Os perigos do online sempre foram, são e indubitavelmente continuarão a ser uma das maiores dores de cabeça de todos os proprietários e utilizadores de tecnologia.
Longas são as listas de métodos de roubos de dados, de identidade, … e cada vez mais se torna urgente prevenir, pois na maior parte das vezes já será demasiado tarde para remendar.
Um estudo da Symantec, lançado em Maio passado veio ilustrar precisamente alguns desses problemas mas, acima de tudo, a forma como os atacantes virtuais se adaptaram a um mundo tecnológico em constante mutação.
Durante muitos anos, os atacantes focaram-se nos PCs Windows devido a três situações:
- simples de explorar
- estavam em todo o lado
- retorno sobre o investimento era lucrativo para os ladrões.
No entanto, o que testemunhamos nos dias de hoje é que os atacantes estão a alterar as suas atenções.
Uma vez que as nossas” vidas” computacionais deixaram de estar apenas no exclusivo mundo do PC Windows, os atacantes também tiveram de se adaptar, com a esperança de continuar a explorar os utilizadores.
No Intelligence Report da Symantec de Maio deu-se especial enfoque a esta tendência, explorando algumas das ameaças fora da esfera do mundo Windows. Foram também analisadas algumas tentativas de phishing recentes sobre a formação para os Jogos Olímpicos de Londres, espaço de armazenamento online gratuito, e descontos Apple falsificados.
De muitas formas, o Relatório de Maio começa onde o volume 17 do Internet Security Threat Report (ISTR) terminou. Em particular, o ISTR apontou que, com a proliferação das ameaças Android em 2011, a alteração do malware apenas a partir do Windows estava claramente em curso. Estas ameaças deixaram de ser novidade, e tornaram-se numa ocorrência regular.
Esta tendência continuou em 2012, e o seu ritmo continua acelerado. Em Maio de 2011 existiam 11 novas famílias de ameaças Android; no final de Maio de 2012, o número terá passado a 30. Isto representa um aumento de quase três vezes, de um ano para outro.
No relatório chama-se também a atenção para uma família de ameaça denominada de Opfake. Esta ameaça abrange uma vasta gama de sistemas operacionais de dispositivos, desde o Symbian ao Windows Mobile e Android, e chega mesmo a dispositivos iOS através de um elaborado esquema de phishing.
E não são apenas os dispositivos móveis. Enquanto os computadores Macintosh da Apple têm sido alvo de ameaças em diversos locais, a ideia de que esta plataforma de computação pode ser comprometida em massa é algo que os especialistas em segurança da Internet têm avisado há vários anos.
E isso acabou por acontecer. Um trojan com o nome de Flashback, que apareceu pela primeira vez no ano passado, teve uma capacidade de breakout em Abril, infectando com sucesso cerca de 600.000 Macs. Descobriu-se que os autores detrás desta ameaça podem ter hesitado quando chegaram a lucrar com isso; talvez devido à surpresa do seu aparente sucesso. No entanto, outros atacantes rapidamente seguiram os seus passos, também com o objectivo de explorar as mesmas fraquezas antes que a vulnerabilidade terminasse.
É certo que os atacantes estão, nos dias de hoje, a prestar mais atenção a outras plataformas fora do mundo Windows. Mas talvez o mais preocupante seja o facto de começarmos a detectar um movimento para plataformas de ameaças independentes.
Neloweb é um bot, com todas as características e funcionalidades que esperamos ver num bot – nada de incomum nesse sentido. A novidade é o local onde este bot reside: executa todas as acções a partir do browser. Nem é exigente sobre qual o browser; dado que os atacantes construíram-no para funcionar igualmente bem em Internet Explorer ou Firefox.
Até agora o Neloweg é, de facto, um bot-browser específico para Windows, contando com o registo do Windows para armazenar os seus dados de configuração. Mas dada a forma como os targets dos browsers não são todos específicos para Windows, é fácil prever que iremos vê-lo em outras plataformas no futuro. Já vimos sinais do Neloweg a direccionar Webkit, a ferramenta de browser utilizada pelo Chrome e Safari.
E porque é que esta mudança está a acontecer? Um argumento que pode ser dado é o facto de a segurança Windows ter melhorado drasticamente, aumentando a quantidade de esforço requerida para comprometer esses computadores. No geral, pode afirmar-se que temos obtido conhecimento aos prós e contras da segurança Windows. Mas o provável é que os atacantes tenham simplesmente mudado para novos dispositivos porque nós (utilizadores) os temos. Considere o seguinte:
- Os smartphones estão em todo o lado, e por diversas vezes são o primeiro dispositivo a que o utilizador chega para realizar diversas tarefas de computador.
- Os proprietários de Mac estão a aumentar, tendo alcançado 10% do mercado dos Estados Unidos.
- Os browsers são plataformas independentes; qualquer dispositivo com acesso à Internet tem um. Com a sobreposição de bases de código entre plataformas para um browser específico, as ameaças poderiam, teoricamente, ser transportadas de uma plataforma para outra sem esforços significativos.
Não é para dizer que o Windows não é ainda o target da escolha dos hackers. Ainda está longe a superação de todos os outros targets infectados no cenário de ameaças. Aquilo com que nos estamos a deparar é que os atacantes não só mudaram a sua atenção para essas novas plataformas de computação, mas começam também a perceber uma medida de sucesso em fazê-lo, justificando mais investimentos na exploração das respectivas plataformas.
Temos visto mudanças como estas anteriormente. A popularidade dos vírus que infectavam arquivos no final dos anos 90 e início de 2000 deu lugar à “idade dos vermes”, em que descobrimos ameaças como o Blaster e Sasser que se espalharam pela internet com liberdade total. Então, mesmo que a onda de vermes proliferativos recue, um aumento de protecções, ameaças com fins lucrativos começam já a ser vistas.
Mais uma vez o cenário está a mudar. Mas o que é diferente desta vez é que pela primeira vez estamos a ver um movimento notável de afastamento às ameaças baseadas em Windows e para outras plataformas, dispositivos e mesmo aplicações.
Em outras notícias, a recente descoberta do W32/Flamer, descobre uma ameaça altamente sofisticada e direccionada primeiramente direccionada para poucas centenas de organizações e individuais localizados no Médio Oriente. Com base nas mais recentes análises da Symantec, o Flamer parece agir com um propósito geral de espionagem, idealmente designado para ciber-espionagem e roubo de todo o tipo de informação de máquinas comprometidas. Com o objectivo de lançar algumas “luzes” sobre o tema, o último Intelligence Report da Symantec também faculta algumas informações sobre o que sabemos até agora.
