segurana o termo malware tambm con"ecido por #software malicioso$ %lguns exemplos de malware s&o' ( v)rus* ( worms e bots* ( bac+doors* ( cavalos de tria* ( +e,loggers e outros programas sp,ware* Negao de Servio (Denial of Service) !os ataques de nega&o de servio (-oS . -enial of Service) o atacante utili/a um computador para tirar de opera&o um servio ou computador conectado 0 1nternet 2xemplos deste tipo de ataque s&o' ( gerar uma grande sobrecarga no processamento de dados de um computador3 de modo que o usu4rio n&o consiga utili/45lo* ( gerar um grande tr4fego de dados para uma rede3 ocupando toda a banda dispon)vel3 de modo que qualquer computador desta rede fique indispon)vel* ( tirar servio importantes de um provedor do ar3 impossibilitando o acesso dos usu4rios a suas caixas de correio no servidor de e5mail ou ao servidor 6eb O que DDoS! --oS (-istributed -enial of Service) constitui um ataque de nega&o de servio distribu)do3 ou se7a3 um con7unto de computadores utili/ado para tirar de opera&o um ou mais servios ou computadores conectados 0 1nternet !ormalmente estes ataques procuram ocupar toda a banda dispon)vel para o acesso a um computador ou rede3 causando grande lentid&o ou at mesmo indisponibili/ando qualquer comunica&o com este computador ou rede Criptografia Criptografia a ci8ncia e arte de escrever mensagens em forma cifrada ou em cdigo 9 parte de um campo de estudos que trata das comunicaes secretas3 usadas3 dentre outras finalidades3 para' ( autenticar a identidade de usu4rios* ( autenticar e proteger o sigilo de comunicaes pessoais e de transaes comerciais e banc4rias* ( proteger a integridade de transfer8ncias eletr:nicas de fundos ;ma mensagem codificada por um mtodo de criptografia deve ser privada3 ou se7a3 somente aquele que enviou e aquele que recebeu devem ter acesso ao conte<do da mensagem %lm disso3 uma mensagem deve poder ser assinada3 ou se7a3 a pessoa que a recebeu deve poder verificar se o remetente mesmo a pessoa que di/ ser e ter a capacidade de identificar se uma mensagem pode ter sido modificada =s mtodos de criptografia atuais s&o seguros e eficientes e baseiam5se no uso de uma ou mais c"aves % c"ave uma seq>8ncia de caracteres3 que pode conter letras3 d)gitos e s)mbolos (como uma sen"a)3 e que convertida em um n<mero3 utili/ada pelos mtodos de criptografia para codificar e decodificar mensagens O que criptografia de c"ave #nica! % criptografia de c"ave <nica utili/a a mesma c"ave tanto para codificar quanto para decodificar mensagens %pesar deste mtodo ser bastante eficiente em rela&o ao tempo de processamento3 ou se7a3 o tempo gasto para codificar e decodificar mensagens3 tem como principal desvantagem a necessidade Prof. Wagner Bugs - www.wagnerbugs.com.br Conceitos de proteo e segurana 2 de utili/a&o de um meio seguro para que a c"ave possa ser compartil"ada entre pessoas ou entidades que dese7em trocar informaes criptografadas O que criptografia de c"aves p#$lica e privada! % criptografia de c"aves p<blica e privada utili/a duas c"aves distintas3 uma para codificar e outra para decodificar mensagens !este mtodo cada pessoa ou entidade mantm duas c"aves' uma p<blica3 que pode ser divulgada livremente3 e outra privada3 que deve ser mantida em segredo pelo seu dono %s mensagens codificadas com a c"ave p<blica s podem ser decodificadas com a c"ave privada correspondente ?e7a o exemplo3 onde @os e Maria querem se comunicar de maneira sigilosa 2nt&o3 eles ter&o que reali/ar os seguintes procedimentos' A @os codifica uma mensagem utili/ando a c"ave p<blica de Maria3 que est4 dispon)vel para o uso de qualquer pessoa* B -epois de criptografada3 @os envia a mensagem para Maria3 atravs da 1nternet* C Maria recebe e decodifica a mensagem3 utili/ando sua c"ave privada3 que apenas de seu con"ecimento* D Se Maria quiser responder a mensagem3 dever4 reali/ar o mesmo procedimento3 mas utili/ando a c"ave p<blica de @os O que assinatura digital! % assinatura digital consiste na cria&o de um cdigo3 atravs