Num mundo cada vez mais digital, é importante nos atentarmos à segurança de nossas informações. A invasão de redes e sistemas é uma realidade que ocorre todos os dias e, nos últimos anos, os tipos de ataque não só aumentaram como estão mais sofisticados. É importante conhecê-los para podermos nos prevenir de uma forma mais assertiva.
Isso é algo que chamamos de Engenharia Social, que são essas práticas utilizadas que fazem uso da farsa e persuasão para obter acesso a informações importantes, não autorizadas ou sigilosas, tanto de organizações quanto de pessoas. São técnicas utilizadas por pessoas mal intencionadas que exploram falhas de segurança das próprias pessoas. Esse é um breve resumo do que é a Engenharia Social, mas temos um artigo que abordamos mais a fundo do que é a engenharia social e como ela funciona.
Sendo assim, quando falamos sobre a área de Segurança dentro da Tecnologia da Informação, é comum que existam termos que até já ouvimos falar, mas não sabemos ao certo o que significam. Por isso, veremos nesse guia alguns termos comuns de segurança que é importante você saber.
Honeypot
Honeypot é uma ferramenta ou um sistema criado que contém vulnerabilidades e pode conter até dados falsos. É como se fosse uma “isca” para fisgar atacantes, onde você configura o computador de modo a deixá-lo vulnerável a invasões.
Quando um invasor tenta acessar seu sistema e consegue realizar a invasão com sucesso, ele realmente acredita que conseguiu invadir uma aplicação, mas, na verdade, ele está em um honeypot: um ambiente simulado justamente para enganar o invasor.
Com a utilização do honeypot, todos os passos do invasor são vigiados, permitindo o registro e controle de todas as atividades que ele faça. Com isso, é possível saber quais ferramentas foram utilizadas para a invasão e quais brechas o invasor está utilizando. Todos estes passos são enviados para a pessoa que está monitorando o honeypot.
Com isto, os invasores podem ser combatidos de forma mais eficiente, pois conseguimos estudar as informações captadas, a fim de podermos criar meios e técnicas para barrar o ataque - verdadeiro - de novos invasores.
Tipos de honeypots
Pesquisa - São ferramentas programadas para observar as ações dos atacantes, permitindo análises detalhadas de suas motivações, ferramentas utilizadas e vulnerabilidades que foram exploradas. É bastante utilizada com o intuito de estudar o padrão de cada invasor.
Produção - São utilizadas em redes de produção como complemento ou no lugar de sistemas para detectar, analisar ou ainda desviar ataques contra ativos de rede. Pode ser utilizado por empresas e instituições que visam proteger suas redes. Tem o objetivo de analisar e detectar atacantes na rede.
Se você quer saber mais sobre o assunto, quais os níveis de serviço que ele possui e quais ferramentas são utilizadas para esse propósito, temos um artigo específico sobre Honeypot.
Phishing
Provavelmente você já recebeu um e-mail de seu banco ou de alguma empresa confiável, mas que, ao abrir, achou duvidoso, não tendo certeza se realmente era do remetente o qual dizia ser.
O Phishing é uma maneira que os hackers utilizam para nos induzir a revelar informações importantes, como dados pessoais, senhas, cartão de crédito, número de contas bancárias e até fazer pagamentos/transferências bancárias.
Para isso, eles enviam e-mails se passando por uma pessoa ou empresa confiável com o intuito de atrair vítimas, mas, na verdade, tudo não passa de um golpe virtual. Neste e-mail geralmente contém links que te direcionam a sites também falsos.
O phishing é um dos tipos mais simples de ataque. O foco desse tipo de golpe são em usuários inexperientes, que não sabem como o golpe funciona ou em usuários que possam cair por um descuido mesmo.
À primeira vista o e-mail recebido pode parecer confiável, mas quando a pessoa clica é direcionada a um site onde é enganada, resultando em roubos de identidade.
Como reconhecer se estou recebendo esse golpe?
Algumas pessoas acabam caindo nesse tipo de golpe por não terem ciência de como se proteger. Entretanto, você pode evitar esse tipo de golpe procurando alguns sinais significantes e tomando alguns cuidados.
Sempre duvidar de e-mails que sejam muito alarmantes, aqueles que fazem você agir naquele momento, antes que sua conta seja cancelada, por exemplo. Empresas não costumam enviar e-mails que solicitam informações pessoais e financeira de seus clientes. Outra dica é não abrir links e anexos de e-mails que sejam suspeitos.
Há muitas outras dicas que você pode conferir no nosso artigo específico de Phishing. Além das dicas, temos alguns exemplos inclusive com imagens, vale a pena conferir!
Curso Segurança da Informação - Fundamentos
Conhecer o cursoZero-day
Quando os desenvolvedores descobrem uma falha no sistema, normalmente eles corrigem as falhas rapidamente para eliminar a vulnerabilidade e deixar o software mais seguro. O problema é quando os hackers descobrem a falha primeiro. Essa é a falha zero-day, no português - dia zero.
Quando um ponto fraco da segurança de um sistema ou aplicação é descoberto, um hacker pode fazer um ataque utilizando exploits - um código malicioso que se aproveita dessa falha para poderem acessar um sistema e fornecer as permissões necessárias para depois infectá-lo.
O nome zero-day faz referência ao tempo que o fabricante/desenvolvedor estão cientes da brecha de segurança e devem resolvê-la em menos de 1 dia, ou seja, a partir do momento que a falha é detectada, tem-se efetivamente “zero dias” para produzir uma atualização que corrija o problema, impedindo a exploração por criminosos antes disso.
As vulnerabilidades zero-day podem ser exploradas por meio de vírus, worms, trojans e vários tipos de malwares, o que propaga e infecta outros usuários de maneira muito rápida e, pior, podendo circular pela internet por meses.
Como se proteger dessa falha?
Aí é que mora o problema: combater as vulnerabilidades zero-day ainda é um desafio. Como as falhas ainda são desconhecidas pelos fabricantes e não são detectáveis, infelizmente não existe um método 100% eficaz contra essa falha.
A boa notícia é que podemos contar com boas estratégias de segurança, para podermos diminuir a possibilidade de sermos afetados. Alguns exemplos são:
- Manter sistemas atualizados: todos os sistemas devem estar atualizados em sua última versão. Com ferramentas desatualizadas, os hackers podem tirar proveito por mais tempo;
- Usar ferramentas de segurança eficientes: ferramentas de proteção atualizadas e de boa qualidade;
Esses são alguns exemplos para se proteger dessa falha. Se você tem interesse, acesse no artigo de Zero-day para mais exemplos onde abordamos sobre cases famosos de falhas zero-day recentes. Vale a leitura!
DDoS
Antes de tudo, precisamos saber que DDoS é uma derivação de DoS (Denial of Service, ou Negação de Serviço). O ataque DoS envolve somente um atacante, contudo no DDoS já acontece o contrário: ele é um conjunto de ataques DoS, com diversos atacantes.
O ataque DDoS visa tirar um serviço (como sites e servidores web em geral) do ar mediante uma sobrecarga de requisições de múltiplos computadores ao mesmo tempo. Ao contrário do que muitas pessoas podem pensar, não se trata de um ataque de invasão: os ataques DDoS são apenas para fins de sobrecarga, ou seja, deixar sites sobrecarregados e até mesmo fora do ar.
Como resultado, esse ataque pode causar a interrupção operacional de um serviço por horas ou até dias, o que acaba resultando em prejuízo financeiro e até mesmo dano à reputação de uma organização. É um ataque direto contra a disponibilidade - um dos três pilares da segurança da informação.
Alguns tipos de ataques
- Volumétrico (floods): Esse é um dos tipos mais básicos, onde o objetivo principal é esgotar a largura de banda do alvo a ser atacado, por um volume muito grande de requisições.
- UDP Flood: São enviados um grande grupo de pacotes UDP (User Datagram Protocol). Como o servidor tem que responder a todos eles, ainda que sejam solicitações UDP maliciosas, ele acaba ficando mais lento até que uma sobrecarga acaba acontecendo.
- NTP Flood: São enviados pequenos pacotes de dados válidos, porém com IPs falsificados, a fim de executar o NTP (Network Time Protocol). Como o NTP tenta responder às inúmeras solicitações recebidas, pode resultar em inundações de UDP, onde os recursos de rede se esgotam por não suportarem a demanda.
- SYN Flood: Neste ataque é enviado uma sequência de requisições SYN visando uma sobrecarga, também fazendo a utilização de IPs falsos, a fim de consumir os recursos do servidor da vítima, sobrecarregando seus limites de capacidade, tendo como resultado a indisponibilidade de solicitações que realmente são legítimas.
Confira nosso artigo de DDoS para aprender mais sobre esse ataque. Lá conversamos mais sobre como esses ataques podem acontecer (ataque por inundação, amplificação ou exploração), como se proteger e exemplos que nos ajudam a entender melhor de como ele funciona na prática.
Man-in-the-middle
O ataque man-in-the-middle (em português homem-no-meio) é um ataque relativamente fácil de ser realizado, porém, super poderoso. Nele envolve a interceptação e escuta de comunicação entre um usuário e outra parte envolvida, como um usuário e um sites de compras, por exemplo.
Contudo, nem o cliente quanto o servidor, sabem que a conexão está sendo controlada por uma terceira pessoa. O atacante se posiciona no “meio” entre essas duas partes, acessando a informação trocada entre os dois, se passando por uma das partes envolvidas.
Qual sua finalidade?
Um ataque man-in-the-middle bem sucedido, permite ao hacker ver tudo o que é enviado, como, por exemplo, informações de navegação, detalhes de sua conta e login, senhas, dados financeiros, etc. Além de poder visualizar todas essas informações, ele ainda pode fazer um ataque a confidencialidade e integridade dos dados trafegados, sem que as vítimas percebam. Nesse meio tempo, quando as partes envolvidas derem conta, já será tarde demais.
