Home > Notícias

Saiba como funciona um ataque de Dia Zero

Crackers se aproveitam de falhas ainda não corrigidas para atacar o seu computador; entenda o funcionamento da tática

Por Ryan Singel, PC World EUA

02/04/2007 às 15h40

zero_day40x25.jpg
Foto:

Hackers se aproveitam de falhas ainda não corrigidas para atacar o seu computador. Entenda como a tática funciona

zero_day100x120.jpgNa última semana de março, veio a público a informação de que a Microsoft havia descoberto uma brecha no Windows em dezembro, mas resolvera ocultar o problema. Desde então, a falha permite que crackers implantem códigos maliciosos em páginas da web e tomou dimensões tão grandes que a gigante do software se viu obrigada a adiantar a correção do problema em sete dias antes do previsto.

A tática de se aproveitar de vulnerabilidades em softwares antes que suas desenvolvedoras corrijam as brechas é chamada de ataque de Dia Zero. Mas, como funciona exatamente um destes ataques?

Imagine a seguinte situação: um usuário mantém seus programas atualizados e possui antivírus instalado - além de ser bem cuidadoso em relação às páginas que visita e o que instala no computador.

Ainda assim, se ele tivesse visitado, em setembro de 2006, um blog hospedado pelo HostGator (um grande provedor com base na Califórnia), o seu browser teria sido redirecionado para um site infectado que explorava uma brecha em um velho formato de imagem da Microsoft.

Em alguns instantes, um malware se instalaria no computador.

Este usuário se encaixaria no perfil da vítima do Dia Zero: um ataque que visa a falha ainda não foi corrigida de um programa. O termo originalmente descreve vulnerabilidades exploradas no mesmo dia em que a correção foi desenvolvida, ou seja, as equipes de TI trabalharam tendo em mente “zero” dias para remediar o problema.

Hoje, o valor dessas investidas contra as falhas decola porque os ataques podem invadir sistemas bem administrados e atualizados.

Em dezembro de 2006, Raimund Genes, o chefe do escritório de tecnologia da Trend Micro, percebeu uma movimentação estranha numa sala de bate papo: um hacker queria vender uma brecha desconhecida de uma versão beta do Vista por 50 mil dólares, mas Gene não conseguiu descobrir se alguém de fato comprou o código.

“Há coisas mais organizadas onde não podemos ver”, afirma Dave Marcus, pesquisador de segurança da McAfee. “Os criminosos descobriram que podem fazer dinheiro com malwares”.

Malware por dinheiro

O malware poderia ser um “bot” (programa que executa uma tarefa repetitiva em uma rede), capaz de forçar o computador do usuário a transmitir spams em cadeia ou participar de ataques de negação de serviço que podem derrubar sites.

“É muito mais fácil do que roubar um laptop de uma criança”, declara Marcus. “É mais sigiloso e o criminoso pode fazer isso enquanto toma um café no Starbucks”.

Leia também:

Passo-a-passo de um ataque de Dia Zero

As defesas do Vista contra o Dia Zero

Defenda-se contra o Dia Zero

Graças a atributos como o escaneamento aperfeiçoado que não depende de assinaturas, o antivírus da McAfee e outros programas de segurança estão se tornando mais hábeis na proteção contra ameaças desconhecidas. E uma nova leva de programas gratuitos e comerciais fornece proteção pró-ativa contra ataques de Dia Zero (eles limitam o poder destrutivo de um ataque bem sucedido).

A configuração certa de segurança garante proteção em 99% das vezes, segundo Jeff Moss, o fundador da conferência anual de segurança BlackHat. Mas os ataques com alvo planejado podem certas vezes penetrar de alguma forma.

Moss afirma que o usuário “pode comprar uma tonelada de firewalls, software e equipamento, mas se o Dia Zero certo existir no componente certo, é quase como se toda essa extravagância em relação à segurança não fizesse diferença”.

As variedades mais perigosas de ataques pré-correção são capazes de induzir downloads, assim, a mera navegação em páginas contaminadas ou leitura de HTML infectado pode disparar uma invasão capaz de encher o computador de spywares, cavalos-de-tróia ou outros tipos de malware.

Entre 2005 e 2006, criminosos online usaram pelo menos duas investidas de Dia Zero para atacar milhões de pessoas (a brecha era um formato de imagem Microsoft pouco usado).

