IDG Now!

quinta-feira, 6 de dezembro de 2007

As ameaças da web 2.0

As ameaças da web 2.0


A interatividade abre brechas para ataques de malware ultra-sofisticado

Por CARLOS MACHADO

Ninguém tem dúvida sobre as oportunidades trazidas pela web 2.0. A interatividade — que transforma o internauta em colaborador ativo dos sites e serviços — torna a internet muito mais rica e interessante. Fenômenos como a Wikipedia e o YouTube estão aí para provar isso. Mas, como tudo na vida, a web 2.0 não traz somente boas notícias. Especialistas em segurança alertam: as mesmas portas que se abrem para facilitar a participação do usuário também multiplicam as brechas de segurança.

MAIS PORTAS ABERTAS

“A web era uma casa com uma porta e uma janela. A web 2.0 é a mesma casa, com várias portas e várias janelas e é preciso trancar todas”, diz Marcelo Lombardo, diretor de tecnologia da NewAge Software, especialista em desenvolvimento de soluções para gestão de empresas. Do ponto de vista técnico, explica Lombardo, as aplicações online passaram a atuar em duas frentes. Na web tradicional, as ações eram executadas no servidor. Agora, parte delas ocorre no browser do usuário.

Uma conseqüência disso é que, para as empresas de segurança, fi ca mais difícil identifi car as ameaças da internet. Anos atrás, os problemas chegavam na forma de executáveis embutidos em mensagens de e-mails. “Agora, o ataque pode ser montado dinamicamente, sem que exista um só executável”, diz Marcelo Bezerra, gerente de soluções

para a América Latina da ISS, empresa de segurança da IBM. Segundo Bezerra, os scripts permitem que as ameaças sejam montadas como aplicações de várias partes, sendo que algumas delas, por si sós, não apresentam nada perigoso. Por isso podem passar despercebidas por fi rewalls e outros dispositivos de detecção. “De repente, a ameaça aparece já pronta na máquina do usuário: foi montada no meio do caminho”, explica Bezerra.

MALWARE 2.0

Não há nenhum mistério. Nesse caso, as ameaças são também aplicações web 2.0. Exemplo disso é o cavalo-de-tróia Spammer.HotLan.A, descrito pela BitDefender, fabricante de antivírus. O HotLan cria contas falsas de webmail em grande escala para com elas enviar spam. Para isso, burla uma das defesas dos sites de webmail, os chamados captcha systems. Trata-se daqueles recursos que apresentam letras e números numa pequena imagem. O usuário deve lê-los e digitá-los num campo. O objetivo dessa proteção é evitar que o preenchimento seja feito por dispositivos automáticos. O HotLan ludibria esses controles. Segundo a BitDefender, foram criadas 514 mil contas no Hotmail e 49 mil no Gmail.

PERNAS MÚLTIPLAS

Mas a abertura de contas é apenas uma das pernas do HotLan. Sua base de atuação são computadores invadidos. Cada cópia ativa do cavalo-de-tróia tenta criar um endereço de webmail. A imagem de controle do sistema captcha é enviada a um servidor controlado pelos spammers. Ali, ela é submetida a um OCR para identifi car os caracteres, que por fi m são aplicados no campo de digitação do site de webmail. Portanto, aparecem mais duas pernas: os micros invadidos e o servidor. Criada a conta, e-mails de spam criptografados são enviados às máquinas sob controle dos spammers. O HotLan decifra as mensagens e as envia a uma lista de endereços, esta armazenada em outros sites (mais pernas). Um detalhe: conforme a BitDefender, o invasor é discreto: não há sintomas da presença dele na máquina, a não ser um aumento da atividade de internet.

Paulo Vendramini, gerente de engenharia de sistemas da Symantec, cita o caso de um cavalo-de-tróia que chega via phishing e rouba informações bancárias. A ameaça, minúscula (cerca de 3 KB), faz o download de outro cavalo-de-tróia, que não é detectado pelo fi rewall. Só depois disso é que o invasor é montado e passa a monitorar o usuário. Quando este vai a um site de banco, o cavalo-de-tróia intercepta a solicitação e apresenta um pedido de recadastramento da conta. Obtidos os dados, o malware continua lá, sem perturbar o funcionamento da máquina. Ele só entra em ação outra vez se a vítima apontar o browser para o site de um banco diferente do primeiro.

ITALIAN JOB

Exemplos de sofi sticada engenharia de software voltada para o crime começam a se multiplicar. Outro caso recente foi o da ameaça Italian Job, que infectou dezenas de milhares de computadores na Itália, nos Estados Unidos e na Espanha. Nesse caso, o malware infecta websites normais. Segundo Hernán Armbruster, diretor de marketing da Trend Micro, quando um browser visita esses sites, um cavalo-de-tróia é baixado para a máquina do usuário. Esse invasor, por sua vez, faz o download de outros programas, que deixam o PC à mercê de ladrões de senhas. O Italian Job explora vulnerabilidades no Internet Explorer, no Firefox, no Opera e até no JavaScript e no Winzip. Ele reúne uma série de ferramentas de intrusão e as dispara conforme as vulnerabilidades encontradas em cada máquina.

DESCONFIÔMETRO

Os especialistas concordam: tanto as empresas de segurança como os usuários de computador precisam mudar de postura diante da nova realidade criada pela web 2.0. Ricardo Bachert, presidente da Panda Software do Brasil, assim como todos os outros técnicos ouvidos por INFO, diz que as empresas já vêm desenvolvendo formas de bloquear ameaças desconhecidas baseadas em métodos que refletem o conhecimento humano.

Os técnicos também acham que o usuário deve manter o desconfiômetro ligado (veja a coluna ao lado). Boa parte do sucesso do malware baseia-se em truques de engenharia social. Ricardo Bachert ilustra isso com um caso. Chega um e-mail que é o currículo de uma jovem pleiteando uma vaga administrativa. O texto é bem escrito e a moça, muito bonita. No final, um link: “Clique aqui para ver mais informações sobre mim”. Cuidado!