da utili/a&o de uma c"ave privada3 de modo que a pessoa ou entidade que receber uma mensagem contendo este cdigo possa verificar se o remetente mesmo quem di/ ser e identificar qualquer mensagem que possa ter sido modificada Certificado Digital = certificado digital um arquivo eletr:nico que contm dados de uma pessoa ou institui&o3 utili/ados para comprovar sua identidade 2xemplos semel"antes a um certificado digital s&o o C!E@3 FG3 CEH e carteira de "abilita&o de uma pessoa Cada um deles contm um con7unto de informaes que identificam a institui&o ou pessoa e a autoridade (para estes exemplos3 rg&os p<blicos) que garante sua validade %lgumas das principais informaes encontradas em um certificado digital s&o' ( dados que identificam o dono (nome3 n<mero de identifica&o3 estado3 etc)* ( nome da %utoridade Certificadora (%C) que emitiu o certificado* ( o n<mero de srie e o per)odo de validade do certificado* ( a assinatura digital da %C = ob7etivo da assinatura digital no certificado indicar que uma outra entidade (a %utoridade Certificadora) garante a veracidade das informaes nele contidas %irewalls =s firewalls s&o dispositivos constitu)dos pela combina&o de software e "ardware3 utili/ados para dividir e controlar o acesso entre redes de computadores ;m tipo espec)fico o firewall pessoal3 que um software ou programa utili/ado para proteger um computador contra acessos n&o autori/ados vindos da 1nternet Co&o o firewall pessoal funciona! Se algum ou algum programa suspeito tentar se conectar ao seu computador3 um firewall bem configurado entra em a&o para bloquear tentativas de invas&o3 podendo barrar tambm o acesso a bac+doors3 mesmo se 74 estiverem instalados em seu computador %lguns programas de firewall permitem analisar continuamente o conte<do das conexes3 filtrando v)rus de e5mail3 cavalos de tria e outros tipos de malware3 antes mesmo que os antiv)rus entrem em a&o Iambm existem pacotes de firewall que funcionam em con7unto com os antiv)rus3 provendo um maior n)vel de segurana para os computadores onde s&o utili/ados Prof. Wagner Bugs - www.wagnerbugs.com.br Conceitos de proteo e segurana 3 Cavalos de 'ria Cavalo de tria (tro7an "orse) um programa3 normalmente recebido como um #presente$ (por exemplo3 cart&o virtual3 4lbum de fotos3 protetor de tela3 7ogo3 etc)3 que alm de executar funes para as quais foi aparentemente pro7etado3 tambm executa outras funes normalmente maliciosas e sem o con"ecimento do usu4rio (dware e Sp)ware %dware (%dvertising software) um tipo de software especificamente pro7etado para apresentar propagandas3 se7a atravs de um browser3 se7a atravs de algum outro programa instalado em um computador 2m muitos casos3 os adwares t8m sido incorporados a softwares e servios3 constituindo uma forma leg)tima de patroc)nio ou retorno financeiro para aqueles que desenvolvem software livre ou prestam servios gratuitos ;m exemplo do uso leg)timo de adwares pode ser observado no programa de troca instantJnea de mensagens MS! Messenger Sp,ware3 por sua ve/3 o termo utili/ado para se referir a uma grande categoria de software que tem o ob7etivo de monitorar atividades de um sistema e enviar as informaes coletadas para terceiros 2xistem adwares que tambm s&o considerados um tipo de sp,ware3 pois s&o pro7etados para monitorar os "4bitos do usu4rio durante a navega&o na 1nternet3 direcionando as propagandas que ser&o apresentadas =s sp,wares3 assim como os adwares3 podem ser utili/ados de forma leg)tima3 mas3 na maioria das ve/es3 s&o utili/ados de forma dissimulada3 n&o autori/ada e maliciosa Seguem algumas funcionalidades implementadas em sp,wares3 que podem ter rela&o com o uso leg)timo ou malicioso' ( monitoramento de ;FKs acessadas enquanto o usu4rio navega na 1nternet* ( altera&o da p4gina inicial apresentada no browser do usu4rio* ( varredura dos arquivos arma/enados no disco r)gido do computador* ( monitoramento e captura de informaes inseridas em outros programas3 como 1FC ou processadores de texto* ( instala&o de