No caso do desastre HostGator, envolvendo a falha da imagem Windows, o ataque tirou vantagem de uma brecha não percebida que surge no Internet Explorer quando ele lida com linguagem vetorial de aumento (VML), um padrão pouco usado para criar gráficos 3D.

A ameaça foi relatada primeiramente em setembro de 2006 pela empresa de segurança Sunbelt Software, que a descobriu num site pornográfico russo.

A falha em si já era ruim o bastante: caso o usuário navegasse num site contendo a imagem armadilha, poderia ser atingido por um download induzido. Mas os mais oportunistas descobriram como aumentar os danos.

++++

Os invasores mais austeros visaram uma segunda falha no cPanel, uma interface de gerenciamento de sites, e conseguiram infectar milhares de sites mantidos pelo HostGator. Aqueles que visitaram os sites, que embora legítimos estavam corrompidos, foram redirecionados para outras páginas contendo a exploração da falha VML.

Os produtos da Microsoft (como o Internet Explorer, Pacote Office e etc.) e o sistema Windows em si são os alvos mais comuns de ataques, sejam de Dia Zero ou não, em parte por sua base dominante de usuários.

Mas o fracasso da Microsoft, no passado, em integrar de forma adequada a segurança em desenvolvimento de seus produtos contribuiu, e muito, para o status de alvos fáceis que hoje eles possuem.

Por outro lado, o Vista tem recebido boas críticas em relação à segurança, pelo menos por enquanto.

Apenas em 2006, quatro investidas de Dia Zero diferentes atacaram o Internet Explorer 6, direta ou indiretamente. O ano começou com ataques contínuos focados numa falha descoberta em dezembro de 2005 (no formato de imagem Metafile), o buraco estava numa parte sublinhada do Windows que o IE usava para dimensionar imagens WMF.

Assim que os ataques vieram a público, a Microsoft declarou que iria lançar a correção somente semanas depois, como parte normal de seu ciclo próprio de desenvolvimento de correções. Mas, como tudo se agravou muito rapidamente, a empresa liberou a cobertura da falha logo em janeiro.

Contudo, o patch não deu fim aos ataques, o que demonstra que os ataques de Dia Zero podem ter efeitos duradouros. Assim como a brecha VML, a falha Metafile abriu a porta para downloads induzidos, que por sua vez são adorados pelos criminosos, já que as vítimas não precisam clicar em nada para serem atingidas.

Quem instalou a correção através do Atualizações Automáticas não teve dor de cabeça, mas claramente muitos usuários ficaram de fora desse grupo.

Em julho de 2006, um banner invasor da Deckoutyourdeck.com entrou em sites como o MySpace e Webshots através de uma rede de distribuição de anúncios que servia milhares de sites. O malware oculto no banner fazia download de cavalos-de-tróia no computador das vítimas e lá instalava adwares e spywares.

Alguns observadores estimam o número de vítimas, sete meses depois do lançamento da correção, em milhões de internautas.

Ataques enquadrados no Office

Ao contrário das perigosas ameaças visando o Internet Explorer em Dias Zero, as voltadas para o Word e outros aplicativos Office não podem empregar downloads induzidos.

Em vez disso, elas se baseiam em atrair cliques duplos das vítimas para os anexos de e-mail – e quando essa estratégia é empregada com ataques organizados à uma empresa específica, mesmo os usuários mais avisados podem ser vitimados acidentalmente.

O hacker possui muito mais chances de convencer os receptores a abrir o documento Word anexo se enviar um e-mail falso (que pareça vir de colegas de trabalho ou de uma fonte dentro da empresa) para alguns funcionários do que se a mensagem fosse originária de um remetente qualquer.

Em meados de dezembro, a Microsoft confirmou que o Word continha duas vulnerabilidades que os crackers aproveitaram para lançar “ataques concentrados e precisos”, seguindo um sistema de manipulação de falhas à distância, similar ao que ocorreu no Excel e no PowerPoint.

A empresa agora alerta os usuários a serem cautelosos não somente em relação aos anexos de e-mail cujo remetente é desconhecido, mas também de anexos não solicitados de remetentes conhecidos.

Os produtos Microsoft são possivelmente os alvos mais populares de ataques de Dias Zero, mas um outro software comum proporcionou um front de ataques igualmente perigoso.

