• Defesa Contra Ataques Drive-by Downloads

    Se por você ainda não ouviu esse termo antes, um drive-by download ( DbD), é uma classe de ataque cibernético a partir da qual a pessoa visita um web site-armadilha e ele, automaticamente e silenciosamente, executa downloads e um código malicioso em seu computador. Por padrão, os sites não podem, simplesmente, baixar e executar código no seu computador, porque um ataque bem-sucedido DbD depende de algum tipo de falha ou vulnerabilidade no software que você usa para navegar na Web. Por exemplo, navegadores como o Internet Explorer, Firefox , Safari, Chrome, são os alvos mais óbvios.


    Exploração a Partir de Novos Componentes

    No entanto, hoje em dia, a maioria dos usuários passou a instalar muitos outros produtos relacionados com a Web, produtos esses que os invasores podem explorar em ataques DBD. Por exemplo, produtos como Java, Flash, Shockwave, Reader, QuickTime e muitos outros plugins no seu navegador Web, o que lhes permite renderizar o conteúdo dinâmico que você encontrar ao visitar sites modernos. O problema é que esses plugins também dão aos atacantes o acesso a este software - proporcionando mais oportunidades de ataque.



    Em suma, se um atacante pode encontrar qualquer vulnerabilidade no software que você usa para navegar na Web, e ele puder direcioná-lo para um site contendo código malicioso, ele também poderá explorar essas falhas para forçar o computador a disseminar a infecção com o malware que abriga, mesmo sem o usuário tomar conhecimento. Com essas táticas ardilosas, os cybercriminosos da rede podem tranquilamente causar sérios comprometimentos, de forma imperceptível a um primeiro momento.


    A Linha Tênue que Separa Esperteza e Ingenuidade

    Certamente há aqueles que dirão: "mas, eu não seria ingênuo o suficiente para cair em golpes tão primários quanto estes, como visitar sites suspeitos na Internet. Portanto, os cybercriminosos não poderão me prejudicar". Claro, você está correto. A menos que um atacante possa levá-lo a seu web site-armadilha, seu ataque DbD não terá sucesso. No entanto, você pode se surpreender com o quão fácil é para esses elementos, atrair as vítimas a sites comprometidos, que são verdadeiras armadilhas cibernéticas.


    Surpresas e Armadilhas do Mundo Cibernético

    Nesse contexto, podemos citar as antigas e verdadeiras técnicas experimentadas. No passado, você pode ter ouvido os profissionais de segurança fazendo alerta em relação à visita ao lado mais obscuro da Internet. Assim como os locais considerados suspeitos no mundo real, muitas atividades legais questionáveis acontecem em algumas das partes da imensa rede de computadores. Na chamada Deep Web, que ganhou maior atenção nos últimos meses, figuram fortemente sites de pornografia das mais diversas formas, pirataria de software, as vendas de drogas, e muitas vezes, uma sólida parceria com os cybercriminosos (consciente ou inconscientemente), além do oferecimento de malware aos seus visitantes, através de ataques DBD. Portanto, toda vez que você perceber algo sombrio oferecido gratuitamente na Internet, desconfie.


    Vítimas são Tentadas a Visitar Sites Comprometidos

    Outra maneira de fazer com que as vítimas visitem sites maliciosos é apenas para convidá-las para isso. Apesar das atividades cybercriminosas estarem em constante ascensão como todos nós sabemos, os maus elementos usam todos os mecanismos de mensagens da Internet que podem, com a intenção de disseminar links de spam para suas páginas maliciosas. Eles enviam e-mails, mensagens instantâneas (IMs), ou publicam em redes sociais, além de realizar compartilhamento de links que vão direto aos sites maliciosos.

    Eles criam espécies de mensagens atrativas, fazendo com que suas potenciais vítimas fiquem interessadas nas mesmas. Isso envolve o último evento de cultura pop, ou uma forma de fingir que é um amigo querendo compartilhar um link divertido. Os atacantes também costumam usar serviços de encurtamento de links, fazendo a situação parecer mais amena. Uma vez que muitos usuários ainda não perceberam que links da Web podem ser perigosos, muitos caem na investida ao clicar no link, deparando com uma surpresa desagradável.