outros programas sp,ware* ( captura de sen"as banc4rias e n<meros de cartes de crdito* ( captura de outras sen"as usadas em sites de comrcio eletr:nico 9 importante ter em mente que estes programas3 na maioria das ve/es3 comprometem a privacidade do usu4rio e3 pior3 a segurana do computador do usu4rio3 dependendo das aes reali/adas pelo sp,ware no computador e de quais informaes s&o monitoradas e enviadas para terceiros *ac+doors !ormalmente um atacante procura garantir uma forma de retornar a um computador comprometido3 sem precisar recorrer aos mtodos utili/ados na reali/a&o da invas&o !a maioria dos casos3 tambm inten&o do atacante poder retornar ao computador comprometido sem ser notado % esses programas que permitem o retorno de um invasor a um computador comprometido3 utili/ando servios criados ou modificados para este fim3 d45se o nome de bac+door ,e)loggers Le,logger um programa capa/ de capturar e arma/enar as teclas digitadas pelo usu4rio no teclado de um computador Screenloggers Horma avanada de +e,logger3 capa/ de arma/enar a posi&o do cursor e a tela apresentada no monitor3 nos momentos em que o mouse clicado3 ou arma/enar a regi&o que circunda a posi&o onde o mouse clicado Prof. Wagner Bugs - www.wagnerbugs.com.br Conceitos de proteo e segurana 4 -or&s 6orm um programa capa/ de se propagar automaticamente atravs de redes3 enviando cpias de si mesmo de computador para computador -iferente do v)rus3 o worm n&o embute cpias de si mesmo em outros programas ou arquivos e n&o necessita ser explicitamente executado para se propagar Sua propaga&o se d4 atravs da explora&o de vulnerabilidades existentes ou fal"as na configura&o de softwares instalados em computadores ./rus ?)rus um programa ou parte de um programa de computador3 normalmente malicioso3 que se propaga infectando3 isto 3 inserindo cpias de si mesmo e se tornando parte de outros programas e arquivos de um computador = v)rus depende da execu&o do programa ou arquivo "ospedeiro para que possa se tornar ativo e dar continuidade ao processo de infec&o 2ntende5se por computador qualquer dispositivo computacional pass)vel de infec&o por v)rus Computadores domsticos3 notebooks3 telefones celulares e E-%s s&o exemplos de dispositivos computacionais pass)veis de infec&o Co&o u& v/rus pode afetar u& co&putador! !ormalmente o v)rus tem controle total sobre o computador3 podendo fa/er de tudo3 desde mostrar uma mensagem de Mfeli/ anivers4rioM3 at alterar ou destruir programas e arquivos do disco Co&o o co&putador infectado por u& v/rus! Eara que um computador se7a infectado por um v)rus3 preciso que um programa previamente infectado se7a executado 1sto pode ocorrer de diversas maneiras3 tais como' abrir arquivos anexados aos e-mais* abrir arquivos do 6ord3 2xcel3 etc* abrir arquivos arma/enados em outros computadores3 atravs do compartil"amento de recursos* instalar programas de proced8ncia duvidosa ou descon"ecida3 obtidos pela 1nternet3 de disquetes3 pen dri!es3 C-s3 -?-s3 etc* ter alguma m)dia remov)vel (infectada) conectada ou inserida no computador3 quando ele ligado !ovas formas de infec&o por v)rus podem surgir Eortanto3 importante manter5se informado atravs de 7ornais3 revistas e dos sites dos fabricantes de antiv)rus O que u& v/rus de &acro! ;ma macro um con7unto de comandos que s&o arma/enados em alguns aplicativos e utili/ados para automati/ar algumas tarefas repetitivas ;m exemplo seria3 em um editor de textos3 definir uma macro que conten"a a seq>8ncia de passos necess4rios para imprimir um documento com a orienta&o de retrato e utili/ando a escala de cores em tons de cin/a ;m v)rus de macro escrito de forma a explorar esta facilidade de automati/a&o e parte de um arquivo que normalmente manipulado por algum aplicativo que utili/a macros Eara que o v)rus possa ser executado3 o arquivo que o contm precisa ser aberto e3 a partir da)3 o v)rus pode executar uma srie de comandos automaticamente e infectar outros arquivos no computador 2xistem alguns aplicativos que