++++

Em janeiro um pesquisador anunciou a descoberta de uma falha do QuickTime quando ele trabalha com vídeos streaming, que permitia ao hacker controle real sobre o computador da vítima.

Uma vulnerabilidade mostrada em novembro de 2006, no controle de browser Adobe ActiveX, apresentou risco similar.

O crescimento desse tipo de incidente reflete o grande aumento no número anual de falhas relatadas em softwares. Em 2006, pesquisadores e programadores catalogaram cerca de 7247 falhas, 39% a mais do que em 2005 (dados do Internet Security Systems Xforce).

Contudo, a maioria desses bugs não abre caminho para um ataque de Dia Zero. As empresas de software recebem frequentemente relatórios de bugs e erros de seus usuários que levam à descoberta dos buracos na segurança, logo corrigidos.

Quando pesquisadores de fora da empresa descobrem a brecha, eles (ao menos a maioria) aderem a um conjunto de procedimentos, conhecido como “descoberta ética”, especificamente projetado para evitar ataques de Dia Zero.

Na “descoberta ética” os pesquisadores primeiramente contactam o fabricante do programa para relatar as descobertas. A empresa não divulga o problema até que a correção fique pronta, quando dá os créditos publicamente aos pesquisadores originais que encontraram a falha.

Mas alguns pesquisadores, frustrados pelo ritmo lento da investigação por parte do fabricante, vão a público com os detalhes da brecha enquanto ela ainda não possui cobertura.

Certos especialistas consideram essa tática um mal necessário para forçar as empresas mais relutantes a cobrir uma falha; outros condenam a prática como uma violação sem ética dos procedimentos da indústria.

As pessoas que defendem publicamente o ato argumentam que se um pesquisador sabe sobre a falha, logo algum criminoso também deve saber; e os violadores mais espertos farão ataques pequenos e específicos de modo a evitar chamar a atenção e acelerar o processo de correção.

Infelizmente, as revelações públicas de uma vulnerabilidade estimulam ataques de Dia Zero.

Outra prática controversa é a caça de recompensas. Algumas organizações, incluindo a iDefense e a Zero Day Initiative (da 3Com), pagam para que pesquisadores relatem explorações de Dia Zero à elas.

A iDefense oferece 8 mil dólares de recompensa por informações sobre vulnerabilidades do IE 7 e do Vista. Depois, as empresas de segurança secretamente comunicam suas descobertas às empresas de software.

Por mais que esses programas não sejam admirados, eles colocam dinheiro no bolso dos programadores, um resultado que muitos preferem a um simples “obrigado”.

Talvez mais importante: as recompensas das empresas de segurança competem com o crescente mercado negro dos ataques de dia zero.

O indivíduo que vendia a falha do Vista relatado anteriormente pode ou não ter encontrado alguém disposto a pagar os 50 mil dólares cobrados, mas relatórios da eWeek.com e de empresas de segurança dizem que os ataques ao Windows Metafile começaram imediatamente após a venda, por 4 mil dólares, de detalhes relevantes de um bug.

Para encontrar falhas comercializáveis, os pesquisadores e criminosos usam ferramentas automatizadas chamadas fuzzers para localizar onde um programa aceita entradas (input) e depois, sistematicamente, passam a inserir bizarras combinações de dados nela.

Não raro esse teste resulta numa falha explorável chamada de superfluxo de buffer.

As empresas de software, incluindo a Microsoft, costumam usar ferramentas pró-ativas para encontrar falhas em seus próprios produtos.

Mas os criminosos agem da mesma forma: Moss (organizador da BlackHat) e outros especialistas afirmam que o crime organizado do Leste europeu, grupos chineses de hackers e outros usam fuzzers para encontrar brechas.

Quem descobrir pode tanto iniciar ataques como vender a descoberta no mercado negro, como no caso do incidente WMF.

Quando um fabricante de programas consegue corrigir uma brecha de segurança antes que qualquer ataque aconteça, tanto a equipe de TI quanto os usuários têm tempo de atualizar seus sistemas e assim ficar um passo à frente.

Mas logo que os ataques de Dia Zero têm início, o relógio começa a correr, e algumas vezes demora um pouco até que a correção chegue.

Segundo o relatório de ameaças de internet da Symantec, no primeiro semestre de 2006 a Microsoft empatou com a Red Hat Linux no quesito de maior rapidez no desenvolvimento de correções para sistemas operacionais comerciais - 13 dias, em média.