    Crackers Perseguem suas Vítimas

    No entanto, a forma mais nefasta para designar as vítimas que serão encaminhadas a sites comprometidos é o "watering hole attack". Todos os métodos descritos anteriormente, dependem de conseguir que alguém vá até a um site, que em outra situação não poderia visitar por sua própria vontade. Dessa forma, é possível fazer uma comparação: assim como os leões perseguem suas presas na savana, os crackers sabem que se eles envenenarem seu site favorito, você certamente vai ser uma vítima de suas investidas DbD. Os atacantes procuram vulnerabilidades de aplicativos Web em sites populares e legítimos, tais como injeção de SQL (SQLI) e falhas cross- site scripting (XSS); em seguida, explorar estes problemas para injetar código malicioso no site legítimo, redirecionando qualquer pessoa que visite o site ao código DbD malicioso.

    Em outras ocasiões, os profissionais de segurança poderiam avisá-lo para ser mais atento em relação a visitar sites sórdidos para evitar ataques DBD. No entanto, hoje qualquer site na Internet, mesmo os que você mais confia - podem ter sido sequestrados e estar escondendo um ataque drive-by download. Vale ressaltar que um bom investigador/espião deve entender as técnicas do seu adversário, e, em seguida, aprender a tradecraft que pode protegê-lo nesse âmbito. Agora que você sabe o que é um drive- by download e como eles funcionam, aqui vai algumas dicas cibernéticas que certamente, irão protegê-lo on-line:

    "Patch, patch" e corrigir um pouco mais - Em "computer-ese, "arrumar patches" para aplicar as atualizações mais recentes para o software de seu computador. Como foi mencionado, os sites não podem forçar o download do software para o seu computador, a menos que eles tirem vantagens de falhas de programação do software que você executa. Além disso, muitos dos ataques DBD vistos em estado selvagem, estavam explorando falhas, as quais os fabricantes já corrigiram.

    Se você mantiver o seu software atualizado, a maioria dos ataques irá falhar. Obviamente você deverá corrigir eventuais falhas em seu navegador, mas também deve lembrar que os cybercriminosos estão estão se concentrando na exploração de vulnerabilidades Java e Flash, mais recentemente. Assim, você deve corrigir esses pacotes tão agressivamente como o próprio navegador. Na verdade, o recomendável é mesmo desabilitar o Java, se puder.


    Cuidados com Links não Solicitados

    Não clique em links não solicitados - esse é um alerta muito antigo, persistente, mas que ainda faz muitas vítimas. Simplificando, evite clicar em links não solicitados enviados para você via e-mail e através de serviços mensageiros. Talvez muitos não fiquem convencidos a não clicar em links de seus amigos (ou os que parecem que vêm de seus amigos), mas pelo menos devem continuar cautelosos quanto a eles, e olhar para a URL do link antes de clicar nele. Também é importante ressaltar que links encurtados podem as vezes, pedir o uso de ferramentas para expandir e visualizar esses links antes de segui-los . Aqui vai uma dica rápida: se você adicionar um caractere "+" ao final de um link bit.ly, você terá uma visualização do URL real antes de visitá-lo.

    Use antivírus (AV) e prevenção de intrusão (IPS) - Enquanto a vigilância e as boas práticas podem ajudar a evitar muitos ataques, ninguém é perfeito. Haverá um dia em que até mesmo o melhor de nós, tropeçará em sites de ataque DBD. Sistemas IPS podem, frequentemente, detectar a rede de alavancagem de exploração destes ataques, e os sistemas AV, muitas vezes, são capazes de reconhecer as payloads maliciosas que tentam baixar sem que ninguém perceba. Use AV e sistemas IPS, e mantenha os atualizados.

    Utilizar soluções de filtragem da Web baseados em reputação - Os sites maliciosos que oferecem ataques DBD mudam com bastante freqüência, como fazem os sites legítimos que foram sequestrados. As organizações de segurança e fornecedores, como WatchGuard, usam muitas técnicas automatizadas para acompanhar a última distribuição de malwares locais, e oferecer serviços de reputação que podem manter você e seus usuários longe deles. Você deve considerar o uso de soluções web-filtering, para ajudar você a evitar sites perigosos na Internet.


    Contínua Sofisticação nos Ataques

    Uma importante observação a fazer, é que os chamados "black hats" tornaram-se extremamente sofisticados em seus ataques cibernéticos. Os drive-by downloads tornaram-se o mais silencioso e mortal ataque de fato, a partir do qual os criminosos optaram por entregar a maior parte de seu malware.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/article.php?id=1946&p=3

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L