possuem arquivos base (modelos) que s&o abertos sempre que o aplicativo executado Caso este arquivo base se7a infectado pelo v)rus de macro3 toda ve/ que o aplicativo for executado3 o v)rus tambm ser4 %rquivos nos formatos gerados por programas da Microsoft3 como o 6ord3 2xcel3 Eowerpoint e %ccess3 s&o os mais suscet)veis a este tipo de v)rus %rquivos nos formatos FIH3 E-H e Post"cript s&o menos suscet)veis3 mas isso n&o significa que n&o possam conter v)rus 0uais so os tipos de v/rus! 2xistem atualmente AD categorias de v)rus de computador ?e7am a seguir quais s&o os tipos de v)rus e suas caracter)sticas' Prof. Wagner Bugs - www.wagnerbugs.com.br Conceitos de proteo e segurana # 'ipo Caracter/stica %rquivo ?)rus que anexa ou associa seu cdigo a um arquivo Geralmente3 esse tipo de praga adiciona o cdigo a um arquivo de programa normal ou sobrescreve o arquivo 2le costuma infectar arquivos execut4veis do 6indows3 especialmente com e .e$e3 e n&o age diretamente sobre arquivos de dados Eara que seu poder destrutivo ten"a efeito3 necess4rio que os arquivos contaminados se7am executados %larme falso !&o causa dano real ao computador3 mas consome tempo de conex&o 0 1nternet ao levar o usu4rio a enviar o alarme para o maior n<mero de pessoas poss)vel 2nquadra5se na categoria de v)rus5boato e cartas5corrente Nac+door Como o prprio nome di/3 um v)rus que permitem que "ac+ers controlem o micro infectado pela Mporta de tr4sM !ormalmente3 os bac+doors v8m embutidos em arquivos recebidos por e5 mail ou baixados da rede %o executar o arquivo3 o usu4rio libera o v)rus3 que abre uma porta da m4quina para que o autor do programa passe a controlar a m4quina de modo completo ou restrito Noot ?)rus que se infecta na 4rea de iniciali/a&o dos disquetes e de discos r)gidos 2ssa 4rea onde se encontram arquivos essenciais ao sistema =s v)rus de boot costumam ter alto poder de destrui&o3 impedindo3 inclusive3 que o usu4rio entre no micro Cavalo de Iria (Iro7an) S&o programas aparentemente inofensivos que tra/em embutidos outro programa (ou v)rus) maligno 2ncriptados Iipo recente que3 por estarem codificados3 dificultam a a&o dos antiv)rus Ooax ?)rus boato Mensagens que geralmente c"egam por e5mail alertando o usu4rio sobre um v)rus mirabolante3 altamente destrutivo Macro Iipo de v)rus que infecta as macros (cdigos execut4veis utili/ados em processadores de texto e planil"as de c4lculo para automati/ar tarefas) de documentos3 desabilitando funes como Salvar3 Hec"ar e Sair Multipartite ?)rus que infectam registro mestre de iniciali/a&o3 tril"as de boot e arquivos Mutante ?)rus programado para dificultar a detec&o por antiv)rus 2le se altera a cada execu&o do arquivo contaminado Eolimrfico ?aria&o mais inteligente do v)rus mutante 2le tenta difiultar a a&o dos antiv)rus ao mudar sua estrutura interna ou suas tcnicas de codifica&o Erograma 1nfectam somente arquivos execut4veis3 impedindo3 muitas ve/es3 que o usu4rio ligue o micro Script ?)rus programado para executar comandos sem a intera&o do usu4rio O4 duas categorias de v)rus script' a ?N3 baseada na linguagem de programa&o3 e a @S3 baseada em @avaScript = v)rus script pode vir embutido em imagens e em arquivos com extenses estran"as3 como .!bs.doc% !bs.$s ou &s.&pg Stealt" ?)rus Minvis)velM que usa uma ou mais tnicas para evitar detec&o = stealt" pode redirecionar indicadores do sistema de modo a infectar um arquivo sem necessariamente alterar o arquivo infectado Spa& "pam o termo usado para se referir aos e-mais n&o solicitados3 que geralmente s&o enviados para um grande n<mero de pessoas Puando o conte<do exclusivamente comercial3 este tipo de mensagem tambm referenciado como ;C2 (do ingl8s 'nsoicited Commercia (-mai) *oatos Noatos ()oa$es) s&o e-mais que possuem conte<dos alarmantes ou falsos e que3 geralmente3 t8m como remetente ou apontam como autora da mensagem alguma institui&o3 empresa importante ou rg&o governamental %travs de uma leitura minuciosa deste tipo de e-mai3 normalmente3 poss)vel identificar em seu conte<do mensagens absurdas e muitas ve/es sem sentido -entre os diversos boatos t)picos3 que c"egam 0s caixas postais de usu4rios conectados 0 1nternet3 podem5se citar as correntes3 pirJmides3 mensagens sobre pessoas que est&o prestes a morrer de cJncer3 entre outras Oistrias deste tipo s&o criadas n&o s para espal"ar desinforma&o pela 1nternet3 mas tambm para outros fins maliciosos Prof. Wagner Bugs - www.wagnerbugs.com.br Conceitos de proteo e segurana * 1"is"ing O que p"is"ing e que situa2es pode& ser citadas so$re este tipo de fraude! P)is)ing3 tambm con"ecido como p)is)ing scam ou p)is)ing+scam3 foi um termo originalmente criado para descrever o tipo de fraude que se d4 atravs do envio de mensagem n&o solicitada3 que se passa por comunica&o de uma institui&o con"ecida3 como um banco3 empresa ou site popular3 e que procura indu/ir o acesso a p4ginas fraudulentas (falsificadas)3 pro7etadas para furtar dados pessoais e financeiros de usu4rios % palavra p)is)ing (de Mfis)ingM) vem de uma analogia criada pelos fraudadores3 onde MiscasM (e-mais) s&o usadas para MpescarM sen"as e dados financeiros de usu4rios da 1nternet %tualmente3 este termo v8m sendo utili/ado tambm para se referir aos seguintes casos' mensagem que procura indu/ir o usu4rio 0 instala&o de cdigos maliciosos3 pro7etados para furtar dados pessoais e financeiros* mensagem que3 no prprio conte<do3 apresenta formul4rios para o preenc"imento e envio de dados pessoais e financeiros de usu4rios % subsees a seguir apresentam cinco situaes envolvendo p)is)ing3 que v8m sendo utili/adas por fraudadores na 1nternet =bserve que existem variantes para as situaes apresentadas %lm disso3 novas formas de p)is)ing podem surgir3 portanto muito importante que voc8 se manten"a informado sobre os tipos de p)is)ing que v8m sendo utili/ados pelos fraudadores3 atravs dos ve)culos de comunica&o3 como 7ornais3 revistas e sites especiali/ados 1"ar&ing = E"arming uma tcnica que utili/a o seq>estro ou a #contamina&o$ do -!S (-omain !ame Server) para levar os usu4rios a um site falso3 alterando o -!S do site de destino = sistema tambm pode redirecionar os usu4rios para sites aut8nticos atravs de proxies controlados pelos p"is"ers3 que podem ser usados para monitorar e interceptar a digita&o =s sites falsificados coletam n<meros de cartes de crdito3 nomes de contas3 sen"as e n<meros de documentos 1sso feito atravs da exibi&o de um pop5up para roubar a informa&o antes de levar o usu4rio ao site real = programa mal5intencionado usa um certificado auto5assinado para fingir a autentica&o e indu/ir o usu4rio a acreditar nele o bastante para inserir seus dados pessoais no site falsificado =utra forma de enganar o usu4rio sobrepor a barra de endereo e status de navegador para indu/i5lo a pensar que est4 no site leg)timo e inserir suas informaes =s p"is"ers utili/am truques para instalar programas criminosos nos ECs dos consumidores e roubar diretamente as informaes !a maioria dos casos3 o usu4rio n&o sabe que est4 infectado3 percebendo apenas uma ligeira redu&o na velocidade do computador ou fal"as de funcionamento atribu)das a vulnerabilidades normais de software ;m software de segurana uma ferramenta necess4ria para evitar a instala&o de programas criminosos se o usu4rio for atingido por um ataque %lguns ve)culos de divulga&o descrevem E"arming como um tipo espec)fico de E"is"ing Iexto extra)do da Cartil"a de Segurana para 1nternet3 desenvolvida pelo C2FIbr3 mantido pelo !1Cbr3 com inteiro teor em "ttp'QQcartil"acertbrQ Sugestes de programas: (ntiv/rus3 %?G (Hree 2dition) . Hreeware %vastR . Hreeware (ntisp)ware3 Sp,bot Searc" and -estro, . Hreeware %-5aware S2 Eersonal 2dition BSST . Hreeware %irewall3 Uone%larm Hree . Hreeware S,gate Eersonal Hirewall . Hreeware (ntispa&3 %gnitum Spam Ierrier . Hreeware SafestMail CS %ntiSpam (Hreeware 2dition) . Hreeware =bs' Iodos os programas s&o facilmente encontrados no site "ttp'QQwwwsuperdownloadscombr Prof. Wagner Bugs - www.wagnerbugs.com.br