++++

Atrasos nas correções de browsers

Entretanto, quando se trata de atualizar browsers, especialmente com ataques de Dia Zero em andamento, a Microsoft fica atrás da Apple, Mozilla e Opera.

Em média, as correções do IE aparecem 10 dias após a brecha ter sido revelada, ao passo que a Apple, Mozilla e Opera levam dois, três e cinco dias, respectivamente.

Adam Shostack, gerente de software da equipe de desenvolvimento de segurança da Microsoft, afirma que algumas vezes leva-se um tempo maior para tal por causa da complexidade da base de usuários Microsoft.

“Temos que testar as atualizações de segurança para nos assegurarmos de que elas irão funcionar em 28 idiomas diferentes e que todo sistema operacional vai suportar o aplicativo” afirma Shostack. “Trabalhamos para equilibrar velocidade com qualidade”.

Programas de segurança ajudam na proteção contra ameaças desconhecidas durante o perigoso intervalo que separa um ataque inicial da distribuição da correção, mas os tradicionais programas antivírus dependem de uma assinatura identificada de um ataque para conseguir elaborar a proteção.

Isso coloca os criadores de malware contra as empresas de segurança num constante jogo de gato e rato, com os hackers mal intencionados enviando um fluxo constante de cavalos-de-tróia ajustados para combater reconhecimento de assinatura.

Análises heurística e de comportamento podem ir além desse padrão e esticar os limites da proteção. Os scammers (criadores de phishing) usam de algoritmos, em vez de assinaturas para procurar comportamento ou arquivos anormais.

A análise heurística procura potenciais malwares observando métodos suspeitos de trabalho com memória. A análise de comportamento vigia os programas com o intuito de perceber alguma conduta típica de malware para tentar identificar intrometidos indesejados pelo que eles fazem e não pelo que contêm.

A maior parte dos antivírus hoje incorpora um ou dois tipos de análise. No ano passado, os testes da PC World que usavam assinaturas conhecidas desde o mês anterior tiveram taxas de sucesso entre 20% e 50%.

++++

Entretanto, análise heurística e de comportamento são suscetíveis a alarmes falsos. Um programa de segurança pode não ser capaz de distinguir entre um keylogger e um jogo que solicita acesso ao teclado para tempos curtos de resposta.

Como resultado, o software pode incomodar o usuário inutilmente com alertas e pop-ups.

 Jeff Moss, da BlackHat, estima que esse tipo de detecção não será útil pelos próximos cinco anos. “As taxas de detecção falsa são muito altas. Todos estão com novas formas de detectar o uso inapropriado; mas assim que começarem a desenvolvê-la, os usuários ficarão contra”.

Outros procedimentos

Membros de uma outra classe de produtos de segurança tentam se proteger das ameaças alterando o ambiente computacional do usuário para minimizar o dano de uma invasão bem sucedida.

Alguns (como o GreenBorder Pro) criam ambientes virtualmente cercados para programas mais visados como browsers e e-mails. Assim, mesmo que um ataque consiga passar pelo IE, qualquer tentativa de instalar um spyware ou fazer alterações não sairiam destes limites.

Outros programas, em vez de criarem um ambiente virtual, modificam os direitos de usuário para privar um aplicativo da capacidade de fazer alterações profundas no sistema. Essa categoria de utilitários inclui o gratuito applet DropMyRights, da Microsoft.

Há ainda uma outra categoria de programas que instalam um distinto sistema operacional encapsulado que possui seu próprio browser, o caso do VMWare Player. O browser isolado é completamente separado do ambiente computacional normal.

O Windows Vista apresenta diversas atualizações de segurança que funcionam seguindo algumas dessas linhas. Porém, as vulnerabilidades de software e ataques de Dia Zero não irão desaparecer jamais.

Infelizmente, o consolidado mercado negro de dados roubados garante que os criminosos continuarão a encontrar formas de lucrar com malware.

No entanto, David Perry, diretor global de educação da Tred Micro, se mantém cautelosamente otimista a respeito do futuro da segurança na internet. “Acredito que naturalmente chegaremos ao ponto em que as ameaças serão apenas uma ameaça corriqueira”, afirma, “mas isso não acontecerá este ano”.

Confira mais reportagens e nóticias em nosso Infocenter de Segurança

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail