Escolar Documentos
Profissional Documentos
Cultura Documentos
Relatório Segurança Dados Brasil
Relatório Segurança Dados Brasil
Este documento apresenta um resumo das principais descobertas. O Relatório de inteligência de segurança
completo também fornece estratégias, medidas atenuantes e alternativas; ele pode ser obtido em
http://www.microsoft.com/sir.
1
A nomenclatura usada no relatório em referência a diferentes períodos de relatório é nSAA, em que nS refere-se ao primeiro (1) ou ao segundo (2) semestre do ano,
e AA indica o ano. Por exemplo, 2S08 representa o segundo semestre de 2008 (1º de julho a 31 de dezembro), e 1S09 representa o primeiro semestre de 2009 (1º de
janeiro a 30 de junho).
2
As taxas de infecção desse relatório são expressas usando a unidade de medida CCM (Computers Cleaned per Mil) que representa o número de computadores
desinfectados a cada mil execuções do MSRT (Malicious Software Removal Tool, Ferramenta de Remoção de Software Mal-Intencionado). Essa ferramenta pode ser
obtida em http://www.microsoft.com/downloads/details.aspx?FamilyID=ad724ae0-e72d-4f54-9ab3-75b8eb148356&displaylang=en
Nos Estados Unidos, no Reino Unido, na França e na Itália, os cavalos de troia representaram a maior
categoria única de ameaça. Já na China, diversas ameaças específicas daquele idioma e para navegadores
prevaleceram; no Brasil, os softwares mal-intencionados que visam usuários de bancos online
dominaram. E, por fim, na Espanha e na Coreia, os worms foram os que mais se destacaram,
principalmente os relacionados a ameaças destinadas a jogos online. A descrição detalhada das ameaças
detectadas em 18 países está disponível na versão completa do Relatório de inteligência de segurança.
Figura 2. Categorias de ameaças em todo o mundo e nos oito locais com o maior número de computadores desinfectados,
por incidência entre todos os computadores desinfectados, no 1º semestre de 2009
Figura 3. Número de computadores limpos a cada 1.000 execuções da MSRT, por sistema operacional, no 1º semestre de 2009
As taxas de infecção do Windows Vista mostraram-se significativamente menores que as do Windows XP
em todas as configurações no 1º semestre de 2009.
A taxa de infecção do Windows Vista SP1 foi 61,9 % menor que a do Windows XP SP3.
3
Comparando as versões RTM, a taxa de infecção do Windows Vista foi 85,3 % menor que a do
Windows XP.
A taxa de infecção do Windows Server 2008 RTM foi 52,6 % menor que a do Windows Server 2003 SP2.
Quanto maior o nível do service pack, menor foi a taxa de infecção:
Os service packs incluem todas as atualizações de segurança liberadas até o momento do
lançamento. Eles também podem incluir outros recursos de segurança, medidas atenuantes ou
alterações nas configurações padrão que visam proteger os usuários.
Os usuários que instalam os service packs conseguem, de maneira geral, manter seus computadores
em melhor estado do que aqueles que não o fazem. Além disso, eles parecem mais cautelosos ao
navegar na Internet, abrir anexos e ingressar em outras atividades que possam expor os
computadores a um ataque.
As versões para servidor do Windows normalmente apresentam uma taxa menor de infecção se
comparadas às versões cliente. Os servidores tendem a oferecer uma superfície de ataque menor do que
os computadores que executam sistemas operacionais cliente, pois eles geralmente são usados sob
condições controladas, apenas por administradores, e são protegidos por uma ou mais camadas de
segurança.
A figura a seguir mostra a consistência dessas tendências ao longo do tempo, indicando as taxas de infecção da
versão de 32 bits do Windows XP e do Windows Vista para cada período de seis meses entre o 1º semestre de
2007 e o 1º semestre de 2009.
Figura 4. Tendência de CCM para versões de 32 bits do Windows Vista e Windows XP, 1º semestre de 2007 - 1º semestre 2009
40
35
30
Windows XP RTM
25
Windows XP SP1
20 Windows XP SP2
15 Windows XP SP3
Windows Vista RTM
10
Windows Vista SP1
5
0
1H07 2H07 1H08 2H08 1H09
3
O Windows Vista Service Pack 2 foi lançado em 30 de junho, no último dia do 1º semestre de 2009, portanto não foi incluído nessa análise.
Cenário de ameaças no uso doméstico e uso empresarial
Os computadores dos ambientes empresariais (aqueles que executam o Forefront Client Security)
mostraram-se mais suscetíveis à detecção de worms durante o 1º semestre de 2009 do que aqueles que
executam o Windows Live OneCare.
A ameaça mais detectada em ambientes empresariais foi o worm conhecido como Conficker; entretanto,
esse worm não aparece entre os 10 mais detectados em ambientes domésticos.
Figura 5. Categorias de ameaças removidas pelo Windows Live OneCare e pelo Forefront Client Security no 1º semestre de
2009, por porcentagem de computadores infectados que foram desinfectados por cada programa
Figura 6. Computadores desinfectados por categoria de ameaça, em porcentagem, 2º semestre de 2006 - 1º semestre de 2009
Análise das fontes de malware
O Filtro SmartScreen, introduzido com o Internet Explorer 8, fornece proteção contra phishing e malware.
A figura a seguir detalha os parâmetros de distribuição de malware detectados pelo Filtro SmartScreen no
1º semestre de 2009.
A categoria de diversos softwares potencialmente indesejados aumentou de 35%, no 2º semestre de
2008, para 44,5% no 1º semestre de 2009, enquanto que a porcentagem de computadores desinfectados
diminuiu de 22,8% para 14,9% nessa categoria. Isso sugere que o SmartScreen e as tecnologias
semelhantes provavelmente estão interceptando essas ameaças antes de elas serem baixadas nos
computadores.
Os softwares potencialmente indesejados estão sujeitos a uma distribuição maior, e desproporcional, via
Web. Por outro lado, os worms raramente são distribuídos por sites da Web mal-intencionados, sendo
responsáveis apenas por 1,2% das atividades do SmartScreen, comparados a 21,3% dos computadores
desinfectados.
Figura 7. Ameaças provenientes de URLs bloqueadas pelo Filtro SmartScreen, por categoria
Figura 9. Incidências de phishing detectadas mensalmente entre o 2º semestre de 2008 e o 1º semestre de 2009, indexadas
em janeiro de 2009
Instituições
As instituições financeiras, as redes de relacionamento social e os sites de e-commerce continuam os
alvos favoritos das tentativas de phishing.
Os pesquisadores também observaram certa preferência por outros tipos de instituições, como sites de
jogos online, portais da Web e sites de grandes empresas de software e telecomunicação.
Figura 10. Incidências de phishing em cada categoria de site, por mês, no 1º semestre de 2009
Figura 11. Sites de phishing por 1.000 hosts de Internet para diversos locais em todo o mundo no 1º semestre de 2009
Ameaças por email
O Forefront Online Protection for Exchange (FOPE) bloqueou 97,3% de todas as mensagens recebidas da
rede no 1º semestre de 2009, índice superior aos 92,2% registrados no 2º semestre de 2008. No total, o
FOPE bloqueou mais de 98% de todas as mensagens recebidas.
Os spams que prevaleceram no 1º semestre de 2009 foram os de anúncios de produtos, principalmente
farmacêuticos. No total, os anúncios de produtos contabilizaram 69,2% dos spams do 2º semestre de 2008.
A figura a seguir mostra os países e as regiões de onde originaram a maioria dos spams, conforme
detectado pelo FOPE entre março e junho de 2009.
Uma lista completa dos países e do número de mensagens de spam originadas de cada um desses locais
pode ser encontrada na versão completa do Relatório de inteligência de segurança.
Figura 12. Mensagens de entrada bloqueadas pelos filtros Figura 13. Origem geográfica dos spams no 1º semestre de 2009,
de conteúdo do FOPE no 1º semestre de 2009, por categoría por porcentagem do número total de spams enviados
Mais detalhes sobre técnicas de injeção SQL e como se proteger desses ataques podem ser encontradas
na versão completa do Relatório de inteligência de segurança.
Em relação aos ataques em navegadores em máquinas com Windows XP, a Microsoft somou 56,4% do
total de vulnerabilidades. Em máquinas com Windows Vista, a vulnerabilidade da Microsoft ficou em
apenas 15,5%.
4
Visite http://msdn.microsoft.com/en-us/library/aa939274.aspx para obter mais informações sobre o Trident.
