Como se proteger contra o Conficker e outras Ameaas Digitais

(para gestores)

Introduo As empresas em geral esto expostas diariamente aos ataques digitais, desde os mais elaborados, como o Conficker, at os mais comuns como, por exemplo, o Spoofing1. A questo que preocupa os gestores de redes e de segurana em TI que os ataques no so apenas externos, ou ataques involuntrios, isto , usurios internos que inadvertidamente acessam sistemas criam conexes indevidas, ativam servios aparentemente inocentes, possuem vrus incubados em seus notebooks e PCs e, com isso, causam transtorno em toda a rede e tambm na operao da empresa. Os usurios internos j atingem a proporo de 5 para 1 em relao aos externos. Assim, a forma pela qual o gestor de TI pode proteger toda rede de maneira pr-ativa e ainda manter o oramento sob controle um grande desafio. As ameas so diversas, segundo o Computer Security Institute: worms, vrus, DoS (denial-of-service), intruso, acesso noautorizado, abuso interno, invaso de sistema, Bots, abuso de Instant Messaging e roubo de dados. Para combater estas ameaas, se faz necessrio o uso de diversos dispositivos tais como firewall, IDS/IPS (Intrusion Prevention System/Intrusion Detection System), antivrus e probes que, atuando de forma isolada, no conseguem evitar ataques sofisticados como, por exemplo, o do Conficker. O Conficker um malware controverso, uma vez que no segue o padro tradicional de ao dos vrus. Muitos avaliam que um Botnet, ou seja, um agente que utiliza os computadores hospedeiros para encaminhar spams com intuito de fazer phishing2 e/ou roubar informaes dos computadores vulnerveis. A atuao do Conficker, dependendo da verso, segue primeiramente na infeco de mquinas que estejam em alcance por rede IP ou por dispositivos de armazenamento que, por sua vez, possuam uma proteo de senha fraca. Uma vez instalado em ataque, este worm realiza as seguintes aes: Polticas de controle de conta sofrem reset automtico. Alguns servios do Microsoft Windows, tais como: atualizaes automticas, Background Intelligent Transfer Service (BITS), Windows Defender e Error Reporting Services so desabilitados. Controladores de domnio respondem lentamente s requisies do cliente. Aumento do trfego de rede fora dos padres. Websites relacionados aos antivrus tornam-se inacessveis. Eventualmente o antivrus tambm desabilitado. Para proteger a rede contra o Conficker.worm, a primeira contra medida a atualizao do Windows por meio do Microsoft Security Update MS08-067(http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx), que se encarrega de corrigir a forma pela qual o Server service atua nas chamadas remotas RPC, impedindo que o vrus se infiltre novamente via IP. Simples? Talvez venha a ser simples se todos os computadores da rede estiverem atualizados e se o vrus no se propagar por unidades de armazenamento como, por exemplo, pen drives. Tambm h formas de fazer com que estas chamadas RPC venham de fora da rede com a configurao adequada do firewall, bloqueando portas utilizadas pelo RPC. Mas ainda resta um ponto: a proteo do sistema quando a infeco chega via rede local. A D-Link visa solucionar esta questo utilizando um sistema triplo de proteo.fAs ferramentas disponveis nos switches e firewalls, conhecida como Segurana Fim-a-Fim, em parceria com a Microsoft, so capazes de apoiar gestores de TI na resoluo dos aos problemas existentes nas redes, sem que venham a impactar no oramento.

Spoofing uma tcnica utilizada para ter acesso a computadores no autorizados. Primeiramente o hacker encontra o endereo IP do computador desejado e em seguida utiliza esta informao para confundir o receptor, fazendo-se passar por um computador confivel. 2Phishing uma tentativa de adquirir de forma ilegal usurios e senhas com objetivo de acessar contas bancrias e agir de forma fraudulenta atravs de meio eletrnico.

Como se proteger contra o Conficker e outras Ameaas Digitais. (para gestores) Soluo Fim-a-Fim A Segurana Fim-a-Fim composta por trs mdulos: Endpoint Security, Gateway Security e Joint Securit.

Joint Security
Prdio 2

Gateway Security
L3 Gigabit 10G L2 10/100
Edge Switch Switch Empilhvel

WAN

L3 Modular Core
Wireless Switch Switch

Endpoint Security

L2+Switch Gigabit
com 10G Uplinks

L3 Gigabit 10G
Switch Empilhvel Switch Wireless

Fazenda de Servidores

Data Center
10G 1G
POE
10/100

Setor de Vendas/Financeiro

Telefone IP

Rede Corporativa
Figura 1: Segurana Fim-a-Fim

Com Endpoint Security, possvel fazer uso dos switches D-Link xStack que j foram implantados para fornecer conectividade local de alta performance para tambm: Autenticar os usurios que acessam a rede; Autorizar os usurios a acessarem partes da rede; Controlar o acesso rede impedindo acessos indevidos; Controlar o trfego de rede evitando loopings e comportamentos indesejados; Preveno de ataques, prevenindo e minimizando seus efeitos e sua propagao.

Com Gateway Security os firewalls D-Link NetDefend so utilizados para: Gerenciar o acesso dos usurios da Internet rede interna; Gerenciar o acesso dos usurios internos Internet com Web Content Filtering; Controlar o acesso a sites especficos da Internet, Instant Messagers e outros servios Peer-to-Peer; Detectar e responder a ataques dinamicamente com IPS/IDS;* Estabelecer acessos remotos de forma segura com a criao de redes privativas (VPNs); Criar um mecanismo complementar anti-vrus (AV) com atualizao dinmica.***

Como se proteger contra o Conficker e outras Ameaas Digitais. (para gestores) Com Joint Security empresas de diferentes portes podem potencializar e expandir suas defesas: Fazendo uso do ZoneDefence e assim amplificar a ao dos firewalls D-Link NetDefend para toda a rede, atuando em conjunto com os switches D-Link xStack; Adotando o Microsoft NAP (Network Acess Protection) e assim tornado possvel o gerenciamento dinmico do acesso de usurios rede, baseado em atributos do sistema operacional, em conjunto com o switches D-Link xStack. Com estas ferramentas integradas, a soluo de Segurana Fim-a-Fim busca envolver todo o ambiente do cliente. Na figura abaixo, temos um viso macro de um ambiente de cliente, onde temos os firewalls NetDefend na fronteira da rede interna com a rede externa, a rede local representada pelos switches xStack, e o NAP representado pelos servidores Network Policy Server e Remediao.

Figura 2: Ambiente com Segurana Fim-a-Fim

Atuando contra o Conficker A arquitetura de soluo abrangente garante que os ataques externos sejam atenuados por meio do firewall Netdefend, os ataques internos prevenidos com as ferramentas de segurana do switch xStack e a conformidade dos usurios com a polticas de rede com o Microsoft NAP. No caso da preveno do vrus Conficker, este ambiente capaz de prevenir das seguintes formas: 1. Preveno contra o Conficker proveniente via Internet. O mdulo de Gateway Security possui ferramentas de gesto de acesso a pginas da Internet com WCF (Web Content Filtering), o qual, com filtros por categoria, permite ou declina o acesso a determinados assuntos como, por exemplo, notcias, esporte, religio, etc. Assim, minimiza-se o acesso a sites que possam conter worms e vrus. Entretanto, mesmo que venha a existir um caso de uma atividade do vrus Conficker via Internet, o firewall NetDefend ir bloquear as chamadas RPC utilizadas pelo vrus para invadir os computadores, impedindo seu acesso rede local e aos PCs. No entanto, pode haver usurios mveis, com notebooks, os quais, ao conectarem em sistemas pblicos de Wi-Fi, podem estar vulnerveis ao vrus e introduzir a infeco na rede local. Neste caso, o mdulo de Joint Security entra em ao.

Figura 3: Gateway Security. Bloqueio de Ataques Externos

Como se proteger contra o Conficker e outras Ameaas Digitais. (para gestores) Atuando contra o Conficker (continuao) 2. Conficker na rede interna. Usurios com computadores mveis naturalmente esto mais vulnerveis a ataques de worms e vrus que os usurios da rede interna. Neste caso, um PC sem as ltimas atualizaes de vacinas e patchs podeminserir, inadvertidamente, viroses na rede local. O mdulo de Joint Security visa solucionar este problema, pois, antes de qualquer usurio ter acesso a rede (seja utilizando um desktop ou um laptop), ser avaliado pelo NAP, que primeiramente confirmar se: por exemplo, patches e service packs esto atualizados; o anti-vrus est ativo e atualizado; as demais polticas de rede esto em conformidade. Somente se estiverem em conformidade podero ter acesso rede. No caso de estarem em no-conformidade os usurios sero confinados em uma rede virtual (VLAN) de quarentena e as devidas ativaes de polticas e atualizaes de software sero aplicadas. Se o usurio com laptop trouxer consigo o Conficker, pelo fato do equipamento estar vulnervel e desatualizado, a primeira medida do sistema ser aplicar a atualizao sugerida pela Microsoft vista acima (MS08-067), e em seguida ser atualizar o antivrus capaz de identificar a assinatura. Contudo, ainda h vacinas que no reconhecem a assinatura do Conficker e, assim, este pode se manter inerte at o momento do ataque. Neste caso, no dia em que o Conficker iniciar seu ataque ser bloqueado pelo seu prprio comportamento, ou seja, com o reset das polticas de controle (Windows Automatic Update, Windows Security Center, Windows Defender e Windows Error Reporting) e, eventualmente, com o reset do antivrus imediatamente o usurio confinado na VLAN de quarentena, impedindo assim a propagao do vrus.

Figura 4: Joint Security. VLAN de Quarentena

3. Confinando o Conficker ao PC. Aps o PC estar restrito, a rede quarentena ainda estar ativa. Nesta fase, o mdulo de ZoneDefence ser o responsvel por restringir ainda mais a ao do vrus. O Conficker, aps sua instalao, inicia a tentativa de ataque por meio das portas 139 e 445. Estas portas estaro monitoradas pelo firewall e, imediatamente, iro enviar um comando para bloquear a porta do switch no qual o usurio est conectado, inibindo a ao do vrus na rede.

Figura 3: Zone Defense. Confinando os Vrus.

Como se proteger contra o Conficker e outras Ameaas Digitais. (para gestores)

Consideraes Finais. O cenrio apresentado demonstra como a soluo de segurana Fim-a-Fim da D-Link pode atuar de forma autnoma e pr-ativa contra malwares nada caractersticos, como o Conficker. De forma anloga, esta soluo tambm efetiva para as ameaas tradicionais, sejam elas externas ou internas, e ainda capaz de ajudar o administrador com os problemas cotidianos da borda de rede, como, por exemplo, loopings no detectados ou servidores DHCP (Protocolo de Configurao Dinmica de Endereos de Rede ) no autorizados.