Essa espionagem para a obtenção de informações pode ser sobre uma determinada vítima, apenas para poder “usá-la” em outros ataques, como também pode ser focada em uma pessoa específica para o roubo de informações mais valiosas ou até mesmo de uma entidade.
Como se proteger?
O man-in-the-middle é um ataque comum e que pode ser bastante eficiente, pois é de difícil detecção. Além disso, o atacante pode vir de qualquer lugar.
Como em vários outros ataques, o importante é se atentar a algumas medidas de segurança, a fim de dificultar a sua execução. Algumas medidas de segurança são:
- Evitar acessar redes wi-fi públicas;
- Evitar navegar e principalmente digitar informações em sites que não tenham certificado digital (SSL);
- Estranhe quando uma URL trocar de HTTPS para HTTP;
- Tenha um antivírus confiável;
- Fique atento a e-mails de phishing.
Acesse nosso artigo sobre man-in-the-middle e confira alguns tipos mais comuns desse tipo de ataque. É muito importante a leitura para que você possa entender como esse ataque funciona por “debaixo dos panos”.
HTTPS
O HTTPS é uma extensão do protocolo HTTP com a adição de uma camada de segurança na comunicação entre cliente/servidor, fazendo o uso do protocolo SSL (Secure Socket Layer).
Essa camada adicional permite que os dados sejam transmitidos por meio de uma conexão criptografada, além de garantir a verificação da autenticidade do servidor e do cliente por meio de certificados digitais.
Essas técnicas de criptografia servem para proteger os dados trafegados contra ataques de terceiros, minimizando bastante a possibilidade de que outras pessoas consigam ter acesso a informações que são trafegadas.
Por exemplo, quando você está em uma página servida através de HTTPS onde você precisa colocar seus dados (como uma página de login, por exemplo), esses dados são criptografados através de certificados digitais.
Nesse sentido, o fato de que o HTTPS em conjunto com o SSL pode prover aspectos de segurança adicionais faz com que até mesmo sua utilização seja praticamente obrigatória em alguns nichos (em e-commerces, por exemplo, é obrigatório o uso do certificado SSL para que seja possível autorizar compras com o cartão de crédito).
Afinal, o HTTPS realmente garante nossa segurança ao navegar pela web?
Definitivamente, protocolo HTTPS é considerado mais seguro porque ele faz uma criptografia forte dos dados trafegados ente clientes e servidores. Por isso, podemos concluir que o protocolo HTTPS de fato representa segurança. Porém, tal segurança se aplica somente ao âmbito da conexão e da comunicação entre clientes e servidores.
Uma conexão segura não significa necessariamente um site seguro: existem muitos outros tipos de brechas que podem ser exploradas em aplicações web que não envolvem necessariamente aspectos relacionados à conexão.
Se você ainda ficou um pouco confuso, no artigo sobre HTTPS você conseguirá entender desde o HTTP, como ele funciona e a partir daí conhecer mais sobre o HTTPS.
Ransomware
Ransomware é um malware que impede os usuários de acessarem seus arquivos, podendo liberá-los somente com um pagamento de “resgate”. Esse pagamento pode ser enviado por cartão de crédito ou ainda criptomoedas, como por exemplo o bitcoins.
O termo “ransomware” vem da junção de ransom (resgate) com malware. Os hackers se “instalam” no computador sem que o usuário tenha consentimento e vão trabalhando escondido, com o único objetivo de arrancar dinheiro de suas vítimas.
Tipos de ransomware
Existem três tipos de ransomware, são eles:
-
Scareware: Este é um dos mais simples, onde inclui softwares de segurança e fraudes. Geralmente você recebe uma mensagem do software avisando que um malware foi descoberto e para se livrar dele você deve efetuar um pagamento.
-
Lock-screen: Nesse tipo de ataque, quando você iniciar seu computador, uma tela de bloqueio aparece com um aviso, como por exemplo, que uma atividade ilegal foi detectada e, por isso, você deve pagar uma multa.
-
Criptográfico: Este é o pior ataque pois os hackers pegam seus arquivos, encriptam e só devolvem mediante pagamento - sem garantia é claro. Infelizmente nenhum software de restauração do sistema pode devolvê-los. Por isso é extremamente importante evitar pegar esses malwares.
Algumas dicas…
-
Tenha um bom antivírus e o mantenha sempre atualizado: muitos antivírus conseguem identificar esse tipo de ataque muito antes dele vir a atingir seu computador;
-
Instale todas as atualizações do sistema operacional;
-
Mantenha atualizado seu navegador;
-
Mantenha seu firewall ativado;
Acesso o artigo de ransomware para mais dicas, além de também poder se aprofundar em como um ransomware pode invadir seu computador.
Conclusão
Vimos alguns termos que são importantíssimos nos dias de hoje. Como vimos no decorrer neste artigo, você pode se aprofundar ainda mais em cada um deles, lendo seus respectivos artigos. Mas, aqui já conseguimos te dar um bom overview para te ajudar a conhecer melhor sobre esses ataques e como se prevenir deles.
Até a próxima!