Figura 15. Ataques em navegadores destinados a software Figura 16. Ataques em navegadores destinados a software
da Microsoft e de terceiros em computadores que executam da Microsoft e de terceiros em computadores que executam
o Windows XP, 1º semestre de 2009 o Windows Vista, 1º semestre de 2009
Figura 17. 10 vulnerabilidades relacionadas a navegador mais exploradas no Windows XP, 1º semestre de 2009
Vulnerabilidades
da Microsoft
Vulnerabilidade
de terceiros
Figura 18. 10 vulnerabilidades relacionadas a navegador mais exploradas no Windows Vista, 1º semestre de 2009
Figura 19. Exploits a arquivos do Microsoft Office detectados no 1º semestre de 2009, em porcentagem
A figura a seguir mostra o total de ataques verificados na amostra em relação ao Microsoft Windows e ao
Microsoft Office durante o 1º semestre de 2009. O eixo horizontal mostra a última data em que os
computadores da amostra foram atualizados com as atualizações de segurança para Windows e Office.
A maioria dos ataques ao Office observados no 1º semestre de 2009 (55,5%) afetou instalações
do programa que foram atualizadas pela última vez entre julho de 2003 e junho de 2004. A
maioria desses ataques afetou usuários do Office 2003 que não aplicaram um único service pack
ou outras atualizações de segurança desde o lançamento do Office 2003 em outubro de 2003.
Por outro lado, os computadores da amostra apresentaram uma probabilidade maior de terem
passado por uma atualização de segurança recente do Windows.
Os usuários que não mantêm o Office e o sistema operacional Windows atualizados com os
service packs e as atualizações de segurança mais recentes estão sujeitos a um maior risco de
ataques.
A Microsoft recomenda que os computadores sejam configurados para usar o Microsoft Update
e, com isso, mantenham o sistema operacional Windows e outros softwares Microsoft
atualizados.
Figura 20. Exploits a arquivos do Microsoft Office observados no 1º semestre de 2009 por data da última atualização de
segurança do Windows ou do Office
A categoria de Downloaders & Droppers de Cavalos de Troia foi a mais encontrada entre sites de
downloads drive-by, somando 40,7 %. Os downloaders de cavalos de Troia são ideais para serem
distribuídos em downloads drive-by, pois eles podem ser usados para instalar outras ameaças nos
computadores infectados.
Figura 22. Vulnerabilidades em sistema operacional, navegador e outros, 1º semestre de 2004 - 1º semestre de 2009
As vulnerabilidades consideradas de alta severidade pelo Common Vulnerability Scoring System
5
(CVSS) diminuíram 12,9% em relação ao 2º semestre de 2008; 46% de todas as vulnerabilidades
foram consideradas de alta severidade.
Assim como em relação à severidade, a complexidade verificada no 1º semestre de 2009 também se
mostra mais positiva. 54,2 % de todas as vulnerabilidades foram consideradas de baixa severidade no
1º semestre de 2009 (inferior aos 57,7 % do 2º semestre de 2008) e houve uma redução de quase 30
pontos percentuais em relação aos últimos cinco anos.
Figura 23. Identificação de vulnerabilidades na indústria por Figura 24: Identificação de vulnerabilidades na indústria por
severidade, 1º semestre de 2004 - 1º semestre de 2009 complexidade, 1º semestre de 2004 - 1º semestre de 2009
A identificação de vulnerabilidades realizada pela Microsoft revelou o atual cenário de toda a indústria,
porém em menor escala. Nos últimos cinco anos, as identificações de vulnerabilidades pela Microsoft
somaram, consistentemente, 3 a 6% de todas as identificações da indústria.
Figura 25. Identificação de vulnerabilidades por produtos Microsoft e de terceiros, 1º semestre de 2004 - 1º semestre de 2009
5
O CVSS é um padrão da indústria usado para analisar a severidade das vulnerabilidades dos softwares. Consulte http://www.first.org/cvss/ para obter outros
documentos e mais detalhes.
Detalhes das vulnerabilidades identificadas pela Microsoft no 1º semestre de 2009
No 1º semestre de 2009, a Microsoft publicou 27 boletins de segurança que abordaram 85
vulnerabilidades CVE identificadas.
Figura 26. Boletins de segurança publicados e CVEs solucionados a cada semestre, 1º semestre de 2005 - 1º semestre de 2009
Figura 27. Divulgação responsável em relação a todas as identificações envolvendo softwares Microsoft, 1º semestre de
2005 - 1º semestre de 2009
Índice de explorabilidade
41 vulnerabilidades receberam classificação 1 de acordo com o Índice de explorabilidade, o que indica que
elas apresentavam uma maior probabilidade de serem exploradas em até 30 dias após a divulgação do
boletim de segurança. A Microsoft verificou que onze dessas vulnerabilidades foram exploradas nos
primeiros 30 dias.
Das 46 vulnerabilidades que receberam classificação 2 ou 3 de acordo com o Índice de explorabilidade
(indicando que a exploração seria duvidosa ou improvável), nenhuma foi publicamente explorada no
período de 30 dias.
Figura 28. CVEs com exploits detectados em até 30 dias no 1º semestre de 2009, de acordo com o Índice de explorabilidade
Figura 29. Uso do Windows Update e do Microsoft Update, 2º semestre de 2005 - 1º semestre de 2009, indexados no uso
total do 2º semestre de 2005
A função da atualização automática
A atualização automática é uma das ferramentas mais eficientes que os usuários e as organizações podem
utilizar para ajudar a impedir a propagação dos malwares.
Em fevereiro de 2007, por exemplo, a família Win32/Renos de downloader cde cavalos de Troia omeçou a
infectar computadores em todo o mundo. No dia 27 do mesmo mês, a Microsoft lançou uma atualização
para a assinatura do Windows Defender via Windows Update e Microsoft Update. Em três dias, um
número considerável de computadores já havia recebido a nova atualização de assinatura e, com isso, foi
possível reduzir os relatórios de erro de 1,2 milhão por dia para menos de 100.000 em todo o mundo.
Figura 30. Relatórios de erro do Windows gerados pelo Win32/Renos no Windows Vista, fevereiro a março de 2007
A principal categoria responsável por perda de dados devido a uma violação de segurança no 1º semestre
de 2009 continua sendo o roubo de equipamento, como o de um laptop (30% dos incidentes de perda de
dados relatados), o que equivale ao dobro das ocorrências de invasão.
As violações de segurança em incidentes envolvendo “hackers” ou malware somam menos de 15% do total.
Figura 32. Incidentes de violação de segurança por tipo, 2º semestre de 2007 - 1º semestre de 2009
;
Ajude a Microsoft a melhorar o Relatório de Inteligência de Segurança
Obrigado por dedicar seu tempo à leitura do último volume do Relatório de Inteligência de Segurança da
Microsoft. Queremos que este relatório seja sempre o mais útil e relevante possível para nossos clientes. Se tiver
qualquer comentário sobre este volume do relatório, ou sugestões de como podemos melhorar nossos futuros
volumes, envie um email para sirfb@microsoft.com.
Obrigado,
Este documento tem propósito apenas informativo. A MICROSOFT NÃO CONCEDE GARANTIAS EXPRESSAS, IMPLÍCITAS OU ESTATUTÁRIAS NO QUE
DIZ RESPEITO ÀS INFORMAÇÕES NESTE RESUMO. Nenhuma parte deste resumo pode ser reproduzida, armazenada ou introduzida em um sistema de
recuperação ou transmitida de qualquer forma ou por qualquer meio (eletrônico, mecânico, de fotocópia, de gravação ou qualquer outro), ou para qualquer fim, sem a
permissão expressa, por escrito, da Microsoft Corporation.
A Microsoft pode ter patentes ou requisições para obtenção de patente, marcas comerciais, direitos autorais ou outros direitos de propriedade intelectual que abranjam
o conteúdo deste resumo. A posse deste documento não lhe confere nenhum direito sobre essas patentes, marcas comerciais, direitos autorais ou outros direitos de
propriedade intelectual, salvo aqueles expressamente mencionados em um contrato de licença, por escrito, da Microsoft.
Microsoft, o logotipo da Microsoft, Windows, Windows XP, Windows Vista e Microsoft Office são marcas registradas ou comerciais da Microsoft Corporation nos
Estados Unidos e/ou em outros países. Os nomes de empresas e produtos reais mencionados aqui podem ser as marcas comerciais de seus respectivos proprietários.