Umas das tendências observadas pela comunidade de segurança da informação nos últimos anos tem sido a migração do alvo dos ataques para os usuários finais de internet, tanto residenciais quanto corporativos. Normalmente esta migração é atribuída a diversos fatores, entre eles:
1. Há cada vez mais usuários com banda larga em suas residências, de modo que tendem a ficar mais tempo conectados e expostos a ataques via rede. Estes usuários, entretanto, não têm aumentado seu nível de preocupação com segurança, dependendo basicamente do software antivírus como única forma de proteção;
2. As empresas aumentaram a preocupação com segurança, principalmente a segurança dos servidores corporativos, tornando mais difíceis os ataques a estes servidores. Neste cenário, atacar diretamente o usuário tem se tornado mais fácil e eficaz.

O usuário pode ser afetado das seguintes formas:
• pode ser vítima de técnicas de engenharia social, ou seja, o atacante tenta fazê-lo acreditar em algum fato e seguir um link ou instalar um código malicioso em seu computador;
• sua máquina pode ser comprometida automaticamente, via rede, por um worm¹ ou bot². Se for infectada por um bot, esta máquina pode ser controlada remotamente por um invasor e ser utilizada, entre outras coisas, para: envio de spam; ataques de negação de serviço contra outras instituições; e qualquer atividade maliciosa, incluindo ser utilizada para invadir outras máquinas.

Ao ter acesso à máquina do usuário o atacante não só poderá utilizar os recursos de processamento e banda — fazendo com que o usuário fique com a máquina e com a
conexão internet lentas — mas também poderá furtar dados de sua máquina, como dados financeiros (contas, senhas, número de cartão de crédito, declarações de imposto de renda, etc).

Os números levantados nas pesquisas TIC DOMICÍLIOS e TIC EMPRESAS 2005 confirmam esta tendência de migração dos ataques para os usuários, cabendo comentar alguns destes números em mais detalhes. Na TIC EMPRESAS podemos ver que, dentre os problemas de segurança mais encontrados nas empresas com acesso à internet, ataques tipicamente direcionados a usuários finais ocorreram em maior número, como aqueles realizados por vírus e cavalos de tróia (trojans), com 50,34% e 31,13% respectivamente. Por sua vez, ataques tipicamente direcionados a servidores corporativos representaram um número menor de ocorrências, como ataques de desfiguração (11,20%) e acessos não autorizados (10,89%), como pode ser visto na tabela TIC EMPRESAS E1 (do apêndice).

A pesquisa TIC DOMICÍLIOS, em sua tabela F2 (do apêndice), aponta que entre os usuários de internet que possuem computador em sua residência, a proteção mais usada é o antivírus, citado por 69,76% dos usuários entrevistados, seguido de softwares anti-spyware, com 22,09%. Já o uso de firewall pessoal está difundido somente entre 19,33% dos usuários residenciais. Além disso, somente 21,11% desses usuários atualiza seu antivírus diariamente, contra 31,03% que não atualizou seu antivírus nos 3 meses anteriores à pesquisa, como mostra a tabela TIC Domicílios F3 (do apêndice).

Nos dados da tabela TIC DOMICÍLIOS F1 (do apêndice) vemos que 40,99% daqueles que usaram internet afirmaram não ter encontrado nenhum problema de segurança nos últimos 3 meses, mas isto não necessariamente significa que eles não tenham tido problemas. Aqueles usuários que não atualizam seus antivírus diariamente, e não utilizam softwares como os firewalls pessoais, podem ter sido afetados por uma ameaça mais recente sem saber. Isto ocorre porque as tecnologias utilizadas pelos códigos maliciosos recentes muitas vezes permitem que um ataque tenha sucesso sem que o usuário perceba.

A segurança na internet depende de diversas ações para sua melhora, sendo uma das principais a educação dos usuários de internet sobre as ameaças e suas formas de proteção. Dentre as empresas consultadas, 19,69% possuem um programa de treinamento em segurança da informação, sendo que este número é superior a 40% nas empresas com mais de 500 funcionários, segundo os dados da tabela TIC EMPRESAS E2 (do apêndice). Estes números são positivos, mas precisam aumentar.

O Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), mantido pelo Comitê Gestor da Internet no Brasil, tem um conjunto de ações que visa melhorar este quadro. Para auxiliar a educação dos usuários residenciais e corporativos o CERT.br mantém desde 2000 a Cartilha de Segurança para a Internet³. Este é um documento escrito especificamente para usuários de internet e tem sido atualizado para refletir a evolução dos ataques e das tecnologias de defesa. Na sua última versão, de setembro de 2005, foi ampliado para incluir uma seção exclusiva sobre códigos maliciosos e formas de proteção. Também tem informações sobre fraudes que têm sido comumente cometidas via internet. As principais dicas da Cartilha, sumarizadas em um folder, incluem: atualização diária do software antivírus e utilização de um firewall pessoal.

A Cartilha também pode ser utilizada pelas empresas para difundir boas práticas que reduzam o número de incidentes com vírus e cavalos de tróia. Além disso, as empresas contam com o documento de Práticas de Segurança para Administradores de Redes Internet⁴, que reúne as práticas a serem adotadas para minimizar as chances de ocorrerem problemas de segurança em redes conectadas à internet. Este documento serve de apoio a profissionais de segurança, bem como a profissionais de rede que não contam com uma equipe para auxiliar nos cuidados de segurança.

Além destas iniciativas de manter material de apoio para usuários e administradores de redes, o CERT.br também possui outros projetos que visam tanto compreender melhor a natureza das ameaças na internet, como melhorar a capacidade nacional de resposta a incidentes. Um desses projetos é o Consórcio Nacional de Honeypots, que tem o objetivo de aumentar a capacidade de detecção de incidentes, correlação de eventos e determinação de tendências de ataques no espaço internet brasileiro. Outra iniciativa é o oferecimento no Brasil de cursos para formação de especialistas em tratamento de incidentes, que são profissionais especializados na prevenção, detecção e rápida mitigação de incidentes de segurança ocorridos em redes de computadores. Estes projetos e outras iniciativas do CERT.br estão detalhados em sua página web⁵.

Outros esforços também são necessários para que um aumento efetivo na segurança da internet seja alcançado. Nesse ponto indicadores sobre a situação atual de segurança são cruciais para ajudar todos os setores a focarem seus esforços nas áreas que mais necessitam de melhorias, bem como possibilitar a avaliação da efetividade das medidas adotadas.

* Cristine Hoepers e Klaus Steding-Jessen, Analistas de Segurança do CERT.br


¹ Programa capaz de se propagar automaticamente através de redes, explorando vulnerabilidades existentes ou falhas na configuração de softwares, enviando cópias de si mesmo de computador para computador.

² Programa que, além de incluir funcionalidades de worms, dispõe de mecanismos de comunicação com o invasor, permitindo que o programa seja controlado remotamente.

³ http://cartilha.cert.br/

⁴ http://www.cert.br/docs/seg-adm-redes/

⁵ http://